Нужен совет по IDM 4

[$erg]

Здравствуйте уважаемые!
Пришла пора настраивать синхронизацию между AD и eDir.
Для этих целей был куплен IDM 4.0.2 Standart.
Но возникло несколько вопросов по организации того, что получиться.
Цель: единые учетные данный пользователей во всех системах: Active Directory, eDirectory, в перспективе возможно еще unix
Имеется несколько серверов OES2SP3 и один OES11.1 в одном дереве и несколько серверов MS2008r2, плюс виртуальная среда от VMware (т.е. для IDM)
Как правильно организовать IDM дерево?
Я так понял можно IDM установить в существующее дерево OES и в отдельное IDM дерево. Правильно ли я понимаю что лучше делать отдельное дерево?
Если нужно отдельное дерево, то получается нужно будет устанавливать несколько серверов IDM в одно дерево?
Какие для разных вариантов организации необходимо использовать драйверы (eDir-to-eDir или просто eDirectory)?
На какую платформу лучше устанавливать?
Какие могут быть нюансы?
Спасибо.

[skoltogyan]

Дока, например тут https://www.netiq.com/documentation/idm ... nstall.pdf

Немного IMHO:
IDM состоит из серверной части и Агентов.
Агенты могут быть запущены на самых различных ОС и выполняют там то, что им командует Сервер.

У нас не выдялось отдельное дерево для IDM. Сделано так:
Edir = TTT.
В Отдельный контейнер
ou=idmsrv.ou=ourtoun.o=TTT
установлен сервер OES2, например с именем idmsrv , ( виртуальная машина в xen-е) и в дереве активирован и используется Universal password.
На этот OES2 (с именем idmsrv ) установил IDM, при этом создалась партиция в дереве ou=driver.ou=idmsrv.ou=ourtoun.o=TTT
( в ней хранятся описания всех драйверов, что создаете).
Драйвера - это то самое, что ловит изменения

Используем для такой синхронизации:
eDir -> AD

На сервере с AD установил RemoteLoaderAgent от IDM для AD.
Через WEB-управление ( iManager на сервере IDMSRV) cоздал и запустил драйвер для нужной синхронизации. Этот Драйвер ловит изменения в eDir и передает их на RemoteAgent на сервере с AD. И этот-же RemoteAgent вносит необходимые изменения в AD.

[Dmitry aka DrHoo]

У нас всё так же, как у Сергея, но синхронизация в противоположную сторону: AD -> eDir.
IMHO, отдельное дерево нужно, если хотите иметь метакаталог (единое хранилище учётных записей), из которого информация будет попадать в подключённые системы (AD, eDir, UNIX, БД и т.п.). Подробнее см.в документации и Cool Solutions.

[Павел Гарбар]

При наличии техники лучше делать минимум три сервера: 1-боевой AD, 2-боевой eDir и 3-eDir для IDM (именно как центральное хранилище для всех остальных подключаемых систем).

[$erg]

Всем спасибо, а может кто реально использует отдельное дерево?
Документация уже на стадии изучения, тут больше вопрос по опыту внедрения.

[Константин Ошмян]

У нас используется отдельное дерево для IDM Vault. Подключенных систем довольно много (AD, Lotus, i5/OS, несколько внутренних систем, где данные лежат в СУБД с доступом через JDBC - включая систему учёта персонала, откуда данные о сотрудниках поступают изначально). Отдельное дерево было выбрано изначально по соображениям независимости от исходного дерева eDirectory: исходное дерево на тот момент содержало только серверы NetWare и имело структуру, мягко говоря, требующую "причёсывания"; к тому же были сомнения в том, как долго ещё платформа NetWare/OES останется в эксплуатации. На данный момент все серверы с IDM - это OES11sp1 на виртуалках (VMware), что позволяет проводить связанные с ними работы (патчевание, обновление версий, внесение изменений в конфигурацию) независимо от остальных серверов OES (остановил, сделал снапшот, и - вперёд).

[$erg]

У нас используется отдельное дерево для IDM Vault. Подключенных систем довольно много (AD, Lotus, i5/OS, несколько внутренних систем, где данные лежат в СУБД с доступом через JDBC - включая систему учёта персонала, откуда данные о сотрудниках поступают изначально). Отдельное дерево было выбрано изначально по соображениям независимости от исходного дерева eDirectory: исходное дерево на тот момент содержало только серверы NetWare и имело структуру, мягко говоря, требующую "причёсывания"; к тому же были сомнения в том, как долго ещё платформа NetWare/OES останется в эксплуатации. На данный момент все серверы с IDM - это OES11sp1 на виртуалках (VMware), что позволяет проводить связанные с ними работы (патчевание, обновление версий, внесение изменений в конфигурацию) независимо от остальных серверов OES (остановил, сделал снапшот, и - вперёд).

Именно так я и предполагал использовать IDM.
Какие драйверы Вы используете для связки eDirectory и IDM Vault?

[Константин Ошмян]

Какие драйверы Вы используете для связки eDirectory и IDM Vault?

Штатную конфигурацию с двумя IDM-ами, когда один из них - в изначальном дереве eDirectory, а другой - в том дереве, где живёт Vault. Вроде бы, сейчас можно делать и как-то по-другому, но у нас это внедрялось несколько лет назад, когда других вариантов не было; а переделывать теперь - смысла нет.

[$erg]

случайно ни у кого нет offline версии курсов 3109 3110?

[capricious]

А почему в сторону DSFW не смотрели ? а если смотрели то почему не выбрали ?

[$erg]

Смотрели, но не увидели в нем то что нам нужно: Полноценный домен на базе W2008r2 и синхронизация пользователей с паролями

[capricious]

при DSFW никакой синхронизации юзеров и паролей не надо - это одни и теже юзеры, а так можно было траст настроить для полноценного домена.

[Иван Иванов]

при DSFW никакой синхронизации юзеров и паролей не надо - это одни и теже юзеры, а так можно было траст настроить для полноценного домена.

Насколько я знаю DSFW не является полноценной заменой AD. Связку пользователь-пароль выдать по запросу может. Политику назначить, что-то еще по мелочи. Как только ПО требующее правок в схеме (например Чанга) - расстрел.

[capricious]

Человек то не написал про Чангу

[$erg]

IDM работает, все синхронизируется (сделал в отдельном дереве), но как говориться есть один нюанс:
При создании пользователя через iManager, он появляется и домене, пароль синхронизируется, НО не синхронизируется "Дата окончания срока действия пароля" и следовательно если не входить в Novell, а входить просто в домен - то и пароль сменить не попросит, И когда придет срок сменить пароль, то как и положено он синхронизируется с eDirectory, НО не синхронизируется "Дата окончания срока действия пароля". И получается если после смены пароля человеку захочется войти в Novell, то его тут же снова попросит сменить пароль.
Если менять пароль только через Novell Client - проблем вроде не замечено, т.е. в eDir устанавливается правильная "Дата окончания срока действия пароля" и в AD меняется дата смены пароля.
Может кто сталкивался с таким. Видимо нужно еще политики "допилить". Может есть пример?
Спасибо.