클라우드 브릿지 JSON 오브젝트
클라우드 브릿지 JSON 오브젝트의 구성 파일은 다음 속성 및 정의를 사용합니다.
옵션 항목 및 선택적으로 기본값
"ldap-search-filter"- Verify-SCIM 디렉터리로 Active Directory 복제할 사용자 및 그룹 항목을 선택하는 데 사용됩니다. 이 매개변수를 제공해야 합니다. 이 값은 일치 항목 결과 세트가 변경되게끔 두 번의
IcbLdapSync.exe 실행 간에 변경되어서는 안됩니다. 필터는 참조된 속성을 포함한 결과 세트에서 각 항목의 수명 중에 변경되는 속성을 참조할 수 없습니다. 동기화할 항목이 생성될 때 참조되는 속성이 반드시 존재해야 하므로, 사용자 항목의 경우 에 Active Directory대한 나
ibm-allGroups에 IBM® Directory Server 대한 와memberOf같은 그룹 멤버십 속성은 사용하지 마십시오. 이러한 속성은 사용자 항목이 처음 생성될 때 설정되지 않기 때문입니다. "user-sync-filter"- 이 옵션을 사용하면 해당 AD 또는 LDAP 사용자 항목이 필터 조건과 일치하거나 일치하지 않는 경우, Cloud Directory에서 Verify 사용자를 동적으로 생성하거나 삭제할 수 있습니다. 이 옵션은 첫 번째 동기화 시에만 설정하십시오. 나중에 변경하지 마십시오. 기존 사용자 집합이 새로운 일치하는 사용자 집합으로 자동 수정되지 않기 때문입니다. 첫 번째 동기화 후 이 옵션을 변경해야 하는 경우, 디렉터리 동기화 서비스를 중지해야 합니다. 그런 다음, 관리자 권한으로 프로그램을 한 번 수동으로 실행하십시오. 설치 디렉터리에서 를 사용하여
IcbLdapSync -rebuild현재 동기화 중인 사용자 집합을 재설정하십시오.이 옵션을 사용하지 않는 경우, 초기 설정 단계가 완료된 후에는 해당 AD 또는 LDAP 사용자가 생성되거나 삭제될 때에만 Cloud Directory에서 Verify 사용자가 생성되거나 삭제됩니다.
ldap-search-filter이 현상은 AD 또는 LDAP 에서 생성된 사용자가.와 일치할 때만 발생합니다. 사용자가 Cloud Directory에 Verify 생성되어 있지 않은 경우, Directory Sync는 항상 해당 사용자를 무시합니다. 나중에 기존 AD 사용자나 LDAP 사용자가 해당 설정에 맞게ldap-search-filter수정되더라도, 디렉터리 동기화 기능은 이를 무시합니다. 이러한 동작은 그룹 멤버십을 기준으로 사용자를 동기화하려는 관리자에게 중요합니다. AD 또는 LDAP 에서 사용자가 생성되면, 해당 사용자는 어떤 그룹에도 속하지 않습니다. 따라서 생성 시점에 와ldap-search-filter일치하지 않으며, 생성되거나 동기화되지도 않습니다.user-sync-filter이user-sync-filter옵션을 사용하면, AD 또는 LDAP 사용자가 와 일치하도록 수정될 경우, Directory Sync는 AD 또는 LDAP 에서 해당 사용자의 최신 정보를 가져옵니다. 사용자가 존재하지 않으면 Cloud Directory에 Verify 해당 사용자를 생성합니다. 사용자는 AD 또는 LDAP 과 지속적으로 동기화됩니다.user-sync-filterAD(Active Directory) 또는 LDAP 사용자가 더 이상 와 일치하지 않도록 수정된 경우, 해당 사용자가 존재하는 경우 Directory Sync는 Cloud Verify Directory에서 해당 사용자를 삭제합니다.일치 여부에
user-sync-filter따른 사용자 생성 및 삭제는 동적으로 이루어집니다. 디렉터리 동기화 기능은 필터에 참조된 속성 및 그룹의 변경 사항을 모니터링하고, 관련 사용자에 대해 필터를 재평가합니다.ldap-search-filter,ldap-base-dn, 및ignore-suffixes옵션은 여전히 유효합니다.user-sync-filter따라서 이 설정은.에 의해 모니터링되는 모든 사용자를 포괄할 수 있을 만큼 충분히 광범위하게 설정되어야 합니다.이 옵션은
do-not-sync-delete삭제 작업에는user-sync-filter적용되지 않습니다. 단, AD 또는 LDAP 를 통해 보고된 사용자 삭제 건에는 적용됩니다.의
user-sync-filter형식은 LDAP 검색 필터 사양의 하위 집합입니다. 이 필터는 LDAP 이나 AD로 전달되지 않습니다. 디렉터리 동기화 기능은 필터에 참조된 속성 및 그룹의 변경 사항을 감지할 때 내부적으로 해당 필터를 평가합니다.<=이 필터는 ` LDAP ` 필터 연산>=, 대부분의 확장 가능한 일치 규칙 및 부분 문자열을 지원하지 않습니다. 속성 이름에는 OID를 사용할 수 없습니다.user-sync-filter.에 대해서는 다음의 확장 가능한 일치 규칙만 지원됩니다.기능 이름 OID LDAP_MATCHING_RULE_BIT_AND 1.2.840.113556.1.4.803 LDAP_MATCHING_RULE_BIT_OR 1.2.840.113556.1.4.804 ABNF notation: filter = "(" filtercomp ")" filtercomp = and / or / not / item and = "&" filterlist or = "|" filterlist not = "!" filter filterlist = 1*filter item = simple / present simple = attr equal value equal = "=" present = attr "=*" attr = [ "memberOf" | "ibm-allGroups" ] / attributename value = escapedText The evaluation of "equal" is a case insensitive string match. If a value should contain any of the following characters Character ASCII value --------------------------- * 0x2a ( 0x28 ) 0x29 \ 0x5c NUL 0x00 the character must be encoded as the backslash '\' character (ASCII 0x5c) followed by the two hexadecimal digits representing the ASCII value of the encoded character. The case of the two hexadecimal digits is not significant. Other characters besides the ones listed above may be escaped using this mechanism, for example, non-printing characters.참고:\\JSON 값 내부의 사용에\각별히 주의하십시오. 이는 JSON에서 사용하는 이스케이프 문자이므로,를 두 번 입력해야 합니다.- 해당
NUL (0x00)문자는 지원되지 않으며, NUL 앞의 값에 포함된 문자만 사용됩니다. - AD에서는 중첩된 그룹 매칭이 지원되지 않습니다.
- AD 및 AD-LDS에서 그룹 멤버십 확인 시에만 사용하십시오
memberOf. - IBM Verify 디렉터리에서 그룹 멤버십 확인 시에만 사용하십시오
ibm-allGroups.
다음user-sync-filter예시에서 관리자는 사용자가 값이abcd123인 속성을department가지고 있어야 하며, 동시에 (&) "testgroupX" 그룹의 구성원이어야 한다고 설정했습니다. 이 그룹은 고유명(DN)을 사용하여 지정됩니다:"user-sync-filter": "(&(department=abcd123)(memberOf=CN=testgroupX,CN=Users,DC=mydom,DC=com))", "ldap-base-dn"- 복제된 모든 사용자 및 그룹은 이 DN을 해당 상위로 가져야 하며 그렇지 않으면 무시됩니다. AD의 경우 이 값은 기본적으로
defaultNamingContext값으로 설정됩니다. ISDS LDAP의 경우 이 값의 기본값은 첫 번째 비시스템namingContexts값입니다. 일치하는 항목 결과 세트가 변경되도록 IcbLdapSync.exe의 두 실행 간에 이 값을 변경할 수 없습니다. "ignore-suffixes"- 이 속성은 소스 LDAP에서 구별 이름(DN)의 배열을 식별합니다. 이러한 각 DN 아래의 자신을 포함한 하위 항목은 무시되고 동기화되지 않습니다.
[]기본값은.입니다. 다른 예제는 다음과 같습니다.[ “cn=branch1,o=ibm,c=us”, “cn=branch3,o=ibm,c=us” ] "ldap-external-id-attr"- 이 속성은 항목을 Active Directory 고유하게 식별하는 데 사용됩니다. Verify이 속성은 특정 항목에 대해 두 레지스트리 간의 연결을 유지하기 위해 -SCIM 디렉터리에 저장됩니다. 이 속성은 각 특정 Active Directory 서버에 대한 샘플 파일에 제공된 값에서 변경해서는 안 됩니다.
"ldap-dn-to-ascii-lower":false- true로 설정하면, 모든 Active Directory DN 값에서 ‘A’→‘Z’ 범위의 문자가 영어 소문자 변환 규칙에 따라 ‘a’→‘z’로 변환됩니다. 기타 UTF-8 문자는 수정되지 않습니다. Verify이 속성은 주로 ISDS 동기화와 함께 사용되며, DN 값은 엔티티를 SCIM 엔티티에 연결하는 Active Directory 데 사용됩니다. 이 변환으로 인해 "I"에서 "i"로 축소된 터키어와 같은 기타 로케일에 문제가 발생할 수 있습니다. 또한, 동일한 Active Directory 항목을 가리키는 여러 DN 속성에서 ‘A’→‘Z’ 범위를 벗어난 대소문자 차이가 있는 경우에도 충분하지 않을 수 있습니다.
“trace-file”- 이 속성을 설정하면 IBM 인증 API 작업(SCIM JSON 작업) 및 Active Directory 기타 작업을 파일로 추적할 수 있습니다. 파일은 롤오버되지 않으며 IcbLdapSync.exe 애플리케이션별 크기에서 제한되지 않습니다. 파일 시스템 리소스가 너무 많이 사용되지 않는지 확인하십시오.
“ldap-poll-time”:4- 이 속성은 디렉토리 사용자 및 그룹에서 새로 변경된 사항을 찾기 위해 LDAP 서버에서 IcbLdapSync.exe가 디렉토리 검색 오퍼레이션을 실행하는 빈도를 판별합니다. 값은 초 단위로 설정됩니다. 기본 설정은 4초입니다.
"enable-op-log":false- Verify이 속성을 로 true 설정하면 -SCIM 디렉터리의 사용자 및 그룹에 대해 수행되는 각 POST, PUT, PATCH 및 DELETE 작업의 로깅이 활성화됩니다.
POST == create,PUT == update full object,PATCH == modify attribute[s] of object,DELETE = delete entry. 파일 형식은 작업 행으로 구성되며, 각 행은 다음 값들을 쉼표로 구분하여 포함합니다:
예:{utc-date},{operation},{ldap-dn},{Verify-scim-id},{status}"Mon Jun 24 20:33:24 2019","POST","cn=testuser,o=ibm","600000GF7B","201" "Mon Jun 24 20:33:55 2019","PATCH","cn=testuser,o=ibm","600000GF7B","204"{utc-date}는 오퍼레이션이 시작된 시간입니다. 완료 시간은 기록되지 않습니다. "op-log-file": “{install-directory} [/{instance}]/op_log/op_log.csv”- VerifySCIM 작업을 기록할 파일의 이름.참고:
“{install-directory}”, 및“{instance}”는 변수입니다. 이러한 변수는 이 설명에 대한 애플리케이션의 설치 디렉토리 경로 및 선택적 인스턴스 이름을 나타냅니다. "op-log-rollover":2097152- 롤오버되기 전의 op_log 파일의 대략적인 최대 크기입니다. 롤오버가 발생하면 op_log 파일은 현재 UTCtimestamp를 10진수 초 단위로 이름에 추가하여 이름이 변경됩니다. 후속 오퍼레이션은 새
op_log 파일에 로그인됩니다.참고: 멀티스레딩으로 인해 이 파일에 포함된 항목의 날짜 순서가 유지되지 않을 수 있습니다.
"cookie-file": “{install-directory} [/{instance}]/cookie.bin- 복제 상태 쿠키를 저장하기 위한 파일입니다. 이 속성은 복제를 사용하여 애플리케이션이 다시 시작되고
최종 위치를 유지하도록 해줍니다. 쿠키의
“.bkp”는 새 상태에 도달할 때마다 작성됩니다.참고:“{install-directory}”, 및“{instance}”는 변수입니다. 이는 사용을 위해 유효한 값이 아닙니다. 해당 값은 이 설명에 대해 애플리케이션의 설치 디렉토리 경로 및 선택적 인스턴스 이름을 나타냅니다. "ldap-conn-idle-timeout": 30- 디렉터리 연결이 이 시간보다 더 오랫동안 사용되지 않으면, 다음에 요청이 들어올 때 연결이 종료됩니다. 새로운 디렉터리 연결이 생성되었습니다. 이 속성은 방화벽으로 인한 제한시간 초과를 피하는 데 사용됩니다.
"ldap-conn-max-timeout": 300- 디렉터리 연결이 종료되고 새로운 연결이 수립되기 전까지 해당 연결이 유지되는 최대 시간입니다. 이 속성은 디렉토리 서버와의 연결에 대해 구성된 제한시간 초과를 피하는 데 사용됩니다.
"nested-groups" : false- 그룹 멤버로 그룹에 대한 지원을 사용 또는 사용 안함으로 설정합니다. true로 설정하는 경우 그룹인 그룹 멤버가 인식되고 클라우드 디렉토리로 복제됩니다. false로 설정된 경우 무시됩니다.
"status-port" : 1234- 구성 파일에서 설정한 경우 이 항목을 사용하면
IcbLdapSync.exe프로세스가 루프백 인터페이스에서 연결을 위해 지정된 포트에서 청취합니다(EG 127.0.0.1). 연결을 설정한 후 이벤트 로그 항목이 연결에서 전송됩니다. "ldap-use-paging" : false- LDAP 페이징 제어를 사용 또는 사용 안함으로 설정합니다. LDAP 페이징 제어 사용에서는 더 큰 검색 리턴 세트를 허용합니다. 그러나 제한된 리소스일 수 있으며 LDAP 디렉토리에 의해 특별한 권한이 요구됩니다. 디렉토리가 큰 경우 큰 검색 리턴 세트는 첫 번째 전달에 대해 일반적입니다.
"do-not-sync-delete" : falsetrue로 설정된 경우 삭제 오퍼레이션은 LDAP 디렉토리에서 클라우드 디렉토리로 동기화되지 않습니다."scim-threads": 1- 이 속성은 선택사항입니다. 지정하지 않으면 기본값이 1로 설정됩니다. 관련 없는 항목에 대한 오퍼레이션의 경우에만 이 수행 옵션을 통해 여러 LDAP 변경사항을 병렬로 Cloud Directory에 적용할 수 있습니다. 몇 개의 병렬 조작으로 Cloud Directory에 대한 변경 처리 능력을 증가시킬 수 있습니다. 이전 버전의 제품에서는 이 옵션을 사용하지 마십시오.
"do-not-sync-groups": false- 이 속성은 선택사항입니다. 지정하지 않으면 기본값이 false로 설정됩니다. true로 설정하면 Directory Sync가 그룹 오브젝트를 동기화하지 않습니다.
"changelog-size-limit": 300- 이 속성은 선택사항입니다. 지정하지 않으면 기본값이 300로 설정됩니다. 단돈 IBM Directory Server Directory Sync가
changelog항목을 검색하는 경우 각 단계에서 페치되는 항목의 수를 제한합니다. "ci-retries": 12- 이 속성은 선택사항입니다. 지정하지 않으면 기본값이 12로 설정됩니다. Directory Sync가 변경사항을 Cloud Directory에 적용할 때 Cloud Directory SCIM REST
인터페이스를 사용합니다. SCIM REST 호출 시작 시 장애가 발생하면, Directory Sync가
일시적 장애 극복을 위해 최대
"ci-retries"번까지 오퍼레이션을 재시도합니다. 이 값을 0으로 설정하면 재시도할 수 없습니다. 모든 HTTP 5xx 오류 및 HTTP 선택 4xx 오류에 대해 재시도가 발생하지만, 응답 본문에"application/scim+json"의 컨텐츠 유형이 없고 SCIM REST 엔드포인트에 대한 연결을 작성하거나 완료할 수 없는 경우에만 발생합니다. "ci-retry-pause": 5- 이 속성은 선택사항입니다. 지정하지 않으면 기본값이 5로 설정됩니다. 이 속성은 실패한 SCIM REST 호출에 대한 재시도 사이에 Directory Sync가 기다리는 시간(초)을 지정합니다. 유효값의 범위는 1 - 100입니다. 이 범위 밖의 값은 이 범위까지 자동으로 잘립니다.
"end-on-ci-retry-failure": false- 이 속성은 선택사항입니다. 지정하지 않으면 기본값이 false로 설정됩니다. 이 옵션을 true로 설정하면 첫 번째 복구 불가능한 오류 발생 후 Directory Sync 프로세스가 종료됩니다.
"end-on-seq-failures": 0- 이 속성은 선택사항입니다. 지정하지 않으면 기본값이 0로 설정됩니다. 이 옵션을 0보다 큰 값으로 설정하면 조작 성공을 방해하지 않고 지정된 수의 복구 불가능 오류가 실행된 후 디렉토리 동기화 프로세스가 종료됩니다.
"changelog-ignore-suffixes": [ "ou=other1,o=ibm,c=us", "ou=other2,o=ibm,c=us" ]- 이 속성은 선택사항입니다. 지정하지 않으면 기본값이 빈 배열로 설정됩니다. 단돈 IBM Directory Server 이 수행 옵션을
사용하면 Directory Sync가 지정된 접미어의 하위의 하위인
targetdn이 있는changelog항목을 즉시 무시할 수 있습니다.Changelog항목에는 일반적으로objectClass속성이 없습니다. Directory Sync는 변경사항에 대한 동기화된 일치 항목이 있는지 여부를 판별하기 위해 Cloud Directory를 검색해야 합니다. Cloud Directory의 동기화된 항목에 대한 변경사항이 아닌 경우 검색 시 성능이 저하됩니다. 동기화되지 않은 항목이 포함된 디렉터리 IBM Directory Server 트리의 주요 분기에 대해 이러한 검색을 피하면 성능을 향상시킬 수 있습니다. "trace-rollover": 0- 이 속성은 선택사항입니다. 지정하지 않으면 기본값이 0로 설정됩니다. 값이 0바이트로 설정되면
"trace-file"이 롤오버되지 않고 디렉토리 동기화 활동으로 인해 지속적으로 커집니다. 0보다 큰 값으로 설정된 경우 추적 블록으로 인해 파일이 값을 초과하면 추적 파일의 이름이 바뀌고 새 추적 파일이 시작됩니다. 현재 UNIX 시간소인 값이 이름이 바뀐 롤오버된 추적 파일에 추가됩니다. "op-log-add-skipped": false- 이 속성은 선택사항입니다. 지정하지 않으면 기본값이 false로 설정됩니다. Directory Sync가 LDAP 변경이 동기화와 관련되지 않았다고
판별하는 경우 레코드 없이 이를 건너뜁니다. true이 옵션이 로 설정된 경우, 관리자가 건너뛴 작업을 모니터링할 수 있도록 관련
LDAP DN정보와 함께 로그에op_log항목을 출력합니다. "log-stats-interval": 0- 기본 설정은 0초입니다. 0보다 큰 정수로 설정된 경우, 이는 주기적으로
Windows Event Log에 있는Info level이벤트를 몇 가지 운영 통계와 함께 로그하는 기능을 사용으로 설정합니다. 이벤트는 다음과 같은 양식으로 되어 있습니다.
여기서,LE=%1 CE=%2 CU=%3 CG=%4 MU=%5 MG=%6 DU=%7 DG=%8- LE=AD/LDAP 오류 수
- CE=Verify API 오류 수(테넌트에 대한 통신)
- CU=사용자 작성 수
- CG=그룹 작성 수
- MU=사용자 수정 조작의 수
- MU=그룹 수정 조작의 수
- DU=사용자 삭제 조작의 수
- DG=그룹 삭제 조작의 수