附錄 B 將 OpenLDAP 和 Active Directory 與 Desktop Manager 一起使用
將 OpenLDAP 伺服器與 Desktop Manager 一起使用
若要使用 OpenLDAP 伺服器做為 Desktop Manager 資料的儲存庫,則必須延伸伺服器模式,以便具有儲存配置資料所用的物件類別與屬性。您可以在 /usr/share/webconsole/apoc/deploy 目錄中找到名為 apoc.schema 的自訂模式檔。
必須將該檔案複製到 OpenLDAP 配置目錄 (/etc/openldap) 的子目錄 schema 中,並透過在位於該目錄的 slapd.conf 檔案中包含該檔案將其增加到 OpenLDAP 模式中。方法是將 include /etc/openldap/schema/apoc.schema 一行插入檔案中之模式包含序列的尾端。如需有關延伸 OpenLDAP 伺服器模式的更多資訊,請參閱伺服器的使用手冊。
只要延伸 OpenLDAP 伺服器模式,便可使用 Desktop Manager 所提供的「增加配置儲存庫」精靈完成其餘配置。
備註 –
Desktop Manager Agent 將透過提供要從其獲得資料之使用者的 DN,但不提供密碼,匿名嘗試並連線至 OpenLDAP 伺服器。某些 OpenLDAP 伺服器的發行版本預設會停用此匿名認證模式,因此必須在 slapd.conf 檔案 (位於 OpenLDAP 配置目錄 /etc/openldap) 中所定義的一般伺服器參數中,增加 allow bind_anon_cred 一行,以啟動匿名認證模式。如需有關該參數的更多資訊,請參閱該伺服器的使用手冊。
將 Active Directory 伺服器與 Desktop Manager 一起使用
若要使用 Active Directory 伺服器做為 Desktop Manager 資料的儲存庫,則必須延伸伺服器模式,以便具有儲存配置資訊所用的物件類別與屬性。您可以在 /usr/share/webconsole/apoc/deploy 目錄中找到名為 apoc-ad.ldf 的延伸檔案。
必須將 apoc-ad.ldf 檔案匯入到 Active Directory 模式中,請使用以下步驟:
-
啟用模式延伸。請參閱 Active Directory 說明文件,以取得有關如何執行該作業的更多資訊。
-
從指令提示符號處執行以下指令:ldifde -i -c "DC=Sun,DC=COM" <BaseDN> -f apoc-ad-registry.ldf 。
備註 –請使用 Active Directory 基底 DN 替代 <BaseDN>。
只要延伸 Active Directory 伺服器模式,便可使用 Desktop Manager 所提供的「增加配置儲存庫」精靈完成其餘配置。
當「增加配置儲存庫」精靈提示您出示 LDAP 憑證時,請提供有權讀取此樹狀結構之使用者的完整網域名稱及密碼。此使用者可以是無法將 Active Directory 用於其他目的的使用者。請參閱 Active Directory 說明文件,以取得有關如何設定此類使用者的更多資訊。此外,Active Directory 的網域名稱對執行 Desktop Manager 的機器必須是已知的。方法是在該機器的 /etc/hosts 檔案中增加一行,將 Active Directory 伺服器的 IP 位址對映到其網域名稱。
若要從桌面主機擷取配置資料,則該主機亦須知道 Active Directory 的網域名稱。下列兩種方法可用於認證桌面使用者:匿名認證與使用 GSSAPI 認證。
-
若要使用匿名連線認證,則必須將 Active Directory 伺服器配置為授與每個人讀取權限。請參閱 Active Directory 說明文件,以取得有關如何執行該作業的更多資訊。
-
若要使用 GSSAPI 進行認證,使用者必須通過 Active Directory 的認證,而其使用者憑證亦須能夠在系統上使用。只要在系統上配置 Kerberos 認證即可達成此目的,因為 Kerberos 認證會在登入時產生這些憑證。如需有關如何執行此作業的更多資訊,請參閱所用系統的管理指南。
- © 2010, Oracle Corporation and/or its affiliates