Sun Java System Directory Server Enterprise Edition 6.3 管理指南

将请求转发到后端 LDAP 服务器

本部分包含可用于将请求从目录代理服务器转发到后端 LDAP 服务器的各种方法的相关信息。

使用绑定重放转发请求

有关目录代理服务器中客户端证书绑定重放的信息，请参见《Sun Java System Directory Server Enterprise Edition 6.3 Reference》中的“Directory Proxy Server Configured for BIND Replay”。以下过程介绍如何使用绑定重放将请求从目录代理服务器转发到后端 LDAP 服务器。

可使用 DSCC 执行此任务。有关信息，请参见目录服务控制中心界面和 DSCC 联机帮助。

配置数据源客户端证书，以便使用客户端提供的证书通过后端 LDAP 服务器的验证。

$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \
 client-cred-mode:use-client-identity

本部分包含的过程将使用代理授权和代理授权控件来转发请求。

将数据源配置为使用代理授权通过到后端 LDAP 服务器的验证。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ client-cred-mode:use-proxy-auth
要将数据源配置为使用只有写入操作权限的代理授权来通过后端 LDAP 服务器的验证，请运行以下命令：
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ client-cred-mode:use-proxy-auth-for-write
使用代理授权控制执行只写操作时，客户端标识不会转发到 LDAP 服务器以用于读取请求。有关转发无客户端标识的请求的详细信息，请参见转发无客户端标识的请求。

使用目录代理服务器的绑定证书配置数据源。

$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \
 bind-dn:DPS-bind-dn bind-pwd-file:filename

将数据源配置为启用超时。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ proxied-auth-check-timeout:value
目录代理服务器使用 getEffectiveRights 命令验证客户端 DN 是否具有代理授权的相关 ACI。结果将缓存在目录代理服务器中，并在 proxied-auth-check-timeout 过期时进行更新。

可使用 DSCC 执行此任务。有关信息，请参见目录服务控制中心界面和 DSCC 联机帮助。

将目录代理服务器配置为接受版本 1 和/或版本 2 的代理授权控件。

$ dpconf set-server-prop -h host -p port allowed-ldap-controls:proxy-auth-v1 \
 allowed-ldap-controls:proxy-auth-v2

以下过程介绍如何将请求从目录代理服务器转发到后端 LDAP 服务器，而不转发客户端标识。

可使用 DSCC 执行此任务。有关信息，请参见目录服务控制中心界面和 DSCC 联机帮助。

将数据源配置为使用目录代理服务器证书通过后端 LDAP 服务器的验证。

$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \
 client-cred-mode:use-specific-identity

使用目录代理服务器的绑定证书配置数据源。

$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \
 bind-dn:bind-dn-of-DPS bind-pwd-file:filename

本部分包含有关如何以备用用户身份转发请求的信息。

可使用 DSCC 执行此任务。有关信息，请参见目录服务控制中心界面和 DSCC 联机帮助。

启用要以备用用户身份转发的操作。

$ dpconf set-server-prop -h host -p port enable-user-mapping:true

指定包含远程映射 ID 的属性名称。

$ dpconf set-server-prop -h host -p port \
 remote-user-mapping-bind-dn-attr:attribute-name

将目录代理服务器配置为远程映射客户端 ID。

$ dpconf set-server-prop -h host -p port enable-remote-user-mapping:true

配置默认映射。

$ dpconf set-server-prop -h host -p port \
 user-mapping-default-bind-dn:default-mapping-bind-dn \
 user-mapping-default-bind-pwd-file:filename

如果在远程 LDAP 服务器上找不到映射的标识，则客户端标识将映射到默认标识。

可使用 DSCC 执行此任务。有关信息，请参见目录服务控制中心界面和 DSCC 联机帮助。

启用要以备用用户身份转发的操作。

$ dpconf set-server-prop -h host -p port enable-user-mapping:true

确保未将目录代理服务器配置为远程映射客户端 ID。

$ dpconf set-server-prop -h host -p port enable-remote-user-mapping:false

配置默认映射。

$ dpconf set-server-prop -h host -p port \
 user-mapping-default-bind-dn:default-mapping-bind-dn \
 user-mapping-default-bind-pwd-file:filename

如果远程 LDAP 服务器上的映射失败，客户端 ID 将映射到此 DN。

如果允许未经验证的用户执行操作，请为未经验证的客户端配置映射。
$ dpconf set-server-prop -h host -p port \ user-mapping-anonymous-bind-dn:anonymous-mapping-bind-dn \ user-mapping-anonymous-bind-pwd-file:filename
有关如何允许未经验证的用户执行操作的信息，请参见配置匿名访问。

配置客户端 ID。

$ dpconf set-user-mapping-prop -h host -p port \
 user-bind-dn:client-bind-dn user-bind-pwd-file:filename

配置备用用户 ID。

$ dpconf set-user-mapping-prop -h host -p port \
 mapped-bind-dn:alt-user-bind-dn mapped-bind-pwd-file:filename

可使用 DSCC 执行此任务。有关信息，请参见目录服务控制中心界面和 DSCC 联机帮助。

为未经验证的客户端配置映射。
$ dpconf set-server-prop -h host -p port \ user-mapping-anonymous-bind-dn:anonymous-mapping-bind-dn \ user-mapping-anonymous-bind-pwd-file:filename
将在目录代理服务器中配置匿名客户端映射，因为远程 LDAP 服务器中不包含匿名客户端条目。

有关允许未经验证的用户执行操作的信息，请参见配置匿名访问。