|
| |
| Sun Java(TM) System Directory Proxy Server 5.2 2005Q1 管理指南 | |
第 6 章
创建系统配置实例系统参数是指影响 Directory Proxy Server 功能行为的那些参数。本章介绍如何指定和保存系统配置。
本章包含以下几个部分:
创建系统配置实例本节说明如何配置 Directory Proxy Server 实例的系统特定参数。
创建系统配置对象
- 访问 Directory Proxy Server 控制台,如访问 Directory Proxy Server 控制台中所述。
- 选择一个 Directory Proxy Server 实例,然后单击“打开”。
- 在 Directory Proxy Server 控制台上按“配置”选项卡。
- 单击“新建”。
“新对象”窗口随即出现。
- 在“名称”字段中,键入系统配置的名称。名称必须是唯一的字母数字字符串。按“确定”。
- 在“网络”选项卡中,指定此系统配置的常规设置:
主机。输入 Directory Proxy Server 将在其上侦听连接的主机接口的名称。只有当运行 Directory Proxy Server 的主机上存在多个网络接口时才需要此特性。缺省情况下,主机名设置为 "localhost",表明 Directory Proxy Server 在所有可用的网络接口上进行侦听。指定 "localhost" 将允许共享的系统属性。
端口。输入 Directory Proxy Server 将在其上侦听传入连接的端口号。此字段的合法值为 1 到 65535。缺省值设置为 389,正如为 LDAP 指定的那样。此端口号必须与同一主机上运行的任何其他 LDAP 服务器使用的端口号不同。在 UNIX 平台上,若要在 1024 以下的端口号上进行侦听,就必须以超级用户身份来启动服务器。
SSL 端口。输入一个表示将在其上侦听 LDAPS(通过 SSL 的 LDAP)连接的端口号。缺省情况下,Directory Proxy Server 不侦听来自 LDAPS 客户机的连接。必须提供该值(例如 636)才能使用这一非标准功能来侦听客户机的 LDAPS 连接。该值必须与“主机”值不同。该选项还要求 TLS/SSL 配置,此配置位于“加密”选项卡中。
- 按 "SSL/TLS" 选项卡。
该窗口会显示缺省配置,Directory Proxy Server 可通过这一配置从服务器和客户机发送和请求 SSL 证书。该窗口提供了以下选项:
以 SSL 的方式连接到 LDAP 服务器时发送证书。如果希望 Directory Proxy Server 在建立 TLS 连接时将其证书发送到后端 LDAP 目录服务器,那么应启用此设置。缺省情况下禁用此设置。
要求客户机证书。启用此设置将指定 Directory Proxy Server 要求所有建立 SSL 会话的客户机都提交证书链。如果不提交证书链,则 Directory Proxy Server 将关闭连接。请注意,此选项不影响 Directory Proxy Server 和后端服务器之间的 SSL 会话。缺省情况下禁用此设置。
SSL/TLS 版本。选择“客户机 > Directory Proxy Server”和“Directory Proxy Server > 后端”旁边的下拉窗口,为每种情况选择相应的 SSL/TLS 版本。如果为系统启用了 SSL,则必须指定一个版本。
- 按“连接”选项卡,指定 Directory Proxy Server 应如何维护其连接。
这将显示 Directory Proxy Server 连接待办事项值,允许指定最大的连接数,并允许设置连接池超时值。选择条目用于:
连接待办事项。输入大于零的值,用于指定侦听套接字队列中未完成连接的最大数。缺省值为 128 个连接。最大值依赖于基础操作系统配置。
指定最大的连接数。选择该选项并输入一个值(大于零),从而指定 Directory Proxy Server 将同时接受的客户机连接的最大数。若要获得不受限制的同时连接数,请不要选择此选项。
启用连接池。启用连接池模块,通过此模块 Directory Proxy Server 将预先连接到目录服务器。该设置的缺省值为禁用。如果启用连接池,则 Directory Proxy Server 将尝试重新使用现有连接与后端 LDAP 服务器相连。如果后端服务器位于广域网 (WAN) 上,则启用此选项可大大提高性能。输入下列值:
间隔。输入秒数(大于或等于 1),用于指定时间间隔(以秒为单位),Directory Proxy Server 将按此间隔对传入请求取样以预期未来活动。缺省值为 15。
指定超时。选择此选项并输入秒数(大于或等于零),用于指定一段时间(以秒为单位),在此时间段之后将终止 LDAP 服务器上的空闲连接。如果不选中此复选框,则不应用超时。缺省值为 30。该值应该小于后端 LDAP 服务器的空闲连接超时值。
- 按 "UNIX" 选项卡。
此面板只包含与 UNIX 环境中的 Directory Proxy Server 有关的特性。
用户 ID。输入 Directory Proxy Server 运行时使用的用户 ID。如果将 Directory Proxy Server 以超级用户身份来运行,则它将其 uid 更改为此处指定的某个值。缺省设置是切换为 nobody。
工作目录。输入 Directory Proxy Server 将从中运行的目录。Directory Proxy Server 在启动时将其工作目录更改为此特性值指定的目录。缺省值为 /tmp。
- 选择“加密”选项卡并为启用 SSL 的通信配置 Directory Proxy Server。有关为 SSL 通信配置服务器的信息,请参见配置安全性。
通过“加密”选项卡可以配置以下参数:
刷新。单击此按钮可刷新当前的屏幕值。刷新屏幕可查看最近创建的证书。
启用该服务器的 SSL。选择此框可启用 Directory Proxy Server 侦听安全连接所需的 SSL/TLS 信息。如果指定了 SSL 端口,则必须启用此设置才能保存该配置。
使用该加密系列 RSA。 选择此框可设置此 Directory Proxy Server 实例的“安全设备”、“证书”和“密码设置”。
安全设备。单击下拉窗口从可用的选项中进行选择。缺省值为“内部(软件)”。
证书。单击下拉窗口从可用的选项中进行选择。
密码。选择“设置”以设置 SSL 2.0、SSL 3.0 和 TLS 密码首选项。按 "SSL 2.0"、"SSL 3.0" 和 "TLS" 选项卡,并选择各个选项卡所需密码旁边的复选框。
- 单击“保存”以保存对象。
Directory Proxy Server 配置被修改,并提示重新启动基于此配置的服务器。但是,此时请勿重新启动服务器。可以在完成所有配置更改后,重新启动服务器。
- 重新启动服务器,如重新启动 Directory Proxy Server 中所述。
注
对“设置”选项卡中的“主机”、“端口”和“SSL 端口”字段的更改要求停止和启动 Directory Proxy Server。
有关停止和启动 Directory Proxy Server 的说明,请参见启动和停止 Directory Proxy Server。
保存配置dpsconfig2ldif 实用程序用于下载 Directory Proxy Server 配置并将其保存到 LDIF 文件中。在以下位置可找到该实用程序:
<Install Root>/bin/dps_utilities/dpsconfig2ldif
该实用程序需要两个参数:
