L'utilitaire Importation/Conversion/Exportation NetIQ vous permet d'effectuer les opérations suivantes :
Importer des données à partir de fichiers LDIF vers un annuaire LDAP.
Exporter des données à partir de l'annuaire LDAP vers un fichier LDIF.
Faire migrer des données entre des serveurs LDAP.
effectuer une comparaison et une mise à niveau de schéma ;
Charger des informations dans eDirectory à l'aide d'un modèle.
importer un schéma à partir de fichiers SCH dans un annuaire LDAP.
L'utilitaire Importation/Conversion/Exportation NetIQ gère un ensemble de gestionnaires qui lisent ou écrivent des données dans différents formats. Les gestionnaires source lisent les données tandis que les gestionnaires cible les inscrivent. Un module exécutable unique peut être à la fois un gestionnaire source et un gestionnaire cible. Le moteur reçoit des données d'un gestionnaire source, les traite, puis les transmet à un gestionnaire cible.
Par exemple, si vous souhaitez importer des données LDIF dans un annuaire LDAP, le moteur Importation/Conversion/Exportation NetIQ utilise un gestionnaire source LDIF pour lire le fichier LDIF et un gestionnaire cible LDAP pour transmettre ces données au serveur d'annuaire LDAP. Pour plus d'informations sur la syntaxe, la structure et le débogage des fichiers LDIF, reportez-vous à l'Section I.0, Dépannage.
Vous pouvez exécuter l'utilitaire Importation/Conversion/Exportation NetIQ à partir de la ligne de commande ou de l'assistant Importation/Conversion/Exportation de NetIQ iManager. Le gestionnaire de données séparées par une virgule n'est cependant disponible que dans l'utilitaire de ligne de commande et dans NetIQ iManager.
Vous pouvez exécuter l'utilitaire Importation/Conversion/Exportation NetIQ de l'une des manières suivantes :
L'assistant et l'interface de ligne de commande permettent d'accéder au moteur Importation/Conversion/Exportation NetIQ. L'interface de ligne de commande offre cependant des options supplémentaires pour combiner des gestionnaires source et cible.
L'utilitaire Importation/Conversion/Exportation NetIQ remplace à la fois les utilitaires BULKLOAD et ZONEIMPORT inclus dans les versions précédentes de NDS et eDirectory.
L'assistant Importation/Conversion/Exportation permet d'effectuer les opérations suivantes :
Pour plus d'informations sur l'accès à NetIQ iManager et sur son utilisation, reportez-vous au Guide d'administration de NetIQ iManager.
iManager intègre des options permettant d'ajouter un schéma manquant au schéma d'un serveur. Ce processus implique une comparaison d'une source et d'une cible. Si le schéma source contient un schéma supplémentaire, ce dernier est ajouté au schéma cible. La source peut être un fichier ou un serveur LDAP, et la destination doit être un serveur LDAP.
L'Assistant ICE dans iManager permet d'ajouter le schéma manquant à l'aide des options suivantes :
ICE peut comparer le schéma dans la source et la cible. La source est un fichier ou serveur LDAP ; la cible, un serveur LDAP. Le fichier du schéma source peut être au format LDIF ou SCH.
Figure 7-1 Comparaison et ajout du schéma depuis un fichier
Si vous souhaitez simplement comparer le schéma sans ajouter de schéma supplémentaire au serveur de destination, sélectionnez l'option Ne pas ajouter mais comparer le schéma. Dans ce cas, le schéma supplémentaire n'est pas ajouté au serveur cible, mais les différences de schéma peuvent être affichées en cliquant sur le lien disponible à la fin de l'opération.
Figure 7-2 Comparaison du schéma et consignation des résultats dans un fichier de sortie
La source et la cible sont des serveurs LDAP.
Si vous souhaitez simplement comparer le schéma sans ajouter de schéma supplémentaire au serveur de destination, sélectionnez l'option Ne pas ajouter mais comparer le schéma. Dans ce cas, le schéma supplémentaire n'est pas ajouté au serveur cible, mais les différences de schéma peuvent être affichées en cliquant sur le lien disponible à la fin de l'opération.
Dans NetIQ iManager, cliquez sur le bouton Rôles et tâches .
Cliquez sur Maintenance > Assistant Importation/Conversion/Exportation.
Cliquez sur Importer les données depuis un fichier du disque, puis sur Suivant.
Sélectionnez le type de fichier à importer.
Entrez le nom du fichier qui contient les données à importer, spécifiez les options appropriées, puis cliquez sur Suivant.
Les options de cette page dépendent du type de fichier que vous avez sélectionné. Pour plus d'informations sur les options disponibles, cliquez sur Aide.
Spécifiez le serveur LDAP dans lequel importer les données.
Ajoutez les options appropriées, décrites dans le tableau ci-dessous :
Option |
Description |
---|---|
Nom/Adresse IP du serveur DNS |
Nom DNS ou adresse IP du serveur LDAP cible |
Port |
Numéro de port (nombre entier) du serveur LDAP cible |
Fichier DER |
Nom du fichier DER qui contient une clé de serveur utilisée pour l'authentification SSL |
Méthode de connexion |
Connexion authentifiée ou anonyme (pour l'entrée spécifiée dans le champ DN utilisateur) |
DN utilisateur |
Nom distinctif de l'entrée à utiliser lors de la liaison à l'opération de liaison définie sur le serveur |
Mot de passe |
Attribut de mot de passe de l'entrée spécifiée dans le champ DN utilisateur |
Cliquez sur Suivant, puis sur Terminer.
Dans NetIQ iManager, cliquez sur le bouton Rôles et tâches .
Cliquez sur Maintenance > Assistant Importation/Conversion/Exportation.
Cliquez sur Exporter les données vers un fichier du disque, puis sur Suivant.
Spécifiez le serveur LDAP comportant les entrées à exporter.
Les paramètres avancés permettent de configurer des options supplémentaires pour le gestionnaire source LDAP. Pour plus d'informations sur les options disponibles, cliquez sur Aide.
Ajoutez les options appropriées, décrites dans le tableau ci-dessous :
Option |
Description |
---|---|
Nom/Adresse IP du serveur DNS |
Nom DNS ou adresse IP du serveur LDAP source |
Port |
Numéro de port (nombre entier) du serveur LDAP source |
Fichier DER |
Nom du fichier DER qui contient une clé de serveur utilisée pour l'authentification SSL |
Méthode de connexion |
Connexion authentifiée ou anonyme (pour l'entrée spécifiée dans le champ DN utilisateur) |
DN utilisateur |
Nom distinctif de l'entrée à utiliser lors de la liaison à l'opération de liaison définie sur le serveur |
Mot de passe |
Attribut de mot de passe de l'entrée spécifiée dans le champ DN utilisateur |
Cliquez sur Suivant.
Spécifiez les critères de recherche (décrits ci-dessous) relatifs aux entrées à exporter.
Option |
Description |
---|---|
DN de base |
Nom distinctif de base pour la requête de recherche Si vous laissez ce champ vide, la valeur par défaut du nom distinctif de base est “” (chaîne vide). |
Étendue |
Étendue de la requête de recherche |
Filtre |
Filtre de recherche conforme à la convention RFC 1558 La valeur par défaut est objectclass=*. |
Attributs |
Attributs qui doivent vous être renvoyés pour chaque entrée de la recherche |
Cliquez sur Suivant.
Sélectionnez le type de fichier d'exportation.
Le fichier exporté est enregistré à un emplacement temporaire. Vous pouvez le télécharger à la fin de l'exécution de l'Assistant.
Cliquez sur Suivant, puis sur Terminer.
Dans NetIQ iManager, cliquez sur le bouton Rôles et tâches .
Cliquez sur Maintenance > Assistant Importation/Conversion/Exportation.
Cliquez sur Migrer les données entre les serveurs, puis sur Suivant.
Sélectionnez le serveur LDAP comportant les entrées à migrer.
Les paramètres avancés permettent de configurer des options supplémentaires pour le gestionnaire source LDAP. Pour plus d'informations sur les options disponibles, cliquez sur Aide.
Ajoutez les options appropriées, décrites dans le tableau ci-dessous :
Option |
Description |
---|---|
Nom/Adresse IP du serveur DNS |
Nom DNS ou adresse IP du serveur LDAP source |
Port |
Numéro de port (nombre entier) du serveur LDAP source |
Fichier DER |
Nom du fichier DER qui contient une clé de serveur utilisée pour l'authentification SSL |
Méthode de connexion |
Connexion authentifiée ou anonyme (pour l'entrée spécifiée dans le champ DN utilisateur) |
DN utilisateur |
Nom distinctif de l'entrée à utiliser lors de la liaison à l'opération de liaison définie sur le serveur |
Mot de passe |
Attribut de mot de passe de l'entrée spécifiée dans le champ DN utilisateur |
Cliquez sur Suivant.
Spécifiez les critères de recherche (décrits ci-dessous) relatifs aux entrées à migrer :
Option |
Description |
---|---|
DN de base |
Nom distinctif de base pour la requête de recherche Si vous laissez ce champ vide, la valeur par défaut du nom distinctif de base est "" (chaîne vide). |
Étendue |
Étendue de la requête de recherche |
Filtre |
Filtre de recherche conforme à la convention RFC 2254 La valeur par défaut est objectclass=*. |
Attributs |
Attributs qui doivent vous être renvoyés pour chaque entrée de la recherche |
Cliquez sur Suivant.
Spécifiez le serveur LDAP vers lequel les données doivent migrer.
Cliquez sur Suivant, puis sur Terminer.
REMARQUE :vérifiez que le schéma est cohérent pour l'ensemble des services LDAP.
Dans NetIQ iManager, cliquez sur le bouton Rôles et tâches .
Cliquez sur Maintenance > Assistant Importation/Conversion/Exportation.
Cliquez sur Ajouter un schéma depuis un fichier > Suivant.
Sélectionnez le type de fichier à ajouter.
Vous avez le choix entre les types Fichier LDIF et Fichier de schéma.
Entrez le nom du fichier qui contient le schéma à ajouter, spécifiez les options appropriées, puis cliquez sur Suivant.
Sélectionnez Ne pas ajouter mais comparer le schéma si vous souhaitez simplement comparer le schéma sans ajouter de schéma supplémentaire au serveur cible. Dans ce cas, le schéma supplémentaire n'est pas ajouté au serveur cible, mais les différences de schéma peuvent être affichées en cliquant sur le lien disponible à la fin de l'opération.
Les options de cette page dépendent du type de fichier que vous avez sélectionné. Pour plus d'informations sur les options disponibles, cliquez sur Aide.
Spécifiez le serveur LDAP dans lequel importer le schéma.
Ajoutez les options appropriées, décrites dans le tableau ci-dessous :
Option |
Description |
---|---|
Nom/Adresse IP du serveur DNS |
Nom DNS ou adresse IP du serveur LDAP cible |
Port |
Numéro de port (nombre entier) du serveur LDAP cible |
Fichier DER |
Nom du fichier DER qui contient une clé de serveur utilisée pour l'authentification SSL |
Méthode de connexion |
Connexion authentifiée ou anonyme (pour l'entrée spécifiée dans le champ DN utilisateur) |
DN utilisateur |
Nom distinctif de l'entrée à utiliser lors de la liaison à l'opération de liaison définie sur le serveur |
Mot de passe |
Attribut de mot de passe de l'entrée spécifiée dans le champ DN utilisateur |
Cliquez sur Suivant > Terminer.
Dans NetIQ iManager, cliquez sur le bouton Rôles et tâches .
Cliquez sur Maintenance > Assistant Importation/Conversion/Exportation.
Cliquez sur Ajouter un schéma depuis un serveur > Suivant.
Spécifiez le serveur LDAP à partir duquel ajouter le schéma.
Ajoutez les options appropriées, décrites dans le tableau ci-dessous :
Option |
Description |
---|---|
Nom/Adresse IP du serveur DNS |
Nom DNS ou adresse IP du serveur LDAP cible |
Port |
Numéro de port (nombre entier) du serveur LDAP cible |
Fichier DER |
Nom du fichier DER qui contient une clé de serveur utilisée pour l'authentification SSL |
Méthode de connexion |
Connexion authentifiée ou anonyme (pour l'entrée spécifiée dans le champ DN utilisateur) |
DN utilisateur |
Nom distinctif de l'entrée à utiliser lors de la liaison à l'opération de liaison définie sur le serveur |
Mot de passe |
Attribut de mot de passe de l'entrée spécifiée dans le champ DN utilisateur |
Sélectionnez Ne pas ajouter mais comparer le schéma si vous souhaitez simplement comparer le schéma sans ajouter de schéma supplémentaire au serveur cible. Dans ce cas, le schéma supplémentaire n'est pas ajouté au serveur cible, mais les différences de schéma peuvent être affichées en cliquant sur le lien disponible à la fin de l'opération.
Spécifiez le serveur LDAP dans lequel ajouter le schéma.
Ajoutez les options appropriées, décrites dans le tableau ci-dessous :
Option |
Description |
---|---|
Nom/Adresse IP du serveur DNS |
Nom DNS ou adresse IP du serveur LDAP cible |
Port |
Numéro de port (nombre entier) du serveur LDAP cible |
Fichier DER |
Nom du fichier DER qui contient une clé de serveur utilisée pour l'authentification SSL |
Méthode de connexion |
Connexion authentifiée ou anonyme (pour l'entrée spécifiée dans le champ DN utilisateur) |
DN utilisateur |
Nom distinctif de l'entrée à utiliser lors de la liaison à l'opération de liaison définie sur le serveur |
Mot de passe |
Attribut de mot de passe de l'entrée spécifiée dans le champ DN utilisateur |
Cliquez sur Suivant > Terminer.
L'option Comparer les fichiers de schéma compare le schéma d'un fichier source à celui d'un fichier de destination, puis consigne le résultat dans un fichier de sortie. Pour ajouter le schéma manquant au fichier cible, appliquez-lui les enregistrements du fichier de sortie.
Dans NetIQ iManager, cliquez sur le bouton Rôles et tâches .
Cliquez sur Maintenance > Assistant Importation/Conversion/Exportation.
Cliquez sur Comparer les fichiers de schéma > Suivant.
Sélectionnez le type de fichier à comparer.
Vous avez le choix entre les types Fichier LDIF et Fichier de schéma.
Entrez le nom du fichier qui contient le schéma à comparer, spécifiez les options appropriées, puis cliquez sur Suivant.
Les options de cette page dépendent du type de fichier que vous avez sélectionné. Pour plus d'informations sur les options disponibles, cliquez sur Aide.
Spécifiez le fichier de schéma avec lequel le comparer.
Vous pouvez uniquement sélectionner un fichier LDIF.
Cliquez sur Suivant > Terminer.
Pour afficher les différences entre les deux fichiers de schéma, cliquez sur le lien disponible à la fin de l'opération.
L'option Comparer un schéma entre serveur et fichier compare le schéma d'un serveur source et celui d'un fichier de destination, puis consigne le résultat dans un fichier de sortie. Pour ajouter le schéma manquant au fichier cible, appliquez-lui les enregistrements du fichier de sortie.
Dans NetIQ iManager, cliquez sur le bouton Rôles et tâches .
Cliquez sur Maintenance > Assistant Importation/Conversion/Exportation.
Cliquez sur Comparer un schéma entre serveur et fichier > Suivant.
Spécifiez le serveur LDAP à partir duquel comparer le schéma.
Ajoutez les options appropriées, décrites dans le tableau ci-dessous :
Option |
Description |
---|---|
Nom/Adresse IP du serveur DNS |
Nom DNS ou adresse IP du serveur LDAP cible |
Port |
Numéro de port (nombre entier) du serveur LDAP cible |
Fichier DER |
Nom du fichier DER qui contient une clé de serveur utilisée pour l'authentification SSL |
Méthode de connexion |
Connexion authentifiée ou anonyme (pour l'entrée spécifiée dans le champ DN utilisateur) |
DN utilisateur |
Nom distinctif de l'entrée à utiliser lors de la liaison à l'opération de liaison définie sur le serveur |
Mot de passe |
Attribut de mot de passe de l'entrée spécifiée dans le champ DN utilisateur |
Sélectionnez le type de fichier avec lequel effectuer la comparaison.
Entrez le nom du fichier qui contient les données à comparer, spécifiez les options appropriées, puis cliquez sur Suivant.
Les options de cette page dépendent du type de fichier que vous avez sélectionné. Pour plus d'informations sur les options disponibles, cliquez sur Aide.
Cliquez sur Suivant > Terminer.
Pour afficher les différences entre le schéma du serveur et le fichier de schéma, cliquez sur le lien disponible à la fin de l'opération.
Cette option crée un fichier d'ordre à utiliser avec le gestionnaire DELIM pour l'importation de données à partir d'un fichier de données séparées par une virgule. L'Assistant vous aide à créer ce fichier d'ordre qui contient une liste des attributs pour une classe d'objet spécifique.
Dans NetIQ iManager, cliquez sur le bouton Rôles et tâches .
Cliquez sur Maintenance > Assistant Importation/Conversion/Exportation.
Cliquez sur Créer un fichier d'ordre, puis sur Suivant.
Sélectionnez la classe pour laquelle vous souhaitez générer le fichier d'ordre et cliquez sur Afficher.
Sélectionnez les attributs à ajouter à la liste Attributs en séquence.
Sélectionnez la classe auxiliaire et ajoutez-la à la liste Classes auxiliaires sélectionnées.
Pour plus d'informations sur les listes Attributs en séquence et Classes auxiliaires, consultez l'aide en ligne d'iMonitor.
Cliquez sur Suivant.
Ajoutez les options appropriées, décrites dans le tableau ci-dessous :
Option |
Description |
---|---|
Contexte |
Contexte auquel les objets créés sont associés |
Sélectionner le fichier de données |
Emplacement du fichier de données |
Sélectionner le séparateur dans le fichier de données |
Séparateur à utiliser dans le fichier de données. Le séparateur par défaut est une virgule ( , ) |
Sélectionner l'attribut d'assignation de nom |
Attributs d'assignation de nom de la liste des attributs disponibles pour la classe sélectionnée |
Les paramètres avancés permettent de configurer des options supplémentaires pour le gestionnaire source LDAP. Pour plus d'informations sur les options disponibles, cliquez sur Aide.
Sélectionnez les enregistrements à traiter dans le fichier de données à l'aide de l'option Enregistrements à traiter. Pour plus d'informations sur les options disponibles, cliquez sur Aide.
Ajoutez les options appropriées, décrites dans le tableau ci-dessous :
Option |
Description |
---|---|
Nom/Adresse IP du serveur DNS |
Nom DNS ou adresse IP du serveur LDAP cible |
Port |
Numéro de port (nombre entier) du serveur LDAP cible |
Fichier DER |
Nom du fichier DER qui contient une clé de serveur utilisée pour l'authentification SSL |
Méthode de connexion |
Connexion authentifiée ou anonyme (pour l'entrée spécifiée dans le champ DN utilisateur) |
DN utilisateur |
Nom distinctif de l'entrée à utiliser lors de la liaison à l'opération de liaison définie sur le serveur |
Mot de passe |
Attribut de mot de passe de l'entrée spécifiée dans le champ DN utilisateur |
Les paramètres avancés permettent de configurer des options supplémentaires pour le gestionnaire source LDAP. Pour plus d'informations sur les options disponibles, cliquez sur Aide.
Cliquez sur Suivant, puis sur Terminer.
Vous pouvez faire appel à la version de ligne de commande de l'utilitaire Importation/Conversion/Exportation NetIQ pour effectuer les opérations suivantes :
Importations LDIF
Exportations LDIF
importer des données séparées par une virgule ;
exporter des données séparées par une virgule ;
Migration de données entre des serveurs LDAP
comparer et mettre à jour des schémas ;
charger des informations dans eDirectory à l'aide d'un modèle ;
importer des schémas.
L'assistant Importation/Conversion/Exportation NetIQ s'installe simultanément avec NetIQ iManager. Une version de Windows (ice.exe) est comprise dans l'installation. Sur les ordinateurs Linux, l'utilitaire Importation/Exportation est inclus dans le paquetage NOVLice.
Pour lancer l'utilitaire Importation/Conversion/Exportation NetIQ, utilisez la syntaxe suivante :
ice general_options -S[LDIF | LDAP | DELIM | LOAD | SCH] source_options -D[LDIF | LDAP | DELIM] destination_options
ou, si vous utilisez le cache de schéma :
ice -C schema_options -S[LDIF | LDAP] source_options -D[LDIF | LDAP] destination_options
Un fichier LDIF ne représente pas une destination valide en cas de mise à jour au moyen du cache de schéma.
Les options générales sont facultatives ; elles doivent toutefois être définies avant toute option source ou de destination. L'ordre des sections du gestionnaire -S (source) et -D (cible) est indifférent.
Voici la liste des gestionnaires source et cible disponibles :
Les options générales ont une incidence sur l'ensemble du traitement effectué par le moteur Importation/Conversion/Exportation NetIQ.
Option |
Description |
---|---|
-C |
Indique que vous utilisez le cache de schéma pour procéder à la comparaison et à la mise à jour de schémas. |
-l fichier_journal |
Indique le nom du fichier dans lequel les messages de sortie (notamment les messages d'erreur) sont consignés. Si vous n'utilisez pas cette option, les messages d'erreur sont enregistrés dans le fichier ice.log. Si vous omettez cette option sur les ordinateurs Linux, les messages d'erreur ne seront pas enregistrés. |
-o |
Écrase le fichier journal existant. Si cet indicateur n'est pas défini, les messages sont ajoutés au fichier journal. |
-e fichier_journal_erreurs_ LDIF |
Indique le nom du fichier dans lequel les entrées qui échouent sont consignées au format LDIF. Vous pouvez consulter ce fichier, le modifier afin de corriger les erreurs et l'appliquer de nouveau au répertoire. |
-p URL |
Indique l'emplacement de la règle de placement XML que le moteur doit utiliser. Les règles de placement permettent de modifier le placement d'une entrée. Pour plus d'informations, reportez-vous à la section Règles de conversion. |
-c URL |
Indique l'emplacement de la règle de création XML que le moteur doit utiliser. Les règles de création vous permettent de fournir les informations manquantes dont peut dépendre la réussite de la création d'une entrée lors d'une importation. Pour plus d'informations, reportez-vous à la section Règles de conversion. |
-s URL |
Indique l'emplacement de la règle d'assignation de schéma XML que le moteur doit utiliser. Les règles d'assignation de schéma vous permettent d'assigner un élément de schéma d'un serveur source à un élément de schéma différent mais équivalent sur un serveur cible. Pour plus d'informations, reportez-vous à la section Règles de conversion. |
-h ou -? |
Affiche l'aide relative à la ligne de commande. |
Les options de schéma vous permettent d'utiliser le cache de schéma pour effectuer des comparaisons et des mises à jour de schémas.
Option |
Description |
---|---|
-C -a |
Met à jour le schéma cible (ajoute le schéma manquant). |
-C -c nom_fichier |
Génère le schéma cible dans le fichier spécifié. |
-C -n |
Désactive la pré-vérification du schéma. |
L'option du gestionnaire source (-S) détermine la source des données d'importation. Vous ne pouvez spécifier qu'une seule des options suivantes sur la ligne de commande.
Option |
Description |
---|---|
-SLDIF |
Indique que la source est un fichier LDIF. Pour obtenir la liste des options LDIF prises en charge, reportez-vous à la section Options du gestionnaire source LDIF. |
-SLDAP |
Indique que la source est un serveur LDAP. Pour obtenir la liste des options LDAP prises en charge, reportez-vous à la section Options du gestionnaire source LDAP. |
-SDELIM |
Indique que la source est un fichier de données séparées par une virgule. REMARQUE :pour de meilleures performances, importez les données à l'aide de l'utilitaire Importation/Conversion/Exportation NetIQ avec le fichier LDIF au lieu de DELIM. Vous pouvez utiliser un script PERL personnalisé pour générer la sortie au format souhaité. Pour obtenir la liste des options DELIM prises en charge, reportez-vous à la section Options du gestionnaire source DELIM. |
-SSCH |
Indique que la source est un fichier de schéma. Pour obtenir la liste des options SCH prises en charge, reportez-vous à la section Options du gestionnaire source SCH. |
-SLOAD |
Indique que la source est un modèle DirLoad. Pour obtenir la liste des options LOAD prises en charge, reportez-vous à la section Options du gestionnaire source LOAD. |
L'option du gestionnaire cible (-D) permet de définir la cible des données d'exportation. Vous ne pouvez spécifier qu'une seule des options suivantes sur la ligne de commande.
Option |
Description |
---|---|
-DLDIF |
Indique que la destination est un fichier LDIF. Pour obtenir la liste des options prises en charge, reportez-vous à la section Options du gestionnaire de destination LDIF. |
-DLDAP |
Indique que la destination est un serveur LDAP. Pour obtenir la liste des options prises en charge, reportez-vous à la section Options du gestionnaire de destination LDAP. |
-DDELIM |
Indique que la destination est un fichier de données séparées par une virgule. Pour obtenir la liste des options prises en charge, reportez-vous à la section Options du gestionnaire cible DELIM. |
Le gestionnaire source LDIF lit les données à partir d'un fichier LDIF, puis les transmet au moteur Importation/Conversion/Exportation NetIQ.
Option |
Description |
---|---|
-f fichier_LDIF |
Indique le nom du fichier qui contient les enregistrements LDIF que le gestionnaire source LDIF lit et transmet au moteur. Si vous omettez cette option sur les ordinateurs Linux, l'entrée standard est reprise. |
-a |
Si les enregistrements du fichier LDIF sont des enregistrements de contenu (c'est-à-dire qu'ils ne contiennent aucun type de modification), ils sont traités comme des enregistrements dont le type de modification est Ajouter (Add). |
-c |
Empêche le gestionnaire source LDIF de s'arrêter sur les erreurs. Cela comprend aussi bien les erreurs survenues au cours de l'analyse LDIF que celles renvoyées par le gestionnaire cible. Lorsque cette option est activée et qu'une erreur se produit, le gestionnaire source LDIF la signale, recherche l'enregistrement suivant dans le fichier LDIF et continue. |
-n |
N'exécute pas les opérations de mise à jour, mais imprime les résultats qui seraient obtenus. Lorsque cette option est définie, le gestionnaire source LDIF analyse le fichier LDIF, mais n'envoie aucun enregistrement au moteur Importation/Conversion/Exportation NetIQ (ou au gestionnaire cible). |
-m |
Si les enregistrements du fichier LDIF sont des enregistrements de contenu (c'est-à-dire qu'ils ne contiennent aucun type de modification), ils sont traités comme des enregistrements dont le type de modification est Modifier (Modify). |
-x |
Si les enregistrements du fichier LDIF sont des enregistrements de contenu (c'est-à-dire qu'ils ne contiennent aucun type de modification), ils sont traités comme des enregistrements dont le type de modification est Supprimer (Delete). |
-R valeur |
Indique la plage d'enregistrements à traiter. |
-v |
Active le mode verbeux du gestionnaire. |
-e valeur |
Modèle à utiliser pour déchiffrer les valeurs des attributs présents dans le fichier LDIF. [des/3des]. |
-E valeur |
Mot de passe pour le déchiffrement des attributs. |
Le gestionnaire cible LDIF reçoit les données du moteur Importation/Conversion/Exportation NetIQ et les inscrit dans un fichier LDIF.
Option |
Description |
---|---|
-f fichier_LDIF |
Indique le nom du fichier dans lequel les enregistrements LDIF peuvent être écrits. Si vous omettez cette option sur les ordinateurs Linux, la sortie est envoyée vers stdout. |
-B |
Indique de ne pas supprimer l'impression des valeurs binaires. |
-b |
Indique de ne pas coder au format base64 les données LDIF. |
-e valeur |
Modèle à utiliser pour chiffrer les valeurs d'attribut provenant du serveur LDAP.[des/3des]. |
-E valeur |
Mot de passe de chiffrement des attributs. |
Le gestionnaire source LDAP lit les données d'un serveur LDAP en lui envoyant une requête de recherche. Il envoie ensuite au moteur Importation/Conversion/Exportation NetIQ les entrées résultant de cette opération de recherche.
Option |
Description |
---|---|
-s nom_serveur |
Indique le nom DNS ou l'adresse IP du serveur LDAP auquel le gestionnaire envoie une requête de recherche. L'hôte local est paramétré par défaut. |
-p port |
Désigne le numéro de port (nombre entier) du serveur LDAP indiqué par nom_serveur. Le numéro de port par défaut est 389. Pour les opérations sécurisées, le numéro de port par défaut est 636. Lorsque ICE communique avec un serveur LDAP sur le port SSL (636 par défaut) sans certificat, il choisit d'accepter n'importe quel certificat de serveur et suppose que celui-ci est approuvé. Cette option doit être uniquement utilisée dans des environnements contrôlés où une communication codée entre serveurs et clients est souhaitée mais la vérification serveur superflue. |
-d DN |
Indique le nom distinctif de l'entrée à utiliser lors de la liaison à l'opération de liaison définie sur le serveur. |
-w mot_de_passe |
Indique l'attribut de mot de passe de l'entrée spécifiée par DN. |
-W |
Invite à entrer le mot de passe de l'entrée spécifiée par DN. Cette option s'applique uniquement à Linux. |
-F filtre |
Indique un filtre de recherche conforme à la convention RFC 1558. Si vous omettez cette option, la valeur par défaut utilisée par le filtre est objectclass=*. |
-n |
N'exécute pas réellement la recherche, mais affiche un aperçu des résultats qui seraient obtenus. |
-a liste_attributs |
Indique la liste des attributs, séparés par une virgule, à récupérer au cours de la recherche. En plus des noms d'attribut, trois autres valeurs sont disponibles :
Si vous ne définissez pas cette option, la liste des attributs est par défaut une liste vide. |
-o liste_attributs |
Indique la liste des attributs, séparés par une virgule, à omettre des résultats de la recherche transmis par le serveur LDAP avant l'envoi au moteur. Cette option est pratique lorsque vous souhaitez utiliser un caractère joker avec l'option –a afin d'obtenir tous les attributs d'une classe donnée, puis de retirer certains d'entre eux des résultats de la recherche avant de transférer les données au moteur. Par exemple, -a* -o telephoneNumber recherche tous les attributs de niveau utilisateur et filtre les numéros de téléphone dans les résultats. |
-R |
Indique de ne pas suivre automatiquement les renvois. Le paramétrage par défaut consiste à suivre les renvois avec le nom et le mot de passe précisés dans les options -d et -w. |
-e valeur |
Précise les indicateurs de débogage à activer dans le kit de développement (SDK) client LDAP. Pour plus d'informations, reportez-vous à la section |
-b DN_base |
Indique le nom distinctif de base de la requête de recherche. Si cette option n'est pas définie, la valeur par défaut du nom distinctif de base est une chaîne vide (« »). |
-c étendue_recherche |
Définit l'étendue de la requête de recherche. Les valeurs valides sont les suivantes :
Si cette option n'est pas définie, la valeur par défaut utilisée est Sub. |
-r suppr_réf_alias |
Indique le mode de suppression des références aux alias au cours de l'opération de recherche. Les valeurs sont les suivantes :
Si cette option n'est pas définie, la suppression des références aux alias prend par défaut la valeur Never (Jamais). |
-l limite_temps |
Indique la limite temporelle (en secondes) de la recherche. |
-z limite_taille |
Indique le nombre maximal d'entrées que la recherche peut renvoyer. |
-V version |
Indique la version du protocole LDAP à utiliser pour la connexion. Cette valeur doit être définie sur 2 ou 3. Si cette option n'est pas définie, elle est paramétrée par défaut sur 3. |
-v |
Active le mode verbeux du gestionnaire. |
-L nom_fichier |
Indique le fichier au format DER qui contient la clé de serveur utilisée pour l'authentification SSL. Le nom de fichier est facultatif sous Linux. La valeur utilisée par défaut est /etc/opt/novell/certs/SSCert.der. |
-A |
Récupère uniquement le nom des attributs. L'opération de recherche ne renvoie pas les valeurs des attributs. |
-t |
Empêche le gestionnaire LDAP de s'arrêter sur les erreurs. |
-m |
Les opérations LDAP seront des modifications. |
-x |
Les opérations LDAP seront des suppressions. |
-k |
Cette option n'est plus prise en charge. Pour utiliser SSL, spécifiez un certificat valide à l'aide de l'option -L. |
-M |
Active la commande Gérer DSA IT. |
-MM |
Active la commande Gérer DSA IT et la rend prioritaire. |
Le gestionnaire cible LDAP reçoit des données du moteur Importation/Conversion/Exportation NetIQ et les renvoie à un serveur LDAP sous forme d'opérations de mise à jour que le serveur doit exécuter.
Pour des informations sur le mot de passe haché dans un fichier LDIF, reportez-vous à la section Représentation du mot de passe haché dans les fichiers LDIF
.
Option |
Description |
---|---|
-s nom_serveur |
Indique le nom DNS ou l'adresse IP du serveur LDAP auquel le gestionnaire envoie une requête de recherche. L'hôte local est paramétré par défaut. |
-p port |
Désigne le numéro de port (nombre entier) du serveur LDAP indiqué par nom_serveur. Le numéro de port par défaut est 389. Pour les opérations sécurisées, le numéro de port par défaut est 636. |
-d DN |
Indique le nom distinctif de l'entrée à utiliser lors de la liaison à l'opération de liaison définie sur le serveur. |
-w mot_de_passe |
Indique l'attribut de mot de passe de l'entrée spécifiée par DN. |
-W |
Invite à entrer le mot de passe de l'entrée spécifiée par DN. Cette option s'applique uniquement à Linux. |
-B |
Sélectionnez cette option si vous ne voulez pas utiliser les requêtes asynchrones LDAP Bulk Update/Replication Protocol (LBURP) pour transférer les mises à jour vers le serveur. À la place, utilisez des requêtes d'opération de mise à jour LDAP synchrones standard. Pour plus d'informations, reportez-vous à la section Protocole LBURP (LDAP Bulk Update/Replication Protocol). |
-F |
Autorise la création de références en aval. Lorsqu'une entrée doit être créée avant son parent, une marque de réservation appelée référence en aval est ajoutée pour le parent de cette entrée afin d'en assurer la création correcte. Si une opération ultérieure crée le parent, la référence en aval se transforme en entrée normale. |
-l |
Stocke les valeurs de mot de passe à l'aide de la méthode de mot de passe simple du service NMAS (Modular Authentication Service) NetIQ. Les mots de passe sont conservés dans un emplacement sécurisé de l'annuaire ; les paires de clés ne sont pas générées tant qu'elles ne sont pas réellement requises pour l'authentification entre les serveurs. |
-e valeur |
Précise les indicateurs de débogage à activer dans le kit de développement (SDK) client LDAP. Pour plus d'informations, reportez-vous à la section |
-V version |
Indique la version du protocole LDAP à utiliser pour la connexion. Cette valeur doit être définie sur 2 ou 3. Si cette option n'est pas définie, elle est paramétrée par défaut sur 3. |
-L nom_fichier |
Indique le fichier au format DER qui contient la clé de serveur utilisée pour l'authentification SSL. Le nom de fichier est facultatif sous Linux avec la valeur par défaut /etc/opt/novell/certs/SSCert.der. |
-k |
Cette option n'est plus prise en charge. Pour utiliser SSL, spécifiez un certificat valide à l'aide de l'option -L. |
-M |
Active la commande Gérer DSA IT. |
-MM |
Active la commande Gérer DSA IT et la rend prioritaire. |
-P |
Active le traitement LBURP concurrent. Cette option n'est activée que si toutes les opérations dans LDIF sont des ajouts (add). Lorsque vous utilisez l'option -F, -P est activé par défaut. |
-Z |
Indique le nombre de requêtes asynchrones. Cette option indique le nombre d'entrées que le client ICE peut envoyer au serveur LDAP en mode asynchrone avant d'attendre l'envoi des résultats par le serveur. |
Le gestionnaire source DELIM lit des données provenant d'un fichier de données séparées par une virgule, avant de les envoyer au gestionnaire cible.
Option |
Description |
---|---|
-f nom_fichier |
Indique le nom d'un fichier qui contient des enregistrements séparés par une virgule que le gestionnaire source DELIM lit et transmet au gestionnaire cible. |
-F valeur |
Précise le nom du fichier contenant l'ordre des données d'attribut pour le fichier spécifié par -f. Le nombre de colonnes pour un attribut dans le fichier délimité correspond par défaut au nombre maximal de valeurs pour l'attribut. En cas de répétition de l'attribut, le nombre de colonnes est égal au nombre de fois que l'attribut se répète dans le modèle. Si cette option n'est pas définie, saisissez directement cette information en utilisant -t. Pour plus d'informations, reportez-vous à la section Importation de données séparées par une virgule. |
-t valeur |
Liste des attributs séparés par une virgule qui précise l'ordre des données d'attribut pour le fichier spécifié par l'option -f. Le nombre de colonnes pour un attribut dans le fichier délimité correspond par défaut au nombre maximal de valeurs pour l'attribut. En cas de répétition de l'attribut, le nombre de colonnes est égal au nombre de fois que l'attribut se répète dans le modèle. Cette option ou l'option -F doit être définie. Pour plus d'informations, reportez-vous à la section Importation de données séparées par une virgule. |
-c |
Empêche le gestionnaire source DELIM de s'arrêter sur les erreurs. Cela comprend aussi bien les erreurs survenues au cours de l'analyse de fichiers de données séparées par une virgule que celles renvoyées par le gestionnaire cible. Lorsque cette option est définie et qu'une erreur se produit, le gestionnaire source DELIM la signale, recherche l'enregistrement suivant dans le fichier de données séparées par une virgule et continue. |
-n valeur |
Indique l'attribut d'assignation LDAP du nouvel objet. Cet attribut doit être contenu dans les données d'attribut définies à l'aide des options -F ou -t. |
-l valeur |
Indique le chemin d'accès auquel le RDN doit être annexé (par exemple, o=myCompany). En cas de transmission du DN, cette valeur est facultative. |
-o valeur |
Liste des classes d'objet (si aucune ne figure dans votre fichier d'entrée) ou des classes d'objet supplémentaires, telles que les classes auxiliaires, séparées par une virgule. La valeur par défaut est inetorgperson. |
-i valeur |
Liste des colonnes à ignorer, séparées par des virgules. Cette valeur est un nombre entier correspondant au numéro de la colonne à ignorer. Par exemple, pour ignorer les troisième et cinquième colonnes, entrez i3,5. |
-d valeur |
Indique le séparateur. Le séparateur par défaut est une virgule ( , ). Les valeurs ci-dessous sont des séparateurs spéciaux :
Par exemple, pour indiquer qu'une tabulation est un séparateur, vous devez spécifier -d[t]. |
-q valeur |
Indique le séparateur secondaire. Les guillemets simples (' ') sont utilisés comme séparateur secondaire par défaut. Les valeurs ci-dessous sont des séparateurs spéciaux :
Par exemple, pour indiquer qu'une tabulation est un séparateur, vous devez spécifier -q[t]. |
-v |
Exécution en mode verbeux. |
-k valeur |
Indique que la première ligne dans le fichier délimité constitue le modèle. Si cette option est utilisée avec -t ou -F , le modèle spécifié est vérifié afin qu'il soit cohérent avec celui du fichier délimité. |
Le gestionnaire cible DELIM reçoit les données provenant d'un gestionnaire source et les écrit dans un fichier de données séparées par une virgule.
Option |
Description |
---|---|
-f nom_fichier |
Indique le nom du fichier dans lequel des enregistrements séparés par une virgule peuvent être écrits. |
-F valeur |
Précise le nom du fichier contenant l'ordre des données d'attribut pour le fichier spécifié par -f. Le nombre de colonnes pour un attribut dans le fichier délimité correspond par défaut au nombre maximal de valeurs pour l'attribut. En cas de répétition de l'attribut, le nombre de colonnes est égal au nombre de fois que l'attribut se répète dans le modèle. Si cette option n'est pas définie, saisissez directement cette information en utilisant -t. |
-t valeur |
Liste des attributs séparés par une virgule qui précise l'ordre des données d'attribut pour le fichier spécifié par l'option -f. Le nombre de colonnes pour un attribut dans le fichier délimité correspond par défaut au nombre maximal de valeurs pour l'attribut. En cas de répétition de l'attribut, le nombre de colonnes est égal au nombre de fois que l'attribut se répète dans le modèle. Cette option ou l'option -F doit être définie. |
-l valeur |
Peut être soit RDN ou DN. Indique si le pilote doit placer le DN entier, ou seulement le RDN, dans les données. Le RDN est la valeur par défaut. |
-d valeur |
Indique le séparateur. Le séparateur par défaut est une virgule ( , ). Les valeurs ci-dessous sont des séparateurs spéciaux :
Par exemple, pour indiquer qu'une tabulation est un séparateur, vous devez spécifier -d[t]. |
-q valeur |
Indique le séparateur secondaire. Les guillemets simples (' ') sont utilisés comme séparateur secondaire par défaut. Les valeurs ci-dessous sont des séparateurs spéciaux :
Par exemple, pour indiquer qu'une tabulation est un séparateur, vous devez spécifier -q[t]. |
-n valeur |
Indique un attribut d'assignation de nom à ajouter au cours de l'importation, par exemple, cn. |
Le gestionnaire SCH lit les données à partir d'un fichier de schéma NDS ou eDirectory hérité (fichiers avec l'extension *.sch), puis les envoie au moteur Importation/Conversion/Exportation NetIQ. Vous pouvez utiliser ce gestionnaire pour mettre en oeuvre des opérations liées au schéma sur un serveur LDAP, par exemple des extensions avec un fichier *.sch en entrée.
Le gestionnaire SCH est uniquement un gestionnaire source. Vous pouvez l'utiliser pour importer des fichiers *.sch dans un serveur LDAP, mais pas pour exporter des fichiers *.sch.
Les options prises en charge par le gestionnaire SCH sont indiquées dans le tableau suivant.
Option |
Description |
---|---|
-f nom_fichier |
Indique le chemin d'accès complet au fichier *.sch. |
-v |
(Facultatif) Exécution en mode verbeux. |
Le gestionnaire DirLoad génère les informations eDirectory à partir des commandes d'un modèle. Ce fichier de modèle est spécifié avec l'argument -f et contient les informations de spécification d'attribut et les informations de contrôle de programme.
Option |
Description |
---|---|
-f nom_fichier |
Indique le fichier modèle qui contient toutes les spécifications d'attribut et toutes les informations de contrôle pour exécuter le programme. |
-c |
Continue l'exécution sur l'enregistrement suivant si une erreur est signalée. |
-v |
Exécution en mode verbeux. |
-r |
Transforme la requête en requête de suppression : les données sont supprimées au lieu d'être ajoutées. Cette option permet de supprimer des enregistrements ajoutés à l'aide d'un modèle DirLoad. |
-m |
Indique que le fichier modèle contient des demandes de modification. |
Les spécifications d'attributs déterminent le contexte des nouveaux objets.
Reportez-vous à l'exemple suivant de fichier de spécification d'attributs :
givenname: $R(first) initial: $R(initial) sn: $R(last) dn:cn=$A(givenname,%.1s)$A(initial,%.1s)$A(sn),ou=dev,ou=ds,o=novell objectclass: inetorgperson telephonenumber: 1-800-$N(1-999,%03d)-$C(%04d) title: $R(titles) locality: Our location
Le format du fichier de spécification d'attributs est semblable à celui d'un fichier LDIF. Cependant, il permet d'exploiter des structures performantes pour fournir des informations supplémentaires et définir des relations entre les attributs.
La valeur numérique unique insère dans une valeur d'attribut une valeur numérique unique pour un objet donné.
Syntax: $C[(<format)]
La variable facultative <format indique le format d'impression à appliquer à la valeur. Notez que si aucun format n'est spécifié, il est également impossible d'utiliser les parenthèses :
$C $C(%d) $C(%04d)
La séquence simple $C insère la valeur numérique courante dans une valeur d'attribut. Elle équivaut à $C(%d), car « %d » est le format par défaut utilisé par le programme si aucun autre format n'est spécifié. La valeur numérique est incrémentée après chaque objet : si vous utilisez $C à plusieurs reprises dans la spécification d'attribut, la valeur est identique pour un même objet. La valeur initiale peut être spécifiée dans le fichier de paramètres à l'aide de la syntaxe !COUNTER=valeur.
La valeur numérique aléatoire insère une valeur numérique aléatoire dans une valeur d'attribut, conformément à la syntaxe suivante :
$N(<low-<high[,<format])]
Les variables <bas et <haut fixent respectivement les limites inférieure et supérieure employées pour générer un nombre aléatoire. La variable facultative <format indique le format d'impression à appliquer à une valeur de la liste.
$N(1-999) $N(1-999,%d) $N(1-999,%03d)
La valeur de chaîne aléatoire provenant d'une liste insère dans une valeur d'attribut une chaîne sélectionnée de façon aléatoire dans une liste spécifiée, conformément à la syntaxe suivante :
$R(<filename[,<format])]
La variable <nom_fichier désigne un fichier qui contient une liste de valeurs. Il peut s'agir du chemin absolu ou relatif d'un fichier. Divers fichiers contenant les listes sont inclus avec ce paquetage. Les valeurs doivent être séparées par un caractère de retour à la ligne.
La variable facultative <format indique le format d'impression à appliquer à une valeur de la liste.
$A(givenname) $A(givenname,%s) $A(givenname,%.1s)
Notez que les références en aval ne sont pas autorisées. Tout attribut dont vous prévoyez d'utiliser la valeur doit précéder l'attribut actuel dans le fichier de spécification d'attributs. Dans l'exemple suivant, le cn en tant que partie du DN est constitué à partir de givenname, initial et sn. Par conséquent, ces attributs doivent précéder le DN dans le fichier de paramètres.
givenname: $R(first) initial: $R(initial) sn: $R(last) dn:o=novell,ou=dev,ou=ds,cn=$A(givenname,%.1s)$A(initial,%.1s)$A(sn)
Le DN reçoit un traitement particulier dans le fichier LDIF : quel que soit l'emplacement du DN dans les paramètres, il sera écrit en premier (conformément à la syntaxe LDIF) dans le fichier LDIF. Tous les autres attributs sont écrits dans l'ordre dans lequel ils apparaissent.
Les paramètres de contrôle fournissent des contrôles supplémentaires pour la création d'objets. Pour tous les contrôles, un point d'exclamation (!) figure en début de ligne et permet de les distinguer des paramètres d'attribut. Les contrôles peuvent apparaître n'importe où dans le fichier.
!COUNTER=300 !OBJECTCOUNT=2 !CYCLE=title !UNICYCLE=first,last !CYCLE=ou,BLOCK=10
Compteur
Fournit la valeur initiale pour la valeur de compteur unique. La valeur du compteur est insérée dans un attribut quelconque avec la syntaxe $C.
Object Count (Nombre d'objets)
Le paramètre OBJECTCOUNT détermine le nombre d'objets créés à partir du modèle.
Cycle
Le paramètre CYCLE peut servir à modifier le mode d'extraction des valeurs aléatoires à partir des fichiers (syntaxe $R). Il peut présenter trois valeurs.
!CYCLE=title
Dès que la liste nommée « title » (titre) est utilisée, le système extrait la valeur suivante de la liste au lieu de sélectionner une valeur de façon aléatoire. Une fois toutes les valeurs utilisées dans l'ordre, la liste reprend au début.
!CYCLE=ou,BLOCK=10
Chaque valeur de la liste « ou » doit être utilisée 10 fois avant de passer à la valeur suivante.
La variante la plus intéressante du paramètre de contrôle CYCLE est UNICYCLE. Elle indique une liste de sources qui sont parcourues de façon cyclique de gauche à droite, permettant ainsi de créer, si nécessaire, des valeurs dont l'unicité est garantie. En cas d'emploi de ce contrôle, le contrôle OBJECTCOUNT sert uniquement à limiter le nombre d'objets au nombre maximum d'objets uniques pouvant être créés à partir des listes. En d'autres termes, si les listes désignées dans UNICYCLE peuvent produire 15 000 objets, OBJECTCOUNT peut servir à réduire ce nombre, mais pas à l'augmenter.
Par exemple, supposons que le fichier givenname contienne deux valeurs (Doug et Karl) et que le fichier sn en contienne trois (Hoffman, Schultz et Grieger). Avec le paramètre de contrôle !UNICYCLE=givenname,sn et la définition d'attribut cn: $R(givenname) $R(sn), les CN suivants sont créés :
cn: Doug Hoffmancn cn: Karl Hoffmancn cn: Doug Schultzcn cn: Karl Schultzcn cn: Doug Griegercn cn: Karl Grieger
Voici des exemples de commandes que vous pouvez utiliser avec l'utilitaire de ligne de commande Importation/Conversion/Exportation NetIQ pour les fonctions suivantes :
Pour effectuer une importation LDIF, associez le gestionnaire source LDIF et le gestionnaire de destination LDAP de la manière suivante :
ice -S LDIF -f entries.ldif -D LDAP ‑s server1.acme.com -p 389 -d cn=admin,c=us -w secret
Cette commande permet de lire les données LDIF à partir du fichier entries.ldif et de les envoyer au serveur LDAP server1.acme.com sur le port 389 à l'aide de l'identité cn=admin,c=us et du mot de passe « secret ».
Pour effectuer une exportation LDIF, associez le gestionnaire source LDAP et le gestionnaire cible LDIF. Par exemple :
ice -S LDAP -s server1.acme.com -p 389 -d cn=admin,c=us ‑w password -F objectClass=* -c sub -D LDIF ‑f server1.ldif
Cette commande permet de rechercher dans une sous-arborescence tous les objets situés sur le serveur server1.acme.com au niveau du port 389, à l'aide de l'identité cn=admin,c=us et du mot de passe « password », ainsi que de générer les données au format LDIF dans le fichier server1.ldif.
Pour exécuter une importation délimitée par des virgules, utilisez une commande similaire à la suivante :
ice -S DELIM -f/tmp/in.csv -F /tmp/order.csv -ncn -lo=acme -D LDAP -s server1.acme.com -p389 -d cn=admin,c=us -w secret
Cette commande lit les données séparées par une virgule du fichier /tmp/in.csv, ainsi que l'ordre des attributs, défini dans le fichier /tmp/order.csv. Pour chaque entrée d'attribut du fichier in.csv, le type d'attribut est spécifié dans le fichier order.csv. Par exemple, si le fichier in.csv contient
pat,pat,engineer,john
alors le fichier order.csv contient
dn,cn,title,sn
Les informations du fichier order.csv peuvent être saisies directement à l'aide de l'option -t.
Les données sont ensuite envoyées au serveur LDAP server1.acme.com sur le port 389 à l'aide de l'identité cn=admin,c=us et du mot de passe « secret ».
Cet exemple indique que cn doit devenir le nouveau DN pour cet à en utilisant l'option -n et cet objet a été ajouté au conteneur Organisation acme à l'aide de l'option -l.
Le modèle utilisé pour générer des fichiers séparés par une virgule créés à l'aide de l'utilitaire Importation/Conversion/Exportation NetIQ figure à la première ligne. Pour spécifier que la première ligne du fichier délimité est le modèle, utilisez l'option -k. Si F - ou -t est utilisé avec -k, le modèle spécifié doit être cohérent avec celui dans le fichier délimité, dans lequel les deux possèdent exactement les mêmes attributs. Toutefois, le nombre d'occurrences et l'ordre d'apparition de chaque attribut peuvent différer. Dans l'exemple ci-dessus, le fichier in.csv contient
dn,cn,title,title,title,sn à la première ligne. Les modèles suivants sont cohérents et peuvent être utilisés avec l'option -t ou -F lorsque -k est utilisé :
dn,cn,title,sn (le nombre de répétitions du titre de l'attribut diffère)
dn,sn,titre cn (l'ordre des attributs diffère)
Toutefois, les éléments suivants ne sont pas compatibles avec le modèle in.csv et ne peuvent donc pas être spécifiés avec l'option -t ou -F lorsque -k est utilisé :
dn,cn,title,sn,objectclass (nouvel attribut de classe d'objet)
dn,cn,title (attribut sn manquant)
Pour exécuter une exportation délimitée par des virgules, utilisez une commande similaire à la suivante :
ice -S LDAP -s server1.acme.com -p 389 -d cn=admin,c=us ‑w password -F objectClass=* -c sub -D DELIM -f /tmp/server1.csv -F order.csv
Cette commande permet de rechercher dans une sous-arborescence tous les objets situés sur le serveur server1.acme.com au niveau du port 389, à l'aide de l'identité cn=admin,c=us et du mot de passe « password » et compile les données séparées par une virgule, dans le fichier /tmp/server1.csv.
Si un attribut dans le fichier order.csv a plusieurs valeurs, /tmp/server1.csv, le nombre de colonnes pour cet attribut correspond au nombre maximal de valeurs pour l'attribut. Si un attribut se répète dans le fichier order.csv, le nombre de colonnes pour cet attribut correspond au nombre de répétitions de l'attribut.
Par exemple, si le fichier order.csv contient dn, sn,objectclass et que objectclass possède 4 valeurs, alors que dn et sn ont uniquement 1 valeur pour toutes les entrées exportées, dn et sn auraient 1 colonne tandis que objectclass compterait 4 colonnes. Si vous ne voulez que 2 valeurs pour objectclass dans le fichier délimité, le fichier order.csv doit contenir dn,sn,objectclass,objectclass.
Dans les deux cas, les attributs sont écrits dans le fichier /tmp/server1.csv sur la première ligne. Dans le premier cas, la première ligne du fichier /tmp/server1.csv sera dn,sn,objectclass,objectclass,objectclass,objectclasss, et dans le second cas, elle contiendra dn,sn,objectclass,objectclass.
Pour éviter que la première ligne soit considérée comme une succession d'attributs lors d'une importation ultérieure, utilisez l'option -k. Pour plus d'informations, reportez-vous à la section Importation de données séparées par une virgule.
Pour effectuer une migration de données entre des serveurs LDAP, associez les gestionnaires source et cible LDAP. Par exemple :
ice -S LDAP -s server1.acme.com -p 389 -d cn=admin,c=us ‑w password -F objectClass=* -c sub -D LDAP ‑s server2.acme.com -p 389 -d cn=admin,c=us -w secret
Cette commande permet de rechercher dans une sous-arborescence tous les objets situés sur le serveur server1.acme.com au niveau du port 389, sous l'identité cn=admin,c=us et à l'aide du mot de passe « password » et envoie les données au serveur LDAP server2.acme.com sur le port 389 sous l'identité cn=admin,c=us à l'aide du mot de passe « secret ».
Pour exécuter une importation de schéma, utilisez une commande similaire à la suivante :
ice -S SCH -f $HOME/myfile.sch -D LDAP -s myserver -d cn=admin,o=novell -w passwd
Cette commande lit les données de schéma à partir du fichier myfile.sch et les envoie au serveur LDAP myserver sous l'identité cn=admin,o=novell et à l'aide de du mot de passe « passwd ».
Pour exécuter une importation de fichier LOAD, utilisez une commande similaire à la suivante :
ice -S LOAD -f attrs -D LDIF -f new.ldf
Dans cet exemple, le contenu du fichier d'attributs attrs est le suivant :
#=====================================================================
# DirLoad 1.00 #=====================================================================
!COUNTER=300
!OBJECTCOUNT=2 #-----------------------------------------------------------------------
# ATTRIBUTE TEMPLATE # --------------------------------------------------------------------
objectclass: inetorgperson
givenname: $R(first)
initials: $R(initial)
sn: $R(last)
dn: cn=$A(givenname,%.1s)$A(initial,%.1s)$A(sn),ou=$R(ou),ou=dev,o=novell,
telephonenumber: 1-800-$N(1-999,%03d)-$C(%04d)
title: $R(titles)
L'exécution de la commande précédente à partir de l'invite de commande génère le fichier LDIF suivant :
version: 1
dn: cn=JohnBBill,ou=ds,ou=dev,o=novell
changetype: add
objectclass: inetorgperson
givenname: John
initials: B
sn: Bill
telephonenumber: 1-800-290-0300
title: Amigo
dn: cn=BobJAmy,ou=ds,ou=dev,o=novell
changetype: add
objectclass: inetorgperson
givenname: Bob
initials: J
sn: Amy
telephonenumber: 1-800-486-0301
title: Pomo
L'exécution de la commande suivante à partir de l'invite de commande entraîne l'envoi des données à un serveur LDAP via le gestionnaire LDAP :
ice -S LOAD -f attrs -D LDAP -s www.novell.com -d cn=admin,o=novell -w admin
Si le fichier de modèle précédent est utilisé avec la commande suivante, tous les enregistrements ajoutés via la commande ci-dessus sont supprimés.
ice -S LOAD -f attrs -r -D LDAP -s www.novell.com -d cn=admin,o=novell -w admin
L'exemple ci-dessous illustre la façon de modifier des enregistrements à l'aide du paramètre –m :
# ======================================================================
# DirLoad 1.00
# ====================================================================== !COUNTER=300
!OBJECTCOUNT=2
#----------------------------------------------------------------------
# ATTRIBUTE TEMPLATE
# ----------------------------------------------------------------------
dn: cn=$R(first),%.1s)($R(initial),%.1s)$R(last),ou=$R(ou),ou=dev,o=novell
delete: givenname
add: givenname
givenname: test1
replace: givenname
givenname: test2
givenname: test3
Si le fichier attrs contient les données ci-dessus et que vous utilisez la commande suivante :
ice -S LOAD -f attrs -m -D LDIF -f new.ldf
les données LDIF suivantes sont générées :
version: 1
dn: cn=BillTSmith,ou=ds,ou=dev,o=novell
changetype: modify
delete: givenname
-
add: givenname
givenname: test1
-
replace: givenname
givenname: test2
givenname: test3
-
dn: cn=JohnAWilliams,ou=ldap,ou=dev,o=novell
changetype: modify
delete: givenname
-
add: givenname
givenname: test1
-
replace: givenname
givenname: test2
givenname: test3
-
Pour effectuer une exportation LDIF à partir d'un serveur LDAP comportant des attributs chiffrés, associez le gestionnaire source LDAP et le gestionnaire cible LDIF, ainsi que le modèle et le mot de passe de chiffrement. Par exemple :
ice -S LDAP -s server1.acme.com -p 636 -L cert-server1.der -d cn=admin,c=us -w password -F objectClass=* -c sub -D LDIF -f server1.ldif -e des -E secret
Pour effectuer une importation LDIF d'un fichier dont les attributs ont été précédemment chiffrés par ICE, associez la source LDIF au modèle et mot de passe utilisés précédemment pour l'exportation du fichier et au gestionnaire cible LDAP. Par exemple :
ice -S LDIF -f server1.ldif -e des -E secret -D LDAP -s server2.acme.com -p 636 -L cert-server2.der -d cn=admin,c=us -w password
Le moteur Importation/Conversion/Exportation NetIQ vous permet de définir un ensemble de règles qui décrivent les opérations de traitement à réaliser sur chaque enregistrement reçu du gestionnaire source, avant sa transmission au gestionnaire cible. Ces règles sont définies au format XML (sous la forme soit d'un fichier XML, soit de données XML stockées dans l'annuaire) et résolvent les problèmes suivants lors de l'importation d'entrées à partir d'un annuaire LDAP dans un autre :
Informations manquantes
Différences hiérarchiques
Différences de schémas
Trois types de règle de conversion sont disponibles :
Règle |
Description |
---|---|
Placement |
Modifie le placement d'une entrée. Par exemple, si vous importez un groupe d'utilisateurs vers le conteneur l=San Francisco, c=États‑Unis et que vous souhaitez ensuite placer ces utilisateurs dans le conteneur l=Los Angeles, c=États‑Unis une fois l'importation terminée, vous pouvez le faire en utilisant une règle de placement. Pour plus d'informations sur le format de ces règles, reportez-vous à la section Règles de placement. |
Création |
Fournit les informations manquantes qui peuvent s'avérer nécessaires à la création d'une entrée lors de l'importation. Par exemple, supposons que vous ayez exporté des données LDIF à partir d'un serveur dont le schéma requiert uniquement l'attribut cn (commonName) pour les entrées utilisateur, mais que le serveur dans lequel vous importez ces données LDIF nécessite à la fois les attributs cn et sn (surname). Vous pouvez alors utiliser la règle de création pour fournir une valeur sn par défaut (telle que « ») pour chacune des entrées lors de leur traitement par le moteur. Lorsque ces entrées sont envoyées au serveur cible, elles contiennent l'attribut sn requis et leur ajout peut s'effectuer correctement. Pour plus d'informations sur le format de ces règles, reportez-vous à la section Règles de création. |
Assignation de schéma |
Si, lors du transfert de données entre des serveurs (directement ou via LDIF), il existe des différences entre les schémas des serveurs, vous pouvez utiliser la règle Assignation de schéma pour effectuer les opérations suivantes :
Pour plus d'informations sur le format de ces règles, reportez-vous à la section Règles d'assignation de schéma. |
Vous pouvez activer les règles de conversion dans l'assistant Importation/Exportation NetIQ eDirectory, ainsi que dans l'interface de ligne de commande. Pour plus d'informations sur les règles XML, reportez-vous à la section Utilisation des règles XML.
Dans iManager, cliquez sur le bouton Rôles et tâches .
Cliquez sur Maintenance > Assistant Importation/Conversion/Exportation.
Sélectionnez la tâche à exécuter.
Dans Paramètres avancés, sélectionnez l'une des options suivantes :
Option |
Description |
---|---|
Règles de schéma |
Indique l'emplacement de la règle d'assignation de schéma XML que le moteur doit utiliser. |
Règles de placement |
Indique l'emplacement de la règle de placement XML que le moteur doit utiliser. |
Règles de création |
Indique l'emplacement de la règle de création XML que le moteur doit utiliser. |
Cliquez sur Suivant.
Suivez les instructions en ligne pour terminer la tâche sélectionnée.
Vous pouvez activer les règles de conversion à l'aide des options générales -p, -c et -s dans le fichier exécutable d'importation, de conversion et d'exportation NetIQ. Pour plus d'informations, reportez-vous à la section Options générales.
Option |
Description |
---|---|
-p URL |
Emplacement de la règle de placement XML que le moteur doit utiliser. |
-c URL |
Emplacement de la règle de création XML que le moteur doit utiliser. |
-s URL |
Emplacement de la règle d'assignation de schéma XML que le moteur doit utiliser. |
Pour ces trois options, la variable URL doit se présenter comme suit :
URL au format suivant :
file://[path/]filename
Le fichier doit se trouver sur le système de fichiers local.
URL LDAP conforme à la convention RFC 2255 qui spécifie une recherche de niveau de base et une liste d'attributs comportant la description d'un seul attribut pour un type d'attribut à valeur unique.
Les règles de conversion de l'utilitaire Importation/Conversion/Exportation NetIQ utilisent le même format XML que NetIQ Identity Manager. Pour plus d'informations sur NetIQ Identity Manager, rendez-vous sur le site de documentation de NetIQ Identity Manager.
L'élément <attr-name-map> est l'élément le plus élevé pour les règles d'assignation de schéma. Les règles d'assignation déterminent comment le schéma d'importation interagit avec le schéma d'exportation. Elles associent les définitions et les attributs de classe d'importation indiqués aux définitions correspondantes dans le schéma d'exportation.
Les règles d'assignation peuvent être définies pour les noms d'attribut ou les noms de classe.
Pour une assignation d'attribut, la règle doit spécifier qu'il s'agit d'une assignation d'attribut, mais elle doit également indiquer un espace de noms (nds-name est la balise pour le nom source), le nom dans l'espace de noms eDirectory, puis l'autre espace de noms (app-name est la balise pour le nom cible) et le nom dans ce dernier. Elle peut spécifier que l'assignation s'applique à une classe particulière ou à toutes les classes comportant l'attribut.
Pour une assignation de classe, la règle doit spécifier qu'il s'agit d'une assignation de classe, mais elle doit également indiquer un espace de nom (eDirectory ou l'application), le nom dans cet espace de nom, puis l'autre espace de nom et le nom dans cet espace de nom.
Voici la définition formelle des DTD concernant les règles d'assignation de schéma:
<!ELEMENT attr-name-map (attr-name | class-name)*> <!ELEMENT attr-name (nds-name, app-name)> <!ATTLIST attr-name class-name CDATA #IMPLIED> <!ELEMENT class-name (nds-name, app-name)> <!ELEMENT nds-name (#PCDATA)> <!ELEMENT app-name (#PCDATA)>
Vous pouvez avoir plusieurs éléments d'assignation dans un fichier. Chaque élément est traité dans l'ordre où il apparaît dans le fichier. Si vous assignez la même classe ou le même attribut plusieurs fois, la première assignation est prioritaire.
Les exemples suivants illustrent la création d'une règle d'assignation de schéma.
Règle de schéma 1 : La règle suivante assigne l'attribut nom de source à l'attribut sn de destination pour la classe inetOrgPerson.
<attr-name-map> <attr-name class-name="inetOrgPperson"> <nds-name>surname</nds-name> <app-name>sn</app-name> </attr-name> </attr-name-map>
Règle de schéma 2 : La règle suivante assigne la définition de classe inetOrgPerson source à la définition de classe Utilisateur de destination.
<attr-name-map> <class-name> <nds-name>inetOrgPerson</nds-name> <app-name>User</app-name> </class-name> </attr-name-map>
Règle de schéma 3 : L'exemple suivant contient deux règles. La première règle assigne l'attribut nom de source à l'attribut sn de destination pour toutes les classes qui utilisent ces attributs. La deuxième règle assigne la définition de classe inetOrgPerson source à la définition de classe Utilisateur de destination.
<attr-name-map> <attr-name> <nds-name>surname</nds-name> <app-name>sn</app-name> </attr-name> <class-name> <nds-name>inetOrgPerson</nds-name> <app-name>User</app-name> </class-name> </attr-name-map>
Exemple de commande : Si les règles d'assignation de schéma sont enregistrées dans un fichier sr1.xml, la commande suivante indique à l'utilitaire de les exploiter lors du traitement du fichier 1entry.ldf et d'envoyer les résultats à un fichier cible, outt1.ldf.
ice -o -sfile://sr1.xml -SLDIF -f1entry.ldf -c -DLDIF -foutt1.ldf
Les règles de création précisent les conditions de création d'une nouvelle entrée dans le répertoire de destination. Elles prennent en charge les éléments suivants :
Attributs requis indique qu'un enregistrement d'ajout doit avoir des valeurs pour tous les attributs requis, faute de quoi l'ajout échoue. La règle peut fournir une valeur par défaut pour un attribut requis. Si un enregistrement n'a pas de valeur pour l'attribut, l'entrée se voit attribuer la valeur par défaut. Si l'enregistrement possède une valeur, celle‑ci est utilisée.
Attributs de concordance : spécifie qu'un enregistrement d'ajout doit avoir les attributs spécifiés et doit correspondre aux valeurs indiquées, faute de quoi l'ajout échoue.
Modèles indique le nom distinctif d'un objet Modèle dans eDirectory. Actuellement, l'utilitaire Importation/Conversion/Exportation NetIQ ne prend pas en charge la spécification de modèles dans les règles de création.
Voici la définition formelle des DTD concernant les règles de création :
<!ELEMENT create-rules (create-rule)*> <!ELEMENT create-rule (match-attr*, required-attr*, template?) > <!ATTLIST create-rule class-name CDATA #IMPLIED description CDATA #IMPLIED> <!ELEMENT match-attr (value)+ > <!ATTLIST match-attr attr-name CDATA #REQUIRED> <!ELEMENT required-attr (value)*> <!ATTLIST required-attr attr-name CDATA #REQUIRED> <!ELEMENT template EMPTY> <!ATTLIST template template-dn CDATA #REQUIRED>
Vous pouvez avoir plusieurs éléments de règle de création dans un fichier. Chaque règle est traitée dans l'ordre où elle apparaît dans le fichier. Si un enregistrement ne correspond à aucune des règles, il est ignoré sans pour autant générer un message d'erreur.
Les exemples suivants montrent comment formater les règles de création.
Règle de création 1 : La règle suivante pose trois conditions sur les enregistrements d'ajout qui appartiennent à la classe inetOrgPerson. Ces enregistrements doivent posséder les attributs givenName et Surname. Ils doivent posséder un attribut L, mais si ce n'est pas le cas, la règle de création fournit une valeur par défaut de Provo pour eux.
<create-rules> <create-rule class-name="inetOrgPerson"> <required-attr attr-name="givenName"/> <required-attr attr-name="surname"/> <required-attr attr-name="L"> <value>Provo</value> </required-attr> </create-rule> </create-rules>
Règle de création 2 : La règle de création suivante pose trois conditions sur tous les enregistrements d'ajout, quelle que soit leur classe de base :
L'enregistrement doit contenir un attribut givenName. Si ce n'est pas le cas, l'ajout échoue.
L'enregistrement doit contenir un attribut Surname. Si ce n'est pas le cas, l'ajout échoue.
L'enregistrement doit contenir un attribut L. Si ce n'est pas le cas, l'attribut se voit assigner la valeur de Provo.
<create-rules> <create-rule> <required-attr attr-name="givenName"/> <required-attr attr-name="Surname"/> <required-attr attr-name="L"> <value>Provo</value> </required-attr> </create-rule> </create-rules>
Règle de création 3 : La règle de création suivante pose deux conditions sur tous les enregistrements, quelle que soit leur classe de base :
La règle vérifie si l'enregistrement contient un attribut uid avec une valeur de ratuid. Si ce n'est pas le cas, l'ajout échoue.
La règle vérifie si l'enregistrement possède un attribut L. S'il ne possède pas cet attribut, l'attribut L se voit attribuer la valeur de Provo.
<create-rules> <create-rule> <match-attr attr-name="uid"> <value>cn=ratuid</value> </match-attr> <required-attr attr-name="L"> <value>Provo</value> </required-attr> </create-rule> </create-rules>
Exemple de commande : Si les règles de création sont enregistrées dans un fichier crl.xml, la commande suivante indique à l'utilitaire de les employer lors du traitement du fichier 1entry.ldf et d'envoyer les résultats à un fichier cible (outt1.ldf).
ice -o -cfile://cr1.xml -SLDIF -f1entry.ldf -c -DLDIF -foutt1.ldf
Les règles de placement déterminent l'endroit où une entrée est créée dans le répertoire de destination. Elles prennent en charge les conditions suivantes pour déterminer si la règle doit être utilisée pour placer une entrée :
Classe de concordance : Si la règle contient des éléments match-class, un attribut objectClass indiqué dans l'enregistrement doit correspondre à l'attribut class-name de la règle. Si la correspondance échoue, la règle de placement n'est pas utilisée pour cet enregistrement.
Attribut de concordance : Si la règle contient des éléments match-attr, l'enregistrement doit contenir une valeur d'attribut pour chacun des attributs spécifiés dans l'élément match-attr. Si la correspondance échoue, la règle de placement n'est pas utilisée pour cet enregistrement.
Chemin de concordance : Si la règle contient des éléments match path, une partie du dn de l'enregistrement doit correspondre au préfixe indiqué dans l'élément match path. Si la correspondance échoue, la règle de placement n'est pas utilisée pour cet enregistrement.
Le dernier élément de la règle indique où placer l'entrée. La règle de placement peut utiliser aucun ou plusieurs des éléments suivants :
PCDATA utilise des données de caractère analysées pour préciser le DN d'un conteneur pour les entrées.
Copier le nom : indique que l'attribut d'assignation de nom de l'ancien DN est utilisé dans le nouveau DN de l'entrée.
Copier l'attribut : indique l'attribut d'assignation de nom à utiliser dans le nouveau DN de l'entrée. L'attribut de dénomination indiqué doit être un attribut de dénomination valide pour la classe de base de l'entrée.
Copier le chemin : indique que le DN source doit être utilisé comme DN cible.
Copier le suffixe du chemin : indique que le DN source, ou une partie de son chemin, doit être utilisé comme DN cible. Si un élément match path est spécifié, seule la partie de l'ancien DN qui ne correspond pas à l'attribut de préfixe (prefix) de cet élément est utilisée comme composant du DN de l'entrée.
Voici la DTD formelle de la règle de placement :
<!ELEMENT placement-rules (placement-rule*)> <!ATTLIST placement-rules src-dn-format (%dn-format;) "slash" dest-dn-format (%dn-format;) "slash" src-dn-delims CDATA #IMPLIED dest-dn-delims CDATA #IMPLIED> <!ELEMENT placement-rule (match-class*, match-path*, match-attr*, placement)> <!ATTLIST placement-rule description CDATA #IMPLIED> <!ELEMENT match-class EMPTY> <!ATTLIST match-class class-name CDATA #REQUIRED> <!ELEMENT match-path EMPTY> <!ATTLIST match-path prefix CDATA #REQUIRED> <!ELEMENT match-attr (value)+ > <!ATTLIST match-attr attr-name CDATA #REQUIRED> <!ELEMENT placement (#PCDATA | copy-name | copy-attr | copy-path | copy-path-suffix)* >
Vous pouvez avoir plusieurs éléments de règle de placement dans un fichier. Chaque règle est traitée dans l'ordre où elle apparaît dans le fichier. Si un enregistrement ne correspond à aucune des règles, il est ignoré sans pour autant générer un message d'erreur.
Les exemples suivants montrent comment formater les règles de placement. Les attributs scr-dn-format="ldap" et dest-dn-format="ldap" définissent la règle de façon à ce que l'espace de noms du DN de la source et de la cible se présente au format LDAP.
L'utilitaire Importation/Conversion/Exportation NetIQ ne prend en charge que les noms sources et cibles au format LDAP.
Exemple de placement 1 : La règle de placement suivante requiert que l'enregistrement ait une classe de base de inetOrgPerson. Si l'enregistrement remplit cette condition, l'entrée est immédiatement subordonnée au conteneur test et le composant le plus à gauche de son DN source est utilisé comme partie de son DN.
<placement-rules src-dn-format="ldap" dest-dn-format="ldap"> <placement-rule> <match-class class-name="inetOrgPerson"></match-class> <placement>cn=<copy-name/>,o=test</placement> </placement-rule> </placement-rules>
Avec cette règle, un enregistrement avec une classe de base de inetOrgPerson et avec le DN suivant :
dn: cn=Kim Jones, ou=English, ou=Humanities, o=UofZ
aurait le DN suivant dans le répertoire cible :
dn: cn=Kim Jones, o=test
Exemple de placement 2 : La règle de placement suivante requiert que l'enregistrement ait un attribut sn. Si l'enregistrement remplit cette condition, l'entrée est immédiatement subordonnée au conteneur test et le composant le plus à gauche de son DN source est utilisé comme partie de son DN.
<placement-rules src-dn-format="ldap" dest-dn-format="ldap"> <placement-rule> <match-attr attr-name="sn"></match-attr> <placement>cn=<copy-name/>,o=test</placement> </placement-rule> </placement-rules>
Avec cette règle, un enregistrement avec le dn et l'attribut sn suivants :
dn: cn=Kim Jones, ou=English, ou=Humanities, o=UofZ sn: Jones
aurait le DN suivant dans le répertoire cible :
dn: cn=Kim Jones, o=test
Exemple de placement 3 : La règle de placement suivante requiert que l'enregistrement ait un attribut sn. Si l'enregistrement remplit cette condition, l'entrée est immédiatement subordonnée au conteneur test et son attribut sn est utilisé comme composant de son DN. L'attribut indiqué dans l'élément copy-attr doit être un attribut de dénomination de la classe de base de l'entrée.
<placement-rules src-dn-format="ldap" dest-dn-format="ldap"> <placement-rule> <match-attr attr-name="sn"></match-attr> <placement>cn=<copy-attr attr-name="sn"/>,o=test</placement> </placement-rule> </placement-rules>
Avec cette règle, un enregistrement avec le dn et l'attribut sn suivants :
dn: cn=Kim Jones, ou=English, ou=Humanities, o=UofZ sn: Jones
aurait le DN suivant dans le répertoire cible :
dn: cn=Jones, o=test
Exemple de placement 4 : La règle de placement suivante requiert que l'enregistrement ait un attribut sn. Si l'enregistrement remplit cette condition, le DN source est utilisé comme DN cible.
<placement-rules src-dn-format="ldap" dest-dn-format="ldap"> <placement-rule> <match-attr attr-name="sn"></match-attr> <placement><copy-path/></placement> </placement-rule> </placement-rules>
Exemple de placement 5 : La règle de placement suivante requiert que l'enregistrement ait un attribut sn. Si l'enregistrement remplit cette condition, le DN entier de l'entrée est copié vers le conteneur test.
<placement-rules src-dn-format="ldap" dest-dn-format="ldap"> <placement-rule> <match-attr attr-name="sn"></match-attr> <placement><copy-path-suffix/>,o=test</placement> </placement-rule> </placement-rules>
Avec cette règle, un enregistrement avec le dn et l'attribut sn suivants :
dn: cn=Kim Jones, ou=English, ou=Humanities, o=UofZ sn: Jones
aurait le DN suivant dans le répertoire cible :
dn: cn=Kim Jones, ou=English, ou=Humanities, o=UofZ, o=test
Exemple de placement 6 : La règle de placement suivante requiert que l'enregistrement ait un attribut sn. Si l'enregistrement remplit cette condition, le DN entier de l'entrée est copié dans le conteneur NewOrganization.
<placement-rules> <placement-rule> <match-path prefix="o=engineering"/> <placement><copy-path-suffix/>o=neworg</placement> </placement-rule> </placement-rules>
Par exemple :
dn: cn=bob,o=engineering
devient
dn: cn=bob,o=neworg
Exemple de commande : si les règles de placement sont enregistrées dans un fichier pr1.xml, la commande suivante demande à l'utilitaire de les employer lors du traitement du fichier 1entry.ldf et d'envoyer les résultats au fichier cible (foutt1.ldf).
ice -o -pfile://pr1.xml -SLDIF -f1entry.ldf -c -DLDIF -foutt1.ldf
L'utilitaire Importation/Conversion/Exportation NetIQ utilise le protocole LBURP (LDAP Bulk Update/Replication Protocol) pour envoyer des requêtes asynchrones à un serveur LDAP. Cela garantit que les requêtes seront traitées dans l'ordre indiqué par le protocole et non pas dans un ordre arbitraire influencé par les interactions des multiprocesseurs ou le planificateur du système d'exploitation.
Le protocole LBURP permet également à l'utilitaire Importation/Conversion/Exportation NetIQ d'envoyer plusieurs mises à jour dans une seule requête et de recevoir la réponse de toutes ces mises à jour sous la forme d'une réponse unique. Ce protocole permet d'optimiser l'efficacité du réseau.
Le protocole LBURP fonctionne de la manière suivante :
L'utilitaire Importation/Conversion/Exportation NetIQ établit une liaison avec un serveur LDAP.
Le serveur envoie une réponse de liaison au client.
Le client envoie une requête étendue LBURP de début au serveur.
Le serveur envoie une réponse étendue LBURP de début au client.
Le client envoie ou non des requêtes étendues d'opération LBURP au serveur.
Ces requêtes peuvent être envoyées en mode asynchrone. Chaque requête contient un numéro séquentiel identifiant sa place par rapport aux autres requêtes envoyées par le client sur la même connexion. Chaque requête contient également au moins une opération de mise à jour LDAP.
Le serveur traite chacune des requêtes étendues d'opération LBURP dans l'ordre défini par le numéro séquentiel et envoie une réponse étendue d'opération LBURP pour chaque requête.
Une fois que toutes les mises à jour ont été envoyées au serveur, le client envoie une requête étendue LBURP de fin au serveur.
Le serveur envoie une réponse étendue LBURP de fin au client.
Le protocole LBURP permet à l'utilitaire Importation/Conversion/Exportation NetIQ de présenter des données au serveur aussi rapidement que la connexion réseau le permet. Si la connexion réseau est suffisamment rapide, le serveur peut traiter les opérations de mise à jour en continu, car il n'a jamais besoin de s'interrompre parce que l'utilitaire Importation/Conversion/Exportation NetIQ lui donne d'autres tâches à réaliser.
Le processeur LBURP dans les eDirectory effectue également des opérations de mise à jour sur la base de données dans des groupes afin d'optimiser l'efficacité du traitement des opérations de mise à jour. Le protocole LBURP peut augmenter nettement l'efficacité des importations LDIF par rapport à une approche synchrone traditionnelle.
Le protocole LBURP est activé par défaut, mais vous pouvez le désactiver au cours d'une importation LDIF.
Pour activer ou désactiver le protocole LBURP au cours d'une importation LDIF :
Dans NetIQ iManager, cliquez sur le bouton Rôles et tâches .
Cliquez sur Maintenance > Assistant Importation/Conversion/Exportation.
Cliquez sur Importer les données depuis un fichier du disque, puis sur Suivant.
Sélectionnez LDIF dans la liste déroulante Type de fichier, puis indiquez le nom du fichier LDIF contenant les données à importer.
Cliquez sur Suivant.
Spécifiez le serveur LDAP sur lequel les données seront importées, ainsi que le type de connexion (anonyme ou authentifiée).
Sous Paramètres avancés, sélectionnez Utiliser LBURP.
Cliquez sur Suivant, puis suivez les instructions en ligne pour exécuter les autres opérations de l'assistant d'importation LDIF.
IMPORTANT :le protocole LBURP étant relativement récent, les serveurs eDirectory antérieurs à la version 8.5 (ainsi que la plupart des serveurs non-eDirectory) ne le prennent pas en charge. Si vous utilisez l'assistant Importation/Exportation NetIQ eDirectory pour importer un fichier LDIF vers l'un de ces serveurs, vous devez désactiver l'option LBURP pour que l'importation LDIF fonctionne.
Vous pouvez utiliser l'option de ligne de commande pour activer ou désactiver LBURP pendant une importation LDIF. Pour plus d'informations, reportez-vous à l'option -B.
Dans les cas où le fichier LDIF que vous importez contient à lui seul des milliers voire des millions d'enregistrements, pensez à effectuer les opérations suivantes :
Si cela est possible, sélectionnez pour l'importation LDIF un serveur de destination qui comporte des répliques en lecture/écriture contenant toutes les entrées répertoriées dans le fichier LDIF. Cette opération permet d'optimiser l'efficacité du réseau.
Pour les mises à jour, évitez que le serveur cible soit chaîné à d'autres serveurs eDirectory. Cela risque de réduire nettement les performances. Toutefois, si certaines des entrées à mettre à jour se trouvent uniquement sur des serveurs eDirectory qui n'exécutent pas LDAP, vous serez peut-être obligé d'autoriser le chaînage pour importer le fichier LDIF.
Pour plus d'informations sur la gestion des répliques et des partitions, reportez-vous au Section 6.0, Gestion des partitions et des répliques.
L'utilitaire Importation/Conversion/Exportation NetIQ optimise le réseau et l'efficacité de traitement du serveur eDirectory en utilisant le protocole LBURP pour transférer des données entre l'assistant et le serveur. L'utilisation du protocole LBURP au cours d'une importation LDIF améliore nettement la vitesse d'exécution de cette opération.
Pour plus d'informations sur le protocole LBURP, reportez-vous à la section Protocole LBURP (LDAP Bulk Update/Replication Protocol).
La taille du cache de base de données que eDirectory peut utiliser a un impact direct sur la vitesse d'exécution des importations LDIF, notamment lorsque le nombre total d'entrées sur le serveur augmente. Lorsque vous effectuez une importation LDIF, vous pouvez allouer, pendant cette opération, le maximum de mémoire possible à eDirectory. Une fois que l'importation est terminée et que le serveur gère une charge moyenne, vous pouvez restaurer les paramètres de mémoire précédents. Cela est particulièrement important si l'importation est la seule activité réalisée sur le serveur eDirectory.
Pour plus d'informations sur la configuration du cache de base de données eDirectory, reportez-vous au Section 19.0, Maintenance de NetIQ eDirectory.
NetIQ eDirectory utilise des paires de clé publique et privée pour l'authentification. La génération de ces clés est un processus qui requiert d'énormes ressources UC. À partir de la version 8.7.3 d'eDirectory, vous pouvez envisager de stocker les mots de passe à l'aide de la fonction de mot de passe simple du service NMAS (NetIQ Modular Authentication Service). Lorsque vous choisissez cette option, les mots de passe sont conservés dans un emplacement sécurisé dans le répertoire et les paires de clés ne sont pas générées tant qu'elles ne sont pas réellement requises pour l'authentification entre les serveurs. Cela permet d'augmenter considérablement la vitesse de chargement d'un objet qui contient des informations de mot de passe.
Pour activer des mots de passe simples au cours d'une importation LDIF :
Dans NetIQ iManager, cliquez sur le bouton Rôles et tâches .
Cliquez sur Maintenance > Assistant Importation/Conversion/Exportation.
Cliquez sur Importer les données depuis un fichier du disque, puis sur Suivant.
Sélectionnez LDIF dans la liste déroulante Type de fichier, puis entrez le nom du fichier LDIF contenant les données à importer.
Cliquez sur Suivant.
Spécifiez le serveur LDAP sur lequel les données seront importées, ainsi que le type de connexion (anonyme ou authentifiée).
Sous Paramètres avancés, sélectionnez Stocker les mots de passe simples NMAS/hachés.
Cliquez sur Suivant, puis suivez les instructions en ligne pour exécuter les autres opérations de l'assistant d'importation LDIF.
Si vous choisissez de stocker les mots de passe à l'aide de la fonction Mot de passe simple, vous devez utiliser un logiciel Novell Client compatible avec NMAS afin de vous connecter à l'arborescence eDirectory et accéder aux services de fichier et d'impression traditionnels. Le service NMAS doit également être installé sur le serveur. Les applications LDAP créant des liaisons avec un nom et un mot de passe fonctionnent de manière transparente avec la fonction de mot de passe simple.
Pour plus d'informations sur NMAS, reportez-vous au NetIQ Modular Authentication Services Administration Guide (Guide d'installation et d'administration de NetIQ Modular Authentication Services).
La présence d'index inutiles risque de ralentir l'importation LDIF : en effet, chaque index défini requiert un traitement supplémentaire pour chaque entrée dont les valeurs d'attribut sont stockées dans cet index. Avant d'effectuer une importation LDIF, vous devez supprimer tout index inutile ; vous pouvez ensuite envisager de recréer certains de ces index une fois que vous avez terminé le chargement des données et passé en revue les statistiques de prédicat afin de vérifier où ces index sont réellement nécessaires.
Pour plus d'informations sur le réglage des index, reportez-vous à la Section 7.2, Gestionnaire d'index.