Para usar un servidor LDAP con Configuration Manager, necesita:
Ampliar el esquema de servidor para que admita las clases y atributos de objeto personalizado que utiliza Configuration Manager para almacenar los datos de configuración.
Personalizar y almacenar en el servidor la información de asignación para las entradas en el depósito y las entidades que Configuration Manager admite.
Para usar un servidor LDAP con Configuration Manager es necesario usar las herramientas de implementación siguientes que se encuentran en el CD de instalación:
88apoc-registry.ldif: archivo de esquema que presenta las clases y los atributos de objetos necesarios para el almacenamiento de los datos de la configuración.
OrganizationMapping: archivo de propiedades predeterminadas que describe la asignación entre las entradas LDAP y las entidades de Configuration Manager.
UserProfileMapping: archivo de propiedades predeterminadas que describe la asignación entre atributos de entrada del usuario en LDAP y atributos de perfil del usuario en Configuration Manager.
createServiceTree: secuencia que almacena los archivos de asignación en el depósito de LDAP.
deployApoc: secuencia que amplía el esquema del servidor LDAP y que almacena los archivos de asignación en el depósito LDAP.
Los datos de la configuración se almacenan en árboles de entradas que se adjuntan a las entradas con que se asocian los datos. Para poder almacenar las clases de los objetos y los atributos utilizados por estos árboles en un servidor LDAP, debe añadir los objetos y las clases al esquema del servidor LDAP. Por ejemplo, el archivo de extensión del esquema proporcionado utiliza el formato LDIF para añadir estos objetos y clases a Sun JavaTM System Directory Server. Si desea añadir estos objetos y clases a otros servidores LDAP, necesita utilizar un formato reconocido por los servidores.
Para definir la asignación entre las entradas de LDAP y las entidades de Configuration Manager, debe editarse el archivo Organization. Los valores que coincidan con la distribución del depósito LDAP se deben proporcionar a las diversas claves.
Las entidades del usuario se identifican mediante una clase de objeto que utilizan todas las entidades, así como un atributo cuyo valor debe ser exclusivo en todo el depósito. Se puede proporcionar el formato de presentación de un nombre que afectará a la forma en que los usuarios se muestran en la aplicación de gestión y, opcionalmente, se puede definir una entrada del contenedor si las entradas del usuario de una organización utilizan dicha entrada. Los nombres de las claves y sus valores predeterminados son:
# Clase de objeto que usan todas las entradas del usuario User/ObjectClass=inetorgperson # Atributo cuyo valor en entradas del usuario es exclusivo dentro del depósito User/UniqueIdAttribute=uid # Contenedor opcional en entradas de organización de las entradas del usuario, # eliminar línea si no se utiliza User/Container=ou=People # Formato de nombre de visualización dentro de la aplicación de gestión User/DisplayNameFormat=sn, givenname
Las entidades del rol se identifican mediante una lista de clases de objetos posibles que utilizan, junto con los atributos correspondientes de asignación de nombres. Estas listas usan el formato <elemento1>,<elemento2>,...,<elementoN> y deben estar alineadas. Es decir, las listas deben tener el mismo número de elementos y la clase de objeto nth se debe utilizar con el atributo de asignación de nombres nth. Dos claves definen la relación entre los roles y los usuarios, así como entre aquéllos y los sistemas. La clave VirtualMemberAttribute debe especificar un atributo cuyos valores se puedan consultar a partir de un usuario o entrada del sistema; también debe contener todos los DN de los roles a los que pertenece la entrada. La clave MemberAttribute debe especificar un atributo para el filtro de búsqueda a partir de un usuario o entrada del sistema; también contiene todos los DN de los roles a los que pertenece el usuario o el sistema. La clave VirtualMemberAttribute puede ser un atributo virtual Clase de servicio, mientras que la clave MemberAttribute debe tener un atributo físico que se pueda utilizar en un filtro. Los nombres de las claves y sus valores predeterminados son:
# Lista de clases de objeto para roles Role/ObjectClass=nsRoleDefinition # Lista alineada de atributos de nombre correspondientes Role/NamingAttribute=cn # Atributo físico (usable en filtro) que contiene los DN # de los roles de un usuario/sistema Role/MemberAttribute=nsRoleDN # Atributo cuya consulta en un usuario o sistema devuelve los DN de # los roles a los que pertenece Role/VirtualMemberAttribute=nsRole
Las entidades de la organización se identifican de forma similar a los roles, con dos listas alineadas de clases de objetos y atributos correspondientes de asignación de nombres. Los nombres de las claves y sus valores predeterminados son:
# Lista de clases de objeto para organizaciones Organization/ObjectClass=organization # Lista alineada de atributos de nombre correspondientes Organization/NamingAttribute=o
Las entidades de dominio se identifican de manera similar a la entidad de la organización. Los nombres de las claves y sus valores predeterminados son:
# Lista de clases de objeto para dominios Domain/ObjectClass=ipNetwork # Lista alineada de atributos de nombre correspondientes Domain/NamingAttribute=cn
Las entidades de los sistemas se identifican de manera similar a las entidades del usuario. Los nombres de las claves y sus valores predeterminados son:
# Clase de objeto que usan todas las entradas de sistema Host/ObjectClass=ipHost # Atributo cuyo valor en las entradas de sistema es exclusivo dentro del depósito Host/UniqueIdAttribute=cn # Contenedor opcional en entradas de dominio de las entradas de sistema, # eliminar línea si no se utiliza Host/Container=ou=Hosts
Para definir la asignación entre los atributos de las entradas del usuario de LDAP y los atributos de las entidades del usuario de Configuration Manager debe editarse el archivo User Profile. Cada clave corresponde a un atributo del usuario de Configuration Manager. Se puede asignar una clave como valor al nombre de un atributo en una entrada del usuario, como la identifica la asignación de la organización. Los atributos que se utilizan en la configuración de User/DisplayNameFormat se deben proporcionar en la asignación del Perfil del usuario. Los nombres de las claves y sus valores predeterminados son:
# inetOrgPerson.givenName org.openoffice.UserProfile/Data/givenname = givenname # person.sn org.openoffice.UserProfile/Data/sn = sn # inetOrgPerson.initials org.openoffice.UserProfile/Data/initials = initials # organizationalPerson.street org.openoffice.UserProfile/Data/street = street,postalAddress,streetAddress # organizationalPerson.l (city) org.openoffice.UserProfile/Data/l = l # organizationalPerson.st (state) org.openoffice.UserProfile/Data/st = st # organizationalPerson.postalCode org.openoffice.UserProfile/Data/postalcode = postalcode # country.c (country) org.openoffice.UserProfile/Data/c = # organizationalPerson.o (company) org.openoffice.UserProfile/Data/o = o,organizationName # deprecated -- no LDAP corollary org.openoffice.UserProfile/Data/position = # organizationalPerson.title org.openoffice.UserProfile/Data/title = title # inetOrgPerson.homePhone org.openoffice.UserProfile/Data/homephone = homephone # organizationalPerson.telephoneNumber org.openoffice.UserProfile/Data/telephonenumber = telephonenumber # organizationalPerson.facsimileTelephoneNumber org.openoffice.UserProfile/Data/facsimiletelephonenumber = facsimiletelephonenumber,officeFax # inetOrgPerson.mail org.openoffice.UserProfile/Data/mail = mail
Después de haber personalizado los archivos de asignación para reflejar el estado del depósito LDAP, se pueden desarrollar. Si el esquema del servidor LDAP ya contiene las clases de objetos y los atributos solicitados, la secuencia de órdenes createServiceTree se puede ejecutar directamente; de lo contrario se debe ejecutar la secuencia deployApoc.
La secuencia deployApoc está pensada para utilizarla con Sun JavaTM System Directory Servers. Copia el archivo de ampliación del esquema proporcionado en el directorio adecuado y pasa al servidor LDAP; después se debe invocar la secuencia createServiceTree. Se debe ejecutar como usuario con los permisos para copiar archivos en el depósito del esquema, reiniciar el servidor e invocarlo mediante:
./deployApoc <Directorio de Directory Server>
El parámetro <Directorio de Directory Server> debe ser la ruta de acceso al subdirectorio slapd-<nombre_servidor> de una instalación de Servidor de directorios. Suponiendo que la instalación utilice los directorios predeterminados y que el servidor se denomine miservidor.midominio, ese directorio sería /var/Sun/mps/slapd-miservidor.midominio.
La secuencia createServiceTree (invocada directamente o desde la secuencia deployApoc) pedirá al usuario la ubicación del servidor LDAP (nombre de sistema, número de puerto y DN base) y la definición de un usuario con derechos de administración (DN completo y contraseña). La secuencia crea, después, un árbol de servicio de la rutina de carga en el servidor LDAP y almacena los archivos de asignación en él. Se puede ejecutar como cualquier usuario y se invoca mediante:
./createServiceTree
Después, al usuario se le solicita:
Nombre del sistema (predeterminado: localhost): nombre del sistema del servidor LDAP
Número de puerto (predeterminado: 389): número del puerto del servidor LDAP
DN base: DN básico del depósito LDAP
DN de usuario (predeterminado: cn=Directory Manager): DN completo de un usuario con suficientes permisos para crear nuevas entradas bajo el DN básico
Contraseña: contraseña de ese usuario
Una entrada cuyo DN es:
ou=ApocRegistry,ou=default,ou=OrganizationConfig,ou=1.0,ou=ApocService,ou=services, <baseDN>
se crea y se llena con el contenido de los dos archivos de asignación.
Como se ha mencionado anteriormente, las operaciones llevadas a cabo por la secuencia deployApoc presuponen un servidor LDAP cuyos directorios de instalación, distribución y extensión de esquema coincidan en gran medida con el de Sun Java System Directory Server. Otros directorios necesitan una ampliación manual del esquema antes de poder ejecutar la secuencia createServiceTree. Para más información sobre el uso de OpenLDAP y ActiveDirectory, consulte el Apéndice C, Utilización de OpenLDAP y Active Directory con Configuration Manager.
El árbol creado, que coincide con el que contendrá los datos de configuración asociados a las entidades, está alineado con la estructura de los árboles que se usan para la gestión de servicios en Sun Java System Identity Server.