Il convient de faire particulièrement attention lors de la fusion d'arborescences eDirectory dès lors qu'au moins une des deux arborescences possède un conteneur de sécurité.. Vérifiez qu'il s'agit bien d'une opération que vous souhaitez vraiment réaliser. Cette procédure peut représenter une tâche très laborieuse et très longue.
IMPORTANT : Les instructions suivantes concernent des arborescences dotées du serveur de certificats Novell® version 2.02 ou précédente, de Novell Single Sign-on version 1.x et de NMAS version 1.x.
Pour fusionner des arborescences avec conteneurs de sécurité multiples :
Sous ConsoleOneTM, identifiez les arborescences à fusionner.
Identifiez l'arborescence source et l'arborescence cible.
Tenez compte des remarques de sécurité suivantes lorsque vous sélectionnez une arborescence source et une arborescence cible :
Si aucune des arborescences source ou cible ne possède de conteneur appelé Sécurité à la racine de l'arborescence, ou si seule une arborescence dispose d'un conteneur de sécurité, aucune autre opération n'est nécessaire. Sinon, poursuivez la procédure.
Si le serveur de certificats Novell est installé sur les serveurs de l'arborescence source, suivez les étapes ci-après.
En fonction de l'utilisation du produit, les objets et éléments auxquels il est fait référence peuvent ou non être présents. Si les objets et éléments auxquels il est fait référence dans une étape donnée ne sont pas présents dans l'arborescence source, ignorez l'étape correspondante.
REMARQUE : Les versions précédentes du serveur de certificats Novell étaient appelées PKIS (Public Key Infrastructure Services).
Tous les certificats de racine approuvée de l'arborescence source doivent être installés dans l'arborescence cible.
Les certificats de racine approuvée sont stockés dans des objets Racine approuvée, stockés dans des conteneurs Racine approuvée. Les conteneurs Racine approuvée peuvent être créés à tout emplacement de l'arborescence ; cependant, seuls les certificats de racine approuvée qui se trouvent dans les conteneurs Racine approuvée du conteneur Sécurité doivent être déplacés manuellement depuis l'arborescence source vers l'arborescence cible.
Installez les certificats de racine approuvée dans l'arborescence cible.
Sélectionnez un conteneur Racine approuvée du conteneur de sécurité dans l'arborescence source.
Créez un conteneur Racine approuvée dans le conteneur Sécurité de l'arborescence cible, portant le nom exact utilisé dans l'arborescence source (Etape 2.a).
Dans l'arborescence source, ouvrez un objet Racine approuvée dans le conteneur du même nom sélectionné et exportez le certificat.
IMPORTANT : Souvenez-vous de l'emplacement et du nom de fichier utilisés ; vous en aurez besoin dans la prochaine étape.
Dans l'arborescence cible, créez un objet Racine approuvée dans le conteneur créé à Etape 2.b. Spécifiez le même nom que pour l'arborescence source et, lorsque vous êtes invité à préciser le certificat, spécifiez le fichier créé à Etape 2.c.
Supprimez l'objet Racine approuvée de l'arborescence source.
Répétez Etape 2.c à Etape 2.e jusqu'à ce que tous les objets Racine approuvée du conteneur Racine approuvée sélectionné soient installés dans l'arborescence cible.
Supprimez le conteneur Racine approuvée de l'arborescence source.
Répétez Etape 2.a à Etape 2.g jusqu'à ce que tous les conteneurs Racine approuvée soient supprimés de l'arborescence source.
Supprimez l'autorité de certification organisationnelle de l'arborescence source. L'objet Autorité de certification organisationnelle se trouve dans le conteneur de sécurité.
Tous les certificats signés par l'autorité de certification organisationnelle de l'arborescence source seront inutilisables après Etape 3. Cela comprend les certificats serveur et les certificats utilisateur signés par l'autorité de certification organisationnelle de l'arborescence source.
Supprimez tous les objets Matériel clé de l'arborescence source possédant un certificat signé par l'autorité de certification organisationnelle de l'arborescence source.
Les objets Matériel clé de l'arborescence source possédant des certificats signés par d'autres autorités de certificat restent valides et n'ont pas à être supprimés.
Si vous n'êtes par sûr de l'identité de l'autorité signataire d'un objet Matériel clé, consultez la section Certificat de racine approuvée de l'onglet Certificats dans la page des propriétés de l'objet Matériel clé.
Supprimez tous les certificats utilisateur de l'arborescence source signés par l'autorité de certification organisationnelle de l'arborescence source.
Si les utilisateurs de l'arborescence source ont déjà exporté leurs certificats et clés privées, ces certificats et clés exportés seront toujours utilisables. Les clés privées et les certificats restant dans le eDirectory ne peuvent plus être utilisés une fois que vous avez effectué Etape 3.
Pour chaque utilisateur disposant de certificats, ouvrez l'objet Propriétés de l'utilisateur. Dans la section Certificats de l'onglet Sécurité, une liste de tous les certificats correspondant à l'utilisateur apparaît. Tous les certificats dont l'émetteur est l'autorité de certification organisationnelle doivent être supprimés.
Les certificats utilisateur seront uniquement présents dans l'arborescence source si le serveur de certificats Novell version 2.0 ou ultérieure est installé sur le serveur qui héberge l'autorité de certification organisationnelle de l'arborescence source.
Si Novell Single Sign-on est installé sur un des serveurs de l'arborescence source, vous devez suivre l'étape ci-après.
En fonction de l'utilisation du produit, les objets et éléments auxquels il est fait référence peuvent ou non être présents. Si les objets et éléments auxquels il est fait référence ne se trouvent pas dans l'arborescence source, ignorez l'étape correspondante.
Supprimez tous les secrets Novell Single Sign-on correspondant aux utilisateurs de l'arborescence source.
Pour chaque utilisateur qui utilise Novell Single Sign-on dans l'arborescence source, ouvrez l'objet Propriétés de l'utilisateur. Tous les secrets de l'utilisateur sont répertoriés dans la section SecretStore de l'onglet Sécurité. Supprimez tous les secrets répertoriés.
Si NMAS est installé sur un des serveurs de l'arborescence source, suivez les étapes ci-après.
En fonction de l'utilisation du produit, les objets et éléments auxquels il est fait référence peuvent ou non être présents. Si les objets et éléments auxquels il est fait référence ne se trouvent pas dans l'arborescence source, ignorez l'étape correspondante.
Dans l'arborescence cible, installez toutes les méthodes de login NMAS qui se trouvaient dans l'arborescence source et qui ne figurent pas dans l'arborescence cible.
Pour s'assurer que tous les composants de login client et serveur nécessaires sont correctement installés dans l'arborescence cible, il est recommandé d'installer les nouvelles méthodes de login en utilisant des sources Novell originales ou des sources fournies par le revendeur.
Bien que les méthodes puissent être réinstallées depuis des fichiers de serveur existants, il est plus simple et plus fiable de procéder à une installation à partir des logiciels Novell ou de logiciels fournis par le vendeur.
Pour garantir que les séquences de login précédemment établies dans l'arborescence source sont disponibles dans l'arborescence cible, migrez les séquences de login souhaitées.
Sous ConsoleOne, sélectionnez le conteneur de sécurité de l'arborescence source.
Cliquez avec le bouton droit de la souris sur l'objet Règle de login et sélectionnez Propriétés.
Pour chaque séquence de login répertoriée dans le menu déroulant Séquences de login définies, notez les méthodes de login utilisées (affichées dans la fenêtre de droite).
Sélectionnez le conteneur Sécurité dans l'arborescence cible et répliquez les séquences de login en utilisant les méthodes de login de Etape 2.c.
Cliquez sur OK lorsque vous avez terminé.
Supprimez les attributs de sécurité de login NMAS dans l'arborescence source.
Si le serveur de certificats Novell, Novell Single Sign-on ou NMAS est installé sur un serveur de l'arborescence source, la SDI (Novell Security Domain Infrastructure) est installée. Si la SDI est installée, suivez les étapes ci-après.
En fonction de l'utilisation du produit, les objets et éléments auxquels il est fait référence peuvent ou non être présents. Si les objets et éléments auxquels il est fait référence ne se trouvent pas dans l'arborescence source, ignorez l'étape correspondante.
Supprimez l'objet W0 puis le conteneur KAP de l'arborescence source.
Le conteneur KAP se trouve dans le conteneur de sécurité. L'objet W0 se trouve dans le conteneur KAP.
Sur tous les serveurs de l'arborescence source, supprimez les clés SDI en supprimant le fichier SYS:\SYSTEM\NICI\NICISDI.KEY.
IMPORTANT : Assurez-vous de supprimer ce fichier sur tous les serveurs de l'arborescence source.
Si un conteneur de sécurité existe dans l'arborescence source, supprimez-le avant de fusionner les arborescences.
L'utilitaire DSMERGE permet de fusionner les arborescences eDirectory. Pour plus d'informations, reportez-vous à la documentation DSMERGE.
Si l'objet W0 existait dans l'arborescence cible avant la fusion, les clés SDI (Security Domain Infrastructure) utilisées par les serveurs résidant précédemment dans l'arborescence cible doivent être installées sur les serveurs résidant précédemment dans l'arborescence source.
Le meilleur moyen de réaliser cette procédure consiste à installer le serveur de certificats Novell version 2.0 ou ultérieure sur tous les serveurs qui se trouvaient précédemment dans l'arborescence source et qui hébergeaient des clés SDI (fichier SYS:\SYSTEM\NICI\NICISDI.KEY). Cette opération doit être réalisée même si le serveur de certificats Novell est déjà installé sur le serveur.
Si l'objet W0 n'existait pas dans l'arborescence cible avant la fusion mais existait dans l'arborescence source, la SDI doit être réinstallée dans l'arborescence obtenue.
Le meilleur moyen de réaliser cette procédure consiste à installer le serveur de certificats Novell version 2.0 ou ultérieure sur les serveurs de la nouvelle arborescence. Le serveur de certificats Novell doit être installé sur tous les serveurs qui se trouvaient précédemment dans l'arborescence source et qui hébergeaient les clés SDI (fichier SYS:\SYSTEM\NICI\NICISDI.KEY). Il peut aussi être installé sur d'autres serveurs de la nouvelle arborescence.
Si vous utilisez le serveur de certificats Novell, suivez les étapes ci-dessous après la fusion des arborescences :
Ré-émettez si nécessaire des certificats pour les serveurs et utilisateurs qui se trouvaient précédemment dans l'arborescence source.
Nous vous recommandons d'installer le serveur de certificats Novell version 2.0 ou ultérieure sur tous les serveurs qui contiennent une réplique de la partition contenant un objet Utilisateur.
Pour émettre un certificat pour un serveur, le serveur de certificats Novell version 2.0 ou ultérieure doit être installé.
Le serveur de certificats Novell version 2.0 ou ultérieure doit être installé sur le serveur qui héberge l'autorité de certification organisationnelle.
Si vous utilisez Novell Single Sign-on, suivez l'étape ci-dessous après la fusion des arborescences :
Recréez si nécessaire les secrets SecretStore pour les utilisateurs qui se trouvaient précédemment dans l'arborescence source.
Si vous utilisez NMAS, suivez l'étape ci-dessous après la fusion des arborescences :
Enrôlez de nouveau si nécessaire les utilisateurs NMAS qui se trouvaient précédemment dans l'arborescence source.