集成 Oracle Internet Directory 和 Microsoft Active Directory:导入连接器

目的

本模块说明了如何创建和配置导入连接器以集成 Oracle Internet Directory (OID) 和 Microsoft Active Directory Server (ADS)。

主题

本教程包括下列主题:

概述
前提条件
设置环境
创建属性和域映射规则
将映射文件上载到导入配置文件
授予访问权限以实现 Active Directory (AD) 组同步
将 ADS 用户和组迁移到 OID 服务器
使用 Oracle Directory Manager 配置 ADS 导入集成配置文件
测试 ActiveChgImport 配置文件
查看屏幕截图

将鼠标置于该图标上将显示所有屏幕截图。您也可以将鼠标置于每个图标上,只查看与之关联的屏幕截图。

概述

返回列表

在企业环境中,您可能有多个目录服务器。在这种情况下,要在企业内维护数据的一致性,所有目录服务器必须同步并具有相同的数据状态。在 Windows 环境中,用户信息和组信息在 Active Directory Server(Windows 2000 操作系统的一部分)中存储和维护。但所有 Oracle 组件使用 OID 作为存储和维护用户信息和组信息的中央信息库。Oracle 目录集成和供应平台 (DIP) 可用于在企业环境中同步这两个目录。

您可以使用导入连接器或导出连接器同步 OID 和 ADS。在本教程中,您将学习如何配置导入连接器。导入连接器用于将用户和组从 ADS 的单一域实例导入 OID。您还将学习如何进行引导,或者将用户和组从 ADS 迁移到 OID。

前提条件

返回列表

在开始本单元的学习之前,您应该已经:

1.

已安装 Oracle 应用服务器 10g 实例

2.

已验证 OID 服务器是否正常运行

设置环境

返回列表

1.

要设置环境,打开一个新终端并输入:

export ORACLE_HOME=/home/oracle/infra
export ORACLE_SID=asdb
export PATH=/home/oracle/infra/bin:$PATH

创建属性和域映射规则

返回列表

使用 ADS 配置导入连接的第一步是设置域和属性映射规则。执行以下步骤:

1.

打开一个命令提示窗口,使用以下命令将工作目录更改为 %ORACLE_HOME%/ldap/odi/conf

                               
                                 
cd %ORACLE_HOME%/ldap/odi/conf
                                  


                                   
                                     将鼠标移到该图标上可以查看该图像
2.

在该目录中,使用以下命令将现有示例文件 activechg.map.master 复制到 activechg.map

cp activechg.map.master activechg.map

activechg.map.master 文件是一个示例文件,其中包括将 ADS 的用户和组映射到 OID 所需的通用域和属性映射规则。

示例文件和 activechg.map 文件均包含两个部分: DomainRules 和 AttributRules。

DomainRules:本部分为 DIP 服务器提供 ADS 中用户和组容器的位置。本部分还指定了用户和组容器在将进行更改的 OID 服务器中的目标位置。

AttributeRules:本部分为 DIP 服务器提供 ADS 属性在 OID 服务器上的映射。

检查您的文件是否拥有写入权限,若没有,请使用以下命令更改权限:

                               
                                 
chmod 777 activechg.map
                              
                            
                               
                                 
                                   
                                     将鼠标移到该图标上可以查看该图像
3.

在编辑器中打开 activechg.map 文件:

vi activechg.map

将鼠标移到该图标上可以查看该图像

 

 
4.

在文件中进行以下更改:

在 DomainRules 部分中,将

%USERBASE%:%USERBASE%: 更改为 CN=Users,DC=acme,DC=com : CN=Users,DC=acme,DC=com

根据您的实例,可能会有所不同。

DomainRule 的第一部分是 ADS 中用户和组容器位置的 DN,即, 源。冒号 (" : ") 后面的部分表示 OID 服务器中用户和组容器位置的 DN,即, 目标。源和目标域规则 DN 以冒号 (" : ") 分隔。

在 AttributeRules 部分中,不要更改任何属性映射规则。

保存更改并关闭编辑器。

将鼠标移到该图标上可以查看该图像

 

 

将映射文件上载到导入配置文件

返回列表

要使 DIP 服务器使用映射文件集成 ADS 和 OID,您必须将 activechg.map 文件的内容上载到导入连接器配置文件 ActiveChgImp。要将该文件的内容上载到导入配置文件,应使用 dipassistant 命令。

1.

从命令提示窗口,执行以下命令:

dipassistant mp -host <hostname.domain.com> -port 3060 -passwd welcome1 -profile ActiveChgImp odip.profile.mapfile=/oracle/home/ldap/odi/conf/activechg.map

使用特定于 OID 部署的完全限定域名 (FQDN)、端口号和口令替换上述命令中的 hostname.domainportpassword

您必须使用 OID 超级用户 orcladmin 的口令。

您必须在命令中提供 odip.profile.mapfile 参数映射文件的文件名和绝对目录路径。

将鼠标移到该图标上可以查看该图像

 

 

授予访问权限以实现 Active Directory (AD) 组同步

返回列表

与大多数 LDAP 服务器不同,ADS 在 users 容器中存储其 groups。由于您要将 ADS users 容器中的所有项映射到 OID 服务器中的 users 容器,因此需要在 OID 中添加额外的访问控制策略以允许您在 OID 的 users 容器下创建 groups 容器。

1.

下载包含访问控制策略定义的 LDIF 文件 ( grantrole.ldif )
2.

在命令提示窗口中,使用以下命令在编辑器中打开 grantrole.ldif 文件:

vi /u01/grantrole.ldif

将鼠标移到该图标上可以查看该图像

 

 
3.

要在 OID 部署中使用该文件,应将所有的 dc=acme,dc=com 更改为您自己的域信息。

例如,如果 OID 部署中的用户位于 dc=us,dc=acme,dc=com,则使用域 dc=us,dc=acme,dc=com 替换文件中的所有 dc=acme,dc=com 项。

保存对 grantrole.ldif 文件的更改。

将鼠标移到该图标上可以查看该图像

 

 
4.

要在 OID 服务器上应用该访问控制策略,请从命令提示窗口执行以下命令:

ldapmodify -p oid_portnum -h oid_host_name -D "cn=orcladmin" -w orcladmin_pass -f grantrole.ldif

将鼠标移到该图标上可以查看该图像

 

 

将 ADS 用户和组迁移到 OID 服务器

返回列表

您可以使用 dipassistant 命令将用户和组从 ADS 迁移到 OID 服务器。该命令将提供一个引导命令选项,使 OID 和 ADS 在交换信息之前包含相同的数据。dipassistant 使您能够使用参数文件或完全配置的集成配置文件进行引导。使用以下步骤配置属性文件:

1.

使用以下命令将工作目录更改为 %ORACLE_HOME%/ldap/odi/samples/

cd %ORACLE_HOME%/ldap/odi/samples/

Oracle 在该目录中为您提供了一个名为 ldp2ldp.properties 的示例属性文件,您可以自定义该文件,并使用它将 ADS 的用户和组迁移到部署中的 OID。

将鼠标移到该图标上可以查看该图像

 

 
2.

使用以下命令将 ldp2ldp.properties 文件复制到 ad2oid.properties

cp ldp2ldp.properties ad2oid.properties

将鼠标移到该图标上可以查看该图像

 

 
3.

使用以下命令修改权限,并在编辑器中打开 ad2oid.properties 文件:

chmod 777 ad2oid.properties

vi ad2oid.properties

将鼠标移到该图标上可以查看该图像

 

 
4.

通过设置以下参数,在文件中进行以下更改:

参数 描述
odip.bootstrap.srctype 指定引导的源是 LDAP 还是 LDIF LDAP
odi.bootstrap.srcurl 指定源目录位置 FQDN:ADS 端口
odip.bootstrap.srcdn 指定源目录绑定 DN

cn=administrator,cn=users,
dc=acme,dc=com

administrator@acme.com

odip.bootstrap.srcpasswd 指定源绑定 DN 的绑定口令 ADS 管理员口令
odip.bootstrap.desttype 指定引导的目标是 LDAP 还是 LDIF LDAP
odip.bootstrap.desturl 指定目标目录位置 FQDN:OID 服务器端口
odip.bootstrap.destdn 指定目标目录绑定 DN cn=orcladmin
odip.bootstrap.destpasswd 指定目标绑定 DN 的绑定口令 welcome1
odip.bootstrap.mapfile 指定包含属性和域映射的映射文件的位置 activechg.map
odip.bootstrap.logfile 指定日志文件位置 /oracle/ldap/odip/scr/bootstrap.log
odip.bootstrap.logseverity 指定要记录的日志消息类型
INFO ---- 1
WARNING ---- 2
DEBUG ---- 4
ERROR ---- 8

注:还可以指定这些类型的组合。同样,要包含所有类型的消息,使用 1 + 2 + 4 + 8 = 15。 		15
odip.bootstrap.trcfile 指定跟踪文件的位置 /Oracle/ldap/odip/scr/bootstrap.trc

将鼠标移到该图标上可以查看该图像

 

将鼠标移到该图标上可以查看该图像

 

将鼠标移到该图标上可以查看该图像

 

将鼠标移到该图标上可以查看该图像

 

将鼠标移到该图标上可以查看该图像

 

 
5.

从命令提示窗口,按如下方式执行 dipassistant 命令来引导 ADS 和 OID 服务器:

dipassistant bs -cfg %ORACLE_HOME%/ldap/odi/samples/ad2oid.properties

引导过程完成后,该命令将显示一个报告,指出已成功迁移和迁移失败的项数。您可以查看生成的日志文件,以获得更多详细信息。

将鼠标移到该图标上可以查看该图像

 

将鼠标移到该图标上可以查看该图像

 

您现在可以登录到 OID 服务器,并查看从 ADS 迁移来的用户和组。

 

使用 Oracle Directory Manager 配置 ADS 导入集成配置文件

返回列表

成功引导 ADS 和 OID 服务器之后,您就可以使用 Oracle Directory Manager 配置导入集成配置文件了。该配置文件由 DIP 服务器定期执行,用于同步 OID 服务器。执行以下步骤来配置导入配置文件:

1.

从终端启动 Oracle Directory Manager

将鼠标移到该图标上可以查看该图像

 

 
2.

在登录对话框中,输入 orcladmin 作为用户名,并输入 Oracle 应用服务器管理员口令作为口令。如果服务器项未显示,则注册您要连接到的服务器。

将鼠标移到该图标上可以查看该图像

 

 
3.

在导航窗格中,导航到 Oracle Directory Servers > orcladmin@oidhost:port > Server Management > Integration Server > Configuration Set1

右窗格将显示所有可用的集成配置文件。

将鼠标移到该图标上可以查看该图像

 

将鼠标移到该图标上可以查看该图像

 

 
4.

从集成配置文件列表中选择 ActiveChgImp,然后单击 Edit 修改配置文件参数值。

将鼠标移到该图标上可以查看该图像

 

 
5.

ActiveChgImport 配置文件的各个参数将显示在以下选项卡中:

1. General 选项卡
2. Execution 选项卡
3. Mapping 选项卡
4. Status 选项卡

将鼠标移到该图标上可以查看该图像

 

 
6.

首先将显示 General 选项卡。在该选项卡页面中,对以下参数进行更改:

1 . Scheduling Interval = 10
2. Debug Level = 63

将鼠标移到该图标上可以查看该图像

 

 
7.

单击 Execution 选项卡,并对以下参数进行更改:

1. Connected Directory Account = administrator@yourdomain.com
2. Connected Directory Account Password = password
3. Connected Directory URL = hostname.domain:port or IP address:port

将鼠标移到该图标上可以查看该图像

 

 
8.

单击 Mapping 选项卡。您不需要在该选项卡页面上进行任何更改,因为映射文件已经上载到配置文件。

将鼠标移到该图标上可以查看该图像

 

 
9.

单击 Status 选项卡。这里,您需要更改的唯一参数值就是 Last Applied Change Number 。要获得最新的更改编号,从命令提示窗口执行以下命令:

ldapsearch -p <oid_port> -h <AD_Host_name> -D "administrator@acme.com"
-w admin_password -b "" -s base "objectclass=*" highestCommittedUSN

输入返回值作为 Last Applied Change Number 参数的参数值。

完成所有必需的更改后,单击 OK 保存更改。

将鼠标移到该图标上可以查看该图像

 

将鼠标移到该图标上可以查看该图像

 

 
10.

启动 Oracle DIP 服务器以执行 ActiveChgImport 集成配置文件。通过从命令提示窗口执行以下命令来启动 DIP 服务器:

oidctl connect=<connect_string> server=odisrv instance=1 config=1 flags="port=3060" start

将鼠标移到该图标上可以查看该图像

 

 
11.

将代理配置文件状态更改为 Enable。单击 OK

将鼠标移到该图标上可以查看该图像

 

 
12.

在计划时间过后,系统会执行集成配置文件。您可以从配置文件属性对话框的 Status 选项卡中查看配置文件的状态。查看同步状态是否为 Synchronization Successful

将鼠标移到该图标上可以查看该图像

 

 

测试 ActiveChgImport 配置文件

返回列表

要在 Active Directory 中创建用户,并验证是否已将该用户提供给 OID,执行以下步骤:

1.

在 Active Directory Server 中,单击 Start > Programs > Administrative Tools > Active Directory Users and Computers

将鼠标移到该图标上可以查看该图像

 

 
2.

在 Active Directory Users and Computers 窗口中,选择 Users

将鼠标移到该图标上可以查看该图像

 

 
3.

在当前容器中,单击 Create a new user

将鼠标移到该图标上可以查看该图像

 

 
4.

输入以下详细信息:

First name:
Last name:
Full name:
User logon name:
User logon name (pre-Windows 2000):

将鼠标移到该图标上可以查看该图像

 

单击 Next
5.

输入并确认口令。单击 Next

将鼠标移到该图标上可以查看该图像

 

 
6.

单击 Finish

将鼠标移到该图标上可以查看该图像

 

 
7.

单击 Refresh 查看新用户。

将鼠标移到该图标上可以查看该图像

 

 

 

将鼠标置于该图标上可以隐藏所有的屏幕截图。

版权所有 © 2004 Oracle Corporation。保留所有权利。

 

Left Curve
热门下载
 Right Curve
Left Curve
更多融合中间件下载
 Right Curve