Sun Java System Communications Services 6 2005Q4 Delegated Administrator 설명서

Procedure스키마 2 호환성 모드용 ACI를 추가하려면

단계
  1. OSI 루트에 다음 두 ACI를 추가합니다. /opt/SUNWcomm/config 디렉토리에 있는 usergroup.ldif 파일에서 다음 두 ACI를 찾을 수 있습니다.

    ugldapbasedn을 해당 사용자/그룹 접미어로 바꿉니다. 편집한 usergroup.ldif를 LDAP 디렉토리에 추가합니다.


    #
    # acis to limit Org Admin Role
    #
    ########################################
    # dn: <local.ugldapbasedn>
    ########################################
    dn: <ugldapbasedn>
    changetype: modify
    add: aci
    aci: (target="ldap:///($dn),<ugldapbasedn>")(targetattr="*")
    (version 3.0; acl "Organization Admin Role access deny to org node";
    deny (write,add,delete) roledn = "ldap:///cn=Organization Admin 
    Role,($dn),<ugldapbasedn>";)

    dn: <ugldapbasedn>
    changetype: modify
    add: aci
    aci: (target="ldap:///($dn),<ugldapbasedn>")(targetattr="*")
    (version 3.0; acl "Organization Admin Role access allow read 
    to org node";
    allow (read,search) roledn = "ldap:///cn=Organization Admin 
    Role,($dn),<ugldapbasedn>";)
  2. DC 트리 루트 접미어에 다음 두 ACI를 추가합니다. /opt/SUNWcomm/config 디렉토리에 있는 dctree.ldif 파일에서 다음 두 ACI를 찾을 수 있습니다.

    dctreebasedn을 DC 트리 루트 접미어로 바꾸고 ugldapbasedn을 사용자/그룹 접미어로 바꿉니다. 편집한 dctree.ldif를 LDAP 디렉토리에 추가합니다.


    #
    # acis to limit Org Admin Role
    #
    ########################################
    # dn: <dctreebasedn>
    ########################################
    dn: <dctreebasedn>
    changetype: modify
    add: aci
    aci: (target="ldap:///($dn),<dctreebasedn>")(targetattr="*")
    (version 3.0; acl "Organization Admin Role access deny to dc node"; 
    deny (write,add,delete) roledn = "ldap:///cn=Organization Admin 
    Role,($dn),<ugldapbasedn>";)

    dn: <dctreebasedn>
    changetype: modify
    add: aci
    aci: (target="ldap:///($dn),<dctreebasedn>")(targetattr="*")
    (version 3.0; acl "Organization Admin Role access allow read to dc 
    node"; allow (read,search) roledn = "ldap:///cn=Organization Admin 
    Role,($dn),<ugldapbasedn>";)
  3. DC 트리 루트 접미어에 다음의 추가 ACI를 추가합니다. (이 ACI는 dctree.ldif 파일에 없음)


    dn:<dctreebasedn> 
    changetype:modify
    add:aci
    aci: (target="ldap:///<dctreebasedn>")(targetattr="*")
    (version 3.0; acl "S1IS Proxy user rights"; allow (proxy)
    userdn = "ldap:///cn=puser,ou=DSAME Users,<ugldapbasedn>";)

    dn:<dctreebasedn>
    changetype:modify
    add:aci
    aci: (target="ldap:///<dctreebasedn>")(targetattr="*")
    (version 3.0; acl "S1IS special dsame user rights for all under the 
    root suffix"; allow (all) userdn ="ldap:///cn=dsameuser,ou=DSAME 
    Users,<ugldapbasedn>";)

    dn:<dctreebasedn>
    changetype:modify
    add:aci
    aci: (target="ldap:///<dctreebasedn>")(targetattr="*")
    (version 3.0; acl "S1IS Top-level admin rights"; 
    allow (all) roledn = "ldap:///cn=Top-level Admin 
    Role,<ugldapbasedn>";)
  4. AMConfig.properties 파일에서 com.iplanet.am.domaincomponent 등록 정보를 해당 DC 트리 루트 접미어로 설정합니다.

    예를 들어, < AM_base_directory>/lib/AMConfig.properties 파일에서 다음 줄을 수정합니다.

    수정 전

    com.iplanet.am.domaincomponent=o=isp

    수정 후

    com.iplanet.am.domaincomponent=o=internet

  5. Access Manager(이전에는 Identity Server)가 호환성 모드를 사용할 수 있게 합니다.

    Access Manager 콘솔의 관리 콘솔 서비스 페이지에서 도메인 구성 요소 트리 사용 가능 확인란을 선택(활성화)합니다.

  6. 다음 예와 같이 inetdomain 객체 클래스를 모든 DC 트리 노드(예: dc=com,o=internet)에 추가합니다.


    /var/mps/serverroot/shared/bin 298% ./ldapmodify 
    -D "cn=Directory Manager" -w password
    dn: dc=com,o=internet
    changetype: modify
    add: objectclass
    objectclass: inetdomain
  7. 웹 컨테이너를 다시 시작합니다.