Innhold
1 Oversikt
Cerebrum si synkronisering mot Active Directory er ein generell synk av data frå Cerebrum til AD, som bruker Microsoft sine eigne verktøy, som WinRM og powershell.
AD-synken støtter synk av entitetane:
- Brukarar, deira attributtar og passord.
- Grupper, deira attributtar og gruppemedlemskap.
- OU og deira attributtar, men med noko begrensa funksjonalitet.
- Maskiner, og deira attributtar. Maskinene opprettast som tomme Machine-objekt. Den fysiske maskina må settast opp på andre måtar.
- Hostpolicies. Desse vert betrakta som grupper i AD, synken bruker ikkje noko eige schema for dette i AD.
- Distribusjonsgrupper, og deira attributtar. Instansen må sjølv aktivere dei i andre system, som Exchange.
2 Funksjonalitet
AD-synken har funksjonalitet for:
- Full synkronisering av entitetar, ved at data om entitetar i Cerebrum samanliknast med attributtane til objekt i AD. Der det ikkje er samsvar vil Cerebrum oppdatere AD med ny informasjon. Dette fører til at det vert utført opprydding i OU Cerebrum synkroniserer til.
- Hurtig-synkronisering, ved at berre dei siste endringane frå Cerebrum vert synkronisert over til AD. Dette gjeld berre visse typer endringar, som passordbytte og endringar i karantener. Dette gjer at visse endringar i Cerebrum kan dukke opp kjappare i AD, men gjer at manuelle endringar AD ikkje vert rydda opp i.
- Lagring av AD-attributtar i ein eigen tabell i Cerebrum, til bruk for AD-synken. Instansar kan då administrere enkelte attributtar gjennom bofh. Dette er ein fordel i situasjonar der nokre verdiar skal settast automatisk, men enkeltbrukarar treng å få satt unntak.
- Instans-spesifikke utvidingar er mulig dersom det er behov for eigen funksjonalitet, men det vil kreve utviklingsarbeid. Vi ønsker minimalt med spesialtilpassingar, for å holde integrasjonen effektiv.
- Køyring av powershell-skript på AD-sida ved hendingar. Til dømes vil Cerebrum kunne starte eit powershell-skript kvar gang eit AD-objekt har blitt endra på av Cerebrum. Dette gjer at instansen kan legge til eigen funksjonalitet som skal påvirke objektet. Eit døme på dette kan vere å få registrert nye brukarar i Lync, Exchange og Office365 straks dei har blitt aktiverte, og opprette heimeområdemappa.
Sjå dokumentet Teknisk oversikt over AD-synkroniseringa for meir detaljar om korleis synkroniseringa fungerer.
3 Ta i bruk
3.1 Spesifisere
For at Cerebrum skal integrere med AD, må vi få spesifisert kva som skal synkroniserast, kva attributtar som skal over, og bli enige om alle detaljar i oppsettet. Ved oppsett av integrasjonen lager vi i samarbeid ein spesifikasjon av integrasjonen.
Sjå dokumentet Bestilling av ei AD-synkronisering for detaljar om denne prosessen.
3.2 Sette opp
Cerebrum må få tilgang til Active Directory for å kunne legge inn oppdateringar. Blant anna må Cerebrum få ein domenebrukar, og tilgang til ei Windows-maskin, med ein lokal brukar. Sjå Oppsett av AD-synken for Windows-sida for detaljar i dette.
3.3 Starte integrasjonen
Oppstart av integrasjonen gjerast i samarbeid med Cerebrum drift. Den vanlege prosessen ved oppstart av integrasjonen:
- Cerebrum drift køyrer ei simulering (tørrkøyring) av integrasjonen mot Active Directory. Loggen over kva Cerebrum ville ha gjort i AD oversendast til dei som drifter AD, så dei kan verifisere at alle endringar er ok.
- Dei som drifter AD ser over loggen og verifiserer at alle endringar er ok.
- Cerebrum drift starter integrasjonen, denne gangen i produksjon. Loggen oversendast dei som drifter AD.
- Dei som drifter AD ser over loggen og verifiserer at alle endringar er ok.
- Integrasjonen settast opp til å køyre regelmessig, etter slik det er spesifisert.