Wenn Sie einen OpenLDAP-Server als Datensammlung für die Configuration Manager-Daten einsetzen möchten, muss das Schema des Servers auf die Objektklassen und Attribute ausgeweitet werden, die zum Speichern von Konfigurationsdaten verwendet werden. Das Unterverzeichnis openldap des Bereitstellungstools von Configuration Manager, das Sie auf der Java Desktop System Management Tools-CD finden, enthält die Datei apoc.schema für benutzerdefinierte Schemata.
Diese Datei muss in das Unterverzeichnis schema des OpenLDAP-Konfigurationsverzeichnisses (/etc/openldap) kopiert und in das OpenLDAP-Schema importiert werden. Hierzu fügen Sie an das Ende der Schema-Include-Sequenz in der Datei slapd.conf, die sich in demselben Verzeichnis befindet, die Zeile include /etc/openldap/schema/apoc.schema ein. Weitere Informationen zur Erweiterung des Schemas eines OpenLDAP-Servers entnehmen Sie bitte der Dokumentation des jeweiligen Servers.
Die OpenLDAP-Datenbank muss mit dem Bereitstellungstool von Configuration Manager auf die Speicherung von Konfigurationsdaten vorbereitet werden. Nachdem im vorigen Installationsschritt das Schema bereits erweitert wurde, bleibt nur noch das Skript createServiceTree auszuführen. Das Skript muss aus dem Verzeichnis des Bereitstellungstools mit den Rechten eines beliebigen Benutzers und dem folgenden Befehl gestartet werden: ./createServiceTree. Wie bereits im Abschnitt über das Bereitstellungstool in diesem Dokument dargestellt, fordert das Skript den Benutzer zur Eingabe von Informationen über die OpenLDAP-Datenbank auf. Das Unterverzeichnis openldap des Bereitstellungstools enthält eine Standard-Zuordnungsdatei mit typischen OpenLDAP-Objektklassen und -Attributen. Diese Datei heißt OrganisationalMapping. Sie können Sie bereitstellen, indem Sie sie vor dem Start von createServiceTree über die gleichnamige Datei im Verzeichnis des Hauptbereitstellungstools kopieren.
Configuration Manager Agent versucht, eine anonyme Verbindung zum OpenLDAP-Server herzustellen und gibt dazu zwar den DN des Benutzers, für den Daten angefordert werden, aber kein Passwort an. Eine derartige anonyme Authentifizierung kann bei einigen Versionen von OpenLDAP-Servern unter Umständen standardmäßig deaktiviert sein. In diesem Fall muss die Zeile allow bind_anon_cred in die gemeinsamen Serverparameter eingefügt werden, die in der Datei slapd.conf im OpenLDAP-Konfigurationsverzeichnis (/etc/openldap) definiert sind. Weitere Informationen zu diesem Parameter entnehmen Sie bitte der Dokumentation des jeweiligen Servers.
Wenn Sie einen Active Directory-Server als Datensammlung für die Configuration Manager-Daten einsetzen möchten, muss das Schema des Servers auf die Objektklassen und Attribute ausgeweitet werden, die zum Speichern von Konfigurationsdaten verwendet werden. Das Unterverzeichnis ad des Configuration Manager-Bereitstellungstools auf der Management Tools-CD enthält eine Schema-Erweiterungsdatei namens apoc-ad.ldf. Weitere Informationen entnehmen Sie bitte dem Abschnitt über das Bereitstellungstool.
Die Datei apoc-ad.ldf muss wie folgt in das Active Directory-Schema importiert werden:
Aktivieren Sie die Schema-Erweiterungen. Aktivieren Sie die Schema-Erweiterung. Siehe hierzu die Active Directory-Dokumentation.
Geben Sie Folgendes in die Befehlszeile ein: ldifde -i -c "DC=Sun,DC=COM" <Basis-DN> -f apoc-ad-registry.ldf.
Ersetzen Sie dabei <Basis-DN> durch den Basis-DN für Active Directory.
Der Active Directory-Server muss mit dem Bereitstellungstool auf die Speicherung von Konfigurationsdaten vorbereitet werden. Nachdem im vorigen Installationsschritt das Schema bereits erweitert wurde, bleibt nur noch das Skript createServiceTree auszuführen. Das Skript muss aus dem Verzeichnis des Bereitstellungstools mit den Rechten eines beliebigen Benutzers und dem folgenden Befehl gestartet werden: ./createServiceTree. Es fordert den Benutzer zur Eingabe von Informationen über die Active Directory-Datenbank auf. Das Unterverzeichnis ad des Bereitstellungstools enthält eine Standard-Zuordnungsdatei mit typischen Active Directory-Objektklassen und -Attributen. Diese Datei heißt OrganisationalMapping. Um sie bereitzustellen, kopieren Sie die Datei vor dem Aufrufen von createServiceTree über die gleichnamige Datei im Hauptverzeichnis des Bereitstellungstools.
Damit ist die Vorbereitung des Active Directory-Servers für die Verwendung mit Configuration Manager abgeschlossen. Geben Sie bei der Installation von Configuration Manager den vollständigen DN und das Passwort eines Benutzers mit Leseberechtigung für den Baum an. Dabei kann es sich um einen Benutzer ohne weitere Berechtigungen für Active Directory handeln. Genaueres zur Einrichtung eines solchen Benutzers entnehmen Sie bitte der Active Directory-Dokumentation. Außerdem müssen Sie dem System, auf dem Configuration Manager ausgeführt wird, den Domänennamen von Active Directory mitteilen. Hierzu können Sie in die Datei /etc/hosts dieses Systems eine Zeile mit der Zuordnung zwischen der IP-Adresse des Active Directory-Servers und dessen Domänennamen einfügen.
Zum Abrufen der Konfigurationsdaten von einem Java Desktop System-Host muss der Domänenname von Active Directory auch diesem Host mitgeteilt werden. Die Authentifizierung von Java Desktop System-Benutzern kann entweder anonym oder per GSSAPI erfolgen.
Für die Authentifizierung über anonyme Verbindungen muss der Active Directory-Server so konfiguriert sein, dass alle Benutzer leseberechtigt sind. Näheres hierzu entnehmen Sie bitte der Active Directory-Dokumentation.
Für die Authentifizierung per GSSAPI müssen Sie die Datei /etc/krb5.conf, in der die Kerberos-Parameter angegeben sind, bearbeiten. Sie muss den Active Directory-Bereich definieren und auf den Active Directory-Server als KDC (Key Distribution Center) verweisen. Auch müssen die von Active Directory unterstützten DES-Typen, nämlich des-cbc-crc
und des-cbc-md5
, als Standardverschlüsselungstypen in der Datei angegeben werden. Genaue Anweisungen hierzu finden Sie in der Kerberos-Dokumentation. Vor dem Zugriff auf die Konfigurationsdaten müssen gültige Berechtigungsnachweise für den bei Java Desktop System angemeldeten Benutzer vorgelegt werden. Dies kann manuell durch Ausführung des Befehls kinit und Eingabe des in Active Directory definierten Benutzerpassworts manuell vorgenommen werden. Andere Schemata generieren diese Berechtigungsnachweise bei der Anmeldung möglicherweise automatisch. Weitere Informationen entnehmen Sie bitte der Dokumentation zu Java Desktop System.