在 Configuration Manager 中使用 Active Directory 服务器

要将 Active Directory 服务器用作 Configuration Manager 数据的系统信息库，必须扩展服务器模式，以支持用来存储配置数据的对象类和属性。可以在 Management Tools CD 中提供的 Configuration Manager 部署工具的 ad 子目录中找到名为 apoc-ad.ldf 的模式扩展文件。有关详细信息，请参阅部署工具部分。

必须通过以下步骤将 apoc-ad.ldf 文件导入 Active Directory 模式：

1. 启用模式扩展。有关如何执行该操作的详细信息，请参阅 Active Directory 文档。

2. 在命令提示符下执行以下命令：ldifde -i -c "DC=Sun,DC=COM" <BaseDN> -f apoc-ad-registry.ldf。

   ---

   注意 –

   将 <BaseDN> 替换为 Active Directory 的基本 DN。

   ---

如果要使 Active Directory 服务器可用来存储配置数据，则必须使用部署工具。因为在安装过程的前一步骤中已经扩展了此模式，所以只需运行 createServiceTree 脚本。必须从部署工具目录启动该脚本，启动时可以以任何用户身份输入以下命令：./createServiceTree。该脚本提示用户输入有关 Active Directory 数据库的信息。部署工具目录的 ad 子目录中提供了一个缺省的映射文件，该映射文件使用 Active Directory 支持的典型对象类和属性。此文件名为 OrganisationalMapping，可以在启动 createServiceTree 之前，通过将其复制到主部署工具目录中以覆盖该目录中的同名文件来对其进行部署。

部署之后，即可在 Configuration Manager 中使用 Active Directory 服务器了。安装 Configuration Manager 时，请提供对该树具有读取权限的用户的完整 DN 和密码。此用户不能将 Active Directory 用作任何其他目的。有关如何设置此类用户的详细信息，请参阅 Active Directory 文档。此外，Active Directory 的域名对于运行 Configuration Manager 的计算机来说必须是已知的。要实现此目的，可以在该计算机的 /etc/hosts 文件中添加一行内容，将 Active Directory 服务器的 IP 地址映射到其域名。

要从 Java Desktop System 主机检索配置数据，Active Directory 的域名对于该主机来说也必须是已知的。可以通过两种方法验证 Java Desktop System 用户：匿名验证和使用 GSSAPI 进行验证。

• 如果要使用匿名连接进行验证，则必须配置 Active Directory 服务器以将读取权限授予每个用户。有关如何执行该操作的详细信息，请参阅 Active Directory 文档。

• 如果要使用 GSSAPI 进行验证，则必须修改指定 Kerberos 参数的 /etc/krb5.conf 文件，以定义 Active Directory 区域并指向 Active Directory 服务器作为其密钥分发中心 (KDC)。还必须指定 Active Directory 支持的、作为缺省加密类型的 DES 类型，即 des-cbc-crc 和 des-cbc-md5 类型。有关如何执行该操作的详细信息，请参阅 Kerberos 文档。访问配置数据之前，必须获取登录 Java Desktop System 的用户的有效凭证。这可以通过运行 kinit 命令并提供 Active Directory 中定义的用户密码来手动实现。登录时，其他类型可以自动生成这些凭证。有关详细信息，请参阅 Java Desktop System 文档。