Instalação e configuração no servidor Windows

Editar online

Antes de começar

Horário
A primeira sincronização pode levar muito tempo. Por exemplo, um Active Directory servidor com 500.000 usuários e grupos pode levar dois dias. Durante esse período, quaisquer alterações feitas no servidor de diretório são acumuladas pelo servidor Active Directory e aplicadas após a sincronização inicial. Por fim, o Verify diretório é atualizado quase em tempo real.
Memória do processo
VerifyNa etapa inicial, é armazenado em cache o mapeamento entre Active Directory os IDs de usuário e de grupo e os IDs de usuário e de grupo SCIM correspondentes. Esse mapeamento requer 512 bytes por usuário, assim, 500 mil usuários aumentam o uso de memória em 244 MB.
Armazenamento de sistema de arquivo temporário
Para IBM® Security Directory Server, o IcbLdapSync.exe aplicativo extrai uma cópia completa do diretório (só os atributos relevantes são copiados) para um arquivo local. Como exemplo, um diretório com 500 mil usuários e grupos pode precisar de 275 MB de espaço temporário em disco local. Este arquivo local está criptografado.
Observação: para executar este programa, é necessário ter privilégios de administrador.

Sobre esta tarefa

  • Após a conclusão da primeira sincronização, é gerado um registro de eventos do Windows™ para que o administrador saiba que todos os usuários e grupos foram criados no diretório Verify-SCIM.
  • O estado de replicação é armazenado no arquivo cookie.bin. Esse arquivo não deve ser excluído. A exclusão desse arquivo aciona uma replicação completa para ocorrer novamente.
  • O arquivo de configuração padrão inclui todos os usuários com:
    "realm":"cloudBridgeRealm"
"userCategory":"federated”
    É possível mudar esta configuração, conforme necessário. Assegure-se de que todas as referências a “cloudBridgeRealm” no arquivo de configuração sejam atualizadas se uma mudança for feita.
  • Use a -clean opção para remover todos os usuários e grupos sincronizados do diretório Verify-SCIM, mantendo as demais entradas inalteradas. Esta opção remove cookie.bin e lê todos os usuários e grupos que normalmente seriam sincronizados e os exclui do Verify diretório.

Procedimento

  1. Encontre e baixe a versão mais recente IBM Verify do aplicativo Bridge for Directory Sync no App Exchange.
    Este aplicativo consiste em um .zip arquivo que contém o executável do instalador e um README.txt arquivo que lista as alterações no IBM Verify Bridge for Directory Sync.
    1. Acesse https://exchange.xforce.ibmcloud.com/hub.
    2. Efetue login na App Exchange.
    3. Procure a IBM Security Bridge.
    4. Selecione a ponte " IBM " Security Verify para sincronização de diretórios.
    5. Faça download do aplicativo.
  2. Extraia o IBMSecurityVerifybridgeforDirectorySync_version.zip arquivo no sistema Windows de destino.
    É necessário instalar o pacote redistribuível do Windows Visual Studio 2017 de 64 bits antes de instalar este produto. Esse produto não pode operar sem ele. Se ele ainda não estiver instalado, será instalado quando você executar o arquivo setup_dirsync.exe.
  3. setup_dirsync.exeExecute.
    1. setup_dirsync.exeClique duas vezes.
    2. Selecione um idioma.
    3. Clique em Instalar.
      setup_dirsync.exeSe o pacote redistribuível do Windows Visual Studio 2017 de 64 bits for instalado pelo assistente, talvez seja necessário reiniciar o computador e executar novamente.
    4. No Assistente do InstallShield, clique em Avançar.
    5. Aceite os termos e clique em Avançar.
    6. Selecione o diretório de instalação e clique em Avançar.
    7. Clique em Instalar.
    8. Clique em Concluir.
  4. Instale IcbLdapSync.json no diretório de instalação.
    • Se você estiver sincronizando do ISDS LDAP, copie IcbLdapSync.json.isds-sample sobre o arquivo atual IcbLdapSync.json para fornecer um ponto de início.
    • Para o Active Directory, copie o arquivo IcbLdapSync.json.ad-sample para o arquivo IcbLdapSync.json para fornecer um ponto de início adequado para sincronização.
    VerifyObservação: Antes de fazer qualquer alteração no IcbLdapSync.json arquivo e executar uma sincronização de diretório, certifique-se de estar familiarizado com os atributos e valores que serão sincronizados e de revisá-los.
    1. Defina as configurações de conexão do seu servidor ISDS ou AD LDAP em “cloud-bridge” -”ldap”.
      Se você estiver usando uma conexão TLS com o servidor LDAP, verifique se os certificados de assinatura do servidor LDAP estão presentes no Repositório de Certificados do Windows em Autoridades RootCertification Confiáveis > Conta do Computador > Computador local. Se o servidor LDAP estiver usando um certificado que não seja assinado por uma autoridade de certificação conhecida, use o comando mmc com o “snap-in” certificate.
    2. Defina as Verify configurações de conexão do servidor em ibm-auth-api.
    3. Ajuste outros valores conforme ldap-search-filter necessário.
      O filtro AD de exemplo ignora todos os usuários e grupos que tenham o isCriticalSystemObject atributo definido. Esses usuários e grupos geralmente são as contas do computador, os grupos de sistema, as contas guest e as contas de administrador. O exemplo de filtro ISDS procura usuários com a classe de objeto person e para grupos com a classe de objetos groupOfUniqueNames .
      Nota:
      • O processo IcbLdapSync.exe usa o controle DirSync do Active Directory LDAP. Para ter permissão para usar o controle DirSync, a conta do usuário que executar IcbLdapSync.exe deverá ter o direito directory get changes designado na raiz da partição que estiver sendo monitorada. Por padrão, este direito é designado às contas do administrador e do LocalSystem em controladores de domínio. O responsável pela chamada também deve ter o direito de acesso de controle estendido DS-Replication-Get-Changes. Para mais informações, consulte https://docs.microsoft.com/en-us/windows/win32/ad/polling-for-changes-using-the-dirsync-control.

      • Para o ISDS, a conta que é usada para acessá-lo deve ter permissão para usar o controle Paging e permissão para ler as entradas do changelog.

      • As permissões a seguir são necessárias para o cliente da API configurado.
        • Manage users and standard groups
        • Synchronize users and groups
      • Após o início da sincronização, não é possível incluir ou remover atributos dos atributos configurados que estão sendo sincronizados. O produto não pode ajustar retroativamente os usuários e grupos sincronizados para corresponder à mudança de configuração do atributo. Assegure-se de que todos os atributos necessários estejam configurados antes da primeira chamada.
  5. Adicione ofuscação aos segredos e senhas do IcbLdapSync.json arquivo de configuração.
    Como prática geral de segurança, não coloque senhas não criptografadas e segredos do cliente no arquivo de configuração. Use a ferramenta de ofuscação da IBM para obscurecer senhas e segredos.
    Por exemplo,
    C:\Program Files\IBM\DirectorySync>IcbLdapSync.exe -obf myadminpassword
OfFE5gNch3u5cJbeTj10Mm2Mbd1yS4eQjzqihj0lz7jGIG9fK7vNqTS90EmebtaU

    C:\Program Files\IBM\DirectorySync>IcbLdapSync.exe -obf myclientsecret
tiWLbtgcT1k+PP0IwWyXlKsdGnTE3dDJ15ZCvHzj9YY=
    Inclua o valor gerado no arquivo IcbLdapSync.json.
  6. Inicie manualmente o serviço do Windows.
    O IBM Verify Bridge for Directory Sync serviço executa o IcbLdapSync.exe processo. Depois que o serviço estiver operando corretamente, é possível mudar o serviço para iniciar automaticamente. A primeira execução pode demorar bastante com base em quantos usuários e grupos estão sendo sincronizados.