第 7 章   定义和管理属性对象

如本书的部署一章所述，Sun ONE Directory Proxy Server 可以作为 LDAP 访问路由器使用，帮助您保护专用目录信息免受未经授权的访问，同时使您可以安全地发布公共信息。服务器可以处理数以千计的 LDAP 客户机请求，并可以在将每一个请求路由到目录服务器之前对其应用精细的访问控制规则和协议筛选规则。

Directory Proxy Server 中的属性对象使您能够指定 LDAP 客户机必须遵循的专门的限制。然后，您可以将这些属性包括在需要应用这些限制的其他条目中。本章概述了每一个属性，同时介绍如何使用 Directory Proxy Server 配置编辑器控制台创建属性对象。

本章包含以下几个部分：

· 特性重命名属性

· 禁止的条目属性

· LDAP 服务器属性

· 负载平衡属性

· 搜索大小限制属性

· 修改属性对象

· 删除属性对象

特性重命名属性

---

通常，LDAP 目录包含有关组织内的人员以及网络资源之类的实体信息。对于每个实体，目录中都有一个条目。目录中的所有条目都通过其区别名 (DN) 来标识，并用一组特性及其值来表示。每个条目都有一个对象类别特性，该特性指定条目所描述的对象的类型，并定义条目所包含的其他特性的集合。每个特性都描述条目的一个特征。例如，条目可以属于对象类别 organizationalPerson，这表示该条目代表特定组织中的一个人。此对象类允许 givenname 和 telephoneNumber 特性。指定给这些特性的值给出了该条目所代表的人员的姓名和电话号码。

在许多目录部署中，在 LDAP 客户机端定义的特性并不映射到在服务器端定义的特性。为了促进这种设置中的客户机和服务器之间的通讯，Directory Proxy Server 支持特性重命名，即，Directory Proxy Server 可以在将客户机查询传递到目录服务器之前将其中的特性重命名为目录服务器理解的形式，并且在将服务器响应传递给客户机之前也执行相同的操作。

图 7-1 说明了如何将 Directory Proxy Server 的特性重命名功能用于架构映射。

图 7-1    使用特性重命名属性映射架构

例如，在电子邮件客户程序中，人员的姓氏是名为“surname”的特性的值，而在 LDAP 服务器中，姓氏是由名为“sn”的特性指定的。当 Directory Proxy Server 映射这两个特性时，只有特性名称受影响，而特性值保持不变。

可以使用特性重命名属性来定义用于控制客户机和服务器特性重命名的规则。您可以指定客户机特性的名称，将其映射到相应的服务器特性（反之亦然）。这样一来，如果客户机请求中包含服务器未知的特性名称，那么 Directory Proxy Server 将能够把该名称映射为服务器已知的名称，从而帮助客户机与服务器进行通讯。同样，当服务器发回响应时，Directory Proxy Server 会将任何客户机未知的特性转换为已知形式。

下面的一节说明如何从 Directory Proxy Server 配置编辑器控制台为特性重命名属性创建对象。

---

注意	您为特性重命名属性创建的任何对象都必须同时具有服务器和客户机特性。否则，Directory Proxy Server 将不能启动。

---

创建特性重命名属性对象

要识别 Directory Proxy Server 应重命名的客户机和服务器特性，请执行以下操作：

1. 访问 Directory Proxy Server 配置编辑器控制台；请参阅“访问 Directory Proxy Server 控制台”。
2. 在导航树中，展开“属性”节点，然后选择“特性重命名”。

右侧窗格显示特性重命名属性的现有对象的列表。





3. 单击“新建”。

“特性重命名属性”窗口随即出现。





4. 在“名称”字段中，键入属性对象的名称。名称必须是唯一的字母数字型字符串。




---

注意	特性名称只能由 7 位字符组成。

---



5. 在其余的字段中，指明用于映射的特性：

特性重命名值可以写成由句点分隔的十进制数；例如，2.5.4.10。特性重命名值还可以为特性类型指派一个或多个文字名称。这些名称必须以字母开头，并且只能包含 ASCII 字母、数字字符和连字符。该值不区分大小写。

服务器已知的特性名称。输入值以指定服务器已知的特性名称。

客户机已知的特性名称。输入值以指定客户机已知的特性名称。

如果客户机请求中包含由“客户机已知的特性名称”指定的特性名，则会将其转换成“服务器已知的特性名称”的值。同样，如果服务器发送的结果中包含“服务器已知的特性名称”中指定的特性名称，则会将其转换成“客户机已知的特性名称”的值。

6. 单击“保存”创建对象。

Directory Proxy Server 配置将被修改，并且系统会提示您重新启动依赖于此配置的服务器。但是，此时请勿重新启动服务器。您可以在完成所有配置更改后执行此操作。

7. 重复步骤 3 到步骤 6 来创建任何其他对象。
8. 重新启动服务器；请参阅“重新启动 Directory Proxy Server”。

禁止的条目属性

---

由于各种原因，LDAP 目录中的某些条目（或代表这些条目的特性）需要对 LDAP 客户机隐藏。例如，如果目录中包含所有雇员的条目，并且这些条目中的每一个条目都包含雇员数据的相关特性，如姓名、电子邮件地址、部门、办公地点、办公室电话号码以及家庭电话号码，那么您可以隐藏所有雇员的家庭电话号码，使其对客户机不可见。

禁止的条目是指 LDAP 目录中需要对 LDAP 客户机隐藏的条目。为促进这种设置中的客户机和目录服务器之间的通讯，Directory Proxy Server 支持禁止的条目，即，Directory Proxy Server 可以对 LDAP 客户机隐藏 LDAP 条目和这些条目的特性。

可以使用“禁止的条目”属性来定义规则以控制目录条目及其特性的隐藏。此属性使您能够以多种方式指定需要隐藏的条目或条目特性的列表。例如，您可以指定：

· 您希望隐藏的条目的 DN 或这些条目中的特性。

· 由您希望隐藏的条目的 DN 或这些条目中的特性组成的正则表达式（例如，.*OU=INTERNAL.*）。

· 条目的特性名称/值对(例如，secret:yes）。如果某个条目的特性名称/值对与任一指定的特性名称/值对匹配，那么该条目或其部分内容将隐藏起来。

下面一节介绍如何从 Directory Proxy Server 配置编辑器控制台创建禁止的条目属性对象。

创建禁止的条目属性对象

要识别 Directory Proxy Server 应该对客户机隐藏的条目或条目特性，请执行以下操作：

1. 访问 Directory Proxy Server 配置编辑器控制台；请参阅“访问 Directory Proxy Server 控制台”。
2. 在导航树中，展开“属性”节点，然后选择“禁止的条目”。

右侧窗格显示禁止的条目属性的现有对象列表。





3. 单击“新建”。

“禁止的条目属性”窗口随即出现。





4. 在“名称”字段中，键入属性对象的名称。名称必须是唯一的字母数字型字符串。
5. 在“条目匹配”选项卡中，指定相应的值；该选项卡显示此属性的名称以及要隐藏的 LDAP 条目等设置。

添加。显示一个菜单，用于添加隐藏 LDAP 条目的条件。条件可以为下列类型：精确 DN、正则 DN 表达式或特性/值对。可在一个条目中键入或浏览现有条目的目录信息树。

精确 DN。显示一个对话框，从中可输入要隐藏的条目的 DN。

正则 DN 表达式。显示一个对话框，从中可以输入要隐藏的条目的正则 DN 表达式。应该以标准形式来指定 DN 正则表达式，也就是说，RDN 部分和等号“=”之间没有空格，特性名称和值必须都是大写字母。

例如，要将任一 DN 与“ou=internal”的 RDN 部分匹配，您必须指定如下内容：

.*OU=INTERNAL.*

如果“特性筛选”选项卡包含要被包括的特性名称，当某个特性与其中所列的内容之一不匹配时，则不返回此特性。如果 LDAP 条目中的特性与“特性筛选”选项卡中要排除的任何特性都不匹配，则返回该条目。

下面这本书可以用作正则表达式的参考资料：Mastering Regular Expressions，Friedl 和 Oram 著，O'Reilly 出版，ISBN：1565922573。

特性/值对。显示用于指定特性名称/值对的对话框。如果某个条目的特性名称/值对与任一指定的特性名称/值对匹配，则将隐藏该条目或其部分内容。

例如，如果您希望限定具有“ou=internal”或“secret=yes”的所有条目作为其特性之一，那么您可以指定下列内容：特性为“ou”并且值为“internal”。

编辑。显示一个对话框，用于编辑表中当前选择的条目。

移除。移除表中当前选择的条目。

6. 选择“特性筛选”选项卡，并指定相应的值。





该选项卡包含一些设置，通过这些设置可以排除或特别包括某些特性：

排除整个条目。选择此选项表明不执行任何特性筛选，而且将隐藏整个条目。

只从条目中排除下列特性。选择此选项表示该表包含要从与上面指定的任意一项相匹配的条目中排除的特性名称列表。

只包括条目中的下列特性。选择此选项表示该表将包含特性名称列表，这些特性名称可以作为与以上任一规范匹配的条目组成部分返回。

7. 单击“保存”以创建对象。

Directory Proxy Server 配置被修改，并提示您重新启动基于此配置的服务器。但是，此时请勿重新启动服务器。完成所有配置更改后可以执行此操作。

8. 重复步骤 3 到步骤 7 以创建任何其他对象。
9. 重新启动服务器；请参阅“重新启动 Directory Proxy Server”。

LDAP 服务器属性

---

在目录部署中，Directory Proxy Server 位于 LDAP 客户机和 LDAP 目录服务器之间。在将来自 LDAP 客户机的请求路由到 LDAP 目录服务器以及将来自目录服务器的响应传递到客户机之前，对这些请求进行筛选。Directory Proxy Server 还支持在一组复制的目录服务器之间进行自动负载平衡和自动故障转移及故障恢复。

可以使用 LDAP 服务器属性来识别 Directory Proxy Server 应该用作后端服务器的目录服务器。当定义此属性时，应指定 Directory Proxy Server 所需的所有详细信息，例如，目录服务器的 IP 地址或完全合格的主机名，目录服务器在其上侦听客户机连接的端口号，服务器支持的 LDAP 版本，用于在 Directory Proxy Server 和此服务器之间进行通讯的版本，等等。

下面一节介绍如何从 Directory Proxy Server 配置编辑器控制台创建 LDAP 服务器属性对象。

创建 LDAP 服务器属性对象

要识别 Directory Proxy Server 应该与其进行通讯的目录服务器，请执行以下操作：

1. 访问 Directory Proxy Server 配置编辑器控制台；请参阅“访问 Directory Proxy Server 控制台”。
2. 在导航树中，展开“属性”节点，然后选择“LDAP 服务器”。

右侧窗格显示 LDAP 服务器属性的现有对象的列表。





3. 单击“新建”。

“LDAP 服务器属性”窗口随即出现。

4. 在“名称”字段中，键入属性对象的名称。名称必须是唯一的字母数字型字符串。





5. 在“设置”选项卡中，指定此属性引用的 LDAP 服务器的基本设置。

主机。输入一个值以指定运行后端 LDAP 服务器的主机的完整域名或 IP 地址。此特性为强制属性。

端口。输入一个端口号，指定后端 LDAP 服务器在其上运行的端口。如果没有此特性，则使用的默认端口为 389。

SSL 端口。输入一个端口号，指定后端 LDAP 服务器在其上侦听 LDAPS（通过 SSL 的 LDAP）连接的端口。如果后端 LDAP 服务器不支持 LDAPS，则不要为此特性设置任何值。

“保持连接”间隔。输入秒数，经过这段时间后，Directory Proxy Server 将试探不响应的服务器，以确定到 LDAP 目录服务器的网络链接是否关闭，或者确定 LDAP 目录服务器是否已经不响应。如果连接到 Directory Proxy Server 的客户机具有挂起的操作，而且如果在此处指定的秒数之后 Directory Proxy Server 尚未从连接的 LDAP 服务器接收到任何数据，则 Directory Proxy Server 将通过打开另一个通讯信道来测试 LDAP 服务器的可用性。如果 Directory Proxy Server 这样做不成功，则它会将故障转移到另一台 LDAP 服务器（如果可用的话）。此特性的默认值为 180 秒。如果 LDAP 服务器和 Directory Proxy Server 不在同一本地网络，则建议增大此值。

启用 TCP 无延迟。禁用此选项将导致 Directory Proxy Server 对于到此服务器的连接使用 Nagel 算法。只有当 Directory Proxy Server 和此对象条目定义的服务器之间的网络带宽非常有限时，才必须禁用该选项。默认情况下启用此设置。

6. 选择“LDAP 版本”选项卡，并指定相应的值。





该选项卡显示一些设置，表明此服务器支持哪些 LDAP 版本，以及 Directory Proxy Server 和此服务器之间的通讯应该使用哪个版本。

支持的 LDAP 版本。从现有的两个选项中选择一个：“LDAP 版本 2 和 3”或者“仅 LDAP 2 版”。默认值为“LDAP 版本 2 和 3”。

要使用的 LDAP 版本。从现有的三个选项中选择一个：“客户机正在使用任何版本”、“仅 LDAP 3 版”或者“仅 LDAP 2 版”。当与此条目定义的后端服务器对话时，此特性将告知 Directory Proxy Server 使用哪个首选 LDAP 协议版本。默认情况下，选中“客户机正在使用任何版本”。

当您具有 Directory Proxy Server 需要跟随引荐的 LDAPv2 客户机时，此选项很有用。在这种情况下，Directory Proxy Server 本身需要作为 LDAPv3 客户机连接到后端服务器，以便后端服务器可以向其发回引荐。如果引用该属性的网络组允许多个 LDAP 2 版绑定，则只能选择 LDAP 3 版。

7. 选择“加密”选项卡，并指定相应的值。





该选项卡显示的设置与由此属性所引用的 LDAP 服务器的安全通讯相关。

X.509 证书接受方 DN。指定 LDAP 服务器的证书接受方名称。如果已指定，Directory Proxy Server 就会尝试将该证书接受方与 LDAP 服务器证书的现有接受方匹配，如果不匹配，则拒绝 TLS 会话。（此特性允许 Directory Proxy Server 对其正在连接的 LDAP 服务器进行验证。如果未设置此特性，Directory Proxy Server 就会接受任何名称。）

安全策略。选择其中一个选项，这些选项定义了 Directory Proxy Server 和后端服务器之间连接的安全策略：“如果客户机已经建立了 SSL 会话，则建立 SSL 会话”、“在进行任何操作前始终首先建立 SSL 会话”或“从不建立 SSL 会话”。

8. 单击“保存”以创建对象。

Directory Proxy Server 配置被修改，并提示您重新启动基于此配置的服务器。但是，此时请勿重新启动服务器。完成所有配置更改后可以执行此操作。

9. 重复步骤 3 到步骤 8 以创建任何其他对象。
10. 重新启动服务器；请参阅“重新启动 Directory Proxy Server”。

负载平衡属性

---

Directory Proxy Server 通过在一组复制的 LDAP 目录服务器之间提供自动负载平衡和自动故障转移及故障恢复，实现了目录部署的高可用性。为了使 Directory Proxy Server 做到这一点，需要识别 Directory Proxy Server 应该使用的目录服务器，并指定客户机负载如何在这些服务器之间分配。

使用“负载平衡”属性来配置 Directory Proxy Server 以进行负载平衡。此属性能使您识别 Directory Proxy Server 应该与其进行通讯的后端目录服务器，并指定每个目录服务器应该接收到的总客户机负载的百分比。配置完毕后，Directory Proxy Server 就遵照配置中定义的负载条件将客户机查询自动分配给不同的目录服务器。如果一个目录服务器不可用，Directory Proxy Server 会将该服务器的负载百分比按比例在可用服务器之间分配（根据它们的负载百分比）。如果所有的后端 LDAP 服务器都不可用，Directory Proxy Server 就开始拒绝客户机查询。

图 7-2 显示了在一组三个目录服务器副本之间分配的客户机负载。

图 7-2    一组 LDAP 目录副本之间的负载平衡

Directory Proxy Server 中的负载平衡是基于会话的。这就意味着，选择客户机的查询将定向到哪一台特定目录服务器的决策功能针对每个客户机会话只应用一次，尤其是在客户机会话开始时。该会话中的所有后续客户机查询都将被定向到在会话开始时选择的相同目录服务器。

Directory Proxy Server 可以进行负载平衡的后端目录服务器的数目取决于多种因素，其中一些如下：

· 运行 Directory Proxy Server 的主机的大小

· 可用的网络带宽

· Directory Proxy Server 接收到的混合查询

· 客户机会话的长度

· Directory Proxy Server 配置

一般而言，如果大多数会话持续时间短暂，并且查询需要大量计算，则 Directory Proxy Server 可以支持的目录服务器较少。需要大量计算的查询是那些需要检查整个消息的查询，如使用特性重命名功能（请参阅“特性重命名属性”）。

当因拒绝连接错误而返回连接尝试或当连接超时的时候，Directory Proxy Server 检测目录服务器何时不可用。由于这两种情况均在会话的初期发生，尚未对该会话处理任何操作，Directory Proxy Server 会将故障转移到另一台服务器（只要有一台服务器显然可用）。在连接尝试超时的情况下，客户机会在获取响应过程中体验到显著的延迟。如果 Directory Proxy Server 和后端服务器之间的连接突然丢失，Directory Proxy Server 会为所有未完成的操作将 LDAP_BUSY 错误返回给受影响的客户机。随后，Directory Proxy Server 将该客户机会话的故障转移到另一台目录服务器。

为了避免 Directory Proxy Server 成为您的目录部署的故障单点，我们建议您至少使用两个 Directory Proxy Server，在它前面应用一个 IP。这在第 2 章“Sun ONE Directory Proxy Server 部署方案”中进行了描述。在不可能这样部署 Directory Proxy Server 的情况下，我们建议您使用 -M 开关，该开关将使 Directory Proxy Server 可以监视其本身。

Directory Proxy Server 使用监视进程在其后端服务器上进行运行状况检查。如果使用了负载平衡，则将自动启用此功能。Directory Proxy Server 每隔 10 秒钟就会为其每个后端目录服务器对 Root DSE 执行一次匿名搜索操作。如果其中之一不可用或没有响应，Directory Proxy Server 会将其从活动的负载平衡服务器集合中移除。当服务器再次可用时，就会将其引入到这个集合中。为了使监视功能有效地发挥作用，必须根据《Directory Proxy Server 安装指南》的第 2 章“计算机系统要求”中描述的 idsktune</code> 公用程序的建议配置 Directory Proxy Server 在其上运行的主机。在服务器只启用其安全端口的情况下，Directory Proxy Server 将尝试安全地执行运行状况检查。

下面一节介绍如何从 Directory Proxy Server 配置编辑器控制台创建负载平衡属性对象。

---

注意	您为负载平衡属性创建的任何对象必须至少具有一个 LDAP 服务器属性，百分比加起来必须为 100%。否则，Directory Proxy Server 将不能启动。

---

创建负载平衡属性对象

本节介绍如何配置 Directory Proxy Server 以进行负载平衡。在创建负载平衡属性对象之前，务必要识别 Directory Proxy Server 应该用于平衡客户机负载的 LDAP 目录服务器。有关详细信息，请参阅“LDAP 服务器属性”。

要定义 Directory Proxy Server 应该如何在一组目录服务器之间平衡负载，请执行以下操作：

1. 访问 Directory Proxy Server 配置编辑器控制台；请参阅“访问 Directory Proxy Server 控制台”。
2. 在导航树中，展开“属性”节点，然后选择“负载平衡”。

右侧窗格显示“负载平衡”属性的现有对象的列表。





3. 单击“新建”。

“负载平衡属性”窗口随即出现。





4. 在“名称”字段中，键入属性对象的名称。名称必须是唯一的字母数字型字符串。
5. 使用其余的表单元素获得希望的结果。

要编辑百分比，请单击包含 LDAP 服务器的行旁边的“百分比负载”列，键入一个 0 和 100 之间的数字，并单击“调整”按钮。此操作将百分比分配给当前行，并尝试使所有的百分比的总和为 100。当前百分比总和显示在“百分比负载”列标题中。

添加。显示一个对话框，用于添加对 LDAP 服务器属性的引用。默认情况下，添加的第一个服务器将分配 100％ 的负载，随后添加的服务器将获得 0％ 的负载。

编辑。显示一个对话框，用于编辑表中当前选定的项目。

移除。从将在其中执行负载平衡的服务器列表中移除当前选择的 LDAP 服务器。

分配。在表中当前引用的所有 LDAP 服务器之间平均分配百分比负载。

6. 单击“保存”以创建对象。

Directory Proxy Server 配置被修改，并提示您重新启动基于此配置的服务器。但是，此时请勿重新启动服务器。完成所有配置更改后可以执行此操作。

7. 重复步骤 3 到步骤 6 以创建任何其他对象。
8. 重新启动服务器；请参阅“重新启动 Directory Proxy Server”。

搜索大小限制属性

---

LDAP 目录通常作为一个组织的中心存储库起作用，能使跨组织部署的 LDAP 客户机查找信息。LDAP 客户机一般通过搜索特定信息（使用搜索筛选）来查找信息。当搜索一个条目时，客户机通常会指定与该条目类型相关的特性；例如，当您搜索人员条目时，可以使用 CN 特性来搜索具有特定常用名的人员。

Directory Proxy Server 可以处理数以千计的 LDAP 客户机请求，并可以被配置为对 LDAP 目录应用细微的访问控制策略，如，控制哪个用户可以在目录信息树 (DIT) 的不同部分执行不同类型的操作。您还可以配置 Directory Proxy Server 以禁止某些类型的操作，如 Web Trawler 和 Robot 所执行的用来收集一个目录中包含的信息的操作。

可以使用“搜索大小限制”属性以便基于搜索基和搜索范围来应用大小限制。如果此属性对象条目中指定的搜索基和搜索范围都不与给定的搜索相匹配，则大小限制默认为在“网络组”对象条目中指定的大小限制；请参阅第 6 章“创建和管理组”。

下面一节介绍如何从 Directory Proxy Server 配置编辑器控制台创建搜索大小限制属性对象。

创建搜索大小限制属性对象

要定义 Directory Proxy Server 应该如何限制搜索大小，请执行以下操作：

1. 访问 Directory Proxy Server 配置编辑器控制台；请参阅“访问 Directory Proxy Server 控制台”。
2. 在导航树中，展开“属性”节点，然后选择“搜索大小限制”。





3. 单击“新建”。

“搜索大小限制属性”窗口随即出现。





4. 在“名称”字段中，键入属性对象的名称。名称必须是唯一的字母数字型字符串。
5. 使用其余的表单元素获得希望的结果：

约束。指定是否强制实施大小限制约束。

不要强制实施大小限制。选择此选项可指定不强制实施大小限制。

强制实施以下大小限制。选择此选项并输入一个整数值，以指定要强制实施的大小限制。

添加。显示用于添加大小限制条件的菜单。条件必须为下面的两种类型之一：一级搜索和子树级别搜索。

一级搜索。显示一个对话框，从中可输入 DN 并将其添加到条件表中。如果一级搜索的搜索基 DN 与条件表中为一级搜索指定的某个区别名匹配，则指定的大小限制将被强制实施为该搜索的大小限制。

子树级别搜索。显示用于输入 DN 的对话框。如果子树搜索的搜索基 DN 与条件表中为子树级别搜索指定的某个区别名匹配，则指定的大小限制将被强制实施为该搜索的大小限制。

编辑。显示一个对话框，用于编辑表中当前选择的条目。

移除。移除表中当前选择的条目。

6. 单击“保存”以创建对象。

Directory Proxy Server 配置被修改，并提示您重新启动基于此配置的服务器。但是，此时请勿重新启动服务器。完成所有配置更改后可以执行此操作。

7. 重复步骤 3 到步骤 6 以创建任何其他对象。
8. 重新启动服务器；请参阅“重新启动 Directory Proxy Server”。

修改属性对象

---

要修改属性对象，请执行以下操作：

1. 访问 Directory Proxy Server 配置编辑器控制台；请参阅“访问 Directory Proxy Server 控制台”。
2. 在导航树中，选择“属性”节点。

右侧窗格显示现有属性对象的列表。要查看与特定属性有关的对象，请展开“属性”节点，然后选择您关心的属性。





3. 在该列表中，选择要修改的对象并单击“编辑”。
4. 进行所需的修改。
5. 单击“保存”以保存所作的更改。

Directory Proxy Server 配置被修改，并提示您重新启动基于此配置的服务器。但是，此时请勿重新启动服务器。完成所有配置更改后可以执行此操作。

6. 重复步骤 3 到步骤 5 以修改任何其他对象。
7. 重新启动服务器；请参阅“重新启动 Directory Proxy Server”。

删除属性对象

---

可以从 Directory Proxy Server 配置中删除任何不需要的属性对象。在删除一个对象之前，要确保它未在任何其他配置条目中使用。

要删除属性对象，请执行以下操作：

1. 访问 Directory Proxy Server 配置编辑器控制台；请参阅“访问 Directory Proxy Server 控制台”。
2. 在导航树中，选择“属性”节点。

右侧窗格显示现有属性对象的列表。要查看与特定属性有关的对象，请展开“属性”节点，然后选择您关心的属性。





3. 在该列表中，选择要删除的对象并单击“删除”。
4. 确认您的操作。

Directory Proxy Server 配置被修改，并提示您重新启动基于此配置的服务器。但是，此时请勿重新启动服务器。完成所有配置更改后可以执行此操作。

5. 重复步骤 3 和步骤 4 以删除任何其他对象。
6. 重新启动服务器；请参阅“重新启动 Directory Proxy Server”。