Chat now with support
Chat mit Support

Identity Manager 9.2.1 - Administrationshandbuch für die Anbindung Unix-basierter Zielsysteme

Verwalten von Unix-basierten Zielsystemen Synchronisieren eines Unix-basierten Zielsystems
Einrichten der Initialsynchronisation mit einem Unix Host Anpassen der Synchronisationskonfiguration Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)
Managen von Unix Benutzerkonten und Identitäten Managen von Mitgliedschaften in Unix Gruppen Bereitstellen von Anmeldeinformationen für Unix Benutzerkonten Abbildung von Unix-Objekten im One Identity Manager Behandeln von Unix-Objekten im Web Portal Basisdaten für Unix-basierte Zielsysteme Konfigurationsparameter für die Verwaltung eines Unix-basierten Zielsystems Standardprojektvorlage für Unix-basierte Zielsysteme Einstellungen des Unix Konnektors

Benötigte Informationen für die Erstellung eine Synchronisationsprojektes

Für die Einrichtung des Synchronisationsprojektes sollten Sie die folgenden Informationen bereit halten.

Tabelle 4: Benötigte Informationen für die Erstellung eines Synchronisationsprojektes
Angaben Erläuterungen

Servername oder IP Adresse des Hosts

Vollständiger Name oder IP-Adresse des Hosts, gegen den sich der Synchronisationsserver verbindet, um auf die Unix Objekte zuzugreifen.

Kommunikationsport auf dem Host

Kommunikationsport auf dem Host zum Aufbau einer Secure Shell (SSH) Verbindung. Standardport ist TCP-Port 22.

Authentifizierung

Die Anmeldeinformationen sind abhängig von der gewählten Authentifizierungsmethode.

  • Authentifizierungsmethode Kennwort: Benutzerkonto und Kennwort zur Anmeldung am Host. Dieses Benutzerkonto wird für den Zugriff auf den Host per SSH verwendet. Das Benutzerkonto benötigt die Berechtigung zum Aufbau einer SSH-Verbindung.

  • Authentifizierungsmethode Privater Schlüssel: Datei mit dem privaten Schlüssel und die Passphrase.

Methode, Benutzername und Kennwort zur Berechtigungserhöhung

Für die Ausführung von Kommandos ist der Wechsel in den administrativen Kontext erforderlich. Stellen Sie ein Benutzerkonto mit ausreichenden administrativen Berechtigungen bereit. Mit diesem Benutzerkonto werden Schreiboperationen auf den Unix-Objekten ausgeführt.

Verfügbare Methoden sind:

  • Default: Der Benutzer zur Anmeldung am Host besitzt bereits administrative Berechtigungen.

  • Sudo: Der Benutzer zur Anmeldung am Host kann die administrativen Aufgaben mit den Berechtigungen eines anderen Benutzers , beispielsweise root, ausführen. Die Konfiguration erfolgt über die sudoer-Datei auf dem Host.

    Beispiel für eine Konfiguration der minimale Berechtigungen für einen Beispielbenutzer OneIM:

    OneIM ALL=(root) NOPASSWD: /usr/sbin/useradd, /usr/sbin/usermod, /usr/sbin/userdel, /usr/bin/passwd, /usr/sbin/groupadd, /bin/mv /tmp/*, /bin/mv /etc/group.tmp /etc/group*, /bin/chmod 644 /etc/group.tmp, /bin/chown * /etc/group.tmp

  • su: Diese Methode verwendet das su Kommando zum Kontextwechsel. Es wird ein weiterer Benutzer mit administrativen Berechtigungen benötigt.

Synchronisationsserver für das Unix-basierte Zielsystem

Vom Synchronisationsserver werden alle Aktionen des One Identity Manager Service gegen die Zielsystemumgebung ausgeführt. Die für die Synchronisation und Administration mit der One Identity Manager-Datenbank benötigten Einträge werden vom Synchronisationsserver bearbeitet.

Auf dem Synchronisationsserver muss der One Identity Manager Service mit dem Unix Konnektor installiert sein.

Der Synchronisationsserver muss im One Identity Manager als Jobserver bekannt sein. Verwenden Sie beim Einrichten des Jobservers die folgenden Eigenschaften.

  • Serverfunktion: Unix Konnektor oder AIX Konnektor

  • Maschinenrolle: Server | Job Server | Unix

Verbindungsdaten zur One Identity Manager-Datenbank
  • Datenbankserver

  • Name der Datenbank

  • SQL Server-Anmeldung und Kennwort

  • Angabe, ob integrierte Windows-Authentifizierung verwendet wird

    Die Verwendung der integrierten Windows-Authentifizierung wird nicht empfohlen. Sollten Sie das Verfahren dennoch einsetzen, stellen Sie sicher, dass Ihre Umgebung Windows-Authentifizierung unterstützt.

Remoteverbindungsserver

Um die Synchronisation mit einem Zielsystem zu konfigurieren, muss der One Identity Manager Daten aus dem Zielsystem auslesen. Dabei kommuniziert der One Identity Manager direkt mit dem Zielsystem. Mitunter ist der direkte Zugriff von der Arbeitsstation, auf welcher der Synchronization Editor installiert ist, nicht möglich, beispielsweise aufgrund der Firewall-Konfiguration oder weil die Arbeitsstation nicht die notwendigen Hard- oder Softwarevoraussetzungen erfüllt. Wenn der direkte Zugriff von der Arbeitsstation nicht möglich ist, kann eine Remoteverbindung eingerichtet werden.

Konfiguration des Remoteverbindungsservers:

  • One Identity Manager Service ist gestartet

  • RemoteConnectPlugin ist installiert und ein Authentifizierungsverfahren ist eingerichtet

  • Unix Konnektor oder AIX Konnektor ist installiert

Der Remoteverbindungsserver muss im One Identity Manager als Jobserver bekannt sein. Es wird der Name des Jobservers benötigt.

TIPP: Der Remoteverbindungsserver benötigt dieselbe Konfiguration (bezüglich der installierten Software sowie der Berechtigungen des Benutzerkontos) wie der Synchronisationsserver. Nutzen Sie den Synchronisationsserver gleichzeitig als Remoteverbindungsserver, indem Sie das RemoteConnectPlugin zusätzlich installieren.

Ausführliche Informationen zum Herstellen einer Remoteverbindung finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Verwandte Themen

Initiales Synchronisationsprojekt für einen Unix Host erstellen

HINWEIS: Der folgende Ablauf beschreibt die Einrichtung eines Synchronisationsprojekts, wenn der Synchronization Editor

  • im Standardmodus ausgeführt wird und

  • aus dem Launchpad gestartet wird.

Wenn der Projektassistent im Expertenmodus ausgeführt wird oder direkt aus dem Synchronization Editor gestartet wird, können zusätzliche Konfigurationseinstellungen vorgenommen werden. Folgen Sie in diesen Schritten den Anweisungen des Projektassistenten.

HINWEIS: Pro Zielsystem und genutzter Standardprojektvorlage kann genau ein Synchronisationsprojekt erstellt werden.

Um ein initiales Synchronisationsprojekt für ein Unix-basiertes Zielsystem einzurichten

  1. Starten Sie das Launchpad und melden Sie sich an der One Identity Manager-Datenbank an.

    HINWEIS: Wenn die Synchronisation über einen Anwendungsserver ausgeführt werden soll, stellen Sie die Datenbankverbindung über den Anwendungsserver her.

  2. Wählen Sie den Eintrag Zielsystemtyp Unix und klicken Sie Starten.

    Der Projektassistent des Synchronization Editors wird gestartet.

  1. Auf der Startseite des Projektassistenten klicken Sie Weiter.

  2. Auf der Seite Systemzugriff legen Sie fest, wie der One Identity Manager auf das Zielsystem zugreifen kann.

    • Ist der Zugriff von der Arbeitsstation, auf der Sie den Synchronization Editor gestartet haben, möglich, nehmen Sie keine Einstellungen vor.

    • Ist der Zugriff von der Arbeitsstation, auf der Sie den Synchronization Editor gestartet haben, nicht möglich, können Sie eine Remoteverbindung herstellen.

      Aktivieren Sie die Option Verbindung über einen Remoteverbindungsserver herstellen und erfassen Sie die Eigenschaften der Remoteverbindung.

  1. Auf der Seite Allgemeine Verbindungseinstellungen erfassen Sie Verbindungsinformationen zum Unix-Host.

    1. Geben Sie im Eingabefeld Server oder IP den Servernamen oder die IP-Adresse des Host ein.

    2. Geben Sie im Eingabefeld Port den Kommunikationsport für den Aufbau der SSH-Verbindung an. Standard-Kommunikationsport ist der TCP-Port 22.

    3. Wählen Sie die Authentifizierungsmethode. Abhängig von der gewählten Methoden erfassen Sie die weiteren Informationen zur Authentifizierung.

      • Für die Authentifizierungsmethode Kennwort erfassen Sie das Benutzerkonto und das Kennwort zur SSH-Anmeldung am Host.

      • Für die Authentifizierungsmethode Privater Schlüssel benötigen Sie den privaten Schlüssel und die Passphrase.

    4. Klicken Sie Test, um die Verbindung zu testen. Es wird versucht eine Verbindung zum Host aufzubauen.

  2. Klicken Sie im Bereich Verbindung prüfen auf Test, um die Verbindung zum Host zu testen.

  3. Auf der Seite Wechsel in den administrativen Kontext wählen Sie die Methode, die verwendet werden soll, um administrative Berechtigungen zu erhalten.

    • Wählen Sie die Methode Default, wenn der Benutzer zur Anmeldung am Host bereits administrative Berechtigungen besitzt.

    • Wählen Sie die Methode Sudo, wenn der am Host angemeldete Benutzer administrative Aufgaben als administrativer Benutzer ausführen kann. Erfassen Sie im Eingabefeld Benutzername den alternativen Benutzer, beispielsweise root.

    • Wählen Sie die Methode Su, wenn administrative Aufgaben mit einem anderen Benutzer ausgeführt werden sollen. Erfassen Sie in den Eingabefeldern Benutzername und Kennwort die Anmeldeinformationen des Benutzers. Standardbenutzer ist root.

  1. Auf der Seite One Identity Manager Verbindung überprüfen Sie die Verbindungsdaten zur One Identity Manager-Datenbank. Die Daten werden aus der verbundenen Datenbank geladen. Geben Sie das Kennwort erneut ein.

    HINWEIS:

    • Wenn Sie mit einer unverschlüsselten One Identity Manager-Datenbank arbeiten und noch kein Synchronisationsprojekt in der Datenbank gespeichert ist, erfassen Sie alle Verbindungsdaten neu.

    • Wenn bereits ein Synchronisationsprojekt gespeichert ist, wird diese Seite nicht angezeigt.

  2. Der Assistent lädt das Zielsystemschema. Abhängig von der Art des Zielsystemzugriffs und der Größe des Zielsystems kann dieser Vorgang einige Minuten dauern.

  1. Auf der Seite Zielsystemzugriff einschränken legen Sie fest, wie der Systemzugriff erfolgen soll. Zur Auswahl stehen:
    Tabelle 5: Zielsystemzugriff festlegen
    Option Bedeutung

    Das Zielsystem soll nur eingelesen werden.

    Gibt an, ob nur ein Synchronisationsworkflow zum initialen Einlesen des Zielsystems in die One Identity Manager-Datenbank eingerichtet werden soll.

    Der Synchronisationsworkflow zeigt folgende Besonderheiten:

    • Die Synchronisationsrichtung ist In den One Identity Manager.

    • In den Synchronisationsschritten sind die Verarbeitungsmethoden nur für die Synchronisationsrichtung In den One Identity Manager definiert.

    Es sollen auch Änderungen im Zielsystem durchgeführt werden.

    Gibt an, ob zusätzlich zum Synchronisationsworkflow zum initialen Einlesen des Zielsystems ein Provisionierungsworkflow eingerichtet werden soll.

    Der Provisionierungsworkflow zeigt folgende Besonderheiten:

    • Die Synchronisationsrichtung ist In das Zielsystem.

    • In den Synchronisationsschritten sind die Verarbeitungsmethoden nur für die Synchronisationsrichtung In das Zielsystem definiert.

    • Synchronisationsschritte werden nur für solche Schemaklassen erstellt, deren Schematypen schreibbar sind.

  1. Auf der Seite Synchronisationsserver wählen Sie den Synchronisationsserver, der die Synchronisation ausführen soll.

    Wenn der Synchronisationsserver noch nicht als Jobserver für dieses Zielsystem in der One Identity Manager-Datenbank bekannt gegeben wurde, können Sie einen neuen Jobserver anlegen.

    1. Klicken Sie , um einen neuen Jobserver anzulegen.

    2. Erfassen Sie die Bezeichnung des Jobservers und den vollständigen Servernamen gemäß DNS-Syntax.

      TIPP: Sie können auch einen vorhandenen Jobserver zusätzlich als Synchronisationsserver für dieses Zielsystem einsetzen.

      • Um einen Jobserver auszuwählen, klicken Sie .

      Diesem Jobserver wird die passende Serverfunktion automatisch zugewiesen.

    3. Klicken Sie OK.

      Der Synchronisationsserver wird als Jobserver für das Zielsystem in der One Identity Manager-Datenbank bekannt gegeben.

    4. HINWEIS: Stellen Sie nach dem Speichern des Synchronisationsprojekts sicher, dass dieser Server als Synchronisationsserver eingerichtet ist.

  1. Um den Projektassistenten zu beenden, klicken Sie Fertig.

    Es wird ein Standardzeitplan für regelmäßige Synchronisationen erstellt und zugeordnet. Aktivieren Sie den Zeitplan für die regelmäßige Synchronisation.

    Das Synchronisationsprojekt wird erstellt, gespeichert und sofort aktiviert.

    HINWEIS:

    • Beim Aktivieren wird eine Konsistenzprüfung durchgeführt. Wenn dabei Fehler auftreten, erscheint eine Meldung. Sie können entscheiden, ob das Synchronisationsprojekt dennoch aktiviert werden soll.

      Bevor Sie das Synchronisationsprojekt nutzen, prüfen Sie die Fehler. In der Ansicht Allgemein auf der Startseite des Synchronization Editor klicken Sie dafür Projekt prüfen.

    • Wenn das Synchronisationsprojekt nicht sofort aktiviert werden soll, deaktivieren Sie die Option Synchronisationsprojekt speichern und sofort aktivieren. In diesem Fall speichern Sie das Synchronisationsprojekt manuell vor dem Beenden des Synchronization Editor.

    • Die Verbindungsdaten zum Zielsystem werden in einem Variablenset gespeichert und können bei Bedarf im Synchronization Editor in der Kategorie Konfiguration > Variablen angepasst werden.

Verwandte Themen

Synchronisationsprotokoll konfigurieren

Im Synchronisationsprotokoll werden alle Informationen, Hinweise, Warnungen und Fehler, die bei der Synchronisation auftreten, aufgezeichnet. Welche Informationen aufgezeichnet werden sollen, kann für jede Systemverbindung und für jeden Synchronisationsworkflow separat konfiguriert werden.

Um den Inhalt des Synchronisationsprotokolls für eine Systemverbindung zu konfigurieren

  1. Um das Synchronisationsprotokoll für die Zielsystemverbindung zu konfigurieren, wählen Sie im Synchronization Editor die Kategorie Konfiguration > Zielsystem.

    - ODER -

    Um das Synchronisationsprotokoll für die Datenbankverbindung zu konfigurieren, wählen Sie im Synchronization Editor die Kategorie Konfiguration > One Identity Manager Verbindung.

  2. Wählen Sie den Bereich Allgemein und klicken Sie Konfigurieren.

  3. Wählen Sie den Bereich Synchronisationsprotokoll und aktivieren Sie Synchronisationsprotokoll erstellen.

  4. Aktivieren Sie die zu protokollierenden Daten.

    HINWEIS: Einige Inhalte erzeugen besonders viele Protokolldaten. Das Synchronisationsprotokoll soll nur die für Fehleranalysen und weitere Auswertungen notwendigen Daten enthalten.

  5. Klicken Sie OK.

Um den Inhalt des Synchronisationsprotokolls für einen Synchronisationsworkflow zu konfigurieren

  1. Wählen Sie im Synchronization Editor die Kategorie Workflows.

  2. Wählen Sie in der Navigationsansicht einen Workflow.

  3. Wählen Sie den Bereich Allgemein und klicken Sie Bearbeiten.

  4. Wählen Sie den Tabreiter Synchronisationsprotokoll.

  5. Aktivieren Sie die zu protokollierenden Daten.

    HINWEIS: Einige Inhalte erzeugen besonders viele Protokolldaten. Das Synchronisationsprotokoll soll nur die für Fehleranalysen und weitere Auswertungen notwendigen Daten enthalten.

  6. Klicken Sie OK.

Synchronisationsprotokolle werden für einen festgelegten Zeitraum aufbewahrt.

Um den Aufbewahrungszeitraum für Synchronisationsprotokolle anzupassen

  • Aktivieren Sie im Designer den Konfigurationsparameter DPR | Journal | LifeTime und tragen Sie die maximale Aufbewahrungszeit ein.

Verwandte Themen

Anpassen der Synchronisationskonfiguration

Mit dem Synchronization Editor haben Sie ein Synchronisationsprojekt für die initiale Synchronisation eines Unix Hosts eingerichtet. Mit diesem Synchronisationsprojekt können Sie Unix Objekte in die One Identity Manager-Datenbank einlesen. Wenn Sie Benutzerkonten und ihre Berechtigungen mit dem One Identity Manager verwalten, werden Änderungen in das Unix-basierte Zielsystem provisioniert.

Um die Datenbank und das Unix-basierte Zielsystem regelmäßig abzugleichen und Änderungen zu synchronisieren, passen Sie die Synchronisationskonfiguration an.

  • Um bei der Synchronisation den One Identity Manager als primäres System zu nutzen, erstellen Sie einen Workflow mit der Synchronisationsrichtung In das Zielsystem.

  • Um allgemeingültige Synchronisationskonfigurationen zu erstellen, die erst beim Start der Synchronisation die notwendigen Informationen über die zu synchronisierenden Objekte erhalten, können Variablen eingesetzt werden. Variablen können beispielsweise in den Basisobjekten, den Schemaklassen oder den Verarbeitungsmethoden eingesetzt werden.

  • Mit Hilfe von Variablen kann ein Synchronisationsprojekt für die Synchronisation verschiedener Hosts eingerichtet werden. Hinterlegen Sie die Verbindungsparameter zur Anmeldung an den Hosts als Variablen.

  • Um festzulegen, welche Unix Objekte und Datenbankobjekte bei der Synchronisation behandelt werden, bearbeiten Sie den Scope der Zielsystemverbindung und der One Identity Manager-Datenbankverbindung. Um Dateninkonsistenzen zu vermeiden, definieren Sie in beiden Systemen den gleichen Scope. Ist kein Scope definiert, werden alle Objekte synchronisiert.

  • Wenn sich das One Identity Manager Schema oder das Zielsystemschema geändert hat, aktualisieren Sie das Schema im Synchronisationsprojekt. Anschließend können Sie die Änderungen in das Mapping aufnehmen.

  • Um zusätzliche Schemaeigenschaften zu synchronisieren, aktualisieren Sie das Schema im Synchronisationsprojekt. Nehmen Sie die Schemaerweiterungen in das Mapping auf.

Ausführliche Informationen zum Konfigurieren einer Synchronisation finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Detaillierte Informationen zum Thema
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen