Sun ONE Directory Proxy Server 管理員指南: 第 6 章建立及管理群組

Sun ONE Directory Proxy Server 管理員指南

第 6 章建立及管理群組

當 LDAP 用戶端從 LDAP 目錄要求服務時，會連線到 Sun ONE Directory Proxy Server，從用戶端設定檔識別用戶端的存取權限、決定此用戶端是否能從目錄要求服務、執行所設定的限制，然後將要求轉送給適當的目錄。本章說明如何利用 Directory Proxy Server 組態編輯器主控台，來設定讓 Directory Proxy Server 識別用戶端並執行任何限制。

本章包含下列各節。

· 群組概論

· 建立群組

· 修改群組

· 刪除群組

群組概論

Directory Proxy Server 網路群組是了解 Directory Proxy Server 如何運作的關鍵 - 它們定義了 Directory Proxy Server 應如何識別 LDAP 用戶端，以及 Directory Proxy Server 應對符合該群組之用戶端強制實施哪些限制。確實了解 Directory Proxy Server 群組以利用其有效控制 LDAP 用戶端存取目錄的作業，是非常重要的。

您可以利用網路群組識別下列項目：

· 用戶端

· Directory Proxy Server 可從用戶端轉送要求到一組 LDAP 目錄。

· 用戶端在與其目錄組互動時，可執行的作業組。

· 用戶端與其目錄組互動時，可存取的資料。(因為 Directory Proxy Server 讓您隱藏目錄的特定項目並重新命名屬性，所以您可有效控制用戶端可看到目錄中包含的哪些資料。)

Directory Proxy Server 嘗試將連線的來源屬性與群組準則作比對，以決定用戶端的群組成員資格。伺服器以優先權的遞減排序 (從最高到最低的優先權) 檢查目前設定的群組。第一個符合網路群組準則的連線來源屬性可接收連線。因此，為一般及特定準則建立獨立的群組，並將最特殊到最一般的群組排定優先權，是非常重要的。

如果找不到與用戶端相符的群組，用戶端的要求會遭到拒絕，連線會關閉。所以 Directory Proxy Server 組態中一定至少會有一個群組項目。

群組的優先權排序，會根據其在 Directory Proxy Server 組態編輯器主控台 [網路群組] 視窗中的位置來指定 (請參閱圖 6-1)。在此視窗中，位於清單底端的群組，其優先權會較靠近頂端的群組來的低。未定義優先權相同群組的評估排序。

圖 6-1    Directory Proxy Server 組態編輯器主控台[網路群組] 視窗

請注意，系統一開始會根據用戶端連線的網路位址，例如 IP 位址及/或網域名稱，將其分配到某個群組。他們會在連結成功之後變更其群組；如需詳細資訊，請參閱第 8 章「建立及管理事件物件」。一旦用戶端取得群組的成員資格，就表示群組的所有屬性都會套用到此用戶端。

圖 6-2 說明 Directory Proxy Server 如何評估群組，以回應用戶端的查詢。

圖 6-2    決定群組成員資格的 Directory Proxy Server 決策樹

群組的網路準則可依據下列項目：

· 主機的 IP 位址或網路遮罩

單一 IP 位址 (例如，129.153.129.14)

IP 四位元/符合位元 (例如，129.153.129.0/24)

IP 四位元/符合四位元 (例如，129.153.129.0/255.255.255.128)

· 主機的網域名稱

完整名稱 (例如，box.eng.sun.com)

尾碼名稱 (例如，.eng.sun.com)

請注意，如果用網域名稱尾碼規則來識別用戶端，請確定有設定 DNS，以將完全合格名稱傳回 DNS 查詢，如果傳回短名稱，本功能就沒有作用。

· 特殊

ALL (用於 catch-all 群組。)

0.0.0.0 (用於初始成員資格不納入考慮的群組，例如，用戶端連結時才會用來切換的群組。)

為了更瞭解 Directory Proxy Server 如何評估群組，請參閱表6-1 列出的範例群組。此處顯示五個群組，按照特定到一般網路準則建立，並以優先權的遞減排序列出。

表6-1    範例群組

優先權

群組名稱

網路準則

5

Admin-machine

129.153.129.72

4

IT-management-subnet

129.153.120.0/24

3

Operations

.ops.sun.com

2

Catch-all

ALL

1

Trusted

0.0.0.0

當 LDAP 用戶端從 LDAP 目錄要求服務時， Directory Proxy Server 會檢查要求是否來自 129.153.129.72 IP 位址。如果不是， Directory Proxy Server 會檢查要求是否符合 129.153.129.0/24。如果不是， Directory Proxy Server 會檢查要求是否從 .ops.sun.com 發出。如果不是， Directory Proxy Server 會將連線放在 catch-all 群組，然後移動到決策樹的下個步驟 (請參閱圖 6-2)。

圖 6-3 顯示您能建立群組的部分 Directory Proxy Server 組態編輯器主控台。

圖 6-3    Directory Proxy Server 網路群組定義

請注意，當建立網路群組時，您有機會指定準則的組合。表6-2 概要說明。

表6-2    網路群組可使用的準則清單

準則

描述

負載平衡

讓您指定由負載平衡內容所代表的 LDAP 伺服器群組，Directory Proxy Server 組將 LDAP 要求轉送到該伺服器群組。 .

網路

讓您指定用戶端的連線細節資料及其他網路準則，將他們的要求排序，或篩選到適當的群組。

事件

讓您指定哪些事件要與群組產生關聯，如此群組中的用戶端才能在順利連結到指定目錄時，有效變更群組。顯示事件的現有物件清單；如需詳細資訊，請參閱。

加密

讓您指定群組的加密準則 (例如，指定用戶端是否能要求 SSL 工作階段)。

相容性

LDAP v2 規格 (RFC 1777) 不允許在同一工作階段中多次連結用戶端。然而，有些用戶端可預期使用此功能。您可以設定本選項與這些程式碼互通。

轉送

讓您指定將連結、比較、及其他 LDAP 要求傳送給伺服器的準則。

隱藏資料

讓您指定要對群組隱藏目錄中項目的哪些樹狀子目錄、項目、或屬性。顯示 [禁止的項目] 內容的現有物件清單；如需詳細資訊，請參閱。

搜尋

讓您指定群組的搜尋範圍及大小限制。顯示 [搜尋大小限制] 內容的現有物件清單；如需詳細資訊，請參閱。

屬性

讓您指定規則，防止特定搜尋種類及比較作業到達 LDAP 伺服器。顯示 [屬性重新命名] 內容的現有物件清單；如需詳細資訊，請參閱。

轉介

讓您指定群組是要轉送、跟隨或放棄由伺服器傳回的轉介。請注意，不實作 LDAPv3 的用戶端將無法了解轉送的轉介。此設定適用於所有轉介 (除了搜尋接續轉介之外)。

伺服器載入

讓您指定細節資料，例如連至群組的連線總數、每一連線的同時操作數量及操作總數、每一 IP 位址的同時操作數量等等。

建立群組

本節說明如何利用 Directory Proxy Server 組態編輯器主控台建立群組。開始建立群組之前，請務必閱讀一節，並瞭解 Directory Proxy Server 群組的意義。建立必要的群組並排定優先權後，請務必測試組態，看看群組是否如預期篩選用戶端要求。

請注意，當建立網路群組時，您有機會指定許多準則。本節提供的說明，以這些準則出現在 UI 上的順序呈現，並依賴您的判斷，來設定群組的適當準則。

若要在 Directory Proxy Server 中建立網路群組，請依照這些步驟：

存取 Directory Proxy Server 組態編輯器主控台；請參閱。

在瀏覽樹狀目錄中，選取 [網路群組]。

右邊窗格會顯示現有的群組清單。

按一下 [新增]。

出現 [網路群組] 視窗。

在 [名稱] 欄位中，鍵入群組的名稱。名稱必須是獨一無二的英數字元字串。

確定已選取 [已啟用] 選項，預設會選取它。若群組為 Directory Proxy Server 組態的一部份，則必須選取此選項。取消選取選項以停用組態中的群組。

視需要在下拉式功能表中指定負載平衡內容。此內容可識別 LDAP 伺服器群組，Directory Proxy Server 將 LDAP 要求轉送到該 LDAP 伺服器組，以使用 [負載平衡] 屬性來處理用戶端要求。相關聯的下拉式清單可顯示 [負載平衡] 屬性的現有物件，請參閱。選取適當的物件。預設不會選取物件 (<NONE>)。如果沒有物件，則可按一下 [新增] 按鈕以立即建立物件。

新增。顯示對話方塊，以建立新的 [負載平衡] 屬性。

編輯。顯示對話方塊，以編輯現有的 [負載平衡] 屬性。

若要指定群組的網路準則，以排序或篩選要求，請選取左邊框架的 [網路]。然後參考畫面上的元素描述，指定適當的網路值如下：

· 指定連線逾時值。依預設不會有數值，也表示為不逾時連線。

· 啟用連線用戶端的反向 DNS 查閱。

· 選取 [啟用 TCP 未延遲]。

· 定義 [用戶端網路連結準則]。

畫面上的元素描述如下：

指定連線逾時。如果您想輸入一個時間段，用戶端經過這段時間無活動的話， Directory Proxy Server 可關閉連至用戶端的連線，請選取此方塊。該值必須為秒數，通常不小於 120。依預設不會有數值，也表示為不逾時連線。請注意，如果未啟用 TCP 保持連線，則必須有此屬性，以防止遺失的用戶端連線阻礙 Directory Proxy Server。

執行連線用戶端的反向 DNS 查閱。預設會啟用此選項。如果停用 [反向 DNS 查閱]，則 Directory Proxy Server 將不會執行反向 DNS 查閱，以尋找連線用戶端的網域名稱。停用 [反向 DNS 查閱] 有時可大幅改善 Directory Proxy Server 效能。如果您將網域名稱或網域名稱尾碼作為 [用戶端網路連結準則] 的值，則不得停用 [反向 DNS 查閱]，否則 Directory Proxy Server 將無法正確運作。您必須設定讓 DNS 將完整的主機名稱傳回給查閱查詢。

啟用 TCP 未延遲。預設會啟用此選項。如果停用此選項，則 Directory Proxy Server 將會停用它本身與屬於該群組的用戶端間，用於連線的 Nagle 演算法。只有當 Directory Proxy Server 與用戶端之間的網路頻寬過小時，才可以停用 [TCP 未延遲]；然而，這樣可能會造成效能嚴重降低。

用戶端網路連結準則。使用此區段指定哪些用戶端可以連結此網路群組。

無 IP 連結。如果只有當用戶端連結到群組時才切換，請選取此選項。預設會選定此選項。如果用戶端只會在連結時使用群組來切換，則可取消選取此選項。

從任何網路主機連結。如果允許所有主機與此網路群組連結，請選取此選項。

以下列準則連結。選取此選項，指定符合網路群組的主機之網域名稱或 IP 位址；在這個情況下，群組必須指定將連結過來的主機之網域名稱或 IP 位址。

新增。顯示對話方塊，以新增網路準則。有四個選項：[網域名稱]、[IP 位址]、[IP 位址和位元] 以及 [IP 位址和四位元]。

編輯。顯示對話方塊，以編輯網路準則。

移除。顯示對話方塊，以移除網路準則。

網域名稱對話方塊。指定可連結到網路群組之用戶端的網域名稱尾碼或完整名稱，例如 foo.sun.com。請注意， Directory Proxy Server 預設不假設任何網域尾碼；因此，您必須提供完整的網域名稱。以句號開頭的網域名稱尾碼 (例如 .sun.com) 會導致網域名稱以該尾碼結尾的所有主機都相符。

同時注意到，如果用網域名稱尾碼規則來識別用戶端，請確定有設定 DNS，以將完全合格名稱傳回 DNS 查詢，如果傳回短名稱，本功能就沒有作用。

IP 位址。指定單一 IP 位址，其形式為帶有點的小數，例如 198.214.11.1。

IP 位址和位元。指定 IP 網路遮罩，其形式為 <網路編號>/<遮罩位元>，例如 198.241.11.0/24。前半部是網路編號，而後半部可指出比對所需的網路編號的位元數。

IP 位址和四位元。指定 IP 網路遮罩，其形式為一對帶有點的四個小數的組合，例如 198.241.11.0/255.255.255.128。前半部是網路編號，而後半部可指出比對所需的網路編號的位元。例如，198.214.11.0/255.255.255.128 會與 IP 位址為 198.214.11.63 的主機相符，而不會與 IP 位址為 198.214.11.191 的主機相符。

請注意，使用網域名稱或網域尾碼都需要啟用 [執行連線用戶端的反向 DNS 查閱]。

如果您要將事件導向動作與群組產生關聯 (例如，將用戶端從這個群組變更到另一個群組)，請選取左邊框架的 [事件]，然後在右邊框架指定適當的值。

畫面上的元素描述如下：

連結後續動作。下拉式清單可顯示 OnBindSuccess 事件的現有物件，請參閱。選取用戶端順利完成連結作業時會執行的物件名稱。預設不會選取物件 (<NONE>)。如果沒有物件，則可按一下 [新增] 按鈕以立即建立物件。

SSL 後續動作。 下拉式清單可顯示 OnSSLEstablished 事件的現有物件，請參閱。選取用戶端順利建立 SSL 工作階段時會執行的物件名稱。如果沒有物件，則可按一下 [新增] 按鈕以立即建立物件。

編輯。 顯示對話方塊，以編輯事件的行為。

新增。顯示對話方塊，以建立新事件。

如果您要指定群組的加密準則 (例如，指定用戶端是否能要求 SSL 工作階段)，請選取左邊框架的 [加密]，然後在右邊框架指定適當的值。

畫面上的元素描述如下：

用戶端 SSL 原則。設定用戶端 SSL 原則。

不要使用 SSL。 如果不希望使用 SSL 加密，請選取此選項。

用戶端可要求 SSL 工作階段。如果群組中的用戶端會建立要求 SSL 的 SSL 工作階段，則可選取此選項。

用戶端必須建立 SSL 工作階段。如果群組中的用戶端在執行任何作業之前，必須先建立 SSL 工作階段，則可選取此選項。

轉介 SSL 原則。跟隨轉介來設定 SSL 原則。

不要使用 SSL。如果不希望使用 SSL 加密，請選取此選項。

建立 SSL 工作階段 (如果用戶端尚未建立它)。如果啟用此選項，且用戶端已經具有利用 Directory Proxy Server 建立的 SSL 工作階段，則 Directory Proxy Server 將只會為該群組中的用戶端啟動 SSL。

為所有轉介建立一個 SSL 工作階段。啟用此選項，則發生轉介時， Directory Proxy Server 就會在轉送作業之前，先啟動 SSL 工作階段。

如果您要指定群組的相容性準則 (例如，允許用戶端在一個工作階段中連結多次)，請選取左邊框架的 [相容性]，然後在右邊框架指定適當的值。

畫面上的元素描述如下：

啟用 LDAP v2 用戶端以多次連結到單一工作階段。LDAP v2 規格 (RFC 1777) 不允許在同一工作階段中多次連結用戶端。然而，有些用戶端可預期使用此功能。如果您要此群組讓用戶端提交搜尋要求，且此要求的屬性要求清單中一個以上的屬性是 NULL，則請選取此功能。此相容性功能讓 Directory Proxy Server 與某些不完整的啟用 JAVA 用戶端互通。請注意，屬性要求清單中的 NULL 屬性違反 LDAP 通訊協定。依預設，此選項設定成 TRUE。

讓用戶端可提交具有空屬性類型名稱的要求。如果即使用戶端未識別他們的屬性類型名稱，您也要此群組允許他們提交要求，則請選取此功能。

如果您要指定群組的轉送要求準則，請選取左邊框架的 [轉寄]，然後在右邊框架指定適當的值。

一旦 Directory Proxy Server 接受來自用戶端的連線並與一個群組相符時，其將等待用戶端傳送 LDAP 連結要求。 Directory Proxy Server 會使用 [用戶端 DN]、[允許匿名連結]、[允許簡單連結] 及 [允許 SASL 連結]，來判定是否要將連結要求傳送到伺服器，或是拒絕連結要求並關閉用戶端連線。

如果用戶端的連結傳送已啟用的測試，則 Directory Proxy Server 就會將它轉送到伺服器。如果伺服器接受連結，連線就會建立。然而，如果伺服器傳回該連結要求的錯誤指示， Directory Proxy Server 會將錯誤指示轉送至用戶端，如果用戶端使用的是 LDAPv2，其也將關閉用戶端的連線。

[連結] 標籤中的元素描述如下：

允許所有用戶端。預設會啟用此選項，允許所有用戶端存取。

拒絕其 DN 非從屬的用戶端。如果您要此群組檢查辨別名稱 (DN)，請選取此選項。在非從屬於指定 DN 的連結中提供辨別名稱的任何用戶端都會遭到拒絕。使用 [瀏覽] 按鈕來瀏覽 LDAP 目錄以建構 DN。

允許匿名連結。預設會啟用此選項，即使用戶端未提供密碼，也可允許連結。停用此選項以禁止匿名連結。

允許簡單連結。預設會啟用此選項，讓用戶端在安全狀態下提供密碼。停用此選項以禁止純文字密碼的已驗證連結要求。

允許 SASL 連結。預設會啟用此選項，指定允許 SASL 連結。停用此選項以禁止 SASL 驗證。

選取 [操作] 標籤，並指定要轉送哪些操作。

依預設 Directory Proxy Server 會轉送搜尋及比較要求 Directory Proxy Server 也會辨識未連結的要求，並關閉連至 LDAP 伺服器的連線。

[操作] 標籤中的元素描述如下：

允許搜尋操作。預設會啟用此選項。停用此選項，以防範 Directory Proxy Server 將搜尋要求轉送到伺服器。

允許比較操作。 預設會啟用此選項。停用此選項，以防範 Directory Proxy Server 將比較要求轉送到伺服器。

允許新增、刪除、修改、修改 DN 及延伸操作。依預設， Directory Proxy Server 不會轉送新增、修改、刪除、修改 DN 或延伸操作要求。若要允許轉送這些操作，請啟用以允許適當的操作。

請注意，您必須啟用 [允許延伸操作]，才能讓用戶端與 [啟動 TLS] 交涉。

如果您要指定群組的資料隱藏準則，請選取左邊框架的 [資料隱藏]，然後在右邊框架指定適當的值。

使用 [樹狀子目錄] 標籤指定要隱藏哪個部分的樹狀目錄，使用 [項目] 標籤指定要隱藏的項目或屬性。

[樹狀子目錄] 標籤中的元素描述如下：

隱藏項目的樹狀子目錄。要求項目位於禁止樹狀子目錄之上或之下的作業，會因為存取權限不足的錯誤而遭到拒絕。系統會捨棄與搜尋篩選相符且位於禁止樹狀子目錄內的項目。請注意，此作業不會從傳回作為結果之一部份的項目中，移除其值位於樹狀子目錄之下的 DN 語法屬性。

新增。顯示對話方塊，以將辨別名稱加入至要排除項目之樹狀子目錄的基礎清單。如果網路群組中沒有辨別名稱，則預設為允許存取目錄中的所有項目。清單中的項目具有 dn 語法。

編輯。顯示對話方塊，以編輯辨別名稱。

移除。移除清單中的辨別名稱。

選取 [項目] 標籤，並指定要隱藏的項目或屬性。

[項目] 標籤中的元素描述如下：

指定此群組目前所使用的 [項目隱藏內容]。下拉式清單可顯示 [禁止的項目] 屬性的現有物件，請參閱。選取物件名稱。預設不會選取物件 (<NONE>)。如果沒有物件，則可按一下 [新增] 按鈕以立即建立物件。

新增。 顯示對話方塊，以建立新的 [禁止的項目] 內容。

編輯。顯示對話方塊，以編輯現有的 [禁止的項目] 內容。

如果您要指定群組的搜尋屬性，請選取左邊框架的 [搜尋]，然後在右邊框架指定適當的值。

[大小] 標籤中的元素描述如下：

限制結果項目的最大數量。啟用此選項，以指定單一搜尋作業一次可傳回用戶端的結果項目數量上限。值可為大於零的任何數字，且到達此值時會導致 administrativeLimitExceeded 錯誤，向用戶端指出將放棄後續項目。如果停用此內容，則預設為不放棄項目。

新增。顯示對話方塊，以加入 [搜尋大小限制] 內容。如需詳細資訊，請參閱。

編輯。顯示對話方塊，以編輯 [搜尋大小限制] 內容。

移除。顯示對話方塊，以移除 [搜尋大小限制] 內容。(此動作將內容從群組移除，而不顯示對話方塊。)

選取 [控制] 標籤，並指定控制搜尋篩選條件的準則。

[控制] 標籤中的元素描述如下：

允許非等式篩選。 預設會啟用此選項。[允許非等式篩選] 可指定是否允許用戶端要求包含非等式篩選 (attr>=value) 及 (attr<=value) 的搜尋。如果網路群組不允許執行非等式搜尋，則停用此選項。

限制搜尋時間限制。啟用此選項並輸入值 (以秒計)，讓網路群組指定搜尋操作的時間限制上限 (以秒計)。如果用戶端指定的時間限制大於此選項指定的值，則此網路群組指定的值就會覆寫用戶端的要求。預設會停用此選項，且網路群組會允許用戶端設定任何時間限制，包括無限制。

指定最小搜尋篩選子字串。啟用此選項並輸入值，以指定搜尋篩選條件之子字串的允許長度下限。值必須大於 1。如果停用此選項，則會預設為允許搜尋篩選任何大小的子字串。如果您想限制網頁自動尋檢程式可執行的搜尋種類，則應在網路群組中啟用此選項。例如，2 這個值會封鎖類似 (cn=A*) 的搜尋。

注意

此屬性不影響 presence 篩選條件 (attrname=*)。若要禁止特定 presence 篩選條件，請使用禁止的比較組態。

限制為具有 DN 的樹狀子目錄。啟用此選項，並為所有操作指定樹狀子目錄的基礎。此選項具有 dn 語法。如果停用此選項，則沒有基礎下限的限制。

其目標項目位於或低於基礎項目下限的操作，都不會受此選項影響。如果目標項目高於基礎項目下限，且操作是樹狀子目錄搜尋，則系統會在將查詢傳送到伺服器之前重新寫入查詢，以將目標項目變更為基礎下限。如果目標項目不低於基礎下限或高於它，則系統會拒絕要求，並報告無此物件的錯誤。

例如，如果 [限制具有 DN 的樹狀子目錄] 設為：

o=sun, st=California, c=US

且收到樹狀子目錄搜尋 st=California, c=US，則會重新寫入搜尋，讓伺服器執行下列樹狀子目錄搜尋

o=sun, st=California, c=US

瀏覽。顯示對話方塊，以協助建構有效的 DN。

選取 [範圍] 標籤，並指定用戶端可在搜尋要求中指定的搜尋範圍。

[範圍] 標籤中的元素描述如下：

允許所有搜尋範圍。預設會啟用此選項，允許用戶端的所有搜尋範圍。

只允許 [基礎] 搜尋範圍。啟用此選項，只允許基礎搜尋範圍。

只允許 [基礎] 及 [單層次] 搜尋。啟用此選項，只允許基礎搜尋及單層次搜尋。

選取 [轉介] 標籤，並指定搜尋期間產生搜尋接續轉介時，要執行哪些動作。

[轉介] 標籤中的元素描述如下：

放棄轉介。預設會啟用此選項，以放棄搜尋期間產生的轉介。

將轉介轉送到用戶端。只有在轉送搜尋接續轉介時，才啟用此選項。

跟隨轉介並將結果傳回用戶端。啟用此選項，以跟隨並傳回搜尋接續轉介結果。搜尋接續轉介是轉介的一種特殊案例，其中的部份查詢可由所查詢的原始目錄伺服器來滿足，但是該目錄伺服器轉介的是具有更多資料且可滿足查詢的另一目錄伺服器。此選項可用來隱藏其命名內容由另一 LDAP 伺服器主控的目錄資訊樹狀目錄的一部份。它也可防止用戶端尋找此伺服器執行位置的網路位址和連接埠。

如果您要指定群組的屬性準則，請選取左邊框架的 [屬性]，然後在右邊框架指定適當的值。

[搜尋] 標籤中的元素描述如下：

此標籤是用來防止特定搜尋種類及比較作業到達 LDAP 伺服器。如果用戶端的要求受限於此限制，則 Directory Proxy Server 就會將存取權限不足的錯誤傳回用戶端。

允許任何屬性。預設會啟用此選項，以允許將所有屬性用於搜尋篩選條件和比較。

禁止下列屬性。啟用此選項，以指定用戶端無法用於搜尋篩選條件或比較要求的屬性名稱。

只允許下列屬性。啟用此選項，以指定可用於搜尋篩選條件或比較要求的屬性名稱。如果網路群組表格中有一或多個屬性值，且比較與任一項都不相符，則 Directory Proxy Server 就會拒絕要求。如果網路群組表格中沒有屬性，且屬性與任何屬性都不相符，則可由用戶端使用。例如，如果您只想讓用戶端搜尋 cn、dn 及 mail 屬性，則可將這些屬性加入表格。

新增。顯示對話方塊，以將屬性加入至表格中。您必須指定是否要禁止或允許這些屬性。

編輯。顯示對話方塊以編輯在表格中選取的屬性。

移除。將屬性從表格中移除。

選取 [重新命名] 標籤，並指定重新命名屬性的規則。

[重新命名] 標籤中的元素描述如下：

新增。顯示對話方塊，以將一或多個現有屬性重新命名內容新增至此網路群組將使用的下列表格。(請參閱。)

編輯。顯示對話方塊，以編輯選定屬性重新命名的內容。

移除。將屬性重新命名內容從表格中移除。

選取 [傳回] 標籤，並指定將伺服器所傳回之搜尋結果轉送至用戶端之前，套用到搜尋結果的限制。

[傳回] 標籤中的元素描述如下：

傳回所有屬性。預設會啟用此選項，並允許傳回所有屬性。

排除下列屬性。啟用此選項，以指定要從搜尋結果項目中排除的屬性名稱。

只傳回下列屬性。啟用此選項，以指定可從搜尋結果中傳回的屬性名稱 (如果有)。

如果傳回作為搜尋之一部份的屬性不在「只傳回下列屬性」表格中，就不會傳回。如果表格是空的，而且這些屬性不在「排除下列屬性」表格中，就會傳回。

新增。顯示對話方塊，以將屬性加入至表格中。您必須在上方指定是否要禁止或允許這些屬性。

編輯。顯示對話方塊以編輯在表格中選取的屬性。

移除。將屬性從表格中移除。

如果您要指定群組的轉介 (例如，群組是否會轉送、跟隨或放棄由伺服器傳回的轉介)，請選取左邊框架的 [轉介]，然後在右邊框架指定適當的值。

畫面上的元素描述如下：

放棄轉介。如果網路群組放棄由伺服器傳回的所有轉介，則可啟用此選項。

將轉介轉送到用戶端。預設會啟用此選項，以轉送由伺服器傳回的轉介。

跟隨轉介並將結果傳回用戶端。如果網路群組轉送由伺服器傳回的轉介，並將結果傳回用戶端，則可啟用此選項。

連結原則。當完成操作轉介且該轉介被跟隨時，此選項控制連結原則。

請注意， Directory Proxy Server 無法為使用 SASL 機制連結的用戶端重新執行連結。因此，如果指定 [必需] 且用戶端使用 SASL 機制來連結，則會拒絕轉介操作。

永遠。如果 Directory Proxy Server 在為連至此網路群組的用戶端跟隨轉介時應永遠匿名連結，請選取此選項。

任何。如果網路群組在用戶端使用密碼型連結，或以匿名連結時應該使用簡單連結，則可選取此選項。此選項為預設值。

必需。如果網路群組在用戶端沒有密碼型連結時應該拒絕轉介作業，則可選取此選項。

每一操作的轉介上限。輸入不小於零的整數值。這選項將會限制單一操作可跟隨的轉介上限數目。預設為 15。零值指出不會套用限制。

轉介 SSL 原則。為了啟用 [轉介 SSL 原則面板]，必須在加密檢視上啟用 [SSL 可用] 選項。

如果用戶端已建立 SSL 工作階段。如果網路群組只會在用戶端已利用 Directory Proxy Server 建立 SSL 工作階段時啟動 SSL，則可啟用此選項。此選項為預設值。

針對所有轉介。對於一個轉介，如果群組在轉送操作之前，先啟動 SSL 工作階段，則啟用 [針對所有轉介]。

如果您要指定群組的 [伺服器載入] 準則，請選取左邊框架的 [伺服器載入]，然後在右邊框架指定適當的值。

畫面上的元素描述如下：

每一連線的同時操作數量。選取此選項，以限制 Directory Proxy Server 每次在該群組中進行連線時，將處理的同時操作數量。該值是一個大於零的整數。如果沒有此屬性，則不會實施限制。例如，如果您將此值設為 1，則會強制該群組中的所有用戶端都執行同步 LDAP 操作。額外的同時要求 (除了放棄操作的要求之外) 將會失敗，並報告 [伺服器忙碌中] 的錯誤。

每一連線的操作總數。選取此選項，以限制 Directory Proxy Server 每次在群組中進行連線時，將允許的操作總數。該值是一個大於零的整數。如果用戶端在一次連線中超過其群組所允許的操作數量上限，則該連線會由 Directory Proxy Server 關閉。如果沒有此屬性，則不會設定限制。

連至此群組的連線。選取此選項，以限制連至此網路群組的同時連線數量，並指定數量。

每一 IP 位址的同時連線數量。選取此選項，以限制用戶端可從單一 IP 位址進行的同時連線數量。預設會允許任何連線數量。

按一下 [儲存] 以建立此群組。

Directory Proxy Server 組態已經修改，您必須重新啟動依賴本組態的伺服器。現在還不要重新啟動伺服器。您可以將所有的組態都變更過後再進行。

重複步驟 3 至步驟 24，以建立其他群組。

請到 [網路群組] 視窗 (請參閱步驟 2) 並適當排定群組的優先權。

若要重新啟動伺服器，請參閱。

修改群組

若要修改群組：

存取 Directory Proxy Server 組態編輯器主控台；請參閱。

在瀏覽樹狀目錄中，選取 [網路群組]。

右邊窗格會顯示現有的群組清單。

在清單中選取您要修改的群組，然後按一下 [編輯]。

進行必要的修改。

按一下 [儲存] 以儲存您的變更。

Directory Proxy Server 組態已經修改，您必須重新啟動依賴本組態的伺服器。現在還不要重新啟動伺服器。您可以將所有的組態都變更過後再進行。

重複步驟 3 至步驟 5，以修改其他群組。

若要重新啟動伺服器，請參閱。

刪除群組

您可以從 Directory Proxy Server 組態刪除任何不要的網路群組。若要刪除群組：

存取 Directory Proxy Server 組態編輯器主控台；請參閱。

在瀏覽樹狀目錄中，選取 [網路群組]。

右邊窗格會顯示現有的群組清單。

在清單中選取您要刪除的群組，然後按一下 [刪除]。

確認您的動作。

您刪除的群組名稱現在已經從清單上移除。 Directory Proxy Server 組態已經修改，您必須重新啟動依賴本組態的伺服器。現在還不要重新啟動伺服器。您可以將所有的組態都變更過後再進行。

重複步驟 3 及步驟 4，以刪除其他群組。

若要重新啟動伺服器，請參閱。

優先權	群組名稱	網路準則
5	Admin-machine	129.153.129.72
4	IT-management-subnet	129.153.120.0/24
3	Operations	.ops.sun.com
2	Catch-all	ALL
1	Trusted	0.0.0.0

準則	描述
負載平衡	讓您指定由負載平衡內容所代表的 LDAP 伺服器群組，Directory Proxy Server 組將 LDAP 要求轉送到該伺服器群組。 .
網路	讓您指定用戶端的連線細節資料及其他網路準則，將他們的要求排序，或篩選到適當的群組。
事件	讓您指定哪些事件要與群組產生關聯，如此群組中的用戶端才能在順利連結到指定目錄時，有效變更群組。顯示事件的現有物件清單；如需詳細資訊，請參閱。
加密	讓您指定群組的加密準則 (例如，指定用戶端是否能要求 SSL 工作階段)。
相容性	LDAP v2 規格 (RFC 1777) 不允許在同一工作階段中多次連結用戶端。然而，有些用戶端可預期使用此功能。您可以設定本選項與這些程式碼互通。
轉送	讓您指定將連結、比較、及其他 LDAP 要求傳送給伺服器的準則。
隱藏資料	讓您指定要對群組隱藏目錄中項目的哪些樹狀子目錄、項目、或屬性。顯示 [禁止的項目] 內容的現有物件清單；如需詳細資訊，請參閱。
搜尋	讓您指定群組的搜尋範圍及大小限制。顯示 [搜尋大小限制] 內容的現有物件清單；如需詳細資訊，請參閱。
屬性	讓您指定規則，防止特定搜尋種類及比較作業到達 LDAP 伺服器。顯示 [屬性重新命名] 內容的現有物件清單；如需詳細資訊，請參閱。
轉介	讓您指定群組是要轉送、跟隨或放棄由伺服器傳回的轉介。請注意，不實作 LDAPv3 的用戶端將無法了解轉送的轉介。此設定適用於所有轉介 (除了搜尋接續轉介之外)。
伺服器載入	讓您指定細節資料，例如連至群組的連線總數、每一連線的同時操作數量及操作總數、每一 IP 位址的同時操作數量等等。

上一章目錄索引下一章
版權所有 2003 Sun Microsystems, Inc. 保留所有權利。