Перенос account-ов из NetWare в AD при помощи IDM3

[Доменика]

Перенос account-ов из NetWare в AD при помощи IDM3. И не происходит.
Точнее работает именно то что задано при инсталяции драйвера Active Directory для IDM.
Т.е. если указан в инсталяции OU, где по умолчанию будут создаваться пользователи, и именно в нём создавать пользователей, то всё великолепно переноситься(т.е. создается, изменяется) в AD.
А если что-то инное? То как в этом случае делать?

Задача
Необходимо перенести группу товарищей, т.е. их аккоунты и пароли в AD и эти господа находятся в разных OU, как поступить в такой ситуации.
Да можно наверно создавать для них ассоциации, заводить ручками на AD, далее искать GUID в AD подсталять в eDir ... и так с каждым! А если это не один десяток и к тому же 2 домена?
Имеется ли более простой и эффетивный способ для данной процедуры?

В наличии
1. NetWare 6.5.6
2. IDM 3.0.1
3. W2k3 с AD.

[Андрей Тр. aka RH]

Т.е. если указан в инсталяции OU, где по умолчанию будут создаваться пользователи, и именно в нём создавать пользователей, то всё великолепно переноситься(т.е. создается, изменяется) в AD.
А если что-то инное? То как в этом случае делать?

Как я понял, при установке драйвера АД у вас был выбран вариант Flat - т.е. всех в одну кучу, без репликации .. пардон .. синхронизации OU ? А второй возможный по дефолту вариант - Mirror - вас не устраивает ? Там как раз должны создаваться OU в MAD, соответствующие еДировским. Правда, нужно будет как-то указывать критерий, по которому потом синхронизировать ваших товарищей, если вам нужны не все, а только избранные из тех OU ( например, по членству в группе ? ).

В принципе, написать можно что угодно ( в политиках ) - драйверы из набора IDM они ж больше идут как примеры для начинающих. Вот только для остального хорошо бы знать XML / XSLT / XPath. Кстати, в новом IDM3.5 предвидятся неплохие фичи, немного упрощающие эти задачи.

[Доменика]

Нет, именно брался mirror. Но делалось только для определённого подроазделения. И если что-то делается в пределах данного OU, то работает.
Тут сразу встаёт ещё вопрос как в таком случае поступать драйверами для баз данных.

Другой вопрос - как получить GUID из AD. Через LDAP не проходит, точнее, то что там указывается не совмем того формата. Имеется ли такая возможность и чем?

P.S. И насчёт IDM 3.5. Как данный продукт получить? Описание уже существует, уже и ошибки нашли, а продукт сам не доступен ! При покупке IDM 3.0 был приобретён upgrade protection, но никаких сообщений что и как это возможно нет.

[Андрей Тр. aka RH]

Нет, именно брался mirror. Но делалось только для определённого подроазделения. И если что-то делается в пределах данного OU, то работает.
Тут сразу встаёт ещё вопрос как в таком случае поступать драйверами для баз данных.

Другой вопрос - как получить GUID из AD. Через LDAP не проходит, точнее, то что там указывается не совмем того формата. Имеется ли такая возможность и чем?

P.S. И насчёт IDM 3.5. Как данный продукт получить? Описание уже существует, уже и ошибки нашли, а продукт сам не доступен ! При покупке IDM 3.0 был приобретён upgrade protection, но никаких сообщений что и как это возможно нет.

Нуу .. может, при установке драйвера указать какую-то вышестоящую OU ? Или у вас все нужные OU вложены в ту, в пределах которой все работает ? Я таки пока не понял, в чем именно заключается проблема с вашим миррорингом. Если кажется, что работает не так, как надо, и политики все написаны верно, то следующий шаг, очевидно - чтение логов 3-го уровня.

И заодно в каком таком случае поступать с драйверами БД ? Вам хочется учитывать OU объекта при синхронизации записей в БД .. типа заносить это в какое-то поле, или же помещать записи в различные таблицы на основе OU ?

Про GUID ничего не скажу .. а с какой именно целью оно вам понадобилось ?

Про 3.5 - насколько я понимаю, релиза еще не было. У нас тоже upgrade protection на IDM, но 3.5 пока нигде не появлялся как доступный продукт. Как появится - я думаю, будет много шуму, так что пропустить не получится.

[Damm]

Необходимо перенести группу товарищей, т.е. их аккоунты и пароли в AD и эти господа находятся в разных OU, как поступить в такой ситуации.
Да можно наверно создавать для них ассоциации, заводить ручками на AD, далее искать GUID в AD подсталять в eDir ... и так с каждым! А если это не один десяток и к тому же 2 домена?
Имеется ли более простой и эффетивный способ для данной процедуры?

есть, называется Migration

если migration на этих товарищей не оказывает никакого эффекта, значит они видимо находятся за пределами scope драйвера

если пользователей которые уже имеют associations на данный момент не очень иного, я бы пересоздал драйвер с нуля, указав правильный контейнер в котором нужна синхронизация

[Damm]

3.5 пока нигде не появлялся как доступный продукт

3.5 уже вышел, первый shipping date - 19 March

[Андрей Тр. aka RH]

3.5 пока нигде не появлялся как доступный продукт

3.5 уже вышел, первый shipping date - 19 March

Одно другому не противоречит - у меня в списке eliglble самым новым и сегодня значится IDM3. В Products на Новелле предлагается скачать eval его же. Про 3.5 в Products я ни слова не нашел - может, чего пропустил.

[Damm]

3.5 пока нигде не появлялся как доступный продукт

3.5 уже вышел, первый shipping date - 19 March

Одно другому не противоречит - у меня в списке eliglble самым новым и сегодня значится IDM3. В Products на Новелле предлагается скачать eval его же. Про 3.5 в Products я ни слова не нашел - может, чего пропустил.

а я не спорил, я просто "все что знал - рассказал" (с)

когда он появится в Downloads - не знаю

зы. а на BrainShare случайно никто из уважаемой публики не едет?

[Андрей Тр. aka RH]

Про BrainShare мне тоже интересно - но это далеко и дорого Хотя в этот раз там есть VirtualPass, за $269. http://www.novell.com/brainshare/virtualbrainshare/ Однако, с ним дается доступ только к 10 "самым популярным" семинарам. Среди них, конечно, есть и довольно интересные, но .. лично для меня где-то 5-6 из предлагаемых 10.

[Damm]

Про BrainShare мне тоже интересно - но это далеко и дорого

я могу написать небольшой отчет о том что тут пока было рассказано про 3.5 - много новых интересных фич

если кому интересно

[Андрей Тр. aka RH]

я могу написать небольшой отчет о том что тут пока было рассказано про 3.5 - много новых интересных фич

если кому интересно

Интересно, конечно - даже из упомянутого здесь видны неплохие фичи : The next Identity Manager, The next Identity Manager: A Whole Bunch of New Tokens, The next Identity Manager: Flow control and variables, The next Identity Manager: Libraries for shared policies and resources.

[Доменика]

Не сложилось в начале недели, но все таки IDM 3.5 вышел в свет
http://download.novell.com/Download?bui ... J2wmcYI1k~

Необходимо перенести группу товарищей, т.е. их аккоунты и пароли в AD и эти господа находятся в разных OU, как поступить в такой ситуации.
Да можно наверно создавать для них ассоциации, заводить ручками на AD, далее искать GUID в AD подсталять в eDir ... и так с каждым! А если это не один десяток и к тому же 2 домена?
Имеется ли более простой и эффетивный способ для данной процедуры?

есть, называется Migration

если migration на этих товарищей не оказывает никакого эффекта, значит они видимо находятся за пределами scope драйвера

если пользователей которые уже имеют associations на данный момент не очень иного, я бы пересоздал драйвер с нуля, указав правильный контейнер в котором нужна синхронизация

Как определить или точнее расширить scope драйвера. Жизнь идёт и могут появляться новые OU. И вот в них как раз создаешь пользователей и ..... и не переносяться и не мигрируют в AD.
Где нибудь прописаны данные ограничения? Может там же имеется как и обойти эти проблемы. Но не смогла найти в документации. Может встречали?

[Damm]

Как определить или точнее расширить scope драйвера. Жизнь идёт и могут появляться новые OU. И вот в них как раз создаешь пользователей и ..... и не переносяться и не мигрируют в AD.
Где нибудь прописаны данные ограничения? Может там же имеется как и обойти эти проблемы. Но не смогла найти в документации. Может встречали?

стандартый путь - объявлять в качестве scope контейнер повыше уровнем, а потом отфильтровывать то что синхронизировать не планируется. "отфильтровывающее" правило можно вставить из template, оно там называется так:

Event Transformation - Scope Filtering - Exclude subtree(s)

там все очень просто, всего один if и veto

[Владимир Горяев]

а потом отфильтровывать то что синхронизировать не планируется. "отфильтровывающее" правило можно вставить из template, оно там называется так:

Event Transformation - Scope Filtering - Exclude subtree(s)

там все очень просто, всего один if и veto

Я дико извиняюсь... в иМанагере не нашел, т.е. в поиске по дереву как-бы нет такого правила (драйвер почти по-умолчанию eDir-AD). Ткните носом, плз.

Второй момент. При переносе юзера из одного контейнера (подразделение) в другой, в iManager, в NDS пользователь успешно переносится, а в AD - нет, остается в прежнем подразделении Хотя, когда завожу нового в контейнере - все пучком, создается, разумеется и в eDir, и в AD.
IDM BE 3.0.1.

[Damm]

Я дико извиняюсь... в иМанагере не нашел, т.е. в поиске по дереву как-бы нет такого правила (драйвер почти по-умолчанию eDir-AD). Ткните носом, плз.

я сделал скриншот, но картинки тут как я понимаю не присоединяются..

я почему то думаю что в вашем случае можно обойтись без этих правил. Как у вас выглядит самое первое правило "remember relative position in hierarchy" из matching policy в subscriber channel?

Второй момент. При переносе юзера из одного контейнера (подразделение) в другой, в iManager, в NDS пользователь успешно переносится, а в AD - нет, остается в прежнем подразделении Хотя, когда завожу нового в контейнере - все пучком, создается, разумеется и в eDir, и в AD.
IDM BE 3.0.1.

move должен отрабатываться без проблем. в логе что пишется?