|
| |
| Sun Java System Directory Proxy Server 5 2004Q2 管理指南 | |
附錄 A
Directory Proxy Server 決策功能本附錄說明 Directory Proxy Server 中,某些特定功能的控制流程。包括:
連線時建立群組用戶端連線到 Directory Proxy Server 時,會檢查 ids-proxy-sch-NetworkGroup 物件項目中的 ids-proxy-con-Client 屬性,直到找到相符項目為止。系統會以 ids-proxy-con-priority 屬性所定義的最高到最低的優先順序,來嘗試 ids-proxy-sch-NetworkGroup 物件。Directory Proxy Server 將用戶端放在其 ids-proxy-con-client 屬性符合此用戶端 IP 位址的第一個群組。如果沒有符合的群組,就會關閉連線。
連結時變更群組用戶端開始連線時,會根據其 IP 位址放在某個群組中。用戶端與目錄建立連結時,便可根據不同的存取控制措施,移動到不同的群組。為了達成這個目的,初始的群組物件必須包含規則物件,在順利完成連結作業時加以評估。如果規則評估為 TRUE,便會採取變更群組動作,將用戶端移動到其他群組。圖 A-1 說明此功能。
圖 A-1 連結時變更群組
設定連結時變更群組
下列步驟說明如何設定 Directory Proxy Server,以便在使用簡單連結驗證機制時,在 cn=Directory Manager 連結成功後變更群組。
若要設定連結時變更群組
- 建立新的 [網路群組],讓連結成功後的 user cn=Directory Manager 移動過去。如需詳細資訊,請參閱建立群組。如果只能用手動變更的方式才能讓某個使用者成為此群組的一部份,請在 [網路群組] 面板的 [網路] 標籤中設定 [無 IP 連結]。也請確定此群組在允許某些 IP 連結的其他 [網路群組] 之後。
- 建立新 [變更群組] 動作。如需詳細資訊,請參閱建立動作物件。設定變更為您在步驟 1 中建立的群組名稱。將 [if DN matches] 設定為 [cn=Directory Manager]。您也可以將其他的所有項目設定成 NONE (不要變更群組),也就是 .*。
- 建立連結後續事件。如需詳細資訊,請參閱建立事件物件。在 [動作] 標籤上,將它設定為您在步驟 2 中建立的變更群組動作。在 [條件] 標籤上,選擇 [密碼型連結]。
- 在步驟 1 建立的 [網路群組] 中之 [事件] 標籤上,選取您在步驟 3 建立的 [連結後續] 事件。如需詳細資訊,請參閱修改群組。
建立 TLS 時變更群組建立 TLS 時變更群組與建立連結機制時變更群組類似,用戶端可以在順利建立 TLS 工作階段時變更群組。用戶端建立 TLS 時,系統會評估 [已建立的 SSL] 規則,隨後就會有 [變更群組] 動作。圖 A-2 說明此功能。
圖 A-2 建立 TLS 時變更群組
高可用性安裝如果您已經設定一個以上的後端目錄伺服器,便可安裝 Directory Proxy Server 讓這些伺服器負載平衡,而且如果其中一個後端伺服器故障,就可以防故障備用模式至另一個。為了達成這個目的,您必須建立 [負載平衡內容] (請參閱負載平衡內容,並將您要負載平衡的伺服器包含到群組物件中。您也必須建立 [LDAP 伺服器內容] (請參閱 LDAP 伺服器內容) 對每個後端伺服器的說明,並包含到 [負載平衡內容] 中。您必須在 [負載平衡內容] 物件中,指定每個後端伺服器所佔的總負載百分比。有了這個設定,如果其中一個後端目錄伺服器故障,Directory Proxy Server 就會重新分配負載。系統會在第一個伺服器故障時,將一部伺服器上的用戶端防故障備用模式至另一部伺服器。Directory Proxy Server 也會在自己與 LDAP 伺服器之間的網路斷線時,或 LDAP 伺服器未回應時,進行防故障備用模式。
跟隨轉介LDAPv2 用戶端無法自行跟隨轉介時,可以設定讓 Directory Proxy Server 代為跟隨轉介。您的後端 LDAP 目錄伺服器必須能傳送轉介,也就是說,必須支援 LDAP v3 標準。設定讓 Directory Proxy Server 與後端 LDAP 伺服器使用 LDAP v3,才能讓 Directory Proxy Server 從目錄伺服器接收轉介。然後設定您的群組轉介及接續轉介原則。
