Für die Einrichtung des Synchronisationsprojektes sollten Sie die folgenden Informationen bereit halten.
Tabelle 4: Benötigte Informationen für die Erstellung eines Synchronisationsprojektes
Servername oder IP Adresse des Hosts |
Vollständiger Name oder IP-Adresse des Hosts, gegen den sich der Synchronisationsserver verbindet, um auf die Unix Objekte zuzugreifen. |
Kommunikationsport auf dem Host |
Kommunikationsport auf dem Host zum Aufbau einer Secure Shell (SSH) Verbindung. Standardport ist TCP-Port 22. |
Authentifizierung |
Die Anmeldeinformationen sind abhängig von der gewählten Authentifizierungsmethode.
-
Authentifizierungsmethode Kennwort: Benutzerkonto und Kennwort zur Anmeldung am Host. Dieses Benutzerkonto wird für den Zugriff auf den Host per SSH verwendet. Das Benutzerkonto benötigt die Berechtigung zum Aufbau einer SSH-Verbindung.
-
Authentifizierungsmethode Privater Schlüssel: Datei mit dem privaten Schlüssel und die Passphrase. |
Methode, Benutzername und Kennwort zur Berechtigungserhöhung |
Für die Ausführung von Kommandos ist der Wechsel in den administrativen Kontext erforderlich. Stellen Sie ein Benutzerkonto mit ausreichenden administrativen Berechtigungen bereit. Mit diesem Benutzerkonto werden Schreiboperationen auf den Unix-Objekten ausgeführt.
Verfügbare Methoden sind:
-
Default: Der Benutzer zur Anmeldung am Host besitzt bereits administrative Berechtigungen.
-
Sudo: Der Benutzer zur Anmeldung am Host kann die administrativen Aufgaben mit den Berechtigungen eines anderen Benutzers , beispielsweise root, ausführen. Die Konfiguration erfolgt über die sudoer-Datei auf dem Host.
Beispiel für eine Konfiguration der minimale Berechtigungen für einen Beispielbenutzer OneIM:
OneIM ALL=(root) NOPASSWD: /usr/sbin/useradd, /usr/sbin/usermod, /usr/sbin/userdel, /usr/bin/passwd, /usr/sbin/groupadd, /bin/mv /tmp/*, /bin/mv /etc/group.tmp /etc/group*, /bin/chmod 644 /etc/group.tmp, /bin/chown * /etc/group.tmp
-
su: Diese Methode verwendet das su Kommando zum Kontextwechsel. Es wird ein weiterer Benutzer mit administrativen Berechtigungen benötigt. |
Synchronisationsserver für das Unix-basierte Zielsystem |
Vom Synchronisationsserver werden alle Aktionen des One Identity Manager Service gegen die Zielsystemumgebung ausgeführt. Die für die Synchronisation und Administration mit der One Identity Manager-Datenbank benötigten Einträge werden vom Synchronisationsserver bearbeitet.
Auf dem Synchronisationsserver muss der One Identity Manager Service mit dem Unix Konnektor installiert sein.
Der Synchronisationsserver muss im One Identity Manager als Jobserver bekannt sein. Verwenden Sie beim Einrichten des Jobservers die folgenden Eigenschaften.
|
Verbindungsdaten zur One Identity Manager-Datenbank |
-
Datenbankserver
-
Name der Datenbank
-
SQL Server-Anmeldung und Kennwort
-
Angabe, ob integrierte Windows-Authentifizierung verwendet wird
Die Verwendung der integrierten Windows-Authentifizierung wird nicht empfohlen. Sollten Sie das Verfahren dennoch einsetzen, stellen Sie sicher, dass Ihre Umgebung Windows-Authentifizierung unterstützt. |
Remoteverbindungsserver |
Um die Synchronisation mit einem Zielsystem zu konfigurieren, muss der One Identity Manager Daten aus dem Zielsystem auslesen. Dabei kommuniziert der One Identity Manager direkt mit dem Zielsystem. Mitunter ist der direkte Zugriff von der Arbeitsstation, auf welcher der Synchronization Editor installiert ist, nicht möglich, beispielsweise aufgrund der Firewall-Konfiguration oder weil die Arbeitsstation nicht die notwendigen Hard- oder Softwarevoraussetzungen erfüllt. Wenn der direkte Zugriff von der Arbeitsstation nicht möglich ist, kann eine Remoteverbindung eingerichtet werden.
Konfiguration des Remoteverbindungsservers:
-
One Identity Manager Service ist gestartet
-
RemoteConnectPlugin ist installiert und ein Authentifizierungsverfahren ist eingerichtet
-
Unix Konnektor oder AIX Konnektor ist installiert
Der Remoteverbindungsserver muss im One Identity Manager als Jobserver bekannt sein. Es wird der Name des Jobservers benötigt.
TIPP: Der Remoteverbindungsserver benötigt dieselbe Konfiguration (bezüglich der installierten Software sowie der Berechtigungen des Benutzerkontos) wie der Synchronisationsserver. Nutzen Sie den Synchronisationsserver gleichzeitig als Remoteverbindungsserver, indem Sie das RemoteConnectPlugin zusätzlich installieren.
Ausführliche Informationen zum Herstellen einer Remoteverbindung finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation. |
Verwandte Themen
HINWEIS: Der folgende Ablauf beschreibt die Einrichtung eines Synchronisationsprojekts, wenn der Synchronization Editor
Wenn der Projektassistent im Expertenmodus ausgeführt wird oder direkt aus dem Synchronization Editor gestartet wird, können zusätzliche Konfigurationseinstellungen vorgenommen werden. Folgen Sie in diesen Schritten den Anweisungen des Projektassistenten.
HINWEIS: Pro Zielsystem und genutzter Standardprojektvorlage kann genau ein Synchronisationsprojekt erstellt werden.
Um ein initiales Synchronisationsprojekt für ein Unix-basiertes Zielsystem einzurichten
-
Starten Sie das Launchpad und melden Sie sich an der One Identity Manager-Datenbank an.
HINWEIS: Wenn die Synchronisation über einen Anwendungsserver ausgeführt werden soll, stellen Sie die Datenbankverbindung über den Anwendungsserver her.
-
Wählen Sie den Eintrag Zielsystemtyp Unix und klicken Sie Starten.
Der Projektassistent des Synchronization Editors wird gestartet.
-
Auf der Startseite des Projektassistenten klicken Sie Weiter.
-
Auf der Seite Systemzugriff legen Sie fest, wie der One Identity Manager auf das Zielsystem zugreifen kann.
-
Ist der Zugriff von der Arbeitsstation, auf der Sie den Synchronization Editor gestartet haben, möglich, nehmen Sie keine Einstellungen vor.
-
Ist der Zugriff von der Arbeitsstation, auf der Sie den Synchronization Editor gestartet haben, nicht möglich, können Sie eine Remoteverbindung herstellen.
Aktivieren Sie die Option Verbindung über einen Remoteverbindungsserver herstellen und erfassen Sie die Eigenschaften der Remoteverbindung.
-
Zugriffsparameter
-
Server: Vollständiger Servername oder IP-Adresse des Servers.
Um einen vorhandenen Jobserver als Remoteverbindungsserver auszuwählen, klicken Sie und wählen Sie den Server aus der Auswahlliste. Es werden alle Jobserver angezeigt, für welche die Serverfunktion One Identity Manager Service installiert ausgewählt ist.
-
Port: Port, der für das RemoteConnectPlugin konfiguriert ist.
-
Authentifizierung
Wenn für das RemoteConnectPlugin SecretAuthentication konfiguriert ist:
Wenn für das RemoteConnectPlugin ADGroupAuthentication konfiguriert ist, sind hier keine Angaben erforderlich.
-
Optionen
-
Timeout bei Anfragen: Maximale Dauer für eine Serveranfrage in Sekunden. Wenn die Zeit überschritten ist, wird die Anfrage abgebrochen.
-
Akzeptiere selbstsignierte Zertifikate: Gibt an, ob selbstsignierte Zertifikate akzeptiert werden dürfen.
-
Auf der Seite Allgemeine Verbindungseinstellungen erfassen Sie Verbindungsinformationen zum Unix-Host.
-
Geben Sie im Eingabefeld Server oder IP den Servernamen oder die IP-Adresse des Host ein.
-
Geben Sie im Eingabefeld Port den Kommunikationsport für den Aufbau der SSH-Verbindung an. Standard-Kommunikationsport ist der TCP-Port 22.
-
Wählen Sie die Authentifizierungsmethode. Abhängig von der gewählten Methoden erfassen Sie die weiteren Informationen zur Authentifizierung.
-
Für die Authentifizierungsmethode Kennwort erfassen Sie das Benutzerkonto und das Kennwort zur SSH-Anmeldung am Host.
-
Für die Authentifizierungsmethode Privater Schlüssel benötigen Sie den privaten Schlüssel und die Passphrase.
-
Klicken Sie Test, um die Verbindung zu testen. Es wird versucht eine Verbindung zum Host aufzubauen.
-
Klicken Sie im Bereich Verbindung prüfen auf Test, um die Verbindung zum Host zu testen.
-
Auf der Seite Wechsel in den administrativen Kontext wählen Sie die Methode, die verwendet werden soll, um administrative Berechtigungen zu erhalten.
-
Wählen Sie die Methode Default, wenn der Benutzer zur Anmeldung am Host bereits administrative Berechtigungen besitzt.
-
Wählen Sie die Methode Sudo, wenn der am Host angemeldete Benutzer administrative Aufgaben als administrativer Benutzer ausführen kann. Erfassen Sie im Eingabefeld Benutzername den alternativen Benutzer, beispielsweise root.
-
Wählen Sie die Methode Su, wenn administrative Aufgaben mit einem anderen Benutzer ausgeführt werden sollen. Erfassen Sie in den Eingabefeldern Benutzername und Kennwort die Anmeldeinformationen des Benutzers. Standardbenutzer ist root.
-
Auf der Seite One Identity Manager Verbindung überprüfen Sie die Verbindungsdaten zur One Identity Manager-Datenbank. Die Daten werden aus der verbundenen Datenbank geladen. Geben Sie das Kennwort erneut ein.
HINWEIS:
-
Wenn Sie mit einer unverschlüsselten One Identity Manager-Datenbank arbeiten und noch kein Synchronisationsprojekt in der Datenbank gespeichert ist, erfassen Sie alle Verbindungsdaten neu.
-
Wenn bereits ein Synchronisationsprojekt gespeichert ist, wird diese Seite nicht angezeigt.
-
Der Assistent lädt das Zielsystemschema. Abhängig von der Art des Zielsystemzugriffs und der Größe des Zielsystems kann dieser Vorgang einige Minuten dauern.
- Auf der Seite Zielsystemzugriff einschränken legen Sie fest, wie der Systemzugriff erfolgen soll. Zur Auswahl stehen:
Tabelle 5: Zielsystemzugriff festlegen
Das Zielsystem soll nur eingelesen werden. |
Gibt an, ob nur ein Synchronisationsworkflow zum initialen Einlesen des Zielsystems in die One Identity Manager-Datenbank eingerichtet werden soll.
Der Synchronisationsworkflow zeigt folgende Besonderheiten:
|
Es sollen auch Änderungen im Zielsystem durchgeführt werden. |
Gibt an, ob zusätzlich zum Synchronisationsworkflow zum initialen Einlesen des Zielsystems ein Provisionierungsworkflow eingerichtet werden soll.
Der Provisionierungsworkflow zeigt folgende Besonderheiten:
-
Die Synchronisationsrichtung ist In das Zielsystem.
-
In den Synchronisationsschritten sind die Verarbeitungsmethoden nur für die Synchronisationsrichtung In das Zielsystem definiert.
-
Synchronisationsschritte werden nur für solche Schemaklassen erstellt, deren Schematypen schreibbar sind. |
-
Auf der Seite Synchronisationsserver wählen Sie den Synchronisationsserver, der die Synchronisation ausführen soll.
Wenn der Synchronisationsserver noch nicht als Jobserver für dieses Zielsystem in der One Identity Manager-Datenbank bekannt gegeben wurde, können Sie einen neuen Jobserver anlegen.
-
Klicken Sie , um einen neuen Jobserver anzulegen.
-
Erfassen Sie die Bezeichnung des Jobservers und den vollständigen Servernamen gemäß DNS-Syntax.
TIPP: Sie können auch einen vorhandenen Jobserver zusätzlich als Synchronisationsserver für dieses Zielsystem einsetzen.
Diesem Jobserver wird die passende Serverfunktion automatisch zugewiesen.
- Klicken Sie OK.
Der Synchronisationsserver wird als Jobserver für das Zielsystem in der One Identity Manager-Datenbank bekannt gegeben.
-
HINWEIS: Stellen Sie nach dem Speichern des Synchronisationsprojekts sicher, dass dieser Server als Synchronisationsserver eingerichtet ist.
-
Um den Projektassistenten zu beenden, klicken Sie Fertig.
Es wird ein Standardzeitplan für regelmäßige Synchronisationen erstellt und zugeordnet. Aktivieren Sie den Zeitplan für die regelmäßige Synchronisation.
Das Synchronisationsprojekt wird erstellt, gespeichert und sofort aktiviert.
HINWEIS:
-
Beim Aktivieren wird eine Konsistenzprüfung durchgeführt. Wenn dabei Fehler auftreten, erscheint eine Meldung. Sie können entscheiden, ob das Synchronisationsprojekt dennoch aktiviert werden soll.
Bevor Sie das Synchronisationsprojekt nutzen, prüfen Sie die Fehler. In der Ansicht Allgemein auf der Startseite des Synchronization Editor klicken Sie dafür Projekt prüfen.
-
Wenn das Synchronisationsprojekt nicht sofort aktiviert werden soll, deaktivieren Sie die Option Synchronisationsprojekt speichern und sofort aktivieren. In diesem Fall speichern Sie das Synchronisationsprojekt manuell vor dem Beenden des Synchronization Editor.
-
Die Verbindungsdaten zum Zielsystem werden in einem Variablenset gespeichert und können bei Bedarf im Synchronization Editor in der Kategorie Konfiguration > Variablen angepasst werden.
Verwandte Themen
Im Synchronisationsprotokoll werden alle Informationen, Hinweise, Warnungen und Fehler, die bei der Synchronisation auftreten, aufgezeichnet. Welche Informationen aufgezeichnet werden sollen, kann für jede Systemverbindung und für jeden Synchronisationsworkflow separat konfiguriert werden.
Um den Inhalt des Synchronisationsprotokolls für eine Systemverbindung zu konfigurieren
-
Um das Synchronisationsprotokoll für die Zielsystemverbindung zu konfigurieren, wählen Sie im Synchronization Editor die Kategorie Konfiguration > Zielsystem.
- ODER -
Um das Synchronisationsprotokoll für die Datenbankverbindung zu konfigurieren, wählen Sie im Synchronization Editor die Kategorie Konfiguration > One Identity Manager Verbindung.
-
Wählen Sie den Bereich Allgemein und klicken Sie Konfigurieren.
-
Wählen Sie den Bereich Synchronisationsprotokoll und aktivieren Sie Synchronisationsprotokoll erstellen.
-
Aktivieren Sie die zu protokollierenden Daten.
HINWEIS: Einige Inhalte erzeugen besonders viele Protokolldaten. Das Synchronisationsprotokoll soll nur die für Fehleranalysen und weitere Auswertungen notwendigen Daten enthalten.
- Klicken Sie OK.
Um den Inhalt des Synchronisationsprotokolls für einen Synchronisationsworkflow zu konfigurieren
-
Wählen Sie im Synchronization Editor die Kategorie Workflows.
-
Wählen Sie in der Navigationsansicht einen Workflow.
-
Wählen Sie den Bereich Allgemein und klicken Sie Bearbeiten.
-
Wählen Sie den Tabreiter Synchronisationsprotokoll.
-
Aktivieren Sie die zu protokollierenden Daten.
HINWEIS: Einige Inhalte erzeugen besonders viele Protokolldaten. Das Synchronisationsprotokoll soll nur die für Fehleranalysen und weitere Auswertungen notwendigen Daten enthalten.
- Klicken Sie OK.
Synchronisationsprotokolle werden für einen festgelegten Zeitraum aufbewahrt.
Um den Aufbewahrungszeitraum für Synchronisationsprotokolle anzupassen
Verwandte Themen
Mit dem Synchronization Editor haben Sie ein Synchronisationsprojekt für die initiale Synchronisation eines Unix Hosts eingerichtet. Mit diesem Synchronisationsprojekt können Sie Unix Objekte in die One Identity Manager-Datenbank einlesen. Wenn Sie Benutzerkonten und ihre Berechtigungen mit dem One Identity Manager verwalten, werden Änderungen in das Unix-basierte Zielsystem provisioniert.
Um die Datenbank und das Unix-basierte Zielsystem regelmäßig abzugleichen und Änderungen zu synchronisieren, passen Sie die Synchronisationskonfiguration an.
-
Um bei der Synchronisation den One Identity Manager als primäres System zu nutzen, erstellen Sie einen Workflow mit der Synchronisationsrichtung In das Zielsystem.
-
Um allgemeingültige Synchronisationskonfigurationen zu erstellen, die erst beim Start der Synchronisation die notwendigen Informationen über die zu synchronisierenden Objekte erhalten, können Variablen eingesetzt werden. Variablen können beispielsweise in den Basisobjekten, den Schemaklassen oder den Verarbeitungsmethoden eingesetzt werden.
-
Mit Hilfe von Variablen kann ein Synchronisationsprojekt für die Synchronisation verschiedener Hosts eingerichtet werden. Hinterlegen Sie die Verbindungsparameter zur Anmeldung an den Hosts als Variablen.
-
Um festzulegen, welche Unix Objekte und Datenbankobjekte bei der Synchronisation behandelt werden, bearbeiten Sie den Scope der Zielsystemverbindung und der One Identity Manager-Datenbankverbindung. Um Dateninkonsistenzen zu vermeiden, definieren Sie in beiden Systemen den gleichen Scope. Ist kein Scope definiert, werden alle Objekte synchronisiert.
-
Wenn sich das One Identity Manager Schema oder das Zielsystemschema geändert hat, aktualisieren Sie das Schema im Synchronisationsprojekt. Anschließend können Sie die Änderungen in das Mapping aufnehmen.
-
Um zusätzliche Schemaeigenschaften zu synchronisieren, aktualisieren Sie das Schema im Synchronisationsprojekt. Nehmen Sie die Schemaerweiterungen in das Mapping auf.
Ausführliche Informationen zum Konfigurieren einer Synchronisation finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.
Detaillierte Informationen zum Thema