|
| |
| Sun Java(TM) System Directory Proxy Server 5.2 2005Q1 管理指南 | |
附录 A
Directory Proxy Server 决策功能本附录描述了 Directory Proxy Server 中针对某些特定功能的控制流。其中包括:
连接时建立组当客户机与 Directory Proxy Server 建立连接时,它将检查 ids-proxy-sch-NetworkGroup 对象条目中的 ids-proxy-con-Client 属性,直到找到一个匹配项。将按照 ids-proxy-con-priority 属性所定义的最高优先级到最低优先级的顺序对 ids-proxy-sch-NetworkGroup 对象进行尝试。Directory Proxy Server 将客户机放在其 ids-proxy-con-client 属性匹配客户机的 IP 地址的第一个组中。如果找不到匹配的组,则关闭连接。
绑定时更改组当客户机最初进行连接时,根据其 IP 地址将它置于一个组中。当客户机绑定到目录时,它可以移动到具有不同访问控制的不同组。要实现这一功能,初始组对象必须包括规则对象,在进行成功绑定操作时,将对该规则对象进行评估。如果该规则的值为 TRUE,则可以执行更改组操作将客户机移动到不同的组。图 A-1 显示了此功能。
图 A-1 绑定时更改组
配置“绑定时更改组”
以下步骤说明了如何配置 Directory Proxy Server,以使其使用简单的绑定验证机制通过 "cn=Directory Manager" 在成功绑定时更改组。
配置“绑定时更改组”
- 创建一个新网络组,在成功进行绑定时用户 cn="Directory Manager" 将移到其中。有关详细信息,请参见创建组。如果用户只有通过将其更改到组,才能成为该组的一部分,那么请在“网络组”面板的“网络”选项卡中设置“无 IP 绑定”。此外,还要确保此组排在允许某些 IP 绑定的所有其他网络组后面。
- 创建一个新“更改组”操作。有关详细信息,请参见创建操作对象。将“更改为”设置为您在步骤 1 中创建的组的名称。将“如果 DN 匹配”设置为 "cn=Directory Manager"。也可以将所有其他的(即,".*")设置为“无”(不更改组)。
- 创建绑定后续事件。有关详细信息,请参见创建事件对象。在“操作”选项卡上,将其设置为您在步骤 2 中创建的更改组操作。在“条件”选项卡上,选择“基于密码的绑定”。
- 在步骤 1 中创建的“网络组”的“事件”选项卡上,选择您在步骤 3 中创建的“绑定后续事件”。有关详细信息,请参见修改组。
建立 TLS 时更改组建立 TLS 时更改组类似于绑定时更改组机制,当客户机成功建立 TLS 会话时,可以更改组。当客户机建立 TLS 时,将评估“SSL 已建立”规则,此后将执行“更改组”操作。图 A-2 显示了此功能。
图 A-2 建立 TLS 时更改组
高可用性设置如果您配置了多台后端目录服务器,那么就可以设置 Directory Proxy Server,使其在其中一台后端服务器发生故障的情况下在这些服务器之间进行负载平衡,并将故障转移到另一台服务器。为了做到这一点,必须创建“负载平衡属性”(请参见负载平衡属性),并将它包括在您需要对其进行负载平衡的组对象中。您还需要为每一台后端服务器创建“LDAP 服务器属性”(请参见 LDAP 服务器属性),并将它包括在“负载平衡属性”中。在“负载平衡属性”对象中,必须指定每一台后端服务器应该处理的负载量占总负载的百分比。进行了此项设置,在其中一台后端目录服务器发生故障的情况下,Directory Proxy Server 将在它们之间重新分发负载。在第一台服务器发生故障的情况下,它将客户机的故障从一台服务器转移到另一台服务器。如果其本身和 LDAP 服务器之间的网络链接发生故障或者如果 LDAP 服务器没有响应,那么 Directory Proxy Server 也将进行故障转移。
跟随引用可以设置 Directory Proxy Server,以使其为那些自身不能跟随引用的 LDAPv2 客户机跟随引用。后端 LDAP 目录服务器必须能够发送引用,即,它必须支持 LDAP v3 标准。配置 Directory Proxy Server,以使其在自身和后端 LDAP 服务器之间使用 LDAP v3,以便 Directory Proxy Server 从目录服务器接收引用。然后,设置组的引用和持续引用策略。
