如果 Identity Manager 环境需要多个服务器以运行多个 Identity Manager 驱动程序,则计划应确保在运行这些 Identity Manager 驱动程序的服务器上复制了某些 eDirectory 对象。
只要已过滤复本中包括驱动程序需要读取或同步的所有对象和特性,就可以使用这些复本。
请记住,必须为 Identity Manager 驱动程序对象授予对任何要同步的对象的足够 eDirectory 权限,方法是通过显式授权,或者使驱动程序对象的安全性等效于具有所需权限的对象。
运行 Identity Manager 驱动程序的 eDirectory 服务器(如果使用 Remote Loader,则是驱动程序参照的 eDirectory 服务器)必须保存下列主复本或读/写复本:
该服务器的驱动程序集对象。
运行 Identity Manager 的每个服务器都应该具有一个驱动程序集对象。 除非有特定的需求,否则不要将多个服务器与同一个驱动程序集对象关联。
注:创建驱动程序集对象时,默认设置是创建独立的分区。NetIQ 建议在驱动程序集对象上创建独立的分区。要使 Identity Manager 正常运行,服务器需要保存驱动程序集对象的完整复本。 如果服务器具有驱动程序集对象的安装位置的完整复本,则不需要分区。
该服务器的服务器对象。
服务器对象是必需的,因为驱动程序使用它为对象生成密钥对。对于 Remote Loader 鉴定来说,它也至关重要。
需要同步驱动程序的该实例的对象。
除非这些对象的复本与驱动程序位于同一台服务器上,否则驱动程序不能同步对象。 事实上,Identity Manager 驱动程序将同步在服务器上复制的所有容器中的对象,除非您创建用于范围过滤的规则以另行指定。
例如,如果需要驱动程序同步所有用户对象,最简单的方法是使用驱动程序的一个实例,该驱动程序位于保存所有用户的主复本或读/写复本的服务器上。
但是,许多环境都没有包含所有用户复本的单台服务器。 相反,完整用户集分布在多台服务器上。 在这种情况下,有三种选择:
将用户聚合到单台服务器。 可通过向现有服务器添加复本来创建保存所有用户的单台服务器。 如果需要,只要必需的用户对象和特性是已过滤复本的一部分,就可以使用已过滤复本减少 eDirectory 数据库的大小。
在启用范围过滤的情况下,使用多台服务器上的驱动程序的多个实例。 如果不希望将用户聚合到单台服务器,则需要确定由哪个服务器集保存所有用户,同时在其中的每个服务器上设置 Identity Manager 驱动程序的一个实例。
为防止驱动程序的不同实例尝试同步相同的用户,您将需要使用范围过滤来定义每个驱动程序实例应该同步的用户。范围过滤表示向每个驱动程序添加规则,以将驱动程序的管理范围限制到特定的容器。 请参见使用“范围过滤”管理不同服务器上的用户。
在没有范围过滤的情况下,使用多台服务器上的驱动程序的多个实例。 如果要在不同服务器上运行驱动程序的多个实例且不使用已过滤复本,则需要对不同的驱动程序实例定义策略,以使驱动程序能够处理同一 Identity Vault 中的不同对象集。
创建用户时需要驱动程序使用的模板对象(如果选择使用模板)。
Identity Manager 驱动程序不要求指定用于创建用户的 eDirectory 模板对象。 但是,如果指定在 eDirectory 中创建用户时驱动程序应使用模板,则必须在运行驱动程序的服务器上复制模板对象。
Identity Manager 驱动程序管理用户时需要使用的任何容器。
例如,如果创建了一个名称为“非活动用户”的容器以保存禁用的用户帐户,则必须使运行驱动程序的服务器上具有该容器的主复本或读/写复本(最好是主复本)。
驱动程序需要参照的其他任何对象(例如, 驱动程序的工作指令对象)。
如果驱动程序只是读取而不是更改其他对象,则服务器上的这些对象的复本可以是只读复本。