Chastniimastertver.ru

Ремонт бытовой техники
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Русские Блоги

Русские Блоги

Фильтрация синхронизации каталогов Windows Azure Active Directory

В нашей последней статье была представлена ​​конфигурация службы федеративной проверки подлинности Windows Azure, реализована совместная проверка подлинности локальной Active Directory и Windows Azure Active Directory, а также выполнен единый вход в систему с единым входом. Одним из процессов является синхронизация локальной информации Active Directory с Windows Azure Active Directory с помощью инструмента dirsync. После синхронизации мы обнаружили, что по умолчанию вся информация о локальных группах пользователей синхронизируется с Windows Azure Active Directory. Этот результат синхронизации важен для управления Это очень неудобно для персонала. Почему? Потому что, если есть тысячи или даже десятки тысяч пользователей локально, и эта информация о пользователях синхронизируется с Windows Azure Active Directory, ее неудобно поддерживать, тогда как достичь указанной локальной Active Directory Информация синхронизируется с Windows Azure Active Directory. Ответ, конечно же, заключается в настройке фильтра синхронизации каталогов Active Directory в Windows Azure. Мы синхронизируем указанного пользователя, подразделение или домен с Windows Azure Active Directory с помощью фильтра конфигурации, конфигурации синхронизации по умолчанию, а затем При повторной настройке фильтрации отфильтрованные объекты больше не будут синхронизироваться с облаком. Следовательно, процесс синхронизации каталогов удалит все объекты в облаке, которые ранее были синхронизированы, но впоследствии отфильтрованы из синхронизации. Если вы случайно удалили объекты из-за ошибок фильтрации, вы можете воссоздать эти объекты в облаке, удалив конфигурацию фильтрации и повторно синхронизируя каталог. По умолчанию продолжительность синхронизации составляет 3 часа. Если это должно вступить в силу немедленно, нам необходимо выполнить принудительную синхронизацию каталогов через Windows PowerShell, подробности см. Ниже:http://technet.microsoft.com/zh-cn/library/jj710171.aspx

Мы узнали, что по умолчанию вся локальная информация синхронизируется с Windows Azure Active Directory.

clip_image002

1. На основе организационного подразделения (OU)

Этот тип фильтра можно использовать в средстве синхронизации каталогов для управления свойствами агента управления SourceAD. Этот тип фильтра позволяет вам выбрать, какие подразделения вы хотите разрешить синхронизацию с облаком.

1. Войдите на компьютер, на котором выполняется синхронизация каталогов, с учетной записью, принадлежащей локальной группе безопасности MIISAdmins.

clip_image004

Open Identity Manager by double-clicking miisclient.exe that is located in the following folder:

%ProgramFiles%Microsoft Azure Active Directory SyncSYNCBUSSynchronization ServiceUIShell

clip_image006

clip_image008

In Identity Manager, click Management Agents, and then double-click Active Directory Connector.

clip_image010

clip_image012

Click Configure Directory Partitions, and then click Containers

clip_image014

Note:When presented with the credentials dialog box, the MSOL_AD_Sync account will be displayed. This account is using a randomly generated password, so administrators will not know the password. When performing this filtering operation, you should enter an account which has access to the Active Directory forest. The account used here should be an Enterprise Admin. The Enterprise Admin account can view the entire forest and perform the filtering within any domain within the forest. Using a Domain Admin will limit the scope of what the Directory Synchronization tool can view and may not be viable when needing to expand the filter into other domains.

Итак, мы снова вводим учетную запись администратора домена и пароль для проверки

clip_image016

In the Select Containers dialog box, clear the OUs that you don’t want to synch with the cloud directory, and then click OK. Click OK on the SourceAD Propertiespage

clip_image018

clip_image020

Perform a full sync: on the Management Agent tab, right-click Active Directory Connector, click Run, click Full Import Full Sync, and then click OK.

clip_image022

clip_image024
начать синхронизацию

clip_image026

clip_image028

После синхронизации проверяем статус пользователя azure

clip_image030

2. На основе домена:

Этот тип фильтра можно использовать в средстве синхронизации каталогов для управления свойствами агента управления SourceAD. Этот тип позволяет вам выбрать, какие домены разрешить синхронизацию с облаком.

1.Log on to the computer that is running directory synchronization by using an account that is a member of the MIISAdmins local security group.

2.Open Identity Manager by double-clicking miisclient.exe that is located in the following folder:

%ProgramFiles%Windows Azure Active Directory SyncSYNCBUSSynchronization ServiceUIShell

3.In Identity Manager, click Management Agents, and then double-click Active Directory Connector.

clip_image032

Click Configure Directory Partitions, and then select the domains that you want to synchronize. To filter a domain out of the synchronization process, clear the domain’s check box.

clip_image034

If you have removed a domain from the scope of the Active Directory Connector, you need to update its run profiles:

1).Right-click the Active Directory Connector, and then select Configure Run Profiles.

2).From Full Import run profile step details, select the step for the domain you just unselected, and then click Delete Step.

3).Click OK.

4).Perform a full sync: on the Management Agent tab, right-click Active Directory Connector, click Run, click Full Import Full Sync, and then click OK.

3. Исходя из пользовательских характеристик:

Этот метод фильтрации можно использовать, чтобы указать фильтр на основе свойств для пользовательских объектов. Таким образом, вы можете контролировать, какие объекты не следует синхронизировать с облаком; процесс фильтрации на основе характеристик пользователя может применяться только к объектам пользователя. Контакты и группы используют сложные правила фильтрации, которые выходят за рамки этой статьи. Чтобы
Чтобы отфильтровать определенных пользователей, вам необходимо обновить объекты пользователей в локальной организации, которые вы не хотите синхронизировать с облаком. Вы можете фильтровать по любым характеристикам объекта пользователя. …
Например, вы можете добавить строку «NoSync» к пользовательскому атрибуту extensionAttribute15 для каждого пользователя в локальной организации, которого вы не хотите синхронизировать с облаком. В этом примере после настройки локальных пользователей вы создадите правило фильтрации в Identity Manager, чтобы исключить пользователей «NoSync» из процесса синхронизации. …
В следующей процедуре описывается, как настроить фильтрацию пользователей с использованием строки «NoSync» в extensionAttrtibute15.

1. В меню «Вид» в «Пользователи и компьютеры Active Directory» выберите «Дополнительные функции», а затем откройте страницу свойств пользователя.

2. На вкладке «Редактор атрибутов» установите для extensionAttribute15 значение NoSync.

1. Используйте учетную запись, принадлежащую локальной группе безопасности MIISAdmins, для входа на компьютер, на котором выполняется синхронизация каталогов.

Читайте так же:
Установка системы на ноутбук asus с флешки

2. Откройте Identity Manager, дважды щелкнув файл miisclient.exe, расположенный в следующей папке:

%ProgramFiles%Microsoft Azure Active Directory SyncSYNCBUSSynchronization ServiceUIShell

3. В Identity Manager щелкните «Агенты управления», а затем дважды щелкните «Соединитель Active Directory».

4. Щелкните «Настроить фильтр коннектора», а затем выполните следующие действия:

5. Выберите «Пользователь» в таблице «Тип объекта источника данных», а затем нажмите «Создать».

6. В «Фильтре пользователей» для атрибута «Источник данных» выберите extensionAttribute15, для «Оператора» — 7. Выберите «равно», а затем введите NoSync в поле «Значение».

8. Щелкните «Добавить условие», а затем «ОК».

9. На странице свойств SourceAD нажмите кнопку ОК.

10Выполните полную синхронизацию. На вкладке «Агенты управления» щелкните правой кнопкой мыши «Коннектор Active Directory», а затем выберите «Выполнить», «Полный импорт с полной синхронизацией» и «ОК».

4.синхронизированное время

Мы наконец подтвердили в журнале, что по умолчанию время синхронизации dirsync составляет каждые 3 часа.

clip_image036

Если нам нужно понять влияние измененного атрибута, мы можем выполнить принудительную синхронизацию через PowerShell.

5. Используйте windows powershell для принудительной синхронизации каталогов

Нам нужно запустить Powshell на компьютере, на котором запущен инструмент каталога синхронизации, ввести import-module dirsync и нажать Enter для подтверждения.

Затем мы используем start-onlinecoexistencesync для принудительной синхронизации

clip_image038

После выполнения мы можем увидеть время синхронизации на странице портала Windows Azure.

clip_image040

Наконец, мы подчеркнем еще одну проблему: при настройке синхронизации каталогов система создаст группу пользователей синхронизации в локальном лесу Active Directorty и будет использовать учетную запись сервера для чтения и синхронизации вашей локальной информации Active Directory.

После настройки и синхронизации инструмента для данной организации облачного клиента нельзя настроить ту же установку синхронизации каталогов для заполнения других облачных клиентов.

Записки IT специалиста

Админу на заметку — 21. Используем PowerShell для синхронизации каталогов

  • Автор: Уваров А.С.
  • 16.03.2017

powershell-synchronizing-000.png

В арсенале каждого системного администратора со временем накапливаются удобные инструменты, которые значительно облегчают выполнение ряда повседневных задач. Чаще всего это небольшие, но удобные утилиты или скрипты. Мы постоянно знакомим наших читателей с различными инструментами из нашей коллекции и на этот раз речь пойдет о простом, но достаточно функциональном PowerShell-скрипте для односторонней синхронизации каталогов.

Синхронизация каталогов — довольно часто встречающаяся задача, когда необходимо поддерживать соответствие содержимого в нескольких местах. От копирования данная операция выгодно отличается тем, что позволяет передавать только новые или измененные объекты, что позволяет существенно сократить трафик и время выполнения задачи. В Linux системах для этой цели есть мощная и удобная утилита rsync, а в Windows — robocopy, которые давно зарекомендовали себя и широко используются системными администраторами.

Но не так давно мы нашли один интересный PowerShell-скрипт который может послужить удобной заменой robocopy для простых задач автоматизации. Скрипт написан энтузиастом и выложен на сайте автора. Также архив со скриптом можно скачать по прямой ссылке:

Внутри находится собственно скрипт Sync-Folder.ps1, который следует разместить в любом удобном месте.

Что интересного может предложить нам этот скрипт? На наш взгляд, основное его достоинство — это поддержка конфигурационных файлов в формате XML, в которых мы можем описать сразу несколько заданий с параметрами, которые будут выполнены последовательно. Кстати, robocopy тоже позволяет создавать файлы заданий, но один файл может содержать только одно задание и предназначен прежде всего для того, чтобы каждый раз не вводить все опции.

Давайте распакуем наш скрипт в произвольную папку, скажем C:ADM и разместим там же файл конфигурации MySyncJob.xml. Будучи запущен без параметров скрипт ищет рядом с собой файл Sync-FolderConfiguration.xml и выполняет записанное в нем задание, это может быть удобно, но на наш взгляд удобнее давать конфигурационным файлам осмысленные наименования, что облегчит в последующем поиск нужных заданий, а также убережет от возможного нежелательного выполнения задания в случае случайного запуска скрипта. Все свои действия скрипт записывает в файл лога, который располагается в своей рабочей директории.

powershell-synchronizing-001.png

Откроем блокнотом XML-файл и внесем в него следующее содержимое (пример взят с сайта автора скрипта):

Начинается файл конфигурации с тега <Configuration>, который следует обязательно закрыть в конце. Задания синхронизации находятся внутри тегов <SyncPair>, обязательными являются два тега <Source> — путь к источнику данных и <Target> — место назначения. Можно указывать как локальные, так и сетевые расположения.

Тег <Filter> позволяет задать некоторую маску для копирования, например, только txt-файлы. Обратите внимание, что это именно маска, а не перечень расширений и т.п. Допускается использование подстановочных выражений, но фильтр может быть только один. Например, такая конструкция работать не будет, хотя ошибкой не является:

Использование в пределах одного задания двух тегов <Filter> приведет к синтаксической ошибке, поэтому если вам нужно копировать только файлы двух типов, скажем PNG и JPG, то следует создать два задания с одинаковыми параметрами, но разными фильтрами.

Заданное без подстановочных знаков выражение будет восприниматься буквально. Если вы хотите синхронизировать все файлы, содержащие в имени строку old, то следует указать:

отберет все файлы, которые начинаются с old, т.е. файл oldfile.txt будет скопирован, а fileold.txt — нет, в то время как с предыдущим фильтром были бы скопированы оба.

Кроме фильтра можно задавать исключения, которых может быть много и для их описания используется тег <ExceptionList>, внутри которого располагается список исключений, каждое из которых оформляется тегами <Exception>. В приведенном примере будут пропущены все файлы txt имеющие в имени строку p234.

После того, как файл конфигурации создан самое время проверить его в деле, запустим консоль PowerShell и запустим наш скрипт, указав ему пусть к конфигурационному файлу:

По результатам работы скрипта вы получите короткий отчет, более подробную информацию можно почерпнуть из лога, который очень хорошо читается и предоставляет исчерпывающую информацию, откуда и куда копируем, какой фильтр, какие исключения и какие именно действия были предприняты.

powershell-synchronizing-002.png

Если вы отлаживаете сложный сценарий, то столь подробный лог окажется очень к месту, также можно включить интерактивный вывод результатов в консоль, используя ключ -Verbose:

powershell-synchronizing-003.png

Если необходимо вызывать скрипт из командной строки или пакетного файла, то следует использовать следующую конструкцию:

Читайте так же:
Установка операционной системы программного обеспечения расценка

В целях безопасности PowerShell-скрипты могут исполняться только интерактивно, т.е. сначала нужно запустить оболочку PowerShell, а затем в ней вызвать скрипт. В нашем случае сначала запускается оболочка, которой передается нужная команда на исполнение скрипта, аналогичная тому, как это было бы сделано интерактивно.

Существует также другой метод, когда файл скрипта передается оболочке в качестве аргумента, он достаточно широко распространен в различных материалах в сети, но не является рекомендуемым, так как в этом случае некоторые механизмы скриптов могут работать некорректно. В нашем случае будет неправильно определена автоматическая переменная

В итоге скрипт попытается записать файл лога не рядом с собой, а в корень диска C:, что обычно запрещено политиками безопасности и приведет к ошибке.

powershell-synchronizing-004.png

Чтобы добавить наш скрипт в планировщик заданий следует поступить аналогичным образом, создадим новую задачу, установим условия ее выполнения и на закладке Действия в качестве действия выберем Запуск программы, в поле Программа или сценарий укажем

а в поле Добавить аргументы внесем команду на исполнение скрипта, также как мы это делали в командной строке:

powershell-synchronizing-005.png

Как видим, данный скрипт не делает ничего такого, что не умела бы robocopy, но благодаря возможности использовать конфигурационные файлы позволяет упростить многие задачи по синхронизации данных. В один конфигурационный файл можно добавить нужное число заданий, а простой и структурированный синтаксис позволяет легко читать данные файлы. Добавьте к этому подробные и понятные логи.

Кроме того, использование для автоматизации PowerShell скриптов гораздо более безопасно, чем пакетных файлов, так как это исключает возможность ошибочного или случайного запуска просто по двойному клику.

Надеемся, что данный материал окажется вам полезен и указанный скрипт займет достойное место в применяемых вами инструментах.

Помогла статья? Поддержи автора и новые статьи будут выходить чаще:

Поддержи проект!

Или подпишись на наш Телеграм-канал: Подпишись на наш Telegram-канал

Синхронизация с LDAP

ESET Secure Authentication поддерживает синхронизацию с LDAP.

Одно синхронизированное организационное подразделение для одного домена (служба каталогов)

С одним доменом (служба каталогов) можно синхронизировать только одно организационное подразделение. При синхронизации Active Directory (домен Windows) GUID определенного организационного подразделения становится идентификатором созданной области.

При синхронизации каталога другого типа, идентификатором созданной области становится весь Server LDAP Path (Путь к серверу LDAP).

1. Откройте ESA Web Console (Веб-консоль ESA) и нажмите кнопку Users (Пользователи).

2. Рядом с параметром Realms (Область) щелкните и выберите Create Synchronized Realm (Создать синхронизированную область).

3. Введите адрес сервера LDAP, выберите соответствующий тип сервера LDAP из раскрывающегося меню Sync Server type (Тип сервера) синхронизации и введите имя пользователя и пароль LDAP.

4. Если импорт будет выполняться только один раз, оставьте поле Sync interval (Интервал синхронизации без изменений). В противном случае выберите соответствующий интервал синхронизации.

5. Установите флажок Run immediately (Запустить сейчас) и нажмите Save (Сохранить).

users_create-synchronized-realm

Как только ваш экземпляр ESA синхронизируется с LDAP, выполните следующие действия, чтобы синхронизировать его повторно вручную:

1. В разделе Realms (Области) выберите сохраненный и синхронизированный сервер LDAP.

2. Щелкните значок шестеренки , а затем — Synchronize Now (Синхронизировать сейчас).

Поддерживаемые параметры конфигурации

• objFilter — обязательно; используется в качестве фильтра для выбора объекта пользователя в LDAP.

• AttrName — необязательно; имя свойства пользователя LDAP, в котором хранится имя пользователя. Если для поля Sync Server Type (Тип сервера синхронизации) выбрано значение Windows LDAP , то имя пользователя считывается из свойства sAMAccountName . В противном случае имя пользователя считывается из свойства cn .

• AttrPhone — необязательно; имя свойства пользователя LDAP, в котором хранится номер телефона. Если параметр AttrPhone AttrPhone не используется, то номер мобильного телефона считывается из пользовательского поля, заданного по умолчанию в ESA Web Console > Settings (Настройки) > Mobile Number Field (Поле номера мобильного телефона).

• AuthType — необязательно; определяет тип аутентификации, который используется при подключении к серверу LDAP. Значение по умолчанию для платформы Windows равно 1 (безопасно), для других платформ — 0 (нет). Доступные значения:

o 2 (шифрование/SecureSetsLayer)

o 4 (ReadonlyServer)

o 64 (подписание)

o 128 (блокирование)

o 256 (Delegation)

o 512 (ServerBind)

Дополнительные сведения о каждом типе аутентификации см. в официальной документации Майкрософт.

Синхронизация каталогов с помощью MIIS.

Управление учетными данными и другими данными системы безопасности в больших гетерогенных сетях может быть достаточно сложной задачей. Кроме того, просчеты в управлении можгут привести к возникновению угроз безопасности вашей сети. К счастью, Microsoft Identity Integration Server (MIIS) 2003 позволяет синхронизировать учетные данные различных каталогов и служб и консолидировать их в единое решение уровня предприятия. Это позволит повысить безопасность вашей сети и упростит управление ресурсами.

Основными функциями MIIS 2003 являются:

  • синхронизация каталогов;
  • инициализация учетных записей;
  • публикация сертификатов;
  • управление группами;
  • управление глобальными списками адресов (Global Address Lists, GALs);
  • управление паролями и их синхронизация.

MIIS 2003 состоит из четырех основных компонентов: подключаемых источников данных, агентов управления (Management Agents), пространств подключения (connector spaces) и метабазы (metaverse). Мы вкратце рассмотрим каждый из компонентов и опишем работу всей системы в целом.

Подключаемые источники данных

Подключаемые источники данных – это система, которая обеспечивает обмен информацией между сервером MIIS 2003 и внешними источниками данных. В роли подключаемых источников данных может выступать множество систем, включая службы каталогов (например, Active Directory), базы данных и даже отдельные файлы. В табл. 1 приведен список поддерживаемых в MIIS 2004 Service Pack 1 (SP1) подключаемых источников данных.

Табл. 1. Поддерживаемые источники данных

Active Directory
Active Directory Application Mode (ADAM)
Active Directory Global Address List (GAL)
Текстовый файл с парами «атрибут-значение»
Текстовый файл с разделителями
Файл на языке Directory Services Mark-up Language (DSML) 2.0
Exchange Server 5.5
Exchange Server 5.5 (сервер-плацдарм)
Текстовый файл с фиксированной длинной строки
IBM DB2 Universal Databases
IBM Resource Access Control Facility (RACF)
IBM Tivoli Directory Server
LDAP Data Interchange Format (LDIF)
Lotus Notes 4.6, 5.0 и 6.x
Microsoft Exchange Server 2000 (используется агент управления для Active Directory)
Microsoft SQL Server 7.0 или SQL Server 2000
Netscape Directory Servers
Novell eDirectory 8.6.2, 8.7 и 8.7.x
Oracle Database 8i или 9i
Sun ONE Directory Server: 4.x и 5.x
Windows NT 4.0
Читайте так же:
Установка операционной системы на eee pc

Агенты управления

Каждому из подключаемых источников данных соответствует свой агент управления. Он предназначен для управления обменом информацией между подключаемым источником данных и MIIS. При модификации синхронизированных данных в подключаемом источнике данных или в MIIS (при помощи заданных правил) агент управления своевременно синхронизирует данные в MIIS или в подключаемом источнике. Поскольку каждому источнику данных соответствует свой агент управления, типы агентов управления совпадают с типами подключаемых источников данных. Для подключения источника данных, отсутствующего в табл. 1 , можно воспользоваться универсальным агентом управления MIIS. Он может быть сконфигурирован для подключения к любой системе, предоставляющей программный доступ к своим данным. Такой агент называют агентом управления с расширенными возможностями подключения (extensible connectivity management agent). На рис. 1 показано создание агента управления Active Directory, названного NewAgent.

alt
Рис. 1. Создание агента управления

Все агенты управления схожи по своей структуре, существуют лишь некоторые отличия, зависящие от типа агента. Ряд задач решают все агенты управления, независимо от их типа: обнаружение схемы (schema discovery), настройка фильтра подключения (connector filter), настройка правил слияния и проецирования (join and projection rules), настройка переноса атрибутов (attribute flow) и механизма деинициализации (deprovisioning), а также определение расширений правил (rule extensions).

Кроме того, агенты управления обеспечивают управление паролями, мы обсудим этот вопрос подробнее. Перечисленные ниже агенты управления имеют встроенную поддержку управления паролями в MIIS 2003 SP1: Active Directory, Active Directory Application Mode (ADAM), Lotus Notes, Sun и Netscape Directory Servers, Novell eDirectory, а также Windows NT 4.0. В любой агент управления можно программно добавить поддержку управления паролями.

Пространства подключений

Пространство подключений – это своего рода «площадка» для хранения и обработки информации, принимаемой и отправляемой агентом управления. Информация, которая находится в этой зоне агента управления, используется для синхронизации с метабазой либо предназначена для экспорта в источник данных. Каждый из подключенных источников данных имеет собственную логическую область в пространстве подключений, которая используется соответствующим агентом управления. На самом деле пространство подключений не содержит подключенного источника данных в виде объекта, а содержит набор атрибутов подключенных источников данных, определенных в агенте управления. При обработке бизнес-правил MIIS не обращается напрямую к подключенному источнику данных, используя вместо этого объект пространства подключений. Это повышает скорость синхронизации метабазы и подключенных источников данных.

Метабаза

Метабаза – это набор таблиц, содержащих информацию об учетных данных, собранных от подключенных источников. Эти таблицы хранятся в базе данных SQL Server и содержат агрегированные данные по каждой из записей в том виде, в котором эта запись представлена в подключенных источниках данных. Атрибуты и объекты извлекаются из метабазы и записываются обратно в нее. Информация об изменениях, поступающая в метабазу, используется для ее своевременного обновления, а модифицированные данные из метабазы предназначены для обновления подключенных источников данных через соответствующие пространства подключений. Метабаза имеет свою собственную схему, определяющую хранимые в ней объекты и атрибуты. Все объекты метабазы должны принадлежать только к типам, определенным в схеме. Схема метабазы по умолчанию содержит следующие объекты (этот список может быть расширен администратором):

  • компьютер (computer)
  • домен (domain)
  • группа (group)
  • регион (locality)
  • организация (organization)
  • подразделение (organizational unit)
  • пользователь (person)
  • принтер (printer)
  • роль (role)

Теперь, когда мы познакомились со структурой и компонентами MIIS 2003 SP1, настало время более подробно обсудить подсистему управления паролями.

Управление паролями в MIIS

Пароли являются одними из наиболее уязвимых данных в сети, но попытка заставить пользователей использовать стойкие пароли может встретить серьезное сопротивление. Конечно, пользователям легче использовать простые, удобные для запоминания пароли (или вообще их не использовать), но администраторы всегда пытаются ввести более строгие правила. Эта проблема особенно остро возникает в сетях с разнородными каталогами, где у пользователя может быть несколько учетных записей с различными требованиями к паролям. В MIIS 2003 SP1 есть несколько новых механизмов синхронизации и управления паролями, которые могут помочь в управлении паролями и облегчить работу администраторов:

  • система аудита позволяет отслеживать изменения паролей через журналы событий;
  • при помощи API разработчики могут добавлять в свои приложения поддержку управления паролями;
  • пользователь или администратор может изменять пароли в едином центре или с помощью web-приложения;
  • для расширения функциональности MIIS 2003 предусмотрена возможность использования приложений сторонних производителей;
  • политики паролей, определенные, к примеру, в Active Directory, могут быть распространены на все остальные системы.

При установке MIIS 2003 по умолчанию создается несколько групп безопасности. Две из них используются исключительно для управления паролями – это группы MIISBrowse и MIISPasswordSet. Группы MIISAdmins, MIISOperators и MIISJoiners используются MIIS 2003 для других целей. Список групп и их назначение приведены в табл. 2 .

Табл. 2. Группы безопасности

ГруппыНазначение
MIISBrowseЧлены этой группы имеют разрешения на получение информации об учетных записях пользователей при поиске с помощью запросов Windows Management Instrumentation (WMI)
MIISPasswordSetЧлены группы могут выполнять поиск определенной учетной записи, устанавливать пароли и изменять их через интерфейсы управления паролями WMI
MIISAdminsЧлены группы имеют полный доступ ко всем операциям в Identity Manager
MIISOperatorsЧлены группы имеют доступ только к модулю Operations программы Identity Manager. Члены группы MIISOperators могут запускать агенты управления, просматривать статистику синхронизации и сохранять хронологию запуска. Для получения возможности перехода по ссылкам в статистике синхронизации пользователь также должен быть членом группы MIISBrowse
MIISJoinersЧлены группы имеют доступ к модулям Metaverse Search и Joiner программы Identity Manager. MIISJoiners могут выполнять слияние и проецирование разъединителей (disconnectors) путем использования модуля Joiner. Они также могут использовать поиск в метабазе для отображения свойств объекта и выполнения операции исключения объектов из метабазы

Служба уведомления о смене пароля

Управление паролями для многих администраторов является достаточно трудной задачей и требует больших затрат времени. К счастью, в MIIS 2003 SP1 для облегчения этого процесса появилась специальная служба уведомления о смене пароля (Password Change Notification Service, PCNS). Она позволяет своевременно отправлять информацию о смене пароля на сервер MIIS 2003. Когда начинается сброс на контроллере домена в результате нажатия пользователем комбинации Ctrl+Alt+Del или по инициативе администратора, запрос сброса пароля перехватывается. Перехваченный запрос шифруется и направляется на сервер MIIS 2003, и во время синхронизации направляется на все подключенные источники данных (указанные в настройках системы управления паролями). Подробнее об установке PCNS и настройке агента управления см. во врезках с соответствующими названиями.

Заключение

В статье были рассмотрены основные компоненты MIIS 2003 и их совместная работа. Также дан краткий обзор службы PCNS и ее возможностей по управлению паролями и их синхронизации. Эти сведения полезны при внедрении в организации систем синхронизации учетных данных и управления паролями. Дополнительную информацию по рассмотренным вопросам вы сможете найти по адресу microsoft.com/windowsserversystem/miis2003/default.mspx (EN)

Установка службы Password Change Notification Service

Служба PCNS по умолчанию не устанавливается. Необходимые файлы находятся на установочном диске. Для установки службы необходимо запустить файл service.msi в папке Password Synchronization.

При установке PCNS появится диалоговое окно ( рис. 2 ), сообщающее, что для продолжения следует расширить схему с помощью команды msiexec /i «D:ENGLISHIIS2003ENT_SP1PASSWORD SYNCHRONIZATIONPASSWORD CHANGE NOTIFICATION SERVICE.MSI» SCHEMAONLY=TRUE.

После этого появится диалоговое окно с запросом подтверждеия расширения схемы. Щелкните OK для продолжения.

После этого можно продолжить установку PCNS. По ее завершении необходимо перезагрузить компьютер, чтобы изменения вступили в силу.

Будут установлены три компонента PCNS: pcnsflt.dll, pcnssvc.exe и pcnscfg.exe.

Pcnsflt.dll — фильтр, который перехватывает любые изменения паролей.

Pcnssvc.exe — сама служба PCNS. Эта программа шифрует и отправляет изменения паролей на назначенный сервер MIIS 2003.

Pcnscfg.exe — утилита командной строки для настройки службы PCNS.

Файлы pcnssvc.exe и pcnscfg.exe находятся в каталоге %Systemroot%Program FilesMicrosoft Password Change Notification Service. После установки PCNS необходимо будет настроить ее с помощью pcnscfg.exe, указав сервер MIIS 2003, который будет принимать изменения паролей. На рис. 3 показаны некоторые возможные параметры командной строки pcnscfg.exe.

alt
Рис. 2. Расширение схемы

alt
Рис. 3. Некоторые параметры Pcnscfg.exe

Настройка агента управления

Следующим шагом после установки PCNS является настройка агента управления. Создание агента управления состоит из 10 шагов.

Для начала в Identity Integration Server выберите вкладку Management Agent, щелкните правой кнопкой Management Agents и выберите Create. Далее необходимо указать тип агента управления (см. рис. 4 ).

После выбора типа агента необходимо подключиться к определенному лесу и настроить разделы каталогов. На этом экране также находится флажок Enable this partition as a password synchronization source, который необходимо установить для включения синхронизации паролей (см. рис. 5).

После этого необходимо указать, какой тип объекта вы хотите использовать, настроить атрибуты, фильтр соединения, правила слияния и проецирования, перенос атрибутов, деинициализацию учетных записей и расширения. В настройках расширений необходимо установить флажок Enable password management (см. рис. 6).

alt
Рис. 4. Настройка разделов каталога

alt
Рис. 5. Настройка агента управления

alt
Рис. 6. Включение системы управления паролями

Двусторонняя синхронизация файлов

— Я сейчас тебе скину инфу, вечером дома почитаешь и пришлешь мне свои соображения. В первую очередь меня интересуют затраты времени и кого из программистов ты привлечешь к работе. Шеф достал из кармана свой бадди-комп и что-то пробормотал в него. Мой комп высветил перед глазами информацию о прямом коннекте и начал загрузку информации. Наши с шефом компы были настроены друг на друга, так что не пришлось делать лишних телодвижений, чтобы подтвердить прием.

      Вот этот открывок из произведения и надоумил меня, а ведь можно сделать такое в реальном исполнение. Поэтому данная заметка будет своего рода решением сформированной задачи на основе любимого произведения.Т.е. мне нужно сделать синхронизацию файлов между системами

    Ubuntu 12.04.5 Desktop/Server, Windows 7, Server 2008 R2

          В роли инструмента который будет играть практическую роль выступит утилита — unison

        Для того, чтоб синхронизация файлов работала нужно использовать одинаковую версию. Сейчас я пока разберу, как настроить двухстороннюю связь между двумя системами под управлением

        Ubuntu 12.04.5 Server amd64

          Обновляю информацию по репозитариям и устанавливаю данную утилиту из дефолтных репозитариев:

        $ sudo apt-get update —fix-missing && sudo apt-get upgrade -y

        $ sudo apt-get update —fix-missing && sudo apt-get upgrade -y

        Также на обоих системах должно быть синхронизировано время:

        Текущая доступная версия из репозитариев:

        $ sudo apt-cache show unison | grep Version

        а на официальном сайте уже доступна: 2.40.102

        $ sudo apt-get install unison -y

        $ sudo apt-get install unison -y

        Настраиваю доступ между системами по ключам ssh:

        Повторять здесь шаги не буду потому как есть опубликованная практическая заметка:

        Для первой системы доступ на основе публичных ключей:

        /.ssh/id_rsa.pub | ssh -p 22 ekzorchik@192.168.0.197 ‘umask 077;test -d .ssh | mkdir .ssh; cat >> .ssh/authorized_keys’

        The authenticity of host ‘192.168.0.197 (192.168.0.197)’ can’t be established. ECDSA key fingerprint is 89:fd:7c:8d:07:15:42:73:c3:27:10:34:8b:5c:a2:b8. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added ‘192.168.0.197’ (ECDSA) to the list of known hosts.

        ekzorchik@192.168.0.197’s password: 712 mbddr@

        Для второй системы доступ на основе публичных ключей:

        /.ssh/id_rsa.pub | ssh -p 22 ekzorchik@192.168.136 ‘umask 077;test -d .ssh| mkdir .ssh; cat >> .ssh/authorized_keys’

        Отлично. Но не забываем проверить, что аутентификация между двумя системами работает и пароль не запрашивается. Т.к. у меня на обоих системах присутствует учетная запись ekzorchik, то перед подключение через ssh не надо указывать под каким пользователем происходит аутентификация, если у Вас пользователь, а он будет отличен от рассмотренного в этой заметке то следует использовать ключ «- l” <user_name> . Теперь перехожу к настройке самой утилиты: — Unison — утилита которая помимо rsync может осуществлять двухсторонную синхронизацию файлов/каталогов. К примеру вы подключаете свой внешний носитель к системе и прям как во большинстве фильмов данные с компьютера копируются Вам. Разве Вам такого не хотелось.

        На заметку: если осуществлять синхронизацию между различными системами, Ubuntu, Windows то обязательным условияем является использованием одинаковой версии программа, потому как есть полученные практические ошибки при использовании различных версий.

        Каталог который буду настраивать на синхронизацию:

        $ mkdir shara — содержащий наработки повседневного использования в течении всего времени работы в одной компании:

        Задача: нужно настроить двухстороннюю синхронизацию для определенных директорий с файлами:

        Чтобы начать синхронизацию:

        $ unison shara/ ssh://192.168.0.197//home/ekzorchik/shara Contacting server… Connected [//srv-mon//home/ekzorchik/shara -> //srv-phone//home/ekzorchik/shara] Looking for changes Warning:

        No archive files were found for these roots, whose canonical names are: /home/ekzorchik/shara //srv-mon//home/ekzorchik/shara This can happen either because this is the first time you have synchronized these roots, or because you have upgraded Unison to a new version with a different archive format. Update detection may take a while on this run if the replicas are large. Unison will assume that the ‘last synchronized state’ of both replicas was completely empty. This means that any files that are different will be reported as conflicts, and any files that exist only on one replica will be judged as new and propagated to the other replica. If the two replicas are identical, then no changes will be reported. If you see this message repeatedly, it may be because one of your machines is getting its address from DHCP, which is causing its host name to change between synchronizations. See the documentation for the UNISONLOCALHOSTNAME environment variable for advice on how to correct this. Donations to the Unison project are gratefully accepted: http://www.cis.upenn.edu/

        Waiting for changes from server Reconciling changes local srv-mon dir —-> tips_firma [f]

        Proceed with propagating updates? [] y

        Propagating updates UNISON 2.40.65 started propagating changes at 12:16:34.07 on 25 Nov 2014 [BGN] Copying tips_mebetal from /home/ekzorchik/shara to //srv-mon//home/ekzorchik/shara Shortcut: copied /home/ekzorchik/shara/tips_firma/tips_exe/user.txt from local file /home/ekzorchik/shara/.unison.tips_firma.9ffec30340641776fecf8dcd7a31f5f8.unison.tmp/file.txt Shortcut: copied /home/ekzorchik/shara/tips_firma/

        $ps_report_25_11_2014_v1.docx from local file /home/ekzorchik/shara/.unison.tips_firma.9ffec30340641776fecf8dcd7a31f5f8.unison.tmp/

        $ps_report_20_11_2014_v1.docx [END] Copying tips_firma UNISON 2.40.65 finished propagating changes at 12:16:43.22 on 25 Nov 2014 Saving synchronizer state Synchronization complete at 12:16:43 (1 item transferred, 0 skipped, 0 failed)

        Файлы переехали на вторую систему:

        Входе перемещения каталога потребовалось ответить на вопросы мастера касательно процесса синхронизации, но так не очень то и удобно, мне нужна бесшовная синхронизация. Добиться такого можно составить специальный файл ответов (расширение prf) . Данный файл располагается в профиле пользователя в скрытой директории:

        $ ls -al | grep .unison

        drwx—— 2 ekzorchik ekzorchik 4096 Nov 25 12:16 .unison

        Далее прорабатываю составление файла ответов:

        # Unison preferences file

        #Для включения пакетного режима и автоматического ответа на вопросы

        # выводить в консоль информацию о действиях если поставить значение true то на консоль не будет выводиться ничего.

        #файлы которые нужно пропускать при синхронизации

        # подстановочные ключевые слова: Name, Path, BelowPath, Regex

        ignore = Name * .tmp

        #если синронизация между системами Windows & Ubuntu, то для трансформации прав

        #сохраняем лог с результатами работы в отдельном файле

        # Определяем команду для отображения отличий между копиями файлов при конфликте

        diff = diff -y -W 79 –suppress-common-lines

        Сохраняем внесенные изменения:

        Если на srv-phone удалили все текстовые файлы в каталоге share/tips_firma/*.txt

        UNISON 2.40.65 finished propagating changes at 16:02:40.72 on 25 Nov 2014

        Saving synchronizer state

        Synchronization complete at 16:02:40 (604 items transferred, 0 skipped, 0 failed)

        На заметку: если не нужен вывод в консоль в момент выполнения команды unison, то следует в профиль синхронизации для параметра silent = false присвоить значение true. Изменения применятся мгновенно.

        проверю, что случилось со всеми текстовыми файлами на srv-mon:

        l s: cannot access shara/tips_firma/*.txt: No such file or directory

        их нет, как и должно быть синхронизация прошла успешно.

        Теперь можно настроить запланированное задание для учетной записи файлы которой происводятся синхронизировать:

        * 1 * * * /usr/bin/unison &> /dev/null

        Сохраняем внесенные изменения. Этим заданием я говорю, запускать каждый час утилиту unison для синхронизации каталог обозначенного в дефолтном профиле именуемом, как default.prf. Если профилей у Вас несколько, то нужно указать так: / usb/bin/unison profile.prf

        Но следует быть осторожный при такой двухсторонней синхронизации, удалив файлы с другого хоста srv-mon, а на первом хосте srv-phone Отработало задание, которое произведет сверку файлов и также удалит на первом их. По сути получается, что синхронизировать по двухстороннему обмену ключевые каталоги следует очень внимательно, можно быстро попращаться со всеми файлами вслучае каких либо изменений по нечаянности. Но как дополнительный рубеж можно подключить систему контроля версий — git, как выход.

        Отлично с настройкой под мои текущие задачи все более или менен понятно, теперь разберу как произвести обновление до самой актуальной версии : 2.40.102 которая доступна для Ubuntu 14.04.1, поэтому просто посредством сайта packages.ubuntu.com найду пути пакетов которые скачаю и установлю в систему в ручном режиме:

        $ wget -c http://mirrors.kernel.org/ubuntu/pool/universe/u/unison/unison_2.40.102-2ubuntu1_amd64.deb

        $ wget -c http://mirrors.kernel.org/ubuntu/pool/universe/u/unison2.32.52/unison2.32.52_2.32.52-7ubuntu1_amd64.deb

        $ wget -c http://mirrors.kernel.org/ubuntu/pool/universe/m/meta-unison/unison-all_2.40+2_all.deb

        Устанавливаю по такому же порядку как и производил скачивание:

        $ sudo dpkg -i unison_2.40.102-2ubuntu1_amd64.deb

        $ sudo dpkg -i unison2.32.52_2.32.52-7ubuntu1_amd64.deb

        $ sudo dpkg -i unison-all_2.40+2_all.deb

        Проверяю текущую версию:

        unison version 2.40.102 — отлично самая последняя актуальная. Точно такие же действия произвожу и на второй системе:

        Информацию по конструктивным особенностям работы текущей версии можно подчерпнуть из справки: (много интересного описано)

        Ранее я рассматривал похожую утилиту lftp которую можно также приспособить для решения описанного здесь решения, но как ещё одно средство выбора исполнения поставленной задачи такая утилита, как unison тоже имеет право на свое существование. Отличие к примеру от утилиты rsync, то что первым делом при первой синхронизации происходит подсчет и хранение контрольных сумм новых и измененных файлов ну а уже после если файлы на основе этого и просходит отслеживание, а утилита lftp проделывается точно такие же манипуляции. Считаю что на этом моменте я пока завершу данную заметку, поставленную цель выполнил, прощаюсь, с уважением автор блога — ekzorchik.

        Используйте прокси ((заблокировано роскомнадзором, используйте vpn или proxy)) при использовании Telegram клиента:

        Поблагодари автора и новые статьи

        будут появляться чаще 🙂

        Карта МКБ: 4432-7300-2472-8059

        Большое спасибо тем кто благодарит автора за практические заметки небольшими пожертвованиями. С уважением, Олло Александр aka ekzorchik.

        голоса
        Рейтинг статьи
Ссылка на основную публикацию
Adblock
detector