Novell Identity Manager 3.6.1 на OES2 linux проблемы

[$erg]

Здравствуйте, Уважаемые!
Имеется следующая связка:
1. OES2 на основе SLES10sp3
2. Win2003sp2R2
На первой системе установлен Novell Identity Manager 3.6.1, на второй remote loader+driver.
Практически все прекрасно работает, т.е. OU переносятся в обое стороны, группы переносятся, но вот пользователи переносятся только в одном направлении - с AD на eDir, а в обратном направлении никак.
Фильтры в параметрах драйверов настроены одинаково.
Мне кажется проблема в политиках, т.к. в настройках драйвера AD их больше чем в eDir


Может кто настраивал такую связку, поделитесь отсутствующими политиками, или помогите разобраться с ними.
Заранее Спасибо!

[Владимир Горяев]

Мне думается, что достаточно только драйвера eDir-AD (первая картинка). Или у вас синхронизируется еще и с другим деревом (нижняя картинка)?

[$erg]

Нет, другого дерева нет. Сейчас попробую удалить его, посмотрим что изменится.

[$erg]

Но интересно почему, когда в Designer'е делаю схему, с двумя системами AD и eDir и во главе их Identity Vault, то схема выглядит именно с двумя драйверами, и даже при экспорте настроек из Designer в IDM - получаем два драйвера.
Удалил Работает ровно так же.
Извиняюсь, ошибся при написании, пользователи с AD на eDir переносятся, а наоборот - нет.
Т.е. Если все изменения вносить на AD - все будет работать(до синхронизации паролей пока не дошел), но хотелось бы, что бы при изменении в одной из систем(любой, следующим шагом будет прикручивание к данной системе Sun Solaris), изменения вносились везде.

[$erg]

После удаления eDir драйвера, возникает вопрос: Где настраивать фильтр синхронизируемых обьектов с eDir и на eDir?

[Владимир Горяев]

У меня так



IDM351
10.7.20090527 Novell Identity Manager Plug-ins for IDM 3.6.1

Нужно включить трассировку и смотреть. Из-за несовпадающих атрибутов может не синхронизироваться.

[$erg]

Когда ставил 3.5.1 было тоже самое.
Вот что было в *trace.log(на контроллере домена, где установлен драйвер) при создании пользователя 111 в eDir:

DirXML: [02/03/10 11:15:00.56]: ADDriver: Publisher Poll
DirXML: [02/03/10 11:15:00.56]: ADDriver: get object changes - 0x0000
DirXML: [02/03/10 11:15:00.56]: ADDriver: object changes complete
DirXML: [02/03/10 11:15:11.87]: Loader: Received 'subscriber execute' document
DirXML: [02/03/10 11:15:11.87]: Loader: XML Document:
DirXML: [02/03/10 11:15:11.87]: <nds>
<source>
<product>DirXML</product>
<contact>Novell, Inc.</contact>
</source>
<input>
<query>
<search>
<search>
<value>111</value>
</search>
<read>
</query>
</input>
</nds>
DirXML: [02/03/10 11:15:11.87]: Loader: Calling subscriptionShim->execute()
DirXML: [02/03/10 11:15:11.87]: Loader: XML Document:
DirXML: [02/03/10 11:15:11.87]: <nds>
<source>
<product>DirXML</product>
<contact>Novell, Inc.</contact>
</source>
<input>
<query>
<search>
<search>
<value>111</value>
</search>
<read>
</query>
</input>
</nds>
DirXML: [02/03/10 11:15:11.87]: ADDriver: parse command

className user
destDN ou,dc,dc,dc
eventId 0
association
DirXML: [02/03/10 11:15:11.87]: ADDriver: query
DirXML: [02/03/10 11:15:11.87]: ADDriver: query constraints
DirXML: [02/03/10 11:15:11.87]: ADDriver: search-class user
DirXML: [02/03/10 11:15:11.87]: ADDriver: search-attr userPrincipalName
DirXML: [02/03/10 11:15:11.87]: ADDriver: 111
DirXML: [02/03/10 11:15:11.87]: ADDriver: read-attr (do not return attributes)
DirXML: [02/03/10 11:15:11.87]: ADDriver: query
base DN: ou,dc,dc,dc,
filter: (&(&(objectCategory=CN=Person,CN=Schema,CN=Configuration,DC,DC,DC)(objectClass=user))(userPrincipalName=111)),
return: (attribute values) objectClass, objectGUID,
DirXML: [02/03/10 11:15:11.87]: ADDriver: query
base DN: ou,dc,dc,dc,
filter: (&(&(objectCategory=CN=Person,CN=Schema,CN=Configuration,DC,DC,DC)(objectClass=user))(userPrincipalName=111)),
return: (attribute values) objectClass, objectGUID,
DirXML: [02/03/10 11:15:11.89]: ADDriver: ldap get next page ( 2147483647)
DirXML: [02/03/10 11:15:11.89]: Loader: subscriptionShim->execute() returned:
DirXML: [02/03/10 11:15:11.89]: Loader: XML Document:
DirXML: [02/03/10 11:15:11.89]: <nds>
<source>
<product>AD</product>
<contact>Novell, Inc.</contact>
</source>
<output>
<status>
</output>
</nds>
DirXML: [02/03/10 11:15:11.89]:
DirXML Log Event -------------------
Driver = \OES_TREE\Organization\AD-eDir\ad-test
Thread = Subscriber Channel
Level = success
DirXML: [02/03/10 11:15:11.89]: Loader: Received 'subscriber execute' document
DirXML: [02/03/10 11:15:11.89]: Loader: XML Document:
DirXML: [02/03/10 11:15:11.89]: <nds>
<source>
<product>DirXML</product>
<contact>Novell, Inc.</contact>
</source>
<input>
<query>
<search>
<read>
</query>
</input>
</nds>
DirXML: [02/03/10 11:15:11.89]: Loader: Calling subscriptionShim->execute()
DirXML: [02/03/10 11:15:11.89]: Loader: XML Document:
DirXML: [02/03/10 11:15:11.89]: <nds>
<source>
<product>DirXML</product>
<contact>Novell, Inc.</contact>
</source>
<input>
<query>
<search>
<read>
</query>
</input>
</nds>
DirXML: [02/03/10 11:15:11.89]: ADDriver: parse command

className user
destDN CN=111,OU=TEST2,OU=TECH,OU=IT,ou,dc,dc,dc
eventId 0
association
DirXML: [02/03/10 11:15:11.89]: ADDriver: query
DirXML: [02/03/10 11:15:11.89]: ADDriver: query constraints
DirXML: [02/03/10 11:15:11.89]: ADDriver: search-class user
DirXML: [02/03/10 11:15:11.89]: ADDriver: read-attr (do not return attributes)
DirXML: [02/03/10 11:15:11.89]: ADDriver: query
base DN: CN=111,OU=TEST2,OU=TECH,OU=IT,ou,dc,dc,dc,
filter: (&(objectCategory=CN=Person,CN=Schema,CN=Configuration,DC=,DC,DC)(objectClass=user)),
return: (attribute values) objectClass, objectGUID,
DirXML: [02/03/10 11:15:11.89]: ADDriver: query
base DN: CN=111,OU=TEST2,OU=TECH,OU=IT,ou,dc,dc,dc,
filter: (&(objectCategory=CN=Person,CN=Schema,CN=Configuration,DC,DC,DC)(objectClass=user)),
return: (attribute values) objectClass, objectGUID,
DirXML: [02/03/10 11:15:11.89]: ADDriver: ldap get next page ( 2147483647)
DirXML: [02/03/10 11:15:11.89]: Loader: subscriptionShim->execute() returned:
DirXML: [02/03/10 11:15:11.89]: Loader: XML Document:
DirXML: [02/03/10 11:15:11.89]: <nds>
<source>
<product>AD</product>
<contact>Novell, Inc.</contact>
</source>
<output>
<status>
</output>
</nds>
DirXML: [02/03/10 11:15:11.89]:
DirXML Log Event -------------------
Driver = \OES_TREE\Organization\AD-eDir\ad-test
Thread = Subscriber Channel
Level = success
DirXML: [02/03/10 11:16:00.46]: Loader: Received document from publicationShim
DirXML: [02/03/10 11:16:00.46]: Loader: XML Document:
DirXML: [02/03/10 11:16:00.46]: <nds>
<source>
<product>DirXML</product>
<contact>Novell, Inc.</contact>
</source>
<input>
<status>
</input>
</nds>
DirXML: [02/03/10 11:16:00.54]: Loader: Received 'publisher reply' document
DirXML: [02/03/10 11:16:00.54]: Loader: XML Document:
DirXML: [02/03/10 11:16:00.54]: <nds>
<source>
<product>DirXML</product>
<contact>Novell, Inc.</contact>
</source>
<output>
<status></status>
</output>
</nds>
DirXML: [02/03/10 11:16:00.54]: Loader: DirXML returned:
DirXML: [02/03/10 11:16:00.54]: Loader: XML Document:
DirXML: [02/03/10 11:16:00.54]: <nds>
<source>
<product>DirXML</product>
<contact>Novell, Inc.</contact>
</source>
<output>
<status></status>
</output>
</nds>
DirXML: [02/03/10 11:16:00.54]:
DirXML Log Event -------------------
Driver = \OES_TREE\Organization\AD-eDir\ad-test
Thread = Publisher Channel
Level = success
DirXML: [02/03/10 11:16:00.54]: ADDriver: Publisher Poll
DirXML: [02/03/10 11:16:00.54]: ADDriver: get object changes - 0x0000
DirXML: [02/03/10 11:16:00.54]: ADDriver: object changes complete

Вроде ничего ругательного нет, но пользователь не создался в AD
Для юзеров и подразделений в AD создан отдельный OU, в корне.
Поэтому Base DN в виде ou,dc,dc,dc

[Павел Гарбар]

Identity Vault - это центральное хранилище уч. записей. Его не надо использовать как рабочее дерево NDS.
Чтоб пользователи синхрились в обе стороны надо драйверу сказать, что оба каталога "авторитетные", а то игра будет идти в одни ворота.

[$erg]

Чтоб пользователи синхрились в обе стороны надо драйверу сказать, что оба каталога "авторитетные", а то игра будет идти в одни ворота.

Не пинайте сразу, но тут же возникает вопрос: А как/где это сделать?
А с другой стороны, игра то не идет в одни ворота, ведь при создании группы или OU в eDir они успешно создаются в AD.

[Павел Гарбар]

А вот посмотрел я на пользователя 111, и возникло у меня сомнение.
Ему привязывается User Principal Name, хотя это не обязательный атрибут. Для создания пользователя в АД (2008) нужен Common Name (cn=....) и лучше задать SAMACCOUNTNAME (а то он его генерит сам - типа $HATD90-K4IVI1ULC9UC) - пользовател фиг запомнит такое имя для регистрации -)
А вот в 2003 задавать SAMACCOUNTNAME надо было - без него пользователь не создавался.
Может у тебя политики какие стоят - типа без пароля пользователя не создавать? А пароли ты еще не синхрил.

[$erg]

Политики я вообще пока не трогал, т.е. все пока дефолтное.
Попробую настроить синхронизацию паролей.
Я думал сразу добиться синхронизации пользователей, а потом копать их пароли.

[Владимир Горяев]

вот из закладок, мож пригодится:

http://wiki.novell.com/index.php/Identity_Manager_FAQ
http://www.novell.com/documentation/idmdrivers/
http://support.novell.com/docs/Tids/Sol ... 97185.html
http://www.novell.com/support/viewConte ... Id=3650562
http://www.novell.com/support/viewConte ... Id=3614450

[Владимир Семиколенных]

При создании пользователя в eDir задайте Given name.
Вроде как что - то такое было.

[$erg]

При создании пользователя в eDir задайте Given name.
Вроде как что - то такое было.

Результат такой же, создал юзера через iManager и заполнил почти все поля.
по поводу SAMACCOUNTNAME - так оно так и есть или нужно DirXNL-ADAliasName присвоить SAMACCOUNTNAME?
Вот что есть:

[$erg]

Присвоил DirXNL-ADAliasName - SAMACCOUNTNAME получил косяки: все юзеры в eDir стали называться типа "user A\. TEST"