第 2 章 目录服务器工具

Sun Java^TM System Directory Server Enterprise Edition 提供了一个浏览器界面和一些命令行工具，用于在复制环境下管理多个服务器、实例和后缀。本章提供了有关目录服务器管理工具的概述信息。

本章包含以下主题：

• 目录服务器管理概述

• DSCC 和命令行的适用环境

• 目录服务控制中心界面

• 目录服务器命令行工具

目录服务器管理概述

此文档集的其他指南中提供了有关目录服务器管理框架的信息。

• 有关目录服务器管理框架的概述，请参见《Sun Java System Directory Server Enterprise Edition 6.3 Deployment Planning Guide》中的“Directory Server Enterprise Edition Administration Model”。

• 有关目录服务器管理框架的更多详细参考信息，请参见《Sun Java System Directory Server Enterprise Edition 6.3 Reference》中的第 1  章 “Directory Server Overview”。

DSCC 和命令行的适用环境

Directory Server Enterprise Edition 提供了两个用于管理目录服务器和目录代理服务器的用户界面：浏览器界面和命令行界面，浏览器界面即目录服务控制中心 (Directory Service Control Certer, DSCC)。

确定是否可以使用 DSCC 执行某个过程

本指南中的大多数过程都可以使用命令行或 DSCC 执行。本指南中的过程将说明如何使用命令行完成过程。在大多数情况下，可以使用 DSCC 执行相同的任务。如果可以使用 DSCC 执行某个过程，将在此过程的开头部分提供相关声明。

DSCC 联机帮助提供了有关如何使用 DSCC 执行本指南中过程的详细说明。

DSCC 的适用环境

与使用命令行相比，使用 DSCC 可以更轻松地执行某些操作和任务，如以下部分所述。一般来说，最好使用 DSCC 执行必须应用于多个服务器的命令。

查看服务器和后缀复制状态

DSCC 将显示一些表，这些表包含已在 DSCC 中注册的所有服务器实例、已配置的所有后缀以及每个后缀的状态。

服务器表位于“目录服务器”选项卡上，它显示服务器的操作状态。有关服务器的可能状态的完整列表，请参见目录服务器联机帮助。

后缀表位于“后缀”选项卡上，它显示复制状态信息，如条目数量以及所有丢失更改的数量和存留期。有关此表中显示的信息的详细信息，请参见目录服务器联机帮助。

管理服务器组

服务器组可帮助您监视和配置服务器。可以创建组并为这些组指定服务器。例如，可以按地理位置或功能对服务器进行分组。如果您有大量服务器，则可以对“目录服务器”选项卡上显示的服务器进行过滤，以便只显示组中的服务器。还可以将某个服务器的服务器配置（例如索引或缓存设置）复制到组中的所有其他服务器。有关如何设置和使用服务器组的说明，请参见目录服务器联机帮助。

复制配置设置

DSCC 允许您将现有服务器、后缀或复制协议的配置设置复制到一个或多个其他的服务器、后缀或复制协议。有关如何执行上述各项任务的信息，请参见目录服务器联机帮助。

配置复制

使用 DSCC 可以便捷地设置复制拓扑。只需创建服务器实例，然后使用 DSCC 提供的步骤指定每个服务器的角色即可。DSCC 将自动创建复制协议。有关如何使用 DSCC 配置复制的详细信息，请参见目录服务器联机帮助。

目录服务控制中心界面

目录服务控制中心 (Directory Service Control Center, DSCC) 是一个用户界面，允许您使用浏览器管理目录服务器和目录代理服务器。

要配置 DSCC，请参见配置 DSCC。有关使用 DSCC 的信息，请参见以下部分。

DSCC 的管理用户

DSCC 有少数管理登录。

• 操作系统用户。创建服务器实例，是唯一有权使用 dsadm 命令在服务器实例上运行操作系统命令的用户。在某些情况下，DSCC可能会要求提供操作系统用户密码。此用户必须具有密码，并且必须能够创建目录服务器实例。

• 目录管理员。服务器的 LDAP 超级用户。默认 DN 为 cn=Directory Manager。

• 目录管理者。管理目录服务器。此用户与目录管理员具有相同的权限，但受访问控制、密码策略和验证要求的约束。可以根据需要创建任意数量的目录管理者。

• 目录服务管理员。通过 DSCC 管理多台计算机上的服务器配置和数据。对于已在 DSCC 中注册的每个服务器，此用户与目录管理员具有相同的权限，并且是目录管理者组的成员。

访问 DSCC

如果在访问 DSCC 时遇到任何困难，请参见《Sun Java System Directory Server Enterprise Edition 6.3 Installation Guide》中的“To Troubleshoot Directory Service Control Center Access”。

1. 确保已正确安装 DSCC，如《Sun Java System Directory Server Enterprise Edition 6.3 Installation Guide》中的“Software Installation”所述。

2. 如果使用本地软件包安装文件安装的 DSCC，请执行以下步骤：

   1. 打开浏览器，并使用以下格式键入 DSCC 主机 URL：

      https://hostname:6789

      例如：

      https://host1:6789

      其中 hostname 是安装了 DSCC 软件的系统。

      Sun Java Web Console 的默认端口为 6789。

      下图显示了 Sun Java Web Console 的登录窗口。

      图 2–1 Sun Java Web Console 登录窗口

      
      

   2. 登录到 Sun Java Web Console。

      • 如果您是首次登录到 Sun Java Web Console，请以 root 身份在安装了 DSCC 软件的系统上登录。

      • 如果是后续登录，请键入您的操作系统用户名和密码。此用户应该具有启动、停止和管理目录服务器实例的权限。

      登录时，您将看到一个应用程序列表。

   3. 选择目录服务控制中心 (Directory Service Control Certer, DSCC)。

      将显示 DSCC 登录窗口。

3. 如果使用 zip 安装文件安装了 DSCC，请执行以下步骤：

   1. 通过键入 DSCC 主机 URL，直接在首选应用服务器中访问 DSCC。DSCC 主机 URL 可以是以下任何内容，具体取决于应用服务器配置。

      https://hostname:8181/dscc

      或

      http://hostname:8080/dscc

   2. 使用以下命令初始化 DSCC。

      $ install path/dscc6/bin/dsccsetup ads-create

4. 登录到 DSCC。

   如果您是首次登录到 DSCC，则必须设置目录服务管理员密码。在后续登录中，需要使用首次登录时设置的密码。

   现在您已经登录到 DSCC，并位于“日常任务”选项卡。

   图 2–2 DSCC“日常任务”选项卡

   
   

5. 使用选项卡进行浏览。

   • “日常任务”选项卡包含常用窗口和向导的快捷方式。

   • “目录服务器”选项卡显示由 DSCC 管理的所有目录服务器。要查看用于管理和配置特定服务器的更多选项，请单击服务器名称。

   • “代理服务器”选项卡显示由 DSCC 管理的所有目录代理服务器。要查看用于管理和配置特定服务器的更多选项，请单击服务器名称。

   ---

   注 –

   有关如何使用 DSCC 执行任务的说明，请参见 DSCC 联机帮助。

   ---

   图 2–3 “服务器”子选项卡上的目录服务器列表

   
   

DSCC 选项卡描述

可以使用 DSCC 中的选项卡浏览界面。

“日常任务”选项卡

“日常任务”选项卡（请参见图 2–2）是打开 DSCC 时看到的第一个界面。它包含指向常用管理任务（如搜索目录数据、检查日志和管理服务器）的链接。

“目录服务器”选项卡

“目录服务器”选项卡（请参见图 2–3）列出已在 DSCC 中注册的所有目录服务器。将为每个服务器显示服务器状态和实例路径，实例路径指出实例所在的位置。

单击服务器名称时将出现另一个窗口，其中显示了只与该服务器相关的一组其他选项卡。

“代理服务器”选项卡

“代理服务器”选项卡列出已在 DSCC 中注册的所有目录代理服务器。将为每个服务器显示服务器状态和服务器实例路径，实例路径指出实例所在的位置。

单击服务器名称时将出现另一个窗口，其中显示了只与该服务器相关的一组其他选项卡。

“服务器组”选项卡

“服务器组”选项卡允许您将服务器指定给组，从而使服务器管理更加轻松。如果您有大量服务器，则可以通过使用过滤器只显示特定组中的服务器。还可以将某个服务器中的服务器配置（例如索引或缓存设置）复制到组中的所有其他服务器。

“设置”选项卡

此选项卡显示 DSCC 端口号，并允许您创建和删除目录服务管理员。

DSCC 联机帮助

联机帮助可提供以下内容：

• 当前所用页面的上下文有关帮助。

• 有关使用 DSCC 执行管理和配置过程的一般帮助。

可以在大多数页面中通过单击屏幕右上角的“帮助”按钮来访问帮助。在向导中，可以通过单击“帮助”选项卡访问帮助。还可以从“日常任务”选项卡访问联机帮助。

目录服务器命令行工具

在 DSCC 上执行的大多数任务都可以使用命令行工具来执行。这些工具允许您从命令行直接管理目录服务器，并可使用脚本管理服务器。

主要的目录服务器命令包括 dsadm 和 dsconf。可以使用这些命令执行备份、导出到 LDIF 和管理证书等操作。有关这些命令的信息，请参见 dsadm(1M) 和 dsconf(1M) 手册页。

dpconf、dsconf、dsmig、 dsccmon、dsccreg 和 dsccsetup 都是基于 LDAP 的命令，因此您必须为这些命令指定用户绑定 DN 和密码以便进行验证。dpadm 和 dsadm 命令对实例文件进行操作。

本部分包含以下与目录服务器命令行工具有关的信息：

• 目录服务器命令的位置

• 为 dsconf 设置环境变量

• dsadm 和 dsconf 的比较

• 获取有关使用 dsadm 和 dsconf 的帮助信息

• 使用 dsconf 修改配置属性

• 手册页

目录服务器命令的位置

目录服务器命令行工具位于默认的安装目录中：

install-path/ds6/bin

安装目录取决于操作系统。默认路径和命令位置中列出了所有操作系统的安装路径。

为 dsconf 设置环境变量

dsconf 命令需要使用某些选项，可以使用环境变量来预设这些选项。如果在使用命令时未指定选项，或者未设置环境变量，则使用默认设置。可为以下选项配置环境变量：

-D user DN

用户绑定 DN。环境变量：LDAP_ADMIN_USER。默认：cn=Directory Manager。

-w password-file

用户绑定 DN 的密码文件。环境变量：LDAP_ADMIN_PWF。默认：提示输入密码。

-h host

主机名。环境变量：DIRSERV_HOST。默认：localhost。

-p LDAP-port

LDAP 端口号。环境变量：DIRSERV_PORT。默认：389。

-e, --unsecured

指定 dsconf 应默认打开一个不受限制的连接。环境变量：DIRSERV_UNSECURED。如果未设置此变量，dsconf 将默认打开一个安全连接。

有关详细信息，请参见 dsconf(1M) 手册页。

dsadm 和 dsconf 的比较

下表显示 dsadm 和 dsconf 命令的比较。

获取有关使用 dsadm 和 dsconf 的帮助信息

有关如何使用 dsadm 和 dsconf 命令的完整信息，请参见 dsadm(1M) 和 dsconf(1M) 手册页。

• 要获取子命令列表，请键入相应的命令：

  $ dsadm --help

  $ dsconf --help

• 要获取有关如何使用子命令的信息，请键入相应的命令：

  $ dsadm subcommand --help

  $ dsconf subcommand --help

使用 dsconf 修改配置属性

可以使用很多 dsconf 子命令来查看和修改配置属性。

• 要列出目录服务器中使用的配置属性，请键入：

  $ dsconf help-properties

• 要查找特定属性，请搜索帮助属性的输出。

  例如，如果您使用的是 UNIX® 平台，并要搜索与引用相关的所有属性，请使用以下命令。

  $ dsconf help-properties | grep -i referral SER referral-url rw M LDAP_URL | undefined Referrals returned to clients requesting a DN not stored in this Directory Server (Default: undefined) SUF referral-mode rw disabled|enabled|only-on-write Specifies how referrals are used for requests involving the suffix (Default: disabled) SUF referral-url rw M LDAP_URL | undefined Server(s) to which updates are referred (Default: undefined) SUF repl-rewrite-referrals-enabled rw on|off Specifies whether automatic referrals are overwritten (Default: off)

  请注意，属性将按目标对象（如后缀 (SUF) 和服务器 (SER)）进行分组。rw 关键字表示该属性是可读写的。M 关键字表示该属性是多值属性。

• 要查看服务器属性，请使用详细模式。以 UNIX 系统为例，请键入：

  $ dsconf help-properties -v | grep -i referral-mode SUF referral-mode rw disabled|enabled|only-on-write nsslapd-state Specifies how referrals are used for requests involving the suffix (Default: disabled)

有关单个属性的详细信息，请参见该属性的手册页。这些手册页位于《Sun Java System Directory Server Enterprise Edition 6.3 Man Page Reference》中。

使用 dsconf 设置多值属性

某些目录服务器属性可以采用多个值。用于指定这些值的语法如下：

$ dsconf set-container-prop -h host -p port container-name \
 property:value1 property:value2

例如，要为服务器设置多个加密密码，请使用以下命令：

$ dsconf set-server-prop -h host1 -p 1389 ssl-cipher-family:SSL_RSA_WITH_RC4_128_MD5 \
 ssl-cipher-family:SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA

要在已包含值的多值属性中添加值，请使用以下语法：

$ dsconf set-container-prop -h host -p port container-name property+:value

要从已包含值的多值属性中删除值，请使用以下语法：

$ dsconf set-container-prop -h host -p port container-name property-:value

例如，在前面介绍的方案中，要将 SHA 加密密码添加到密码列表中，请运行以下命令：

$ dsconf set-server-prop -h host1 -p 1389 \
 ssl-cipher-family+:TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

要从列表中删除 MD5 密码，请运行以下命令：

$ dsconf set-server-prop -h host1 -p 1389 ssl-cipher-family-:SSL_RSA_WITH_RC4_128_MD5

手册页

手册页提供了对目录服务器中使用的所有命令和属性的描述。此外，手册页还显示了如何在部署中使用命令的一些有用示例。

传统工具

为了提供向后兼容性，还在常规目录服务器工具中提供了传统工具。这些工具虽然仍旧存在，但已经过时。