|
| |
| Sun Java(TM) System Directory Server 5 2004Q2 管理指南 | |
第 12 章
執行通過驗證通過驗證 (PTA) 是一種機制,目錄伺服器可藉此機制參閱另一個目錄伺服器以驗證連結要求。PTA Plug-in 提供此項功能;允許目錄伺服器接受不是儲存在其本機尾碼中之項目的簡單連結作業(以密碼為基礎)。
Directory Server 使用 PTA 可允許您在 Directory Server 的不同實例上,管理自己的使用者和組態目錄。
本章在下列章節中說明 PTA Plug-in:
目錄伺服器使用 PTA 的方法如果您在 Directory Server 的單獨實例上安裝組態目錄和使用者目錄,安裝程式會自動設定 PTA 以允許「組態管理員」使用者(通常為 admin)執行管理任務。
在這種情況下,PTA 是必要的,因為 admin 使用者項目會儲存在組態目錄的 o=NetscapeRoot 之下。因此,嘗試要連結使用者目錄作為 admin 通常會失敗。PTA 允許使用者目錄將憑證傳送給用來驗證使用者目錄的組態目錄。然後使用者目錄會允許 admin 使用者進行連結。
將此範例中的使用者目錄當作 PTA 伺服器使用,也就是將連結要求傳遞至另一個目錄伺服器的伺服器。將組態目錄會當作驗證伺服器使用,也就是包含項目並且驗證要求用戶端之連結憑證的伺服器。
您也會在本章中看到 PTA 樹狀子目錄字串的使用。通過驗證樹狀子目錄是不存在於 PTA 伺服器中的樹狀子目錄。當使用者的連結 DN 包含此樹狀子目錄時,系統會將使用者的憑證傳送至驗證目錄。
此一系列的步驟將顯示通過驗證是如何運作的:
- 您在主機 configdir.example.com 上,安裝組態目錄伺服器 (驗證目錄),其包含有通過驗證樹狀子目錄 o=NetscapeRoot。
- 您在主機 userdir.example.com 上,安裝使用者目錄伺服器 (PTA 伺服器),其在dc=example,dc=com 尾碼內包含有資料。
- 在使用者目錄的安裝過程中,系統將提示您提供指向組態目錄的 LDAP URL,例如:
ldap://configdir.example.com/o=NetscapeRoot
- 安裝程式以您提供的 LDAP URL 配置並啟用使用者目錄內的 PTA Plug-in 。
現在,使用者目錄已配置為 PTA 目錄。它將傳送其 DN 含有 o=NetscapeRoot 的項目的所有連結要求至組態目錄 configdir.example.com。
- 安裝完成時,admin 使用者即嘗試連結至使用者目錄以開始建立使用者資料。
admin 項目在組態目錄中儲存為 uid=admin, ou=Administrators,ou=TopologyManagement,o=NetscapeRoot。所以,使用者目錄通過如 PTA Plug-in 組態所定義之組態目錄的連結要求。
- 組態目錄可驗證連結憑證,包括密碼,並傳回確認至使用者目錄。
- 使用者目錄允許 admin 使用者進行連結。
配置 PTA Plug-inPTA Plug-in 組態資訊在 PTA 伺服器中指定為 cn=Pass Through Authentication,cn=plugins,cn=config 項目。
如果您在不同伺服器實例中安裝了使用者和組態目錄,系統會自動將 PTA Plug-in 項目加入使用者目錄組態。如果您在相同的實例上同時安裝了兩個目錄,而且您希望以其他目錄執行通過驗證,則必須先建立 Plug-in 組態項目。
建立 Plug-in 組態項目
- 執行下列指令以建立 Plug-in 組態項目:
ldapmodify -a -h PTAhost -p port -D "cn=Directory Manager" -w password
dn:cn=Pass Through Authentication,cn=plugins,cn=config
objectClass:top
objectClass:nsSlapdPlugin
objectClass:extensibleObject
cn:Pass Through Authentication
nsslapd-pluginPath:ServerRoot/lib/passthru-plugin.so
nsslapd-pluginInitfunc:passthruauth_init
nsslapd-pluginType:preoperation
nsslapd-plugin-depends-on-type:w
nsslapd-pluginId:passthruauth
nsslapd-pluginVersion: 5.2
nsslapd-pluginVendor:Sun Microsystems, Inc.
nsslapd-pluginDescription: pass through authentication plugin
nsslapd-pluginEnabled:on or off
nsslapd-pluginarg0:ldap[s]://authenticatingHost[:port]/PTAsubtree options其中 ServerRoot 視您的安裝而定。
Plug-in 引數指定了識別驗證目錄伺服器的主機名稱、選用的連接埠和 PTA 樹狀子目錄的 LDAP URL。如果沒有指定連接埠,LDAP 預設值為 389、LDAPS 為 636。您也可以設定選用的連線參數,如下列章節所述。如果 PTAhost 已有 PTAsubtree 存在,Plug-in 將不會通過連結要求至 authenticatingHost,連結將在本地端處理,而不會通過。
- 依「啟動和停止目錄伺服器」所述,重新啟動伺服器。
配置PTA 以使用安全連線
因為 PTA Plug-in 必須傳送包含密碼的連結憑證至驗證目錄,因此我們建議您使用安全連線。若要配置 PTA 目錄以透過 SSL 與驗證目錄進行通訊:
- 在 PTA 和驗證目錄中配置和啟用 SSL,如第 11 章「管理驗證和加密」所述。
- 建立或修改 PTA Plug-in 組態,以在 LDAP URL 中使用 LDAPS 和安全連接埠,例如:
ldaps://configdir.example.com:636/o=NetscapeRoot
設定選用連線參數
PTA Plug-in 引數接受一組選用連線參數在 LDAP URL 之後:
ldap[s]://host[:port]/subtree [maxconns,maxops,timeout,ldapver,connlife]
參數必須依顯示的順序指定。雖然這些參數為選用,但是如果您要指定其中一個,則您必須全部指定。如果您不希望自訂所有參數,請依下列指定其預設值。請確認樹狀子目錄參數和選用的參數間有空格。
您可配置下列每個 LDAP URL 的選用參數:
- maxconns - PTA 伺服器可同時開放給驗證伺服器的最大連線數目。此參數限制可通過至驗證伺服器的同時連結數量。預設值是 3。
- maxops - PTA 目錄伺服器可同時傳送至單一連線中之驗證目錄伺服器的最大連結要求數量。此參數進一步限制同時通過驗證的數量。預設值為 5。
- timeout - 您要 PTA 伺服器等待驗證伺服器回應的最大延遲秒數。預設值為 300 秒(五分鐘)。
- ldapver - 您想要 PTA 伺服器連線至驗證伺服器使用的 LDAP 協定版本。LDAPv2 的允許值是 2,LDAPv3 的允許值是 3。預設值是 3。
- connlife - 在時間限制的秒數內,PTA 伺服器將重新使用連線至驗證伺服器。如果該時間到期後,用戶端才要求 PTA 樹狀子目錄內的連結,伺服器會關閉 PTA 連線,再開啟新的連線。除非啟動連結要求而且伺服器判定已經超過逾時值,否則伺服器不會關閉連線。如果您不指定此選項,或者如果只有一個驗證伺服器列於 LDAP URL 中,則不會強制執行任何時間限制。如果列示了兩個或以上的主機,則預設為 300 秒 (五分鐘)。
下列 PTA Plug-in 引數的範例增加連線數量至 10,但是降低逾時時間為一分鐘(60 秒鐘)。所有其他參數的預設值指定如下:
ldaps://configdir.example.com:636/o=NetscapeRoot 10,5,60,3,300
指定多重伺服器和樹狀子目錄
您可以使用多組引數配置 PTA Plug-in ,以指定多重驗證伺服器、多重 PTA 樹狀子目錄或兩者同時指定。每個引數包含一個 LDAP URL,並可能有其自己的連線選項組。
當相同的 PTA 伺服器有多重驗證伺服器時,他們可以做為容錯移轉伺服器。每當 PTA 連線達到逾時限制,Plug-in 將依列出的順序建立連線至驗證伺服器。如果所有連線皆逾時,則驗證將失敗。
當已定義多重 PTA 樹狀子目錄,Plug-in 將依據連結 DN,通過驗證要求至對映的伺服器。下列範例顯示四個 Plug-in 引數,定義兩個 PTA 樹狀子目錄,每一個都有驗證的容錯轉移伺服器和伺服器特定的連線參數:
nsslapd-pluginarg0:ldaps://configdir.example.com/o=NetscapeRoot
10,10,60,3,300
nsslapd-pluginarg1:ldaps://configbak.example.com/o=NetscapeRoot
3,5,300,3,300
nsslapd-pluginarg2:ldaps://east.example.com/ou=East,ou=People,
dc=example,dc=com 10.10,300,3,300
nsslapd-pluginarg3:ldaps://eastbak.example.com/ou=East,ou=People,
dc=example,dc=com 3,5,300,3,300如以下範例所示,也可以用空格分隔主機名稱以指定多重伺服器:
nsslapd-pluginarg0:ldaps://configdir.example.com:636 configbak.example.com:636/o=NetscapeRoot 10,10,60,3,300
修改 PTA Plug-in 組態
您可以在任何時間重新配置 PTA Plug-in ,啟用或停用,或變更驗證主機或 PTA 樹狀子目錄。
- 編輯 PTA Plug-in 組態項目 (cn=Pass Through Authentication,cn=plugins,cn=config) 以修改 nsslapd-pluginenabled 和 nsslapd-pluginargN 屬性。您可以使用主控台或 ldapmodify 公用程式編輯組態。
例如,下列指令將啟用 PTA Plug-in 和 SSL,以及上述顯示的連線參數。
dn:cn=Pass Through Authentication,cn=plugins,cn=config
changetype:modify
replace:nsslapd-pluginenabled
nsslapd-pluginenabled:on
-
replace:nsslapd-pluginarg0
nsslapd-pluginarg0:ldaps://configdir.example.com:636/
o=NetscapeRoot 10.100.60,3,300
-
replace:nsslapd-pluginarg1
nsslapd-pluginarg1:ldaps://configbak.example.com:636/
o=NetscapeRoot 3,5,300,3,300
^D- 依「啟動和停止目錄伺服器」所述,重新啟動伺服器。