附录 C 在 Configuration Manager 中使用 OpenLDAP 和 Active Directory

在 Configuration Manager 中使用 OpenLDAP 服务器

要将 OpenLDAP 服务器用作 Configuration Manager 数据的系统信息库，必须扩展服务器模式，以支持用来存储配置数据的对象类和属性。可以在 Java Desktop System Management Tools CD 中提供的 Configuration Manager 部署工具的 openldap 子目录中找到名为 apoc.schema 的自定义模式文件。

必须将此文件复制到 OpenLDAP 配置目录 (/etc/openldap) 的 schema 子目录中，并通过在 OpenLDAP 配置目录中的 slapd.conf 文件中包括此自定义模式文件来将其添加到 OpenLDAP 模式中。此操作可以通过在包含该文件所显示内容的模式序列的后面插入 include /etc/openldap/schema/apoc.schema 这样一行来完成。有关扩展 OpenLDAP 服务器模式的详细信息，请参阅该服务器的手册。

如果要使 OpenLDAP 数据库可用来存储配置数据，则必须使用 Configuration Manager 附带的部署工具。因为在安装过程的前一步骤中已经扩展了此模式，所以只需运行 createServiceTree 脚本。必须从部署工具目录启动该脚本，启动时可以以任何用户身份输入以下命令：./createServiceTree。此脚本提示用户输入在本文档中的部署工具部分所指定的 OpenLDAP 数据库的有关信息。部署工具的 openldap 子目录中提供了一个缺省的映射文件，该映射文件使用 OpenLDAP 支持的典型对象类和属性。该文件的名称为 OrganisationalMapping，且可以通过以下方法部署该文件：在启动 createServiceTree 之前复制该文件，使其覆盖主部署工具目录中具有相同名称的文件。

Configuration Manager Agent 将通过提供所需数据的用户的 DN（但不提供密码），尝试匿名连接 OpenLDAP 服务器。在某些版本的 OpenLDAP 服务器中，这种匿名验证模式缺省情况下可能已被禁用，在这种情况下，必须通过在通用服务器参数中添加 allow bind_anon_cred 这样一行来启用此模式，通用服务器参数在 OpenLDAP 配置目录 (/etc/openldap) 中的 slapd.conf 文件中定义。有关该参数的详细信息，请参阅该服务器的手册。

在 Configuration Manager 中使用 Active Directory 服务器

要将 Active Directory 服务器用作 Configuration Manager 数据的系统信息库，必须扩展服务器模式，以支持用来存储配置数据的对象类和属性。可以在 Management Tools CD 中提供的 Configuration Manager 部署工具的 ad 子目录中找到名为 apoc-ad.ldf 的模式扩展文件。有关详细信息，请参阅部署工具部分。

必须通过以下步骤将 apoc-ad.ldf 文件导入 Active Directory 模式：

1. 启用模式扩展。有关如何执行该操作的详细信息，请参阅 Active Directory 文档。

2. 在命令提示符下执行以下命令：ldifde -i -c "DC=Sun,DC=COM" <BaseDN> -f apoc-ad-registry.ldf。

   ---

   注意 –

   将 <BaseDN> 替换为 Active Directory 的基本 DN。

   ---

如果要使 Active Directory 服务器可用来存储配置数据，则必须使用部署工具。因为在安装过程的前一步骤中已经扩展了此模式，所以只需运行 createServiceTree 脚本。必须从部署工具目录启动该脚本，启动时可以以任何用户身份输入以下命令：./createServiceTree。该脚本提示用户输入有关 Active Directory 数据库的信息。部署工具目录的 ad 子目录中提供了一个缺省的映射文件，该映射文件使用 Active Directory 支持的典型对象类和属性。此文件名为 OrganisationalMapping，可以在启动 createServiceTree 之前，通过将其复制到主部署工具目录中以覆盖该目录中的同名文件来对其进行部署。

部署之后，即可在 Configuration Manager 中使用 Active Directory 服务器了。安装 Configuration Manager 时，请提供对该树具有读取权限的用户的完整 DN 和密码。此用户不能将 Active Directory 用作任何其他目的。有关如何设置此类用户的详细信息，请参阅 Active Directory 文档。此外，Active Directory 的域名对于运行 Configuration Manager 的计算机来说必须是已知的。要实现此目的，可以在该计算机的 /etc/hosts 文件中添加一行内容，将 Active Directory 服务器的 IP 地址映射到其域名。

要从 Java Desktop System 主机检索配置数据，Active Directory 的域名对于该主机来说也必须是已知的。可以通过两种方法验证 Java Desktop System 用户：匿名验证和使用 GSSAPI 进行验证。

• 如果要使用匿名连接进行验证，则必须配置 Active Directory 服务器以将读取权限授予每个用户。有关如何执行该操作的详细信息，请参阅 Active Directory 文档。

• 如果要使用 GSSAPI 进行验证，则必须修改指定 Kerberos 参数的 /etc/krb5.conf 文件，以定义 Active Directory 区域并指向 Active Directory 服务器作为其密钥分发中心 (KDC)。还必须指定 Active Directory 支持的、作为缺省加密类型的 DES 类型，即 des-cbc-crc 和 des-cbc-md5 类型。有关如何执行该操作的详细信息，请参阅 Kerberos 文档。访问配置数据之前，必须获取登录 Java Desktop System 的用户的有效凭证。这可以通过运行 kinit 命令并提供 Active Directory 中定义的用户密码来手动实现。登录时，其他类型可以自动生成这些凭证。有关详细信息，请参阅 Java Desktop System 文档。