sun directory和windows ad单向同步（原创）

tianyayang

单向同步
solaris下安装
1、首先下载java_es_05Q1-ga1-solaris-sparc-1.iso。（旧版本和新版本安装有些不同的，旧的就不说了，我只讲新的）
2、挂栽文件，进入目录，运行./installer开始安装。（最好在图形界面下做）
3、安装向导，第一步next,第二步yes,accept license,第三步选择语言，当然是simplified chinese,
   第四步选择组件sun java system administration server 5 2005Q1
                 sun java system directory server 5 2005Q1
                 sun java system message queue 3 2005Q1
    然后next，选择安装目录，定义域结构（和ad的域结构要相同，以做同步使用））以及密码设置，默认会安装在/var/opt/mps/serverroot下
    安装完成
4、启动directory server建立ou
5、cd /usr/lib/ldap下
   运行idsconfig建立profile文件（提供给ldapclient查询ldap数据的控制接口文件）
6、profile建立好后，启动directory server，在configuration下plugins下的retro changelog plugin插件  启动起来（同步数据的时候idsync先往changelog写资料，然后ldap再抓出来的）
7、在configureation下schema建立自己的环境适用的object classes
8、再检查directory下，在你的域结构下面确认profile ou是否存在了。
9、关于其它的性能调整自己看书，呵呵。
10、安装大于或者等于j2sdk-1_4_2_03（因为idsync服务需要java的支持），并设置环境变量。
11、解压文件，安装isw-12004Q3.sparc-sun-solaris.tar.gz
12、idsync要安装三次（install要运行三次），第一次是安装主要的核心模块，第二次是安装ad和idsync的connector,第三步是安装sun directory和idsync的connector(connector是通讯的连接器）
13、第一次安装完成后，运行/var/opt/mps/serverroot/startconsole&会发现管理里面多了个sun java system identity synchronization for windows的组件，双击打开，directory sources开始配置目录源，目录源应当一个是你的ad，一个是 sun directory，在配置过程中请注意的是，不要选ssl，后面我会讲到的。
建立synchronization lists，意思是说ad和sun的同步目录源，即建立ou和ou的对应.
14、点击idsync工具的根，然后配置属性影射关系
    需要注意的是1）ad的samaccount和sun的uid一定要对应
                2）同步关系要重ad同步到 sun,原因：单向同步只支持ad到sun ldap的同步
15、选择directory下的ad的同步源，点击prepare directory server，保存配置并为后面安装connector准备。
16、然后运行idsync安装包中的install两次，目的前面已经说了。
17、安装完成后，运行 idsync resync -h hostname  -p 389 -D "cn=directory manager" -w  passwd  -s dc=sina,dc=com -q passwd -o Windows -c -i  ALL_USERS   这样就把 ad目前的帐号和密码全部都同步过来了。
18、最后再次打开sun java system identity synchronization for windows控制台，启动idsync,ok，以后ad建的帐号会自动到sun ldap里面建立，ad的密码修改,sun  ldap里面也会修改的
注：1）如果要做双向同步，需要做ssl,必须证书支持，有兴趣的以后探讨。
                 2）同步的精髓：不同作业之间密码帐号的统一和整合。
                 3）随把oracle 的oid和 ad同步玩出来了，也写个吧
                 4）写的不好，大家提出来。

[ 本帖最后由 tianyayang 于 2005-11-23 20:24 编辑 ]

tianyayang

漏掉点东西，sun ldap的帐号能被*nix下的帐号识别，需要两个对象类值（posixaccount和shadowaccount)，需手动添加的，但是最新版本的已经解决这个问题了，在同步的时候会自动为同步过来的帐号加好的。
如果是旧版本，我贴个shell，根据环境要改的，运行下，就OK了
ldapsearch -h ldap.sina.com -p 389 -D "cn=directory manager"  -b ou=sinahr,dc=sina,dc=com -w passwd -s one "objectclass=*" "uid=s*" > /tmp/sina1.txt
sed '/^[ ]*$/d' /tmp/sina1.txt > /tmp/sina2.txt
cat /tmp/sina2.txt |cut -f 1 -d ,|sed 's/uid=s//' > /tmp/sina3.txt
cat /tmp/sina3.txt | while read line
do
set $line
echo dn: uid=s$1,ou=sinahr,dc=sina,dc=com > /tmp/sina4.ldif
echo changetype: modify >> /tmp/sina4.ldif
echo add: uidnumber >> /tmp/sina4.ldif
echo uidnumber: 1$1 >> /tmp/sina4.ldif
echo - >> /tmp/sina4.ldif
echo add: homedirectory >> /tmp/sina4.ldif
echo homedirectory: /export/home/s$1 >> /tmp/sina4.ldif
echo - >> /tmp/sina4.ldif
echo add: objectclass >> /tmp/sina4.ldif
echo objectclass: account >> /tmp/sina4.ldif
echo - >> /tmp/sina4.ldif
echo add: objectclass >> /tmp/sina4.ldif
echo objectclass: posixaccount >> /tmp/sina4.ldif
echo - >> /tmp/sina4.ldif
echo add: objectclass >> /tmp/sinomos4.ldif
echo objectclass: shadowaccount >> /tmp/sina4.ldif
echo - >> /tmp/sina4.ldif
ldapmodify -h ldap.sina.com -p 389 -D "cn=directory manager" -w passwd  -f /tmp/sina4.ldif
done
rm sina*

[ 本帖最后由 tianyayang 于 2005-11-23 20:18 编辑 ]

tianyayang

这么好的帖子没人顶，sun ldap都是大企业和电信在用的，也是为以后学习signal sign-on打下基础的

[ 本帖最后由 tianyayang 于 2005-11-23 20:25 编辑 ]

yueq

为什么要同步的呢?

gary_tay88

It is nice to see your articles, good documentation, keep it up.

Gary

tianyayang

我写的很清楚了，在多作业环境中，大型环境不可能都是windows吧，呵呵

[ 本帖最后由 tianyayang 于 2005-11-25 09:23 编辑 ]

liuxuefeng

写的不错，不过偶对iplant不是很熟悉，只是知道一点皮毛！ 呵呵

abanger

问一下楼主，密码问题如何解决，是使用明文？

tianyayang

密码存储方式由sun directory提供，可以选择不同的加密方式

光辉

嘿嘿，目前正在考虑，怎么让一个混合的环境只存在一个密码！

当然，我只是考虑，暂时几个密码还不是大问题，以后可能比较麻烦。