Назначение сервиса ADSync

Содержание
Назначение сервиса ADSync __________________________________________________ 2
Cредства реализации ADSync _________________________________________________2
Cведения о ПО ADSync и его основные возможности ____________________________ 2
Основные требования к конфигурированию ____________________________________3
Требования к назначению прав доступа ________________________________________4
Операции синхронизации, которые будут использоваться _______________________ 5
Рекомендации по использованию средств синхронизации (централизованная и
децентрализованная модели) _________________________________________________5
Рекомендации по использованию коротких имен пользователей в MS Active Directory
и Domino Directory ___________________________________________________________ 5
1
Назначение сервиса ADSync
Сервис ADSync предназначен для синхронизации параметров пользователей и групп
пользователей между Lotus Domino Directory и MS Active Directory. Данный сервис
предлагает следующие основные возможности:

Возможность регистрации пользователей и групп в Active Directory и Domino
Directory из единого интерфейса (либо MMC либо Lotus Domino Administrator);

Однонаправленная синхронизация изменений параметров пользователей и групп в
момент сохранения изменений в системе;
Cредства реализации ADSync
Сервис ADSync входит в состав Lotus Domino Administrator версии 6 и выше. Для работы
данного сервиса в сети предприятия должно быть установлено следующее программное
обеспечение:

MicroSoft Windows 2008 R2 server или MS Windows 2003 (с запущенной службой
Active Directory);

Lotus Domino Server R8;
Для работы данного сервиса на рабочей станции администратора должно быть
установлено следующее программное обеспечение:

Lotus Domino Administrator R8 и выше;

Средства удаленного администрирования ADDS Windows Server 2008;
Cведения о ПО ADSync и его основные возможности
Сервис ADSync предоставляет администратору следующие основные возможности:
 Синхронизацию объектов в момент сохранения изменений в системе (в
среде MMC или Lotus Domino Administrator);
 Регистрацию пользователей в обоих каталогах из единого интерфейса (в
среде MMC или Lotus Domino Administrator);
 Использование службы Lotus Domino Certification Authority для
регистрации пользователей в Lotus Domino;
 Использование политик администрирования в Lotus Domino;
 Возможность изменения параметров таблицы соответствия полей
объектов в обеих системах;
 Возможность синхронизации пароля пользователя в MS Active Directory
и “Internet password” пользователя в Lotus Domino Directory;
Сервис ADSync имеет ряд ограничений по возможности инициирования процессов
синхронизации из MS Active Directory и Domino Directory. В табл. 1 представлен список
операций, которые могут быть инициированы со стороны каждой из систем каталога.
Таблица 1. Перечень операций синхронизации, иницируемых со стороны MS Active
Directory и Domino Directory.
Операция
Регистрация пользователя
Из MS AD
Да
Из Lotus Domino
Да
2
Операция
Переименование пользователя,
созданного в AD
Переименование пользователя,
созданного в Lotus Domino
Синхронизация данных
учетной записи пользователя
Удаление пользователя
Создание группы
Переименование группы
Синхронизация информации
группы
Удаление группы
Из MS AD
Из Lotus Domino
Да
Да
Да
Да
Да
Нет
Да
Да
Да
Переписывает поле Members
записи Domino Directory
данными о членстве в группе,
определенными в AD
Нет
Да
Нет
Нет
Нет
Да
Основные требования к конфигурированию
Сервис ADSync при синхронизации использует следующие параметры и объекты MS
Active Directory и Lotus Domino Directory.

Синхронизация осуществляется между следующими контейнерами, показано в
табл. 2
Таблица 2. Контейнеры, подлежащие синхронизации.
В MS AD
Контейнер “Users” в составе Organizational
Unit соответствующего структурного
подразделения предприятия

В Lotus Domino
Контейнер “Notes Certifier”
соответствующего структурного
подразделения предприятия
Синхронизации подлежат следующие объекты, показано в табл. 3
Таблица 3. Объекты, подлежащие синхронизации.
В MS AD
Объект типа “User”
Объект группа типа “Security”
Объект группа типа “Distribution”

В Lotus Domino
Объект типа “Person”
Объект группа типа “Access Control List
only”
Объект группа типа “Mail only”
Синхронизации подлежат следующие атрибуты пользователей, показано в табл. 4.
Таблица 4. Атрибуты пользователей, подлежащие синхронизации.
Поле учетной
записи в MS AD
First name
Initials name
Аттрибут учетной записи
в MS AD
givenName
initials
Поле учетной
записи в Lotus
Domino
First name
Middle name
Аттрибут учетной
записи в Lotus
Domino
FirstName
MiddleInitial
3
Поле учетной
записи в MS AD
Last name
User logon name
(uid)
E-mail
Office
City
Title
Department
Company
Telepnone
Number

Аттрибут учетной записи
в MS AD
sn
userPrincipalName
Поле учетной
записи в Lotus
Domino
Last name
Short Name
Аттрибут учетной
записи в Lotus
Domino
LastName
ShortName
mail
physicalDeliveryOfficeName
l
title
department
company
telephoneNumber
Internet Address
Office Number
City
Title
Department
Company
Office phone
InternetAddress
OfficeNumber
OfficeCity
JobTitle
Department
CompanyName
OfficePhoneNumber
Синхронизации подлежат следующие атрибуты групп пользователей, показано в
табл. 5.
Таблица 5. Атрибуты групп пользователей, подлежащие синхронизации.
Поле учетной записи в
MS AD
Mail

Поле учетной записи в
Lotus Domino
Internet Address
Значение
Интернет адрес группы
пользователей в английской
транскрипции
Для сопоставления объектов (пользователей, групп пользователей) предлагается
использовать следующий атрибут, показано в табл. 6.
Таблица 6. Атрибут сопоставления объектов.
В MS AD
Mail
В Lotus Domino
Internet Address
Требования к назначению прав доступа
Для проведения процедуры регистрации пользователей и синхронизации изменений полей
учетных записей администраторы, выполняющие процедуру синхронизации должны
иметь следующие права:
На сервере Lotus Domino:

На сервере Lotus Domino должен быть настроен “Certification authority” и запущена
задача CA;

В CA администратору должны быть даны права на регистрацию пользователей,
роль RA;

В адресной книге сервера Lotus Domino в ACL администратор должен иметь
доступ на уровне Author с ролями User Creator, User Modifier, Group Creator, Group
Modifier;
4

В базе “Administration Request” (admin4.nsf) сервера Lotus Domino в ACL
администратор должен иметь доступ на уровне Author;

В базе “Certification log” (certlog.nsf) сервера Lotus Domino в ACL администратор
должен иметь доступ на уровне Author;
Операции синхронизации, которые будут использоваться
Для проведения единой политики синхронизации предлагается в качестве источника
измененных данных использовать MS Active Directory, таким образом все изменения
связанные с модификацией полей из табл. 4 должны производиться в MS Active Directory
с последующей синхронизацией в Domino Directory с помощью ADSync. Перечень
операций синхронизации показан в табл. 6.
Таблица 6. Перечень операций синхронизации.
Операция
Регистрация пользователя
Переименование пользователя, созданного в AD
Переименование пользователя, созданного в Lotus Domino
Синхронизация данных учетной записи пользователя
Удаление пользователя
Создание группы
Переименование группы
Синхронизация информации группы
Рекомендации по использованию средств синхронизации
(централизованная и децентрализованная модели)
Использование децентрализованной модели управления сетевыми сервисами
подразумевает отсутствие единого центра администрирования и, одновременно, наличие
технических специалистов (системных/сетевых администраторов) в каждом отделении
предприятия. Обязянность этих сотрудников - поддержание в актуальном рабочем
состоянии сетевых служб конкретного, отдельно взятого, подразделения. При этом
административного доступа к другим сегментам сети предприятия такие администраторы,
как правило, не имеют.
При использовании такой модели процедуру синхронизации данных между каталогами
Active Directory и Lotus Domino целесообразно делегировать сетевым администраторам
отделений предприятия, в обязанности которых входит управление пользователями и
группами в MS Active Directory.
Для этого сетевым администраторам отделений необходимо предоставить должным
образом сертифицированные Notes ID c правом внесения изменений в Domino Directory и
соответствующие права в Active Directory для добавления пользователей, групп и
синхронизации паролей.
Централизованная модель, напротив, опирается на единый центр администрирования. При
этом системные/сетевые администраторы подразделений либо не имеют возможности
вносить изменения в структуру сети вопреки решению центральных администраторов,
либо наличие таких специалистов не предусмотрено вовсе.
5
Такая модель характеризуется повышенной степенью безопасности (нет необходимости в
делегировании прав администраторам подразделений) и более простым и коротким
циклом принятия решений, исключающим взаимодействие с сотрудниками отделений.
Одновременно с этим возрастает нагрузка на технических специалистов, вынужденных
выполнять больший объем работ по администрированию сетевых сервисов всех
отделений предприятия.
Как и в случае использования децентрализованной модели, обязанность синхронизации
каталогов Active Directory и Lotus Domino рекомендуется возложить на сетевых
администраторов, управляющих пользователями и группами в MS Active Directory, с
предоставлением им Notes ID c правом внесения изменений в Domino Directory и
соответствующих прав в Active Directory для добавления пользователей и групп.
Рекомендации по использованию коротких имен
пользователей в MS Active Directory и Domino Directory
В целях стандартизации именования в MS Active Directory и Domino Directory
предлагается унифицировать короткие имена пользователей в этих системах и
использовать формат короткого имени в виде <Фамилия, первые буквы имени и отчества
в английской транскрипции>.
6
Режимы работы сервиса ADSync
Функциональные Роли:
Оператор Active Directory - сотрудник, осуществляющий регистрацию пользователей в
каталоге Active Directory
Оператор ADSync - сотрудник, осуществляющий автоматизированную регистрацию
пользователей в каталоге Domino Directory из каталога Active Directory
Сценарии эксплуатации системы
Вариант 1. Регистрация пользователей осуществляется в момент их заведения
одновременно в Active Directory и Domino Directory
1.1 Одновременная регистрация пользователя в каталоге Active Directory и Domino
Directory.
Оператор Active Directory выполняет следующие действия:
1)Регистрирует новую учетную запись в каталоге Active Directory с настроенной
оснасткой ADSync
2)Заполняет обязательные реквизиты учентой записи Active Directory в соответствии с
регламентом именовавания пользователей
3)Подтверждает регистрацию пользователя в Domino Directory
4)Задает общий пароль для учетных записей в каталогах Active Directory и Domino
Directory
Оператор ADSync выполняет следующие действия:
1) Проверяет, что уч.запись сотрудника зарегистирована в Domino Directory
2) Для всех зарегистированных сотрудников из меню в виде "Persons&Groups" из меню
"Actions" выполняет агент "Set Password Fields",
3) Задает следующие значения полей:
Force User to Change Internet Password<..> = 1
Grace Periond = 90
Required Change Interval = 0
4)Проверяет, что сотрудник включен в текущую группу CMUsers
5)Проверяет, что группа CM_Users_N не переполнена, в противном случае создет новую
группу в Domino Directory с именем CM_Users_N+1 и
6)добавляет в пользователей в созданную группу
7)Добавляет сотрудника в прочие группы СМ4 в Domino Directory согласно документации
СЭД (делопроизводители/аудиторы/РВЗ).
1.2. Переименование пользователя (смена фамилии)
Оператор Active Directory выполняет следующие действия:
1) Переименовывает учетную запись в каталоге Active Directory с настроенной оснасткой
ADSync
2) Заполняет обязательные реквизиты учентой записи Active Directory в соответствии с
7
регламентом именовавания пользователей
3) Подтверждает переименование пользователя в Domino Directory
4) Задает общий пароль для учетных записей в каталогах Active Directory и Domino
Directory
Оператор ADSync проверяет, что уч.запись сотрудника успешно переименована в Domino
Directory
Вариант 2. Регистрация в СЭД по запросу(пост-регистрация).
2.1 Регистрация в Domino Directory сотрудника, у которого есть учетная запись в Active
Directory
1) Оператор ADSync получает запрос на регистрацию пользователя в СЭД, содержащий
ФИО пользователя и его права доступа в Системе
2)Выбирает учетную запсь требуемого сотрудника/группу сотрудников в контейнере
орг.единицы в оснастке ADUC
3)Выполняет регистрацию вырбанных учетных записей в Domino Directory (для
выбранных пользователей вызвать действие ADSync "Register in domino")
4)Подтверждает регистрацию пользователя в Domino Directory
5) Проверяет, что уч.запись сотрудника зарегистирована в Domino Directory
6) Для всех зарегистированных сотрудников из меню в виде "Persons&Groups" из меню
"Actions" выполняет агент "Set Password Fields",
Задает следующие значения полей:
Force User to Change Internet Password<..> = 1
Grace Periond = 90
Required Change Interval = 0
7)Проверяет, что сотрудник включен в текущую группу CMUsers
8)Проверяет, что группа CM_Users_N не переполнена, в противном случае создет новую
группу в Domino Directory с именем CM_Users_N+1 и
9)добавляет в пользователей в созданную группу
10)Добавляет сотрудника в прочие группы СМ4 в Domino Directory согласно
документации СЭД (делопроизводители/аудиторы/РВЗ).
1.2. Переименование пользователя (смена фамилии)
Оператор ADSync выполняет следующие действия:
1) Переименовывает учетную запись в каталоге Active Directory с настроенной оснасткой
ADSync
2) Заполняет обязательные реквизиты учентой записи Active Directory в соответствии с
регламентом именовавания пользователей
3) Подтверждает переименование пользователя в Domino Directory
4) Задает общий пароль для учетных записей в каталогах Active Directory и Domino
Directory
Оператор ADSync проверяет, что уч.запись сотрудника успешно переименована в Domino
Directory
8