Il convient d'être particulièrement prudent lors de la fusion d'arborescences eDirectory lorsque l'une au moins comporte un conteneur Sécurité. Vérifiez qu'il s'agit bien d'une opération que vous souhaitez vraiment réaliser. Cette procédure peut en effet être longue et fastidieuse.
Pour fusionner des arborescences avec plusieurs conteneurs Sécurité :
Dans iManager, identifiez les arborescences à fusionner.
Identifiez l'arborescence source et l'arborescence cible.
Tenez compte des remarques suivantes concernant la sécurité pour les arborescences source et cible :
Tous les certificats signés par l'autorité de certificat organisationnelle de l'arborescence source doivent être supprimés.
L'autorité de certificat organisationnelle de l'arborescence source doit être supprimée.
Tous les secrets d'utilisateur enregistrés dans NetIQ SecretStore sur l'arborescence source doivent être supprimés.
Toutes les méthodes de connexion NMAS de l'arborescence source doivent être supprimées et réinstallées dans l'arborescence cible.
Tous les utilisateurs NMAS de l'arborescence source doivent être de nouveau enrôlés une fois les arborescences fusionnées.
Tous les utilisateurs et serveurs qui se trouvaient dans l'arborescence source doivent disposer de nouveaux certificats créés une fois les arborescences fusionnées.
Les secrets de tous les utilisateurs qui se trouvaient dans l'arborescence source doivent être réinstallés dans SecretStore.
Si aucune des arborescences source ou cible ne possède de conteneur appelé Sécurité à la racine de l'arborescence, ou si seule une arborescence dispose d'un conteneur de sécurité, aucune autre action n'est nécessaire. Sinon, poursuivez la procédure.
Ce chapitre comprend les informations suivantes :
selon l'utilisation du produit, les objets et éléments auxquels il est fait référence peuvent ne pas être présents. Si les objets et éléments cités dans une étape donnée ne sont pas présents dans l'arborescence source, vous pouvez ignorer l'étape.
Tous les certificats de racine approuvée de l'arborescence source doivent être installés dans l'arborescence cible.
Les certificats de racine approuvée sont stockés dans des objets Racine approuvée, stockés dans des conteneurs Racine approuvée. Les conteneurs de racine approuvée peuvent être créés à tout emplacement de l'arborescence. Cependant, seuls les certificats de racine approuvée se trouvant dans les conteneurs de racine approuvée du conteneur de sécurité doivent être déplacés manuellement depuis l'arborescence source vers l'arborescence cible.
Installez les certificats de racine approuvée dans l'arborescence cible.
Sélectionnez un conteneur Racine approuvée du conteneur de sécurité dans l'arborescence source.
Créez un conteneur Racine approuvée dans le conteneur Sécurité de l'arborescence cible, portant le nom exact utilisé dans l'arborescence source (Étape 2.a).
Dans l'arborescence source, ouvrez un objet Racine approuvée dans le conteneur du même nom sélectionné et exportez le certificat.
IMPORTANT :notez l'emplacement et le nom du fichier utilisé. Vous en aurez besoin à la prochaine étape.
Dans l'arborescence cible, créez un objet Racine approuvée dans le conteneur créé à l'Étape 2.b. Spécifiez le même nom que pour l'arborescence source et, lorsque vous êtes invité à préciser le certificat, spécifiez le fichier créé à Étape 2.c.
Supprimez l'objet Racine approuvée de l'arborescence source.
Reprenez la procédure de l'Étape 2.c à l'Étape 2.e jusqu'à ce que tous les objets Racine approuvée du conteneur Racine approuvée sélectionné soient installés dans l'arborescence cible.
Supprimez le conteneur Racine approuvée de l'arborescence source.
Répétez la procédure de l'Étape 2.a à l'Étape 2.f jusqu'à ce que tous les conteneurs de racine approuvée soient supprimés de l'arborescence source.
Supprimez l'autorité de certificat organisationnelle de l'arborescence source.
L'objet Autorité de certificat organisationnelle se trouve dans le conteneur de sécurité.
IMPORTANT :après cette étape, tous les certificats signés par l'autorité de certification organisationnelle de l'arborescence source sont inutilisables. Cela comprend les certificats serveur et les certificats utilisateur signés par l'autorité de certificat organisationnelle de l'arborescence source.
Supprimez tous les objets Matériel clé (KMO – Key Material Object) de l'arborescence source possédant un certificat signé par l'autorité de certification organisationnelle de l'arborescence source.
Les objets Matériel clé de l'arborescence source possédant des certificats signés par d'autres autorités de certificat restent valides et n'ont pas à être supprimés.
Si vous n'êtes pas sûr de l'identité de l'autorité de certification apposant sa signature pour un objet Matériel clé, consultez la section Certificat de racine approuvée de l'onglet Certificats sur la page de propriétés de l'objet Matériel clé.
Supprimez tous les certificats utilisateur de l'arborescence source signés par l'autorité de certificat organisationnelle de l'arborescence source.
Si les utilisateurs de l'arborescence source ont déjà exporté leurs certificats et clés privées, ces certificats et clés exportés seront toujours utilisables. Les clés privées et les certificats restant dans eDirectory ne peuvent plus être utilisés après l'Étape 3.
Pour chaque utilisateur disposant de certificats, ouvrez les propriétés de l'objet Utilisateur. La liste de tous les certificats pour l'utilisateur s'affiche dans la section Certificats de l'onglet Sécurité. Tous les certificats dont l'émetteur est l'autorité de certificat organisationnelle doivent être supprimés.
Si NetIQ Single Sign-on est installé sur un ou plusieurs serveurs de l'arborescence source, vous devez supprimer tous les secrets NetIQ Single Sign-on pour les utilisateurs de l'arborescence source.
Pour chaque utilisateur qui emploie NetIQ Single Sign-on dans l'arborescence source, ouvrez les propriétés de l'objet Utilisateur. Tous les secrets de l'utilisateur sont répertoriés dans la section SecretStore de l'onglet Sécurité. Supprimez tous les secrets répertoriés.
REMARQUE :selon l'utilisation du produit, les objets et éléments auxquels il est fait référence peuvent ne pas être présents. S'ils ne se trouvent pas dans l'arborescence source, vous pouvez ignorer cette étape.
selon l'utilisation du produit, les objets et éléments auxquels il est fait référence peuvent ne pas être présents. S'ils ne se trouvent pas dans l'arborescence source, vous pouvez ignorer cette étape.
Dans l'arborescence cible, installez toutes les méthodes de connexion NMAS de l'arborescence source qui n'y figurent pas encore.
Pour vous assurer que tous les composants de connexion client et serveur nécessaires sont correctement installés dans l'arborescence cible, il est recommandé d'installer toutes les nouvelles méthodes de connexion à partir des sources NetIQ d'origine ou des sources fournies par le revendeur.
Bien que les méthodes puissent être réinstallées à partir des fichiers de serveur existants, il est généralement plus simple et plus fiable de procéder à une installation à partir de paquetages fournis par NetIQ ou par le fournisseur.
Pour être sûr que les séquences de connexion établies précédemment dans l'arborescence source seront bien disponibles dans l'arborescence cible, migrez les séquences de connexion souhaitées.
Dans iManager, sélectionnez le conteneur de sécurité de l'arborescence source.
Cliquez avec le bouton droit sur l'objet Login Policy (Stratégie de connexion) et sélectionnez Propriétés.
Pour chaque séquence de connexion figurant dans la liste déroulante Defined Login Sequences (Séquences de connexion définies), notez les méthodes de connexion utilisées (affichées dans le volet de droite).
Sélectionnez le conteneur de sécurité dans l'arborescence cible et répliquez les séquences de connexion en utilisant les mêmes méthodes de connexion qu'à l'Étape 2.c.
Pour terminer, cliquez sur OK.
Supprimez les attributs de sécurité des connexions NMAS dans l'arborescence source.
Dans le conteneur Sécurité de l'arborescence source, supprimez l'objet Stratégie de connexion.
Dans le conteneur Méthodes de connexion autorisées de l'arborescence source, supprimez toutes les méthodes de connexion.
Supprimez le conteneur Méthodes de connexion autorisées de l'arborescence source.
Dans le conteneur Méthodes de post-connexion autorisées de l'arborescence source, supprimez toutes les méthodes de connexion.
Supprimez ensuite le conteneur Méthodes de post-login autorisées de l'arborescence source.
REMARQUE :pour supprimer les méthodes de connexion autorisées, utilisez ldapdelete.
selon l'utilisation du produit, les objets et éléments auxquels il est fait référence peuvent ne pas être présents. S'ils ne se trouvent pas dans l'arborescence source, vous pouvez ignorer cette étape.
Supprimez l'objet W0 et le conteneur KAP de l'arborescence source.
Le conteneur KAP se trouve dans le conteneur de sécurité. L'objet W0 se trouve dans le conteneur KAP.
Sur tous les serveurs de l'arborescence source, supprimez les clés de l'infrastructure du domaine de sécurité (Security Domain Infrastructure, SDI) en supprimant le fichier /var/opt/novell/nici/uid/nicisdi.key sous Linux et le fichier %SystemRoot%\SysWOW64\Novell\NICI\nicisdi.key sous Windows.
IMPORTANT :Veillez à supprimer ce fichier sur tous les serveurs de l'arborescence source.
Si un conteneur de sécurité existe dans l'arborescence source, supprimez-le avant de fusionner les arborescences.
L'utilitaire DSMerge permet de fusionner les arborescences eDirectory. Pour plus d'informations, reportez-vous au Section 10.0, Fusion d'arborescences NetIQ eDirectory et à l'Section B.0, Commandes et syntaxe NetIQ eDirectory Linux.
Ce chapitre comprend les informations suivantes :
Si vous utilisez NetIQ Certificate Server, après la fusion des arborescences, réémettez, si nécessaire, des certificats pour les serveurs et les utilisateurs qui se trouvaient auparavant dans l'arborescence source.
Si vous utilisez NetIQ Single Sign-on, après la fusion des arborescences, recréez, si nécessaire, des secrets SecretStore pour les utilisateurs qui se trouvaient auparavant dans l'arborescence source.
Si vous utilisez NMAS, après la fusion des arborescences, réinscrivez si nécessaire les utilisateurs NMAS qui se trouvaient auparavant dans l'arborescence source.
Pour plus d'informations, reportez-vous au Section 24.0, Présentation de l'infrastructure d'authentification d'eDirectory.