|
| |
| Sun Java System Directory Proxy Server 5 2004Q2 管理指南 | |
附錄 C
Directory Proxy Server 啟動組態檔本附錄包含 Directory Proxy Server 組態檔的資訊。包括:
組態檔概論tailor.txt 檔包含 Directory Proxy Server 要找到主要組態時,所需的啟動載入資訊。此檔中的指示會規定 Directory Proxy Server 的主要組態是要利用其他檔案,還是 Directory Proxy Server 會從 LDAP 伺服器取得主要組態。依預設,Directory Proxy Server 會在安裝實例目錄的 etc 子目錄中,尋找啟動 tailor.txt 組態檔。注意:利用指令行參數 -t,就可以讓 Directory Proxy Server 使用其他的檔案當作啟動組態檔。
啟動組態檔的功能是協助支援高可用性組態,可列出幾個聯絡點,用來檢索主要組態。啟動組態檔中利用二個關鍵字來描述聯絡點。Begin 和 End。Directory Proxy Server 會根據指定的次序處理聯絡資訊。Directory Proxy Server 在各個聯絡點上的動作,須根據指定的聯絡點類型而定 (LDAP URL 或檔案的絕對路徑名稱)。
Directory Proxy Server 會針對 LDAP URL 類型的聯絡點,嘗試聯絡指定的主機。如果主機不願或無法傳回組態,Directory Proxy Server 會嘗試下一個聯絡點 (如果有)。如果此主機傳回組態,Directory Proxy Server 就會編輯所傳回的內容,然後開始遵守主要組態的指示,如果組態被視為無效,就會中止執行。
Directory Proxy Server 會針對檔案類型的聯絡點,嘗試載入指定的檔案,當作自己的主要組態。如果遺漏所指定的組態或組態被視為無效,Directory Proxy Server 就會中止執行。Directory Proxy Server 如果碰到檔案類型的聯絡點,將不會嘗試移動到下一個聯絡點。
Directory Proxy Server 從 LDAP 主機檢索主要組態時,會在三個方式中選取之一來連結到主機:匿名、簡單、或使用 SASL。
若要完成匿名連結,需省略 configuration_bind_pw 及 configuration_bind_dn 指示。換句話說,您的啟動組態聯絡資訊只會指定 configuration_url 指令。
簡單連結要使用 configuration_bind_pw 及 configuration_bind_dn 兩個指示才能支援。
SASL 連結 需要指定 sasl_bind_mechanism、conguration_bind_pw 以及下列其中一個 (而且只能有一個) 指示:configuration_bind_dn 或 configuration_username。
啟動組態的關鍵字被列舉的每個聯絡點都使用 Begin 關鍵字來標示聯絡點項目的啟始。反過來說,每個聯絡點項目都是以 End 關鍵字來終止。啟動組態檔中規定的每個指示都以一行表示。啟動組態不會辨識也不支援連續行。組態的選項以選項來指定,後面跟著冒號及三個一組的值。
configuration_url
configuration_url 選項會指定 LDAP 目錄伺服器,以及儲存 Directory Proxy Server 組態的目錄中的項目辨別名稱,或指定 LDIF 格式的本機檔案。例如,如果 Directory Proxy Server 組態儲存在 ldap.sun.com 主機上的 LDAP 目錄中、且 LDAP 服務在連接埠 389 上執行、且 Directory Proxy Server 項目的辨別名稱是 ids-proxy-con-Server-Name=Directory Proxy Server,就應該把下列加入組態檔:
Begin
configuration_url:
ldap://ldap.sun.com:389/ids-proxy-con-Server-Name=Directory Proxy Server
End如果組態要保留在 LDAP 伺服器中,您也許需要在 ids-proxy-con-Server-Name=Directory Proxy Server 後面指定尾碼,才能繼續與主機目錄的命名內容相容。例如:
Begin
configuration_url:
ldap://ldap.sun.com:389/ids-proxy-con-Server-Name=Directory Proxy Server,
ou=services, dc=sun, dc=com
End組態檔中的每個啟動組態指示,都應該以連續的一行來指定。
組態儲存成 LDIF 格式的檔案時 (也就是說,<server-root>/dps-<hostname>/etc/tailor.ldif),就應該把下列加入組態檔:
Begin
configuration_url:
file://<server-root>/dps-<hostname>/etc/tailor.ldif#ids-proxy-con-Server-Name=Directory Proxy Server
Endconfiguration_bind_dn
configuration_bind_dn 選項會在Directory Proxy Server 連結至 configuration_url 選擇指定的 LDAP 伺服器時,指定要使用的辨別名稱。Directory Proxy Server 會以此辨別名稱執行簡單連結,並把 configuration_bind_pw 的值當作密碼。例如:
Begin
configuration_url:
ldap://ldap.sun.com:389/ids-proxy-con-Server-Name=Directory Proxy Server
configuration_bind_dn:cn=Directory Manager
configuration_bind_pw:encrypte
End如果 configuration_url 是「檔案」形式,就不需要 configuration_bind_dn 選項,而且會加以忽略。注意:configuration_bind_dn 及 configuration_username 指示互相排斥。
configuration_bind_pw
configuration_bind_pw 選項的功能是指定連結到 LDAP 目錄時要使用的密碼。此指示的功能是指定簡易或 SASL 連結時要使用的密碼。為了保持安全,必須保護組態檔不被他人未經授權讀取。如果 configuration_url 是「檔案」形式,就不需要 configuration_bind_pw 選項,而且會忽略。(請參閱 configuration_bind_dn 參考範例。)
configuration_username
configuration_username 選項會指定 Directory Proxy Server 連結到 configuration_url 選項中指定的 LDAP 伺服器時,要使用的使用者名稱。此選項只有在使用 SASL 連結機制時才會使用。注意:configuration_bind_dn 及 configuration_username 指示互相排斥。
Begin
configuration_url:
ldap://ldap.sun.com:389/ids-proxy-con-Server-Name=Directory Proxy Server
configuration_username:administrator
configuration_bind_pw:encrypte
sasl_bind_mechanism:CRAM-MD5
Endsasl_bind_mechanism
您可以根據您要 Directory Proxy Server 使用的 SASL 連結機制,將 sasl_bind_mechanism 選項設定為 CRAM-MD5 或 DIGEST-MD5。如果缺少這個選項,Directory Proxy Server 會執行簡單連結或匿名連結。DIGEST-MD5 提供的安全等級比 CRAM-MD5 高,但是 DIGEST-MD5 的普及率沒有 CRAM-MD5 高。