若要使用 Active Directory 伺服器做為 Configuration Manager 資料的儲存庫,則必須延伸伺服器模式,以便具有儲存配置資訊所用的物件類別與屬性。在 Management Tools CD 提供之 Configuration Manager 部署工具的 ad 子目錄中,包含名為 apoc-ad.ldf 的模式延伸檔案。請參閱部署工具一節,以取得更多資訊。
必須將 apoc-ad.ldf 檔案匯入到 Active Directory 模式中,請使用以下步驟:
啟用模式延伸。請參閱 Active Directory 文件,以取得有關如何執行該作業的更多資訊。
從指令提示符號處執行以下指令:ldifde -i -c "DC=Sun,DC=COM" <BaseDN> -f apoc-ad-registry.ldf。
請使用 Active Directory 基底 DN 替代 <BaseDN>。
為準備 Active Directory 伺服器以儲存配置資料,必須使用部署工具。由於已在先前的安裝步驟中延伸了模式,因此僅需要執行 createServiceTree 程序檔。該程序檔必須從部署工具目錄以任何使用者的身份透過以下指令執行:./createServiceTree。該程序檔會提示使用者輸入有關 Active Directory 資料庫的資訊。部署工具目錄的 ad 子目錄中提供了預設對映檔案,該檔案使用 Active Directory 中具有的典型物件類別與屬性。該檔案名為 OrganisationalMapping,在啟動 createServiceTree 之前,透過用該檔案覆蓋主部署工具目錄中的同名檔案,可以對其進行部署。
此時便可以將 Active Directory 伺服器與 Configuration Manager 一起使用。安裝 Configuration Manager 時,請提供具有對樹的讀取權之使用者的完整 DN 和密碼。此使用者可以是無法將 Active Directory 用於其他目的的使用者。請參閱 Active Directory 說明文件,以取得有關如何設定此類使用者的更多資訊。此外,Active Directory 的網域名稱對執行 Configuration Manager 的機器必須是已知的。可以透過在該機器的 /etc/hosts 檔案中增加使 Active Directory 伺服器的 IP 位址與其網域名稱相對映的行,來實現此目的。
為從 Java Desktop System 主機上擷取配置資料,Active Directory 的網域名稱對該主機也必須是已知的。Java Desktop System 使用者的驗證可以採用兩種方式:匿名認證與使用 GSSAPI 認證。
若要使用匿名連線認證,則必須將 Active Directory 伺服器配置為授與每個人讀取權限。請參閱 Active Directory 說明文件,以取得有關如何執行該作業的更多資訊。
若要使用 GSSAPI 驗證,則必須修改指定 Kerberos 參數的檔案 /etc/krb5.conf,以定義 Active Directory 範圍並指向做為其金鑰分配中心 (KDC) 的 Active Directory 伺服器。做為預設加密類型,該檔案還必須指定 Active Directory 支援的 DES 類型,即 des-cbc-crc
與 des-cbc-md5
。請參閱 Kerberos 說明文件,以取得有關如何執行該作業的更多資訊。存取配置資料之前,必須取得登入 Java Desktop System 之使用者的有效憑證。透過執行 kinit 指令並提供 Active Directory 中定義的使用者密碼,可以手動執行此作業。其他模式可能會在登入時自動產生這些憑證。請參閱 Java Desktop System 文件,以取得更多資訊。