第 5 章 在 Linux 和 SolarisTM 上安裝桌面元件
本章提供了有關 Solaris 和 Linux 作業系統的特定資訊。
若要從 Configuration Manager 中存取配置資料,桌面用戶端需要 JavaTM Desktop System Configuration Agent。Configuration Agent 可與遠端配置資料儲存庫和配接卡進行通訊,也可將資料整合於特定的配置系統中。目前支援的配置系統為 GConf、Java Preferences、Mozilla Preferences 和 StarSuite Registry。
Configuration Agent
Configuration Agent 是下表所列出的其他一些套裝軟體的一部分。
|
Solaris 套裝軟體名稱 |
Linux RPM 名稱 |
說明 |
|---|---|---|
|
SUNWapbas |
apoc-base |
配置共用程式庫 |
|
SUNWapmsc |
apoc-misc |
Configuration Agent 其他檔案 |
|
SUNWapoc |
apoc |
Configuration Agent |
|
SUNWapdc |
apoc-config |
Configuration Agent 精靈 |
安裝這些套裝軟體時,該 API 所需的檔案都會安裝。您可以手動安裝這些套裝軟體或經由 Java Desktop System 進行安裝。安裝後,您必須在系統中配置並啟用 Configuration Agent。
若要存取遠端配置資料,Configuration Agent 需要最基本的啟動程式資訊,例如 LDAP 伺服器的主機名稱和連接埠。本資訊維護在一組特性檔案中,例如 policymgr.properties、apocd.properties 和 os.properties。這些檔案以本機方式儲存在 /etc/apoc 目錄中。您可以手動編輯這些特性檔案,或者使用 Configuration Agent 的配置精靈。
配置精靈提供一個圖形化使用者介面,可指導您瞭解 Configuration Agent 的必要設定。精靈的每一個頁面都會有相應的說明螢幕。您可以使用 /usr/bin/apoc-config 程序檔,以超級使用者身份 (root) 啟動精靈。在 [喜好設定]/[系統工具]/[網路設定] 下,或 Nautilus 檔案管理員中的 [系統設定]:///[網路設定] 下,也有相應的桌面功能表項目。
注意 –
也可以不啟動圖形介面而啟動該精靈。例如,在主控台模式下執行 /usr/bin/apoc-config -nodisplay 以啟動精靈。
啟動程式資訊
圖 5–1 Configuration Agent,配置儲存庫
注意 –
在適當的位置,關聯的特性檔案關鍵字在圓括號中進行指示。
-
[伺服器識別碼] (Server):LDAP 伺服器的主機名稱。
-
[伺服器連接埠] (Port):LDAP 伺服器的連接埠號。
-
[尾碼] (基底 DN):LDAP 儲存庫的基底 DN。
-
[狀態]:Configuration Agent 的狀態。該核取方塊可用於啟動或關閉 Configuration Agent。若要使用配置儲存庫,Configuration Agent 必須處於使用中。自動啟動包括使用 inetd 進行必要的註冊。
注意 –若要手動啟用或停用 Configuration Agent,請以超級使用者身份登入,並分別鍵入指令 /usr/lib/apocd enable 或 /usr/lib/apocd disable。
圖 5–2 Configuration Agent,驗證機制
-
[主機識別碼] (HostIdentifier):可為「主機名稱」或「IP 位址」。該識別碼必須設定為與用於識別主機之 LDAP 屬性的內容相符。此屬性在對映檔案中定義為 Host/UniqueIdAttribute。
-
Configuration Agent 的 [驗證類型]:可為「匿名」或「簡單」。如果選取「匿名」,[合格的使用者名稱] 和 [密碼] 欄位會被自動停用。
-
[合格的使用者名稱] (AuthDn):具有對儲存庫的讀取和搜尋存取權之使用者的完整 DN。
-
密碼 (Password)﹕已註冊 LDAP 使用者的密碼
注意 –如果已在目錄中啟用匿名存取,則合格的使用者名稱和密碼設定可以為空。
-
應用程式的 [驗證類型] (AuthType):依據 LDAP 伺服器驗證使用者的方法,可為「匿名」或「GSSAPI」。
注意 –如需更多資訊,請參閱資料存取/使用者認證。
連接埠設定
Configuration Agent 使用兩個連接埠:
-
[代理程式連接埠] (DaemonPort):由代理程式用來與用戶端應用程式進行通訊 (預設為 38900)。
-
[管理連接埠] (DaemonAdminPort):由代理程式控制器程式 apocd 在與代理程式通訊時使用 (預設值為 38901)。
圖 5–3 Configuration Agent,連接埠設定
變更偵測間隔
Configuration Agent 使用以下兩種間隔定期檢查配置資料中的所有變更:
-
[一般偵測間隔] (ChangeDetectionInterval):桌面應用程式的 (用戶端的) 配置資料之變更偵測循環的間隔 (以分鐘為單位)。
注意 –指定 -1 會關閉變更偵測。
-
[代理程式設定的間隔] (DaemonChangeDetectionInterval):代理程式特定配置設定之變更偵測循環的間隔 (以分鐘為單位)。
注意 –指定 -1 會關閉變更偵測。
您可以使用一般偵測間隔來調準遠端配置資料變更至用戶端應用程式的傳遞。為該設定提供的值,是遠端所做變更在用戶端應用程式中反映出來之前所需的最大時間長度 (以分鐘為單位)。
較小的值將會導致 Configuration Agent 和 LDAP 伺服器活動的增加。因此,調整設定值時應該謹慎。例如,在初始部署階段中,您可以將值設定為一分鐘,以便可以輕鬆地測試遠端配置對用戶端應用程式的影響。完成測試之後,請將此設定恢復為初始值。
操作設定
圖 5–4 Configuration Agent,資料目錄
可以配置以下設定:
-
[資料目錄] (DataDir):用於儲存運行時間資料的目錄。預設為 /var/opt/apoc。
-
[快取的資料儲存生命] (TimeToLive):非離線配置資料在本機資料庫中保留的間隔 (以分鐘為單位)。
圖 5–5 Configuration Agent,請求處理和記錄
-
[資源回收循環] (GarbageCollectionInterval):本機配置資料庫中資源回收循環的間隔 (以分鐘為單位)。
-
[最大用戶端執行緒數] (MaxClientThreads):可同時處理的用戶端請求的最大數目。
-
[最大用戶端連線數] (MaxClientConnections):用戶端連線的最大數目。
-
[最大請求大小] (MaxRequestSize):用戶端要求的最大大小。
-
[連線逾時] (ConnectTimeout):表示 LDAP 伺服器回覆連線請求所允許的間隔。預設值為 1 秒。
-
[日誌層級] (LogLevel):代理程式日誌檔中詳細資訊的級別。日誌層級與 Java 記錄程式層級一致。這些層級依嚴重性遞減的次序為:
-
[嚴重]
-
[警告]
-
[資訊]
-
[配置]
-
[詳細]
-
[較詳細]
-
[最詳細]
-
注意 –
大多數操作設定,除 [資料目錄] 和 [連線逾時] 設定之外,也可以透過儲存於 LDAP 伺服器中的相應策略進行集中維護。如果您要使用此項功能,請勿透過精靈調整相應的設定。而是使用 Configuration Manager 中的 Configuration Agent 策略來集中指定操作設定。
套用代理程式設定
除「資料目錄」和「連線逾時」之外,透過 Configuration Manager 儲存於 LDAP 伺服器上的操作設定將會在代理程式配置的下一次變更偵測循環開始時自動生效 (請參閱 DaemonChangeDetectionInterval)。
圖 5–6 Configuration Agent,摘要頁面
本機變更的所有其他設定均需要重新載入或重新啟動 Configuration Agent。如果您使用配置精靈,重新載入或重新啟動則會自動執行。
注意 –
若要手動重新啟動 Configuration Agent,請確定未執行相關用戶端應用程式,以超級使用者身份登入,然後鍵入指令 /usr/lib/apoc/apocd restart。
資料存取/使用者認證
Configuration Agent 根據桌面使用者的登入 ID 從 LDAP 伺服器中擷取資訊。組織對映檔案的 User/UniqueIdAttribute 設定將登入 ID 對映至 LDAP 伺服器中的使用者實體。Configuration Agent 還擷取有關主機的資訊,例如主機的名稱或 IP 位址。此資訊經由組織對映檔案的 Host/UniqueIdAttribute 設定對映至 LDAP 伺服器中的主機實體。
存取 LDAP 伺服器有兩種方法,即匿名存取或使用 GSSAPI 存取。對於匿名存取,不需要在桌面上執行動作。對於 GSSAPI 方法,則必須在桌面上獲取 Kerberos 憑證。若要整合獲取的 Kerberos 憑證和使用者登入,則必須在 Java Desktop System 主機上安裝和配置 pam_krb5 模組。
您可以使用 gdm 來整合 Kerberos 和使用者登入,例如,透過使用下列 /etc/pam.d/gdm 檔案:
#%PAM-1.0 auth required pam_unix2.so nullok #set_secrpc auth optional pam_krb5.so use_first_pass missing_keytab_ok ccache=SAFE putenv_direct account required pam_unix2.so password required pam_unix2.so #strict=false session required pam_unix2.so # trace or none session required pam_devperm.so session optional pam_console.so |
如果您按照此方法整合 Kerberos 和使用者登入,則應啟用螢幕保護程式的 Kerberos 支援。例如,透過使用下列 /etc/pam.d/xscreensaver 檔案:
auth required pamkrb5.so use_first_pass missing_keytab_ok ccache=SAFE putenv_direct |
GConf 配接卡
GConf 配接卡是 SUNWapoc-adapter-gconf 套裝軟體 (適用於 Solaris) 和 apoc-adapter-gconf RPM (適用於 Linux) 的一部分。從相應的套裝軟體或 RPM 安裝配接卡時,/etc/gconf/2/path 中的 GConf 資料源路徑會更新,以包含 Configuration Manager 資源。配接卡提供的兩種資料來源包括:
-
「apoc:readonly:」:提供對策略中不受保護設定的存取權限。請在使用者設定與本機預設值之間插入此資料來源。
-
「apoc:readonly:mandatory@」:提供對策略中受保護設定的存取權限。請在本機強制設定與使用者設定之間插入此資料來源。
Java Preferences 配接卡
Java Preferences 配接卡是 SUNWapcj 套裝軟體 (適用於 Solaris) 和 apoc-adapter-java RPM (適用於 Linux) 的一部分。從相應的套裝軟體或 RPM 安裝配接卡時,所需檔案會被加入 /opt/SUNWapcj 目錄 (位於 Solaris 上) 或 /opt/apocjava (位於 Linux 上)。
Mozilla 配接卡
Mozilla 配接卡是 SUNWmozapoc-adapter 套裝軟體 (適用於 Solaris) 和 mozilla-apoc-integration RPM (適用於 Linux) 的一部分。從相應的套裝軟體或 RPM 安裝配接卡時,所需檔案會被加入 Mozilla 的現有安裝中,並會被自動註冊。
StarSuite 配接卡
StarSuite 配接卡包含在標準的 StarSuite 安裝中,可讓您存取策略配置資料,而不需要任何特殊修改。
- © 2010, Oracle Corporation and/or its affiliates