Novell Documentation: Identity Manager Drivers

3.3 安裝

3.3.1 安裝 LDAP 驅動程式

您可以在安裝 Metadirectory 引擎之後，另行安裝驅動程式。

在 Windows 上安裝

在 Windows NT* 2003 伺服器或已安裝 Service Pack 2 的 Windows NT 2000 上，安裝 Identity Manager Driver for LDAP。

從 Identity Manager 2.0 CD 或下載的影像檔執行安裝程式。

下載檔案位於 Novell 下載。

如果安裝程式未自動啟動，您可以執行 \nt\install.exe。
在「歡迎」對話方塊中，按「下一步」，然後接受授權合約。
在第一個「Identity Manager 概觀」對話方塊中，檢視資訊，然後按「下一步」。

對話方塊會提供下列資訊：
- Metadirectory 伺服器
- 連接伺服器系統的 Identity Manager
在第二個「Identity Manager 概觀」對話方塊中，檢視資訊，然後按「下一步」。

對話方塊會提供下列資訊：
- Web 型態的管理伺服器
- Identity Manager 公用程式
在「請選擇要安裝的元件」對話方塊中，只選取「Metadirectory 伺服器」，然後按「下一步」。
在「選取要安裝的引擎驅動程式」對話方塊中，只選取「LDAP」，然後按「下一步」。
在「Identity Manager 升級警告」對話方塊中，按一下「確定」。
在「綱要延伸」對話方塊中，輸入使用者名稱和密碼，然後按「下一步」。

您必須具備根部 (root) 的存取權，密碼才會有效。
在「摘要」對話方塊中，檢視所選取的選項，然後按一下「完成」。
在「安裝完成」對話方塊中，按一下「關閉」。

程式安裝完成後，必須依照安裝驅動程式的說明設定驅動程式。

在 NetWare 上安裝

在 NetWare® 伺服器上，插入 Identity Manager 3 CD，然後裝上 CD 作為卷冊。

若要裝上 CD，請輸入 m cdrom。
(視情況) 若無法載入圖形化公用程式，請輸入 startx 來載入。
在圖形化公用程式中，按一下 Novell 圖示，然後按一下「安裝」。
在「已安裝的產品」對話方塊中，按一下「新增」。
在「來源路徑」對話方塊中，瀏覽並選取「product.ni」檔案。
1. 瀏覽並且展開先前已裝上的 CD 卷冊
2. 展開 nw 目錄，選取「product.ni」，然後按兩次「確定」。
在「歡迎」對話方塊中，按「下一步」，然後接受授權合約。
在「安裝 Identity Manager」對話方塊中，只選取「Metadirectory 伺服器」。

取消選取下列選項：
- Identity Manager Web 元件
- 公用程式
在「選取要安裝的引擎驅動程式」對話方塊中，只選取「分隔文字」。

取消選取下列選項：
- Metadirectory 引擎
- LDAP 之外的所有驅動程式
按「下一步」。
在「Identity Manager 升級警告」對話方塊中，按一下「確定」。

對話方塊建議您在 90 天內啟用驅動程式的授權。
在「綱要延伸」對話方塊中，輸入使用者名稱和密碼，然後按「下一步」。
在「摘要」頁面中，檢視所選取的選項，然後按一下「完成」。
按一下「關閉」。

程式安裝完成後，必須依照安裝驅動程式的說明設定驅動程式。

在 Linux、Solaris 或 AIX 上安裝

根據預設，當您在安裝 Metadirectory 引擎時，Identity Manager Driver for LDAP 就已經安裝完成。若當時驅動程式未安裝完成，本節可以協助您進行安裝。

執行安裝程式的過程中，輸入「previous」即可回到上一個步驟 (畫面)。

在終端機會期中，以根部身份登入。
插入 Identity Manager 3.0 CD，然後將其裝上。

一般而言，CD 會自動裝上。您可以手動方式裝上 CD。例如，若為 SUSE®，請輸入 mount /media/cdrom。
變更至設定目錄。

平台

路徑

Red Hat

/mnt/cdrom/linux/setup/

SUSE

/media/cdrom/linux/setup/

Solaris

/cdrom/solaris/_idm_2/setup/

AIX

/media/cdrom/aix/setup/
執行安裝程式。

例如，若為 SUSE 請執行 ./dirxml_linux.bin。
在「簡介」區段中，按 Enter。
按著 Enter，直到顯示「您是否接受授權合約條款」提示訊息後，輸入 y 以接受授權合約，然後按 Enter。
在「選擇安裝集」區段中，選取「自定」選項。

輸入 4，然後按 Enter。
在「選擇產品功能」區段中，請取消選取除了 LDAP 以外的所有功能，然後按 Enter。

若要取消選取某項功能，請輸入該功能之編號。在您取消選取的其他功能之間輸入逗號。
在「預先安裝摘要」區段中，檢視選項。

若要返回上一個區段，請輸入「previous」，然後按 Enter。

若要繼續，請按 Enter。
安裝完成後，按 Enter 結束安裝。

平台	路徑
Red Hat	/mnt/cdrom/linux/setup/
SUSE	/media/cdrom/linux/setup/
Solaris	/cdrom/solaris/_idm_2/setup/
AIX	/media/cdrom/aix/setup/

程式安裝完成後，必須依照安裝驅動程式的說明設定驅動程式。

3.3.2 安裝驅動程式

若您正在升級現有的驅動程式，則不需要安裝。

若這是第一次使用 LDAP 驅動程式，請在以下章節完成這些安裝工作：

準備 LDAP 伺服器

如果驅動程式只是用來同步化從 Identity Vault 到 LDAP 伺服器 (在「訂閱者」通道上) 的資料，大部份的 LDAP 伺服器和應用程式不需要任何其他組態就可以運作。

您需要經常建立具有必要權限之「使用者」物件，讓驅動程式可以向 LDAP 伺服器驗證。

然而，如果您需要將 LDAP 伺服器上的資料項變更同步寫回 Identity Vault (在「發行者」通道上)，並且打算使用 changelog 方法，則在執行驅動程式之前，您至少要在 LDAP 伺服器上執行另一個組態任務。驗證 LDAP 伺服器的變更記錄機制已啟用。

IMPORTANT:如果 LDAP 伺服器沒有 changelog 機制，請使用 LDAP 搜尋方法。否則，驅動程式將無法為該伺服器發行事件。

建立具驗證權限的 LDAP 使用者物件

當您使用 changelog 發行方法時，驅動程式會嘗試阻止迴路情況的發生。迴路情況是指「訂閱者」通道上發生的事件被傳回到「發行者」通道上的 Metadirectory 引擎。然而，LDAP 搜尋方法需要依賴 Metadirectory 引擎來阻止迴路。

使用 changelog 方法時，驅動程式阻止迴路情況發生的方法是查詢變更記錄，查看是哪一位使用者做了變更。如果進行變更的使用者和驅動程式用來驗證的使用者是同一位，「發行者」會假設是驅動程式的「訂閱者」通道做了變更。

NOTE:如果您使用的是 Critical Path InJoin Server，在該伺服器上的實作變更記錄會是受限的，因為沒有提供啟始變更的物件 DN。因此，建立者/修改者 DN 無法用來判斷變更是否來自 Identity Vault。

在該情況下，所有在變更記錄中找到的變更會由「發行者」傳送到 Metadirectory 引擎，而最佳化/修改功能則會丟棄不需要的或重複的變更。

若要防止「發行者」通道丟棄正確的變更，請確定驅動程式用來驗證的「使用者」物件未用在其他用途上。

例如，假設您使用 Netscape Directory Server，並設定驅動程式以使用管理員帳戶 CN=Directory Manager。如果要以手動方式在 Netscape Directory Server 進行變更，並將該變更同步化，則您不能以 CN=Directory Manager 登入並進行變更。您必須使用另一個帳戶才行。

若要避開這個問題，請執行下列動作：

建立一個供驅動程式專用的使用者帳戶。

為使用者帳戶指定權限，使其可以查看變更記錄，並進行您希望驅動程式能夠做的變更。

例如，在 VMP 公司處為驅動程式建立使用者帳戶，名稱為 uid=ldriver,ou=Directory Administrators,o=lansing.vmp.com。然後指定適用的權限給使用者帳戶，方法是以 LDAPModify 工具或 Novell 的 Import Conversion Export 公用程式，將下列 LDIF 套用到伺服器。

# give the new user rights to read and search the changelog

dn: cn=changelog

changetype: modify

add: aci

aci: (targetattr = "*")(version 3.0; acl "LDAP DirXML Driver"; allow (compare,read,search) userdn = "ldap:///uid=ldriver,ou=Directory Administrators,o=lansing.vmp.com"; )

# give the new user rights to change anything in the o=lansing.vmp.com container

dn: o=lansing.vmp.com

changetype: modify

add: aci

aci: (targetattr = "*")(version 3.0; acl "LDAP DirXML Driver"; allow (all) userdn = "ldap:///uid=ldriver,ou=Directory Administrators,o=lansing.vmp.com"; )

啟用變更記錄

變更記錄是 LDAP 伺服器的一部份，讓驅動程式可以辨識需要從 LDAP 目錄發行到 Identity Vault 的變更。此驅動程式所支援的 LDAP 目錄支援 changelog 機制。

根據預設，Critical Path InJoin 和 Oracle Internet Directory 都有啟用變更記錄。除非變更記錄已經關閉，否則不需要執行任何其他步驟來啟動它。

在 IBM SecureWay、Netscape Directory Server 和 iPlanet Directory Server 安裝完成後，您必須啟用變更記錄。如需啟用變更記錄的相關資訊，請參閱支援 LDAP 目錄的說明文件。

HINT:iPlanet 變更記錄需要啟用 Retro Changelog 外掛程式。

輸入驅動程式組態範例檔案

使用 iManager 輸入

請依照《Novell Identity Manager 3.0 管理指南》中「建立並設定驅動程式」章節內關於輸入驅動程式的指示，輸入 LDAP 驅動程式組態。

在輸入過程中，請提供下列有關驅動程式組態的相關資訊。

Table 3-1 LDAP 驅動程式的設定值

欄位	描述
驅動程式名稱	要指定給此驅動程式的 Identity Vault 物件名稱，或是要更新組態的現有驅動程式。
佈置類型	使用「簡易」佈置選項，在 LDAP 目錄中建立的「使用者」物件會放置於您在輸入驅動程式組態時指定的 Identity Vault 容器中。以 cn 值為「使用者」物件命名。使用「鏡像複製」佈置選項，將 LDAP 目錄中建立的「使用者」物件放置於鏡像複製物件的 LDAP 容器之 Identity Vault 容器中。
eDirectory 容器	Identity Vault 中的容器，這是建立新使用者的地方。如果這個容器不存在，您必須在啟動驅動程式之前建立該容器。對於 LDAPMirrorSample.xml 組態，此目錄是驅動程式之「佈置」規則的起點。附屬容器的名稱應該要和 LDAP 鏡像複製容器中的附屬容器名稱相同。對於「平面」組態，此容器包容所有的「使用者」物件。
LDAP 容器	LDAP 目錄中的容器，這是建立新使用者的地方。如果這個容器不存在，您必須在啟動驅動程式之前建立該容器。對於「平面」組態，此目錄是驅動程式之「佈置」規則的起始點。對於 LDAPSimplePlacementSample.xml 組態，此容器包容所有的「使用者」物件。
LDAP 伺服器	LDAP 伺服器的主機名稱或 IP 位址及連接埠。
LDAP 驗證 DN	指定為 LDAP 驅動程式建立之管理員帳戶的 LDAP DN。
LDAP 驗證密碼	LDAP 驅動程式管理員帳戶的密碼。在下一個欄位重新輸入密碼，以進行確認。這是已驗證之使用者的必要密碼。如果 LDAP 驅動程式以獨佔方式使用 Directory Manager，預設的已驗證使用者之運作一切正常。然而，如果該使用者用在其他用途上，您可能需要在執行驅動程式之後變更預設值。請參閱建立具驗證權限的 LDAP 使用者物件。
SSL	為 LDAP 協定通訊加密。
設定資料流程	雙向 (Bidirectional) 的意思是，LDAP 和 Identity Vault 都是彼此之間資料同步化的授權來源。 LDAP 到 eDirectory 的意思是，LDAP 是授權來源。 eDirectory 到 LDAP 的意思是，Identity Vault 是授權來源。
將驅動程式安裝為遠端/本地	選取「遠端」以設定與「遠端載入器」服務一起使用的驅動程式，或選取「本地」以設定供本地使用的驅動程式。
遠端主機名稱和連接埠	指定安裝有「遠端載入器」服務並執行此驅動程式之主機名稱或 IP 位址和連接埠號碼。預設的連接埠為 8090。
驅動程式密碼	「遠端載入器」使用驅動程式物件密碼來向 Metadirectory 伺服器進行自我驗證。驅動程式物件密碼必須與指定為「Identity Manager 遠端載入器」上之驅動程式物件密碼相同。
遠端密碼	此密碼僅使用於遠端載入器組態。它允許「遠端載入器」向 Metadirectory 引擎驗證。「遠端載入器」密碼是用來控制對「遠端載入器」例項的存取。「遠端載入器」密碼必須與指定為「Identity Manager 遠端載入器」上之「遠端載入器」密碼相同。
密碼錯誤通知使用者	密碼失敗時，傳送電子郵件通知給指定的使用者。
啟用授權	選擇「是」或「否」。由於這是設計上的決策，因此在選擇使用之前，您應充分瞭解授權。如需授權的相關資訊，請參閱《Novell Identity Manager 3.0 管理指南》中的「建立並使用授權」。

使用 Designer for Identity Manager 輸入

您可以使用 Designer for Identity Manager 來輸入 LDAP 驅動程式的基本驅動程式組態檔案。此基本檔案會建立驅動程式正常運作所需的物件和規則並設定其組態。

以下程序說明了其中一種輸入範例組態檔案的方式：

在 Designer 中開啟專案。
在模擬器中，在「驅動程式集」物件上按一下滑鼠右鍵，然後選取「新增已連接的應用程式」。
從下拉式清單中選取「LDAP.xml」，然後按一下「執行」。
在「執行提示驗證」視窗中，按一下「是」。
填寫欄位，設定驅動程式組態。

請指定您環境的特定資訊。如需設定值相關資訊，請參閱使用 iManager 輸入中的表格。
指定參數後，按一下「確定」以輸入驅動程式。
自定及測試驅動程式。
部署驅動程式至 Identity Vault。

請參閱《Designer for Identity Manager 3：管理指南》中的「部署專案至 Identity Vault」。

啟動驅動程式

若您在組態期間變更預設的資料位置，請在啟動驅動程式之前確定新的位置已存在。

在 iManager 中，選取「Identity Manager」>「Identity Manager 概觀」。
在驅動程式集中尋找驅動程式。
在驅動程式圖示的右上角按一下驅動程式狀態指示器，然後按一下「啟動驅動程式」。

如果有變更記錄，驅動程式會處理變更記錄中的所有變更。如需強制啟始同步化的相關資訊，請參閱移轉並重新同步化資料。

移轉並重新同步化資料

Identity Manager 會在資料發生變更時，對其進行同步化。若要立即同步化所有資料，您可以選擇下列選項﹕

從 eDirectory 移轉資料： 可讓您選取要從 Identity Vault 移轉至 LDAP 伺服器的容器或物件。當您移轉物件時，Metadirectory 引擎會將所有的「相符」、「佈置」、「建立」規則以及「訂閱者」過濾器都套用至該物件。

NOTE:將資料從 Identity Vault 移轉到 LDAP 目錄時，可能需要變更 LDAP 伺服器設定，才能移轉更大量的物件。請參閱Section 5.1, 移轉使用者至 Identity Vault。
移轉資料至 eDirectory： 可讓您定義 Identity Manager 用來將物件從 LDAP 伺服器移轉至 Identity Vault 的準則。當您移轉物件時，Metadirectory 引擎會將所有的「相符」、「佈置」、「建立」規則以及「發行者」過濾器都套用至該物件。物件會根據您在「類別」清單中指定的順序移轉至 Identity Vault。
同步化： Identity Manager 會在「訂閱者」類別過濾器中尋找，以及處理這些類別的所有物件，並會合併相關聯的物件。會將未關聯的物件做為「新增」事件處理。

若要使用其中一個選項，請執行下列動作：

在 iManager 中，選取「Identity Manager」>「Identity Manager 概觀」。
尋找包含 Identity Manager Driver for LDAP 的驅動程式集，然後連按兩下驅動程式圖示。
按一下適當的移轉按鈕。

啟動驅動程式

在安裝後 90 天內啟用驅動程式。否則，驅動程式將停止執行。

如需啟用之相關資訊，請參閱《Identity Manager 3.0 安裝指南》中的「啟用 Novell Identity Manager 產品」。