Microsoft Identity Integration Server bir çok farklı platformlardan alınan bilgilerin bir metadirectory içerisinde toplanarak bir başka database ile senkronize edilmesi amaçlı kullanılabilen bir Microsoft uygulamasıdır. Aşağıdaki listede MIIS kullanılarak bilgi alışverişi yapabileceğimiz database yapılarını görüyoruz.
Active Directory
Active Directory Application Mode
CSV files, Text dokumanı
Directory Services Markup Language
Global Address Lists (Exchange)
LDAP Directory Interchange Format
Lotus Notes/Domino 4.6 & 5.0
Microsoft NT 4 Domains
Microsoft Exchange 5.5, 2000 & 2003
Microsoft SQL 7 & 2000 databases
Novell eDirectory v8.6.2 & v8.7
Oracle 8i & 9i databases
SunONE/iPlanet/Netscape Directory
IBM Informix, DB2, dBase, Access, Excel, OLE DB via SQL DTS
Identity Integration Features Pack aşağıdaki listede bulunan hizmetlerin bilgilerini senkronize etmede kullanılan bir üründür. MIIS ‘den farkı desteklediği platformun Active Directory ile sınırlı olması ve ücretsiz olmasıdır.
Microsoft Active Directory
Active Directory Application Mode (ADAM)
Microsoft Exchange 2000 Server
Microsoft Exchange Server 2003
Birden fazla forest’tan oluşan bir ortamda iki foresttaki bazı bilgilerin senkronize edilmesi istenebilir. Genellik ile böyle yapılar izolasyon sağlamak için düşünülür. Örneğin yapıdaki Enterprise Administrator’un dahi yetkili olmadığı bir exchange yapısı kurmak istediğimizde ikinci bir forest kaçınılmaz olacaktır. Ama bu durumda Enterprise Administrator’un bir kullanıcı oluşturması durumunda diğer forestta da o kullanıcının oluşturulması gerekir. Bu tip işlemlerin MIIS/IIFP ile yapılabilmesi mümkündür .
Bir başka senaryoda ise iki firmanın ortaklığı sonucu iki farklı exchange organizasyonunun Global Address Lists (GAL) ‘in senkronize edilmesi istenebilir. MIIS/IIFP ile bunu yapabilmek mümkün. Şimdi bu senaryo için gerekli olacak bilgi ve hazırlıklara değineceğiz.
Temel Terimler
Management agent belirli bir databaseden merkezi data depomuza data akışını sağlamak amaçlı oluşturulan linktir. Management agent bağlı olduğu database (AD,ADAM)’den aldığı bilgiyi Connector Space ‘e taşır. Senkronize edilmesi düşünülen herbir database için bir adet Management Agent oluşturulmalıdır.
Connector space management agent’ın bağlı olduğu database ‘e yapılacak data aktarım işlemi için hazırlık ve depolama alanıdır. Connector Space içerisinde her bağlı database ‘in management agent tarafından kontrol edilen mantıksal bir alanı vardır.
Metaverse
Birden çok bağlı database’den alınan bilgilerin senkronize edildiği yerdir. Management agent bağlı olduğu kaynakta bir değişiklik olduğunda bu bilgiyi connector space ‘ e yazar , mevcut kurallar uygulanır sonuç olarak çıkan data metaverse’e kaydedilir. Oluşan data daha sonra Connector space ‘e yazılıp oradan da bağlı database’ e gönderilir.
Yazılımsal Gereksinimler
Microsoft Windows Server 2003, Enterprise Edition
Microsoft SQL Server 2000, Enterprise Edition (SP3) veya Standard Edition (SP3)
Test Ortamı Yapısı
a) İki adet Windows 2003 üzerine kurulu Forest (rmstest.com ve miistest.com)
b) Her iki Forest yapısında birer Exchange 2003 organizasyonu
c) SQL server
GAL Senkronizasyonu Test Ortamı Kurulumu
Kurulum için bize Microsoft SQL Server 2000, Enterprise Edition, Service Pack 3 (SP3) veya Standard Edition (SP3) gerekiyor. Ben test amaçlı SQL Server 2000 Developer Edition kullandım. Öncelik ile SQL kurulumunu tamamlamamız gerekiyor. SQL kurulum CD’sini taktığınızda açılan menuden Install Database Server seçerek kurulumu başlatalım.
Kurulum yapacağımız bilgisayar olarak lokal bilgisayarı gösterip Next dedikten sonra yeni bir instance oluşturacağız.
Yükleme tanımı seçiminde de Server and Client Tools u seçeceğiz. Instance ismini default ayarlarda bırakıp kuruluma devam edelim.
Kurulum tipi olarak Typical seçmemiz ve bir sonraki ekranda da service account seçimini yapmalıyız (Burada Domain User hesapları kullanılması sakıncalıdır. Burada test amaçlı yapıldığı için biz domain kullanıcısı kullandık).
Authentication Mode olarak Windows Authentication’ ı seçtik. Böylelik ile SQL kurulumu tamamlanmış olacak. Bundan sonra yapmamız gereken SQL Service Pack kurulumu olacak.
Bunun için aşağıdaki linkten SQL SP3 indirebiliriz.
İndirdiğimiz SP3 dosyasını tıkladığımızda C sürücümüzde kendine SQL2KSP3 isminde bir klasör oluşturacak ve oradan setup.bat dosyasını kullanarak güncellemeyi yapabileceğiz. SQL kurulumu ve SP3 yüklemelerinde dikkat etmemiz gereken husus Services’e ulaşıp SQL ile alakalı servislerin start durumda olup olmadıklarını kontrol etmemizdir.
Sıra IIFP kurulumuna geldi . Kurulum için aşağıdaki linkten IIFP’i indirebiliriz. Bunun yanısıra güncellemesini de indirip kurmamız gerekecek.
IIFP download
Update download
Kurulum dosyasını çalıştırdığımızda kurulum dizini onayı alındıktan sonra Install Identity Integration Features Pack 1a seçeneği çıkacak.
SQL sunucumuzu ve instance göstereceğimiz ekranda default ayarlar bizim için kullanılabilir. Service Account olarak daha evvel oluşturduğumuz bir accountu girmeliyiz.
Gerekli grup bilgilerini default ayarlar ile bırakabiliriz. Bu işlemden sonra biten kurulumun ayarlarının etkin olabilmesi için logoff/logon gerekmektedir.Bundan sonra güncellemesini de yükledikten sonra artık ayarlar kısmına geçebiliriz.
Identity Manager çalıştırıldığında karşımıza yukarıdaki ekran çıkacak . İlk iş olarak Management Agents kısmında biri RMStest.com diğeri MIIStest.com için olmak üzere iki adet Management Agent oluşturacağız.
Bunun için ekranın sağ tarafındaki Create linkine tıklayacağız. Karşımıza gelen ekranda Management agent for bölümünden Active Directory global address list (GAL) ‘i seçip Name kısmına da belirlediğimiz ismi yazacağız.
Next dediğimizde gelen ekranda forest üzerinde yetkili bir kullanıcı girmemiz gerekiyor. Burada Delegation vererek yeteri hak tanımladığımız bir kullanıcı kullanmak güvenlik açısından daha kabul edilebilirdir. Test amaçlı bu kurulumda Administrator kullanıcısını kullanacağız . Delegation vererek özel bir hesap oluşturmak isterseniz Help den yararlanabilirsiniz.
Bu ekranda Select directory partition kısmında seçimimizi yapıp Sign and encrypt LDAP trafic seçeneğinin işaretini kaldırmamız gerekiyor. Bu işlemleri yaptıktan sonra Containers butonuna basıp Senkronizasyonda kullanılacak OU ları seçeceğiz
Burada bize bir adet boş Organization Unit gerekiyor. Bizim örneğimizde Diger Forest OU’su boş organization Unit , BizimForest OU’su ise kullanıcılarımızın bulunduğu organizational Unit’tir. Seçim olarak ikisinide seçeceğiz.
Next dediğimizde gelen ekranda Target kısmında boş OU muzu Source kısmında da kullanıcılarımızın bulunduğu OU ‘yu seçmemiz gerekiyor.
İşlem bittikten sonra da Edit butonuna basarak forestımızda kullandığımız SMTP suffix’i yukarıdaki fortmatta gireceğiz.
Next dedikten sonra gelen ekranda default değerleri bırakacağız.
Attribute seçim ekranın da gerekli seçimler default olarak geliyor. Bu ayarlar ile Next diyerek diğer ekrana geçebiliriz.
Configure Extensions ekranında GALSync.dll seçili olması gerekmektedir. Bu kontrolu yaptıktan sonra Finish diyerek bitirebiliriz.
Yukarıda yaptığımız işlemleri bir de MIIStest.com için yapmamız gerekiyor. Bunun için yine Create Management Agent diyerek başlayabiliriz.
Management agent for kısmında yine Active Directory global address list (GAL) seçilmesi ve isimlendirmemiz gerekiyor.
Next dediğimizde gelen ekranda diğer forestın ismini ve orada yeteri yetkili kullanıcımızı ve o forestın hangi domain’i için yapıyorsak senkronizasyonu o domain ismini gireceğiz. Bizim forest yapımız zaten single domain den oluştuğu için biz yine forest ismini yazdık.
Diğer ekrana geçtiğimizde yukarıda rmstest.com için yaptığımız ayarları miistest.com için tekrarlayacağız. Burada unutulmaması gereken bir adet boş Organization Unit’imizin olması gerektiğidir.
Diğer forest ‘ın kullandığı SMTP suffix yukarıdaki resimde gösterilen formatta eklenmesi gerekecek.
Management Agent oluşturmalarımız bittikten sonra oluşturduğumuz agent’ların üzerinde hazı gelen bazı profile işlemleri çalıştırmamız gerekmektedir.
İşlemi çalıştırmak istediğimiz agent üzerine gelip ekranın sağındaki menuden Run dediğimizde yukarıdaki menuye ulaşıp Full Import (Stage Only) diyeceğiz.
Yukarıdaki işlemin bitiminden ki bitimini Operations kısmında Success olarak gördükten sonra Delta Syncronization işlemini , ardında da Export işlemini yapacağız. İşlemlerin bitişini Operations kısmında takip ederek Success sonucunu aldıktan son olarak Delta Import işlemini çalıştıracağız. Bu işlemlerin herbirini diğer agent (MIIStest) için de tekrarlamamız gerekecek.
Yukarıdaki ekranda görüldüğü üzere bitmiş işlemleri istatiksel bilgileri varsa hata bilgilerini Connections kısmından kontrol edebiliyoruz. Bu işlemlerden sonra her iki domainde daha evvel boş olan DigerForest OU su içerisinde contact nesnelerinin oluştuğunu göreceksiniz. Elbet bu işlemlerin bu şekilde manuel yapılması pek de kullanışlı olmayacak. Bu durumda işlemleri script’e dönüştürüp bunları bir iş dosyası olarak kadedip schedule task ile dilediğimiz periyodlarda çalıştırmak çözüm olacaktır. Bunun için aşağıdaki adımları takip etmeliyiz.
Öncelik ile diskimizde bir klasör oluşturalım. Daha sonra Management Agents kısmında Agent üzerine gelip ekranın sağındaki menude Configure Run Profiles kısmını tıklayarak Delta Import u seçeceğiz. Alttaki Script butonuna basarsak bize bu işlem için bir script oluşturulacak. Script dosyasını kaydedebilmek için daha önce oluşturduğumuz klasörü seçelim.
Kopyalama işleminden sonra da aynı işlemi Export için yapacağız. Bu iki işlemi diğer agent için de yaptıktan sonra toplam dört adet script dosyamız oluşacak
Bu script isimlerini bir cmd uzantılı dosyanın içine yukarıda resimde gösterildiği gibi kopyalayacağız. Control panel içerisinde Schedule Task uygulamasını çalıştırıp Daily seçeneği ile bu scriptin günlük çalıştırılmasını sağlayabiliriz.
Böylelik ile yaptığımız bu çalışma ile herhangi bir turst vermediğimiz bir başka forest yapısına ait objeleri contact objeleri olarak kendi forestımıza bizdekileri de diğer foresta senkronize ettik.
Yine bir Exchange çalışmasında görüşmek üzere…