在 Windows 服务器上进行安装和配置

在线编辑

准备工作

时间
第一次同步可能需要较长时间。 例如,一台 Active Directory 拥有50万个用户和组的服务器可能需要2天时间。 在此期间,对目录服务器所做的任何更改都会由服务器 Active Directory 累积起来,并在初始同步完成后应用。 最终,该 Verify 目录将以近乎实时的速度得到更新。
进程内存
初始处理会缓存用户和组 ID 与对应的 VerifySCIM 用户和组 ID 之间的 Active Directory 映射关系。 此映射对于每个用户需要 512 个字节,因此,500,000 个用户增加 244 MB 的内存使用量。
临时文件系统存储器
对于 IBM® Security Directory ServerIcbLdapSync.exe ,该应用程序会将目录的完整副本(仅复制相关属性)提取到本地文件中。 例如,包含 500,000 个用户和组的目录可能需要 275 MB 的临时本地磁盘空间。 此本地文件已加密。
注意: 运行此程序需要管理员权限。

关于此任务

  • Verify首次同步完成后,系统会生成一份 Windows™ 事件日志,以便管理员知晓所有用户和组均已创建在 -SCIM 目录中。
  • 复制状态存储在 cookie.bin 文件中。 不得删除此文件。 删除此文件会触发再次发生完整复制。
  • 缺省配置文件使用以下项添加所有用户:
    "realm":"cloudBridgeRealm"
"userCategory":"federated”
    可根据需要更改此配置。 确保如果进行更改那么将跟新配置文件中对“cloudBridgeRealm”的所有引用。
  • Verify使用该 -clean 选项可从 -SCIM 目录中移除所有已同步的用户和组,同时保留其他条目不变。 此选项会移除 cookie.bin 并读取所有通常会同步的用户和组,然后将其从目录中 Verify 删除。

过程

  1. 请从 App Exchange 中查找并下载最新的 IBM Verify Bridge for Directory Sync 应用程序。
    该应用程序包含一个 .zip 文件,其中包含安装程序可执行文件,以及一个 README.txt 文件,列出了 Bridge for Directory Sync 的 IBM Verify 更新内容。
    1. 请访问 https://exchange.xforce.ibmcloud.com/hub
    2. 登录到 App Exchange。
    3. 搜索 IBM Security Bridge。
    4. 选择用于目录同步的 IBMSecurity Verify Bridge
    5. 下载该应用程序。
  2. 在目标 Windows 系统上解压该 IBMSecurityVerifybridgeforDirectorySync_version.zip 文件。
    在安装本产品之前,必须先安装 Windows Visual Studio 2017 64 位再发行包。 如果没有,此产品将无法运行。 如果尚未安装,那么将在您运行 setup_dirsync.exe 文件时安装。
  3. setup_dirsync.exe运行。
    1. setup_dirsync.exe双击。
    2. 选择语言。
    3. 点击 “安装”
      setup_dirsync.exe如果通过向导安装了 Windows Visual Studio 2017 64 位 redistributable,您可能需要重新启动计算机并重新运行该程序。
    4. 在“ InstallShield ”向导中,单击 “下一步 ”。
    5. 接受条款,然后单击 “下一步”
    6. 选择安装目录,然后单击 “下一步”
    7. 点击 “安装”
    8. 单击 “完成”
  4. 在安装目录中进行 IcbLdapSync.json 设置。
    • 如果要从 ISDS LDAP 进行同步,请复制当前 IcbLdapSync.json 文件上的 IcbLdapSync.json.isds-sample 以提供起点。
    • 对于 Active Directory,将 IcbLdapSync.json.ad-sample 文件复制到 IcbLdapSync.json 文件来提供适合的起点以用于同步。
    Verify注意: 在对 IcbLdapSync.json 文件进行任何修改并运行目录同步之前,请确保您已熟悉并将要同步到 的属性和值进行过检查。
    1. 请在 “cloud-bridge” -”ldap”. 下设置 ISDS 或 AD 服务器的 LDAP 连接设置。
      如果您使用 TLS 连接到 LDAP 服务器,请确保 LDAP 服务器的签名证书位于Windows证书存储库的 “受信任的 RootCertification 颁发机构 ”> “计算机账户 ”> “本地计算机 ”下。 如果 LDAP 服务器正在使用并非由著名 CA 签署的证书,请将 mmc 命令与“证书”插入一起使用。
    2. ibm-auth-api请在...下设置您的 Verify 服务器连接设置。
    3. 根据需要调整其他参数,例如 ldap-search-filter
      示例 AD 过滤器跳过设置了 isCriticalSystemObject 属性的所有用户和组。 这些用户和组通常是计算机帐户、系统组、访客帐户和管理员帐户。 示例 ISDS 过滤器查找具有 person 对象类的用户以及具有 groupOfUniqueNames 对象类的组。
      注意:
      • IcbLdapSync.exe 进程使用 Active Directory LDAP DirSync 控件。 要有权使用 DirSync 控件,运行 IcbLdapSync.exe 的用户帐户必须在要监视的分区的根目录上分配有 directory get changes 权限。 缺省情况下,在域控制器上将此权限分配给管理员和 LocalSystem 帐户。 调用者还必须具有 DS-Replication-Get-Changes 扩充控制访问权。 如需了解更多信息,请访问 https://docs.microsoft.com/en-us/windows/win32/ad/polling-for-changes-using-the-dirsync-control

      • 对于 ISDS,用于访问其的帐户必须有权使用 Paging 控件,并且有权读取 changelog 条目。

      • 配置的 API 客户机需要以下许可权。
        • Manage users and standard groups
        • Synchronize users and groups
      • 在同步开始后,您无法从要同步的配置的属性添加或除去属性。 产品无法有追溯地调整已同步的用户和组来匹配属性配置更改。 在第一次调用前,确保配置了所需的所有属性。
  5. 对配置文件中的 IcbLdapSync.json 机密信息和密码进行混淆处理。
    作为一般安全实践,请勿在配置文件中放置明文的密码和客户机私钥。 使用 IBM 加密工具来加密密码和私钥。
    例如,
    C:\Program Files\IBM\DirectorySync>IcbLdapSync.exe -obf myadminpassword
OfFE5gNch3u5cJbeTj10Mm2Mbd1yS4eQjzqihj0lz7jGIG9fK7vNqTS90EmebtaU

    C:\Program Files\IBM\DirectorySync>IcbLdapSync.exe -obf myclientsecret
tiWLbtgcT1k+PP0IwWyXlKsdGnTE3dDJ15ZCvHzj9YY=
    将生成的值添加到 IcbLdapSync.json 文件。
  6. 手动启动 Windows 服务。
    IBM Verify Bridge for Directory Sync 服务运行该 IcbLdapSync.exe 进程。 在服务正确运行后,您可以更改服务以启动自动。 根据要同步的用户和组的数量,第一次运行可能需要较长时间。