Chat now with support
Chat mit Support

Identity Manager 8.2 - Administrationshandbuch für die Anbindung einer HCL Domino-Umgebung

Verwalten einer HCL Domino-Umgebung Synchronisieren einer Domino-Umgebung
Einrichten der Initialsynchronisation einer Domino-Umgebung Konfiguration des Domino-Servers Einrichten eines Gateway Servers Erstellen eines Synchronisationsprojektes für die initiale Synchronisation einer Notes Domäne Anpassen der Synchronisationskonfiguration für Domino-Umgebungen Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren
Managen von Notes Benutzerkonten und Personen
Kontendefinitionen für Notes Benutzerkonten Automatische Zuordnung von Personen zu Notes Benutzerkonten Personen manuell mit Notes Benutzerkonten verbinden Unterstützte Typen von Benutzerkonten Löschverzögerung für Notes Benutzerkonten festlegen
Managen von Mitgliedschaften in Notes Gruppen Bereitstellen von Anmeldeinformationen für Notes Benutzerkonten Nutzung von AdminP-Aufträgen zur Verarbeitung von Domino-Prozessen Abbilden von Notes Objekten im One Identity Manager
Notes Domänen Notes Benutzerkonten Notes Gruppen Notes Zertifikate Notes Schablonen Notes Richtlinien Notes Mail-In-Datenbanken Notes Server Berichte über Notes Objekte
Behandeln von Notes Objekten im Web Portal Basisdaten für die Verwaltung einer Domino-Umgebung Konfigurationsparameter für die Verwaltung einer Domino-Umgebung Standardprojektvorlage für Domino Verarbeitungsmethoden von Domino Systemobjekten Einstellungen des Domino Konnektors

Allgemeine Stammdaten für Jobserver

HINWEIS: Alle Bearbeitungsmöglichkeiten stehen Ihnen auch im Designer in der Kategorie Basisdaten > Installationen > Jobserver zur Verfügung.

HINWEIS: Abhängig von den installierten Modulen können weitere Eigenschaften verfügbar sein.

Tabelle 48: Eigenschaften eines Jobservers

Eigenschaft

Bedeutung

Server

Bezeichnung des Jobservers.

Vollständiger Servername

Vollständiger Servername gemäß DNS Syntax.

Syntax:

<Name des Servers>.<Vollqualifizierter Domänenname>

Server ist Cluster

Gibt an, ob der Server einen Cluster abbildet.

Server gehört zu Cluster

Cluster, zu dem der Server gehört.

HINWEIS: Die Eigenschaften Server ist Cluster und Server gehört zu Cluster schließen einander aus.

IP-Adresse (IPv6)

Internet Protokoll Version 6 (IPv6)-Adresse des Servers.

IP-Adresse (IPv4)

Internet Protokoll Version 4 (IPv4)-Adresse des Servers.

Kopierverfahren (Quellserver)

Zulässige Kopierverfahren, die genutzt werden können, wenn dieser Server Quelle einer Kopieraktion ist. Derzeit werden nur Kopierverfahren über die Programme Robocopy und rsync unterstützt.

Wird kein Verfahren angegeben, ermittelt der One Identity Manager Service zur Laufzeit das Betriebssystem des Servers, auf dem die Kopieraktion ausgeführt wird. Die Replikation erfolgt dann zwischen Servern mit einem Windows Betriebssystem mit dem Programm Robocopy und zwischen Servern mit einem Linux Betriebssystem mit dem Programm rsync. Unterscheiden sich die Betriebssysteme des Quellservers und des Zielservers, so ist für eine erfolgreiche Replikation die Angabe der zulässigen Kopierverfahren zwingend erforderlich. Es wird das Kopierverfahren eingesetzt, das beide Server unterstützen.

Kopierverfahren (Zielserver)

Zulässige Kopierverfahren, die genutzt werden können, wenn dieser Server Ziel einer Kopieraktion ist.

Codierung

Codierung des Zeichensatzes mit der Dateien auf dem Server geschrieben werden.

Übergeordneter Jobserver

Bezeichnung des übergeordneten Jobservers.

Ausführender Server

Bezeichnung des ausführenden Servers. Eingetragen wird der Name des physisch vorhandenen Servers, auf dem die Prozesse verarbeitet werden.

Diese Angabe wird bei der automatischen Aktualisierung des One Identity Manager Service ausgewertet. Verarbeitet ein Server mehrere Queues, wird mit der Auslieferung von Prozessschritten solange gewartet, bis alle Queues, die auf demselben Server abgearbeitet werden, die automatische Aktualisierung abgeschlossen haben.

Queue

Bezeichnung der Queue, welche die Prozessschritte verarbeitet. Mit dieser Queue-Bezeichnung werden die Prozessschritte an der Jobqueue angefordert. Die Queue-Bezeichnung wird in die Konfigurationsdatei des One Identity Manager Service eingetragen.

Serverbetriebssystem

Betriebssystem des Servers. Diese Angabe wird für die Pfadauslösung bei der Replikation von Softwareprofilen benötigt. Zulässig sind die Werte Win32, Windows, Linux und Unix. Ist die Angabe leer, wird Win32 angenommen.

Angaben zum Dienstkonto

Benutzerkonteninformationen des One Identity Manager Service. Für die Replikation zwischen nicht vertrauenden Systemen (beispielsweise non-trusted Domänen, Linux-Server) müssen für die Server die Benutzerkonteninformationen des One Identity Manager Service in der Datenbank bekanntgegeben werden. Dazu sind das Dienstkonto, die Domäne des Dienstkontos und das Kennwort des Dienstkontos für die Server entsprechend einzutragen.

One Identity Manager Service installiert

Gibt an, ob auf diesem Server ein One Identity Manager Service installiert und aktiv ist. Die Option wird durch die Prozedur QBM_PJobQueueLoad aktiviert, sobald die Queue das erste Mal angefragt wird.

Die Option wird nicht automatisch entfernt. Für Server, deren Queue nicht mehr aktiv ist, können Sie diese Option im Bedarfsfall manuell zurücksetzen.

Stopp One Identity Manager Service

Gibt an, ob der One Identity Manager Service gestoppt ist. Wenn diese Option für den Jobserver gesetzt ist, wird der One Identity Manager Service keine Aufträge mehr verarbeiten.

Den Dienst können Sie mit entsprechenden administrativen Berechtigungen im Programm Job Queue Info stoppen und starten. Ausführliche Informationen finden Sie im One Identity Manager Handbuch zur Prozessüberwachung und Fehlersuche.

Kein automatisches Softwareupdate

Gibt an, ob der Server von der automatischen Softwareaktualisierung auszuschließen ist.

HINWEIS: Server, für welche die Option aktiviert ist, müssen Sie manuell aktualisieren.

Softwareupdate läuft

Gibt an, ob gerade eine Softwareaktualisierung ausgeführt wird.

Serverfunktion

Funktion des Servers in der One Identity Manager-Umgebung. Abhängig von der Serverfunktion wird die Verarbeitung der One Identity Manager-Prozesse ausgeführt.

Verwandte Themen

Festlegen der Serverfunktionen

HINWEIS: Alle Bearbeitungsmöglichkeiten stehen Ihnen auch im Designer in der Kategorie Basisdaten > Installationen > Jobserver zur Verfügung.

Die Serverfunktion definiert die Funktion eines Servers in der One Identity Manager-Umgebung. Abhängig von der Serverfunktion wird die Verarbeitung der One Identity Manager-Prozesse ausgeführt.

HINWEIS: Abhängig von den installierten Modulen können weitere Serverfunktionen verfügbar sein.
Tabelle 49: Zulässige Serverfunktionen

Serverfunktion

Anmerkungen

CSV Konnektor

Server, auf dem der CSV Konnektor für die Synchronisation installiert ist.

Domänen-Controller

Active Directory Domänen-Controller. Server, die nicht als Domänen-Controller gekennzeichnet sind, werden als Memberserver betrachtet.

Druckserver

Server, der als Druckserver arbeitet.

Generischer Server

Server für die generische Synchronisation mit einem kundendefinierten Zielsystem.

Homeserver

Server zur Anlage von Homeverzeichnissen für Benutzerkonten.

HCL Domino Gateway Server

Gateway Server für die Synchronisation des One Identity Manager mit der HCL Domino-Umgebung.

HCL Domino Konnektor

Server, auf dem der HCL Domino Konnektor installiert ist. Dieser Server führt die Synchronisation mit dem Zielsystem HCL Domino aus.

Aktualisierungsserver

Der Server führt die automatische Softwareaktualisierung aller anderen Server aus. Der Server benötigt eine direkte Verbindung zum Datenbankserver, auf dem die One Identity Manager-Datenbank installiert ist. Der Server kann SQL Aufträge ausführen.

Bei der initialen Schemainstallation wird der Server, auf dem die One Identity Manager-Datenbank installiert ist, mit dieser Serverfunktion gekennzeichnet.

SQL Ausführungsserver

Der Server kann SQL Aufträge ausführen. Der Server benötigt eine direkte Verbindung zum Datenbankserver, auf dem die One Identity Manager-Datenbank installiert ist.

Für eine Lastverteilung der SQL Prozesse können mehrere SQL Ausführungsserver eingerichtet werden. Das System verteilt die erzeugten SQL Prozesse über alle Jobserver mit dieser Serverfunktion.

CSV Skriptserver

Der Server kann CSV-Dateien per Prozesskomponente ScriptComponent verarbeiten.

Generischer Datenbankkonnektor

Der Server kann sich mit einer ADO.Net Datenbank verbinden.

One Identity Manager-Datenbankkonnektor

Server, auf dem der One Identity Manager Konnektor installiert ist. Dieser Server führt die Synchronisation mit dem Zielsystem One Identity Manager aus.

One Identity Manager Service installiert

Server, auf dem ein One Identity Manager Service installiert werden soll.

Primärer Domänen-Controller

Primärer Domänen-Controller.

Profilserver

Server für die Einrichtung von Profilverzeichnissen für Benutzerkonten.

SAM Synchronisationsserver

Server für die Synchronisation mit einem SMB-basierten Zielsystem aus.

SMTP Host

Server, auf dem durch den One Identity Manager Service E-Mail Benachrichtigungen verschickt werden. Voraussetzung zum Versenden von Mails durch den One Identity Manager Service ist ein konfigurierter SMTP Host.

Standard Berichtserver

Server, auf dem die Berichte generiert werden.

Windows PowerShell Konnektor

Der Server kann Windows PowerShell Version 3.0 oder neuer ausführen.

Verwandte Themen

Zielsystemverantwortliche für Domino-Umgebungen

Im One Identity Manager ist eine Standardanwendungsrolle für die Zielsystemverantwortlichen vorhanden. Weisen Sie dieser Anwendungsrolle die Personen zu, die berechtigt sind, alle Notes Domänen im One Identity Manager zu bearbeiten.

Wenn Sie die Berechtigungen der Zielsystemverantwortlichen auf einzelne Domänen einschränken wollen, definieren Sie weitere Anwendungsrollen. Die Anwendungsrollen müssen der Standardanwendungsrolle untergeordnet sein.

Ausführliche Informationen zum Einsatz und zur Bearbeitung von Anwendungsrollen finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung.

Inbetriebnahme der Anwendungsrollen für Zielsystemverantwortliche

  1. Der One Identity Manager Administrator legt Personen als Zielsystemadministratoren fest.

  2. Die Zielsystemadministratoren nehmen die Personen in die Standardanwendungsrolle für die Zielsystemverantwortlichen auf.

    Zielsystemverantwortliche der Standardanwendungsrolle sind berechtigt alle Notes Domänen im One Identity Manager zu bearbeiten.

  3. Zielsystemverantwortliche können innerhalb ihres Verantwortungsbereiches weitere Personen als Zielsystemverantwortliche berechtigen und bei Bedarf weitere untergeordnete Anwendungsrollen erstellen und einzelnen Domänen zuweisen.

Tabelle 50: Standardanwendungsrolle für Zielsystemverantwortliche
Benutzer Aufgaben

Zielsystemverantwortliche

 

Die Zielsystemverantwortlichen müssen der Anwendungsrolle Zielsysteme | Domino oder einer untergeordneten Anwendungsrolle zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Übernehmen die administrativen Aufgaben für das Zielsystem.

  • Erzeugen, ändern oder löschen die Zielsystemobjekte.

  • Bearbeiten Kennwortrichtlinien für das Zielsystem.

  • Bereiten Gruppen zur Aufnahme in den IT Shop vor.

  • Können Personen anlegen, die eine andere Identität haben als den Identitätstyp Primäre Identität.

  • Konfigurieren im Synchronization Editor die Synchronisation und definieren das Mapping für den Abgleich von Zielsystem und One Identity Manager.

  • Bearbeiten Zielsystemtypen sowie die ausstehenden Objekte einer Synchronisation.

  • Berechtigen innerhalb ihres Verantwortungsbereiches weitere Personen als Zielsystemverantwortliche und erstellen bei Bedarf weitere untergeordnete Anwendungsrollen.

Um initial Personen als Zielsystemadministrator festzulegen

  1. Melden Sie sich als One Identity Manager Administrator (Anwendungsrolle Basisrollen | Administratoren) am Manager an.

  2. Wählen Sie die Kategorie One Identity Manager Administration > Zielsysteme > Administratoren.

  3. Wählen Sie die Aufgabe Personen zuweisen.

  4. Weisen Sie die Person zu und speichern Sie die Änderung.

Um initial Personen in die Standardanwendungsrolle für Zielsystemverantwortliche aufzunehmen

  1. Melden Sie sich als Zielsystemadministrator (Anwendungsrolle Zielsysteme | Administratoren) am Manager an.

  2. Wählen Sie die Kategorie One Identity Manager Administration > Zielsysteme > Domino.

  3. Wählen Sie die Aufgabe Personen zuweisen.

  4. Weisen Sie die Personen zu und speichern Sie die Änderungen.

Um als Zielsystemverantwortlicher weitere Personen als Zielsystemverantwortliche zu berechtigen

  1. Melden Sie sich als Zielsystemverantwortlicher am Manager an.

  2. Wählen Sie in der Kategorie HCL Domino > Basisdaten zur Konfiguration > Zielsystemverantwortliche die Anwendungsrolle.

  3. Wählen Sie die Aufgabe Personen zuweisen.

  4. Weisen Sie die Personen zu und speichern Sie die Änderungen.

Um Zielsystemverantwortliche für einzelne Domänen festzulegen

  1. Melden Sie sich als Zielsystemverantwortlicher am Manager an.

  2. Wählen Sie die Kategorie HCL Domino > Domänen.

  3. Wählen Sie in der Ergebnisliste die Domäne.

  4. Wählen Sie die Aufgabe Stammdaten bearbeiten.

  5. Wählen Sie auf dem Tabreiter Allgemein in der Auswahlliste Zielsystemverantwortliche die Anwendungsrolle.

    - ODER -

    Klicken Sie neben der Auswahlliste Zielsystemverantwortliche auf , um eine neue Anwendungsrolle zu erstellen.

    1. Erfassen Sie die Bezeichnung der Anwendungsrolle und ordnen Sie die übergeordnete Anwendungsrolle Zielsysteme | Domino zu.

    2. Klicken Sie Ok, um die neue Anwendungsrolle zu übernehmen.

  6. Speichern Sie die Änderungen.

  7. Weisen Sie der Anwendungsrolle die Personen zu, die berechtigt sind, die Domäne im One Identity Manager zu bearbeiten.

Verwandte Themen

Konfigurationsparameter für die Verwaltung einer Domino-Umgebung

Mit der Installation des Moduls sind zusätzlich folgende Konfigurationsparameter im One Identity Manager verfügbar.

Tabelle 51: Konfigurationsparameter für die Verwaltung einer Domino-Umgebung

Konfigurationsparameter

Bedeutung bei Aktivierung

TargetSystem | NDO

Präprozessorrelevanter Konfigurationsparameter zur Steuerung der Modellbestandteile für die Verwaltung des Zielsystems Domino. Ist der Parameter aktiviert, sind die Bestandteile des Zielsystems verfügbar. Die Änderung des Parameters erfordert eine Kompilierung der Datenbank.

Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch.

TargetSystem | NDO | Accounts

Parameter zur Konfiguration der Angaben zu Notes Benutzerkonten.

TargetSystem | NDO | Accounts | InitialRandomPassword

Gibt an, ob bei Neuanlage von Benutzerkonten ein zufällig generiertes Kennwort vergeben wird. Das Kennwort muss mindestens die Zeichenklassen enthalten, die in der zugewiesenen Kennwortrichtlinie definiert sind.

TargetSystem | NDO | Accounts | InitialRandomPassword | SendTo

Person, die eine E-Mail mit dem zufällig generierten Kennwort erhalten soll (Verantwortlicher der Kostenstelle/Abteilung/Standort/Geschäftsrolle, Verantwortlicher der Person oder XUserInserted). Ist kein Empfänger ermittelbar, dann wird die E-Mail an die im Konfigurationsparameter TargetSystem | NDO | DefaultAddress hinterlegt Adresse versandt.

TargetSystem | NDO | Accounts | InitialRandomPassword | SendTo | MailTemplateAccountName

Name der Mailvorlage, welche versendet wird, um Benutzer mit den Anmeldeinformationen zum Benutzerkonto zu versorgen. Es wird die Mailvorlage Person - Erstellung neues Benutzerkonto verwendet.

TargetSystem | NDO | Accounts | InitialRandomPassword | SendTo | MailTemplatePassword

Name der Mailvorlage, welche versendet wird, um Benutzer mit den Informationen zum initialen Kennwort zu versorgen. Es wird die Mailvorlage Person - Initiales Kennwort für neues Benutzerkonto verwendet.

TargetSystem | NDO | Accounts | MailFileAccessRole

Zugriffsstufe, welche für den Besitzer einer Postfachdatei gesetzt wird, wenn die Postfachdatei erstellt wird. Mögliche Wert sind Manager, Editor, Designer. Wenn der Konfigurationsparameter deaktiviert ist, wird die Zugriffsstufe Manager gesetzt.

TargetSystem | NDO | Accounts | MailTemplateDefaultValues

Mailvorlage, die zum Senden von Benachrichtigungen genutzt wird, wenn bei der automatischen Erstellung eines Benutzerkontos Standardwerte der IT Betriebsdatenabbildung verwendet werden. Es wird die Mailvorlage Person - Erstellung neues Benutzerkonto mit Standardwerten verwendet.

TargetSystem | NDO | BuildShortnameFullSync

Legt fest, ob bei der Synchronisation Kurznamen für Personendokumente erzeugt werden sollen, die in Domino keinen Kurznamen besitzen. Ist der Parameter aktiviert, werden Kurznamen erzeugt. Ist der Konfigurationsparameter deaktiviert, können Benutzerkonten ohne Kurznamen nicht in der One Identity Manager-Datenbank angelegt werden.

TargetSystem | NDO | DefaultAddress

Standard-E-Mail-Adresse des Empfängers von Benachrichtigungen über Aktionen im Zielsystem.

TargetSystem | NDO | DefTemplatePath

Standardschablone zum Anlegen der Postfachdateien auf einem Notes Server.

TargetSystem | NDO | DenyAccessGroups

Parameter zur Konfiguration der Sperrgruppen für das Sperren von Benutzerkonten.

TargetSystem | NDO | DenyAccessGroups | Memberlimit

Angabe der maximalen Anzahl von Mitgliedern pro Sperrgruppe. Bei Erreichen dieses Limits wird automatisch eine weitere Sperrgruppe erzeugt.

TargetSystem | NDO | DenyAccessGroups | Prefix

Präfix, welches zur Bildung des Gruppennamens einer Sperrgruppe verwendet wird.

TargetSystem | NDO | MailBoxAnonymPre

Präfix für die Anonymisierung von Benutzerkonten.

TargetSystem | NDO | MailFilePath

Verzeichnis auf dem Mailserver, in dem die Postfachdateien der Benutzerkonten abgelegt werden.

TargetSystem | NDO | MaxFullsyncDuration

Maximale Laufzeit in Minuten für eine Synchronisation. Während dieser Zeit erfolgt keine Neuberechnung der Gruppenmitgliedschaften durch den DBQueue Prozessor. Bei Überschreitung der festgelegten maximalen Laufzeit werden die Berechnungen von Gruppenmitgliedschaften wieder ausgeführt.

TargetSystem | NDO | PersonAutoDefault

Modus für die automatische Personenzuordnung für Benutzerkonten, die außerhalb der Synchronisation in der Datenbank angelegt werden.

TargetSystem | NDO | PersonAutoDisabledAccounts

Der Konfigurationsparameter legt fest, ob an gesperrte Benutzerkonten automatisch Personen zugewiesen werden. Die Benutzerkonten erhalten keine Kontendefinition.

TargetSystem | NDO | PersonAutoFullsync

Modus für die automatische Personenzuordnung für Benutzerkonten, die durch die Synchronisation in der Datenbank angelegt oder aktualisiert werden.

TargetSystem | NDO | PersonExcludeList

Auflistung aller Benutzerkonten, für die keine automatische Personenzuordnung erfolgen soll. Angabe der Namen in einer Pipe (|) getrennten Liste, die als reguläres Suchmuster verarbeitet wird.

Beispiel:

ADMINISTRATOR|GUEST|KRBTGT|TSINTERNETUSER|IUSR_.*|IWAM_.*|SUPPORT_.*|.* | $

TargetSystem | NDO | UpdateAddressbook

Ist der Konfigurationsparameters aktiviert, werden beim Erzeugen neuer Benutzer-ID-Dateien auch Einträge im Domino-Verzeichnis erzeugt.

TargetSystem | NDO | VerifyUpdates

Gibt an, ob bei einem Update geänderte Eigenschaften im Zielsystem überprüft werden. Ist der Parameter aktiviert, werden nach jedem Update die Eigenschaften des Objektes im Zielsystem verifiziert.

Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen