|
| Sun ONE Directory Proxy Server 管理員指南 |
附錄 A Directory Proxy Server 決策功能
本附錄說明 Directory Proxy Server 中,某些特定功能的控制流程。包括:
· 連線時建立群組
· 連結時變更群組
· 高可用性安裝
· 跟隨轉介
連線時建立群組
用戶端連線到 Directory Proxy Server 時,會檢查 ids-proxy-sch-NetworkGroup 物件項目中的 ids-proxy-con-Client 屬性,直到找到相符項目為止。系統會嘗試 ids-proxy-con-priority 屬性的定義中,ids-proxy-sch-NetworkGroup 物件最高到最低的優先權。 Directory Proxy Server 會將用戶端放在 ids-proxy-con-client 屬性符合此用戶端 IP 位址的第一個群組。如果沒有符合的群組,就會關閉連線。
連結時變更群組
用戶端開始連線時,會根據其 IP 位址放在某個群組中。用戶端與目錄建立連結時,便可根據不同的存取控制措施,移動到不同的群組。為了達成這個目的,初始的群組物件必須包含規則物件,在順利完成連結作業時加以評估。如果規則評估為 TRUE,便會採取變更群組動作,將用戶端移動到其他群組。圖 11-3 能說明此功能。
圖 11-3 連結時變更群組
設定連結時變更群組
下列步驟說明如何設定 Directory Proxy Server,以便在使用簡單連結驗證機制時,在 cn=Directory Manager 連結成功後變更群組。
- 建立新的 [網路群組],讓連結成功後的 user cn=Directory Manager 移動過去。如需詳細資訊,請參閱「建立群組」。如果只能用手動變更的方式才能讓某個使用者成為此群組的一部份,請在 [網路群組] 面板的 [網路] 標籤中設定 [無 IP 連結]。也請確定此群組在允許某些 IP 連結的其他 [網路群組] 之後。
- 建立新 [變更群組] 動作。如需詳細資訊,請參閱「建立動作物件」。將變更至設定成您在步驟 1 建立的群組名稱。將 if DN matches 設定成 cn=Directory Manager。您也可以將其他的所有項目設定成 NONE (不要變更群組),也就是 .*。
- 建立連結後續事件。如需詳細資訊,請參閱「建立 OnBindSuccess 事件物件」。在 [動作] 標籤上設定成您在步驟 2 建立的 [變更群組] 動作。在 [條件] 標籤選取 [密碼型連結]。
- 在步驟 1 建立的 [網路群組] 中之事件標籤上,選取您在步驟 3 建立的 [連結後續事件]。如需詳細資訊,請參閱「修改群組」。
建立 TLS 時變更群組
建立 TLS 時變更群組與建立連結機制時變更群組類似,用戶端可以在順利建立 TLS 工作階段時變更群組。用戶端建立 TLS 時,系統會評估 [已建立的 SSL] 規則,隨後就會有 [變更群組] 動作。圖 11-4 說明此功能。
圖 11-4 建立 TLS 時變更群組
高可用性安裝
如果您已經設定一個以上的後端目錄伺服器,便可安裝 Directory Proxy Server 讓這些伺服器負載平衡,而且如果其中一個後端伺服器故障,就可以容錯移轉至另一個。為了達成這個目的,您必須建立 [負載平衡內容] (請參閱 ,並將您要負載平衡的伺服器包含到群組物件中。您也必須建立 [LDAP 伺服器內容] (請參閱 對每個後端伺服器的說明,並包含到 [負載平衡內容] 中。您必須在 [負載平衡內容] 物件中,指定每個後端伺服器所佔的總負載百分比。有了這個設定,如果其中一個後端目錄伺服器故障, Directory Proxy Server 就會重新分配負載。系統會在伺服器故障時,將用戶端從第一個伺服器容錯移轉至另一個。 Directory Proxy Server 也會在自己與 LDAP 伺服器之間的網路連線斷掉或 LDAP 伺服器未回應時進行容錯移轉。
注意 Directory Proxy Server 在利用 SASL 機制連結用戶端時,無法進行容錯移轉。
跟隨轉介
LDAPv2 用戶端無法自行跟隨轉介時,可以設定讓 Directory Proxy Server 代為跟隨轉介。您的後端 LDAP 目錄伺服器必須能傳送轉介,也就是說,必須支援 LDAP v3 標準。設定讓 Directory Proxy Server 與後端 LDAP 伺服器使用 LDAP v3,才能讓 Directory Proxy Server 從目錄伺服器接收轉介。然後設定您的群組轉介及接續轉介原則。