|
| Sun ONE Directory Proxy Server 管理員指南 |
附錄 C Directory Proxy Server 啟動組態檔
本附錄包含 Directory Proxy Server 組態檔的資訊。包括:
· 組態檔概論
· 啟動組態的關鍵字
組態檔概論
tailor.txt 檔包含 Directory Proxy Server 要找到主要組態時,所需的啟動載入資訊。此檔中的指示會規定 Directory Proxy Server 的主要組態是要利用其他檔案,還是 Directory Proxy Server 會從 LDAP 伺服器取得主要組態。依預設, Directory Proxy Server 會在安裝實例目錄的 etc 子目錄中,尋找啟動 tailor.txt 組態檔。注意:利用指令行參數 -t,就可以讓 Directory Proxy Server 使用其他的檔案當作啟動組態檔。
啟動組態檔的功能是協助支援高可用性組態,可列出幾個聯絡點,用來檢索主要組態。啟動組態檔中利用二個關鍵字來描述聯絡點。Begin 及 End。 Directory Proxy Server 會根據指定的次序處理聯絡資訊。 Directory Proxy Server 在各個聯絡點上的動作,要看指定的聯絡點類型而定 (LDAP URL 或檔案的絕對路徑名稱)。
Directory Proxy Server 會針對 LDAP URL 類型的聯絡點,嘗試聯絡指定的主機。如果主機不願或無法傳回組態, Directory Proxy Server 會嘗試下一個聯絡點 (如果有的話)。如果此主機傳回組態, Directory Proxy Server 就會編輯所傳回的內容,然後開始遵守主要組態的指示,如果組態被視為無效,就會中止執行。
Directory Proxy Server 會針對檔案類型的聯絡點,嘗試載入指定的檔案,當作自己的主要組態。如果遺漏所指定的組態或組態被視為無效, Directory Proxy Server 就會中止執行。 Directory Proxy Server 如果碰到檔案類型的聯絡點,就不會嘗試移動到下一個聯絡點。
Directory Proxy Server 從 LDAP 主機檢索主要組態時,會在三個方式中選取之一來連結到主機:匿名、簡單、或使用 SASL。
若要完成匿名連結,需省略 configuration_bind_pw 及 configuration_bind_dn 指示。換句話說,您的啟動組態聯絡資訊只會指定 configuration_url 指令。
簡單連結要使用 configuration_bind_pw 及 configuration_bind_dn 兩個指示才能支援。
SASL 連結需要指定 sasl_bind_mechanism、conguration_bind_pw 以及下列其中一個 (而且只能有一個) 指示:configuration_bind_dn 或 configuration_username。
啟動組態的關鍵字
被列舉的每個聯絡點都使用 Begin 關鍵字來標示聯絡點項目的啟始。反過來說,每個聯絡點項目都是以 End 關鍵字來終止。啟動組態檔中規定的每個指示都以一行表示。啟動組態不會辨識也不支援連續行。組態的選項以選項來指定,後面跟著冒號及三個一組的值。
configuration_url
configuration_url 選項會指定 LDAP 目錄伺服器,以及儲存 Directory Proxy Server 組態的目錄中的項目辨別名稱,或指定 LDIF 格式的本機檔案。例如,如果 Directory Proxy Server 組態儲存在 ldap.sun.com 主機上的 LDAP 目錄中、且 LDAP 服務在連接埠 389 上執行、且 Directory Proxy Server 項目的辨別名稱是 ids-proxy-con-Server-Name= Directory Proxy Server,就應該把下列加入組態檔:
Begin
configuration_url:
ldap://ldap.sun.com:389/ids-proxy-con-Server-Name= Directory Proxy Server
End如果組態要保留在 LDAP 伺服器中,您也許需要在 ids-proxy-con-Server-Name= Directory Proxy Server 後面指定尾碼,才能繼續與主機目錄的命名內容相容。例如:
Begin
configuration_url:
ldap://ldap.sun.com:389/ids-proxy-con-Server-Name= Directory Proxy Server,
ou=services, dc=sun, dc=com
End組態檔中的每個啟動組態指示,都應該以連續的一行來指定。
注意 請勿把 configuration_url 範例中的自動換行符號,轉譯成在組態檔中插入換行符號的指示。
組態儲存成 LDIF 格式的檔案時 (也就是說,<server-root>/dps-<hostname>/etc/tailor.ldif),就應該把下列加入組態檔:
Begin
configuration_url:
file://<server-root>/dps-<hostname>/etc/tailor.ldif#ids-proxy-con-S erver-Name= Directory Proxy Server
Endconfiguration_bind_dn
configuration_bind_dn 選項會指定 Directory Proxy Server 連結到 configuration_url 選項中指定的 LDAP 伺服器時,要使用的辨別名稱。 Directory Proxy Server 會以此辨別名稱執行簡單連結,並把 configuration_bind_pw 的值當作密碼。例如:
Begin
configuration_url:
ldap://ldap.sun.com:389/ids-proxy-con-Server-Name= Directory Proxy Server
configuration_bind_dn: cn=Directory Manager
configuration_bind_pw: secret
End如果 configuration_url 是「檔案」形式,就不需要 configuration_bind_dn 選項,而且會加以忽略。注意:configuration_bind_dn 及 configuration_username 指示互相排斥。
configuration_bind_pw
configuration_bind_pw 選項的功能是指定連結到 LDAP 目錄時要使用的密碼。此指示的功能是指定簡易或 SASL 連結時要使用的密碼。為了保持安全,必須保護組態檔不被他人未經授權讀取。如果 configuration_url 是「檔案」形式,就不需要 configuration_bind_pw 選項,而且會忽略。(請參閱 configuration_bind_dn 參考範例。)
configuration_username
configuration_username 選項會指定 Directory Proxy Server 連結到 configuration_url 選項中指定的 LDAP 伺服器時,要使用的使用者名稱。此選項只有在使用 SASL 連結機制時才會使用。注意:configuration_bind_dn 及 configuration_username 指示互相排斥。
Begin
configuration_url:
ldap://ldap.sun.com:389/ids-proxy-con-Server-Name= Directory Proxy Server
configuration_username: administrator
configuration_bind_pw: secret
sasl_bind_mechanism: CRAM-MD5
Endsasl_bind_mechanism
您可以根據要讓 Directory Proxy Server 使用哪種 SASL 連結機制,把 sasl_bind_mechanism 選項設定成 CRAM-MD5 或 DIGEST-MD5。如果沒有此選項, Directory Proxy Server 就會執行簡易連結或匿名連結。DIGEST-MD5 提供的安全等級比 CRAM-MD5 高,但是 DIGEST-MD5 的普及率沒有 CRAM-MD5 高。