本章介绍专用于 Solaris 操作系统和 Linux 操作系统的信息。
要从 Configuration Manager 中访问配置数据,需要在桌面客户端安装 JavaTM Desktop System Configuration Agent。Configuration Agent 可以与远程配置数据系统信息库和适配器进行通信,还能将数据集成到特定的配置系统中。当前支持的配置系统为: GConf、Java Preferences、Mozilla Preferences 和 StarSuite Registry。
多个不同的软件包都包含了 Configuration Agent,这些软件包如下表所示:
Solaris 软件包名称 |
Linux RPM 名称 |
描述 |
---|---|---|
SUNWapbas |
apoc-base |
配置共享库 |
SUNWapmsc |
apoc-misc |
Configuration Agent 杂项文件 |
SUNWapoc |
apoc |
Configuration Agent |
SUNWapdc |
apoc-config |
Configuration Agent 向导 |
安装这些软件包时,将安装此 API 需要的所有文件。可以手动安装这些软件包,也可以通过 Java Desktop System 安装来完成。安装完成之后,必须在您的系统上配置并启用 Configuration Agent。
要访问远程配置数据,Configuration Agent 需要某些最基本的引导信息,例如 LDAP 服务器的主机名和端口。这些信息在一组特性文件(例如 policymgr.properties、apocd.properties 和 os.properties)中进行维护。这些文件存储在本地 /etc/apoc 目录中。您可以手动编辑这些特性文件,也可以使用 Configuration Agent 的配置向导来完成。
该配置向导提供了一个图形用户界面,可以引导您完成 Configuration Agent 的必要设置。对于该向导的每个页面,都存在一个相应的帮助屏幕。您可以通过 /usr/bin/apoc-config 脚本以超级用户 (root) 的身份启动该向导。也可以使用“首选项”>“系统工具”>“网络设置”,或者 Nautilus
文件管理器中的“系统设置:”>“网络设置”下的相应桌面菜单条目。
也可以启动该向导而不启动图形界面。例如,通过执行 /usr/bin/apoc-config -nodisplay 在控制台模式下启动该向导。
在括号中指明了关联的特性文件关键字(如果适用)。
服务器标识 (Server):LDAP 服务器的主机名。
服务器端口 (Port):LDAP 服务器的端口号。
后缀 (BaseDn):LDAP 系统信息库的基本 DN。
状态:Configuration Agent 的状态。可以使用该复选框激活或取消激活 Configuration Agent。要使用配置系统信息库,必须激活 Configuration Agent。激活过程自动包括通过 inetd 进行必要注册的操作。
要手动启用或禁用 Configuration Agent,请以超级用户身份登录,并分别键入 /usr/lib/apocd enable 或 /usr/lib/apocd disable 命令。
主机标识符 (HostIdentifier):可以是“HostName”或“IPAddress”。必须将该标识符设置为与用来标识主机的 LDAP 属性的内容相匹配。此属性在映射文件中定义为 Host/UniqueIdAttribute。
Configuration Agent 的验证类型:可以是“匿名”或“简单”。如果选定了“匿名”,那么限定用户名和密码字段将自动禁用。
限定用户名 (AuthDn):具有读取和搜索系统信息库权限的用户的完整 DN。
密码 (Password):已注册 LDAP 用户的密码
如果在目录中启用了匿名访问,则限定用户名和密码设置可为空白。
应用程序的验证类型 (AuthType):可以是“匿名”或“GSSAPI”,这取决于 LDAP 服务器验证用户的方式。
有关详细信息,请参见数据访问/用户验证。
Configuration Agent 使用以下两个端口:
代理端口 (DaemonPort):代理使用该端口与客户端应用程序进行通信(缺省值为 38900)。
管理端口 (DaemonAdminPort):在与代理通信时,代理控制器程序 (apocd) 所用的端口(缺省值为 38901)。
Configuration Agent 使用以下两种间隔定期检查配置数据中的更改:
常规检测间隔 (ChangeDetectionInterval):桌面应用程序(客户端)的配置数据的两个更改检测周期之间的间隔(以分钟为单位)。
指定 -1 将关闭更改检测。
代理设置的间隔 (DaemonChangeDetectionInterval):代理特定的配置设置的两个更改检测周期之间的间隔(以分钟为单位)。
指定 -1 将关闭更改检测。
可以使用常规检测间隔来调整远程配置数据更改至客户端应用程序的传播。为此设置指定的值表示最长经过多少分钟后,远程更改才反映在客户端应用程序中。
值越小,Configuration Agent 和 LDAP 服务器活动就越多。因此,调整此设置的值时应谨慎。例如,在初始部署阶段,可以将该值设置为一分钟,这样就可以轻松地测试远程配置对客户端应用程序的影响。完成测试后,请将此设置还原为初始值。
可以配置以下设置:
数据目录 (DataDir):用于存储运行时数据的目录。缺省值为 /var/opt/apoc。
缓存数据的保存期限 (TimeToLive):非脱机配置数据在本地数据库中的保留时间(以分钟为单位)。
垃圾收集周期 (GarbageCollectionInterval):本地配置数据库中两个垃圾收集周期之间的间隔(以分钟为单位)。
客户端线程的最大数目 (MaxClientThreads):可以同时处理的客户端请求的最大数目。
客户端连接的最大数目 (MaxClientConnections):客户端连接的最大数目。
最大请求大小 (MaxRequestSize):客户端请求的最大大小。
连接超时 (ConnectTimeout):表示 LDAP 服务器响应连接请求时所允许的间隔。缺省值为一秒。
日志级别 (LogLevel):代理日志文件中的详细程度。此日志级别应与 Java 记录程序的级别保持一致。按严重性递减的顺序,这些级别为:
严重
警告
信息
配置
良好
较好
最好
大多数操作设置(数据目录和连接超时除外)也可以通过 LDAP 服务器中存储的相应策略进行集中维护。如果要使用此功能,请不要通过向导更改相应的设置。相反,应使用 Configuration Manager 中的 Configuration Agent 策略来集中指定操作设置。
已通过 Configuration Manager 存储在 LDAP 服务器中的操作设置(“数据目录”和“连接超时”除外)将在代理配置的下一个更改检测周期自动生效(请参见 DaemonChangeDetectionInterval)。
在本地更改的所有其他设置均需要重新装入 Configuration Agent,或者重新启动 Configuration Agent。如果使用配置向导,将自动执行重新装入和重新启动操作。
要手动重新启动 Configuration Agent,请确保任何相关的客户端应用程序均未运行,然后以超级用户身份登录并键入命令 /usr/lib/apoc/apocd restart。
Configuration Agent 将基于桌面用户的登录 ID 从 LDAP 服务器中检索信息。组织映射文件中的 User/UniqueIdAttribute 设置会将登录 ID 映射到 LDAP 服务器中的用户实体。Configuration Agent 还将检索有关主机的信息,例如主机的名称或 IP 地址。此类信息通过组织映射文件中的 Host/UniqueIdAttribute 设置映射到 LDAP 服务器中的主机实体。
有两种方式访问 LDAP 服务器:匿名方式或使用 GSSAPI。对于匿名访问,无需在桌面上执行任何操作。对于 GSSAPI 方式,必须在桌面上获得 Kerberos 凭证。要将 Kerberos 凭证的获得与用户登录集成在一起,必须在 Java Desktop System 主机上安装和配置 pam_krb5 模块。
您可以使用 gdm 将 Kerberos 同用户登录集成在一起,例如使用以下 /etc/pam.d/gdm 文件:
#%PAM-1.0 auth required pam_unix2.so nullok #set_secrpc auth optional pam_krb5.so use_first_pass missing_keytab_ok ccache=SAFE putenv_direct account required pam_unix2.so password required pam_unix2.so #strict=false session required pam_unix2.so # trace or none session required pam_devperm.so session optional pam_console.so |
如果您以这种方式将 Kerberos 同用户登录集成在一起,则您应启用屏幕保护程序的 Kerberos 支持。例如,使用以下 /etc/pam.d/xscreensaver 文件:
auth required pamkrb5.so use_first_pass missing_keytab_ok ccache=SAFE putenv_direct |
GConf 适配器是用于 Solaris 的 SUNWapoc-adapter-gconf 软件包和用于 Linux 的 apoc-adapter-gconf RPM 的一部分。当您从相应的软件包或 RPM 安装适配器时,/etc/gconf/2/path 中的 GConf 数据源路径将被更新,以包括 Configuration Manager 源。适配器提供两种数据源,它们为:
"apoc:readonly:":用来访问策略的非保护设置。在用户设置之后、本地缺省设置之前插入此数据源。
"apoc:readonly:mandatory@":用来访问策略的保护设置。在本地强制设置之后、用户设置之前插入此数据源。
Java Preferences 适配器是用于 Solaris 的 SUNWapcj 软件包和用于 Linux 的 apoc-adapter-java RPM 的一部分。当您从相应的软件包或 RPM 安装适配器时,所需文件将被添加到 Solaris 上的 /opt/SUNWapcj 目录中或 Linux 上的 /opt/apocjava 目录中。
Mozilla 适配器是用于 Solaris 的 SUNWmozapoc-adapter 软件包和用于 Linux 的 mozilla-apoc-integration RPM 的一部分。在从相应的软件包或 RPM 安装该适配器时,所需文件被加入到现有的 Mozilla 安装中,并自动注册。
StarSuite 适配器包含在标准 StarSuite 安装中,并且允许您访问策略配置数据而无需进行任何特殊的修改。