Sun ONE Application Server 7 管理員指南 |
第 3 章
配置管理網域本章解釋透過 Sun ONE Application Server 設定與管理管理網域的方式。
本章包含以下主題:
關於管理網域管理領域提供一種基本的安全結構,不同的管理員可以藉此管理一台機器上應用程式伺服器實例的特定群組 (領域)。透過這種方法分割應用程式伺服器實例,便有可能在不同的組織之間共用一台機器,而且每個組織都有自己的管理員。
在 Sun One Application Server 內,每個應用程式伺服器實例都是某個領域中的成員。不需要存在多個領域,但如果需要,也支援多個領域,這是一項很有用的功能。
使用作業系統的基本安全性機制 (即,通過檔案許可權),可以為本機指令建立管理安全性。透過使用者名稱/密碼對與特定管理伺服器進行通訊,可以建立遠端指令安全性。管理網域不採用任何其他安全性建構。
本章節描述下列主題:
執行管理網域
領域是通過檔案、作業系統程序以及連接埠來執行的。每個領域都具有唯一名稱。
目錄結構
一個安裝版本內有多個由所有領域共用的檔案 (配置檔案、可執行檔案等等)。在這裡,重點討論領域特定的檔案。
所有領域特定的檔案都共用一個根目錄,該目錄稱為領域目錄,其名稱為領域名稱。在領域目錄下為每個實例對應一個目錄 (目錄依據實例命名),而每個實例目錄下為該實例特定的檔案。
領域目錄可以建構在檔案系統中的任意位置 (符合安全性許可權與作業系統層級的其他限制條件)。除非使用者另有選擇,否則,領域目錄將建構在預設目錄之下 (稱為領域目錄)。不過,使用者可以選擇在任意位置建立領域目錄。
程序/連接埠結構
領域在執行中會使用作業系統程序與連接埠。具體來說,對於在網域中執行的各個實例 (包括網域的管理伺服器),均存在一個程序與一個連接埠。
配置網域可以使用專用指令建立、刪除、列示、啟動或停用領域。
建立、刪除、啟動領域僅可以在本機執行,而列示與停用領域則既可以在本機執行,也可以從遠端執行。
全部的刪除、啟動與停止指令會佔用一個領域名稱。在只有一個領域的情況下,該名稱是可選的。如果在具有多個已配置領域的情況下仍不給定領域,指令便會發出一則錯誤訊息。
本章節包含下列主題:
建立網域
領域是使用 create-domain 指令建立的。該指令只可在本機使用。
提要:
asadmin create-domain [--path domain_path] [--sysuser sys_user] [--passwordfile file_name] --adminport port_number --adminuser admin_user --adminpassword password domain_name
範例:在預設位置建立領域
$ asadmin create-domain --adminport 123 --adminuser MyAdmin --adminpassword MyPassword MyDomain
本範例在預設位置建立名為 MyDomain 的領域 (即,領域目錄)。管理伺服器的偵聽連接埠為 123,管理使用者名稱為 MyAdmin,密碼為 MyPassword。下面的領域目錄與檔案將由執行該指令的作業系統使用者擁有。此外,作業系統程序將作為執行該指令的使用者來執行。
如果已經存在一個名為 MyDomain 的網域,便會傳回一則錯誤訊息。
(請注意,您可以將密碼放入檔案,在使用 --passwordfile 選項時使其通過驗證,而不必在指令行上使用該密碼,因為這樣做可能引發安全性問題)。
範例:在某個位置 (非預設位置) 建立領域
$ asadmin create-domain --path $HOME --adminport 123 --adminuser MyAdmin --adminpassword MyPassword MyDomain
本範例與第一個範例類似,只是現在網域目錄位於使用者的 $HOME 目錄之下,而不是位於預設的網域目錄之下。
範例:為其他使用者建立領域 (僅用於 UNIX)
# asadmin create-domain --user AnotherUser --adminport 123 --adminuser MyAdmin --adminpassword MyPassword MyDomain
本範例與第一個範例類似,只是領域與其檔案以及作業系統程序由名為 AnotherUser 的使用者所擁有。
使用 --sysuser 選項,使用者可以建構其他使用者可以在以後管理的領域。該選項要求執行 create-domain 指令的使用者必須為 root 使用者。
UNIX 平台上的使用者許可權
為了使非 root 使用者能夠建立與刪除管理領域,您必須在具有寫入領域配置檔案許可權的 UNIX 群組內加入該使用者的 ID:
- 建立將要套用於安裝領域配置檔案的 UNIX 群組。例如,名為 asadmin 的 UNIX 群組。
- 將位於 /etc/appserver 之下的安裝領域配置檔案設定為由新建的 UNIX 群組所擁有。
這些檔案被命名為 domains.bin 與 domains.lck。例如,變更之後,群組被指定給下列檔案:
-rw-r--r-- 1 root asadmin 0 Sep 18 14:34 domains.bin
-rw-r--r-- 1 root asadmin 0 Sep 18 14:34 domains.lck
- 啟用新建立的 UNIX 群組對這些檔案的寫入存取。在本範例中,最終許可權為:
-rw-rw-r-- 1 root asadmin 0 Sep 18 14:34 domains.bin
-rw-rw-r-- 1 root asadmin 0 Sep 18 14:34 domains.lck
- 在 UNIX 群組內加入使用者 ID。
或者,如果您不想使非 root 使用者具有寫入存取安裝配置檔案的權限,可以建立一個管理領域來代表使用者。建立新管理領域期間,指定 --sysuser 與 --path 選項來識別將擁有領域目錄和檔案的 UNIX 使用者 ID,以及識別管理領域的建立位置。如需有關範例,請參閱範例:為其他使用者建立領域 (僅用於 UNIX)。
一旦在使用者 ID 下建立了管理領域,則該使用者便可以建立新的應用程式伺服器實例,並在該實例上執行各種管理作業。使用者 ID 無需屬於具有管理領域配置檔案寫入權限的 UNIX 群組。只有在建立與刪除管理領域時才要求具有 UNIX 群組成員的身份。
刪除網域
領域是使用 delete-domain 指令刪除的。僅具有領域管理權限的作業系統使用者 (或 root 使用者) 才能成功地執行該指令。該指令只可在本機使用。
提要:
asadmin delete-domain [domain_name]
範例:刪除領域
$ asadmin delete-domain MyDomain
本範例刪除本端機器上名為 MyDomain 的領域。
列示網域
使用 list-domains 指令可以找到在機器上建立的領域。
該指令可以在本機執行,也可以從遠端執行。
提要:
asadmin list-domains [--host host] [--port port] [--password password] [--user user]
範例:列示本端機器上的領域
$ asadmin list-domains
domain1 [/opt/ias/build/domains/domain1]
範例:使用遠端選項列示本端機器上的領域
$ asadmin list-domains --user admin --password password --host localhost --port 4848
domain1 [/opt/ias/build/domains/domain1]
啟動網域
可以使用 start-domain 指令啟動領域。這會啟動領域的管理伺服器以及領域內所有其他實例。
該指令只可在本機執行。
提要:
asadmin start-domain [--domain domain_name]
範例:啟動機器上的唯一領域
$ asadmin start-domain
Instance domain1:admin-server started
Instance domain1:server1 started
Domain domain1 Started.
停用網域
可以使用 stop-domain 指令停用領域。使用者可以選擇停用領域內的任何一個實例,或停用管理伺服器以外的所有實例,如此便可從遠端管理領域。
該指令可以在本機執行,也可以從遠端執行。
提要:
asadmin stop-domain [--user admin_user] [--password admin_password] [--host host_name] [--port port_name] [-- local=false] [--domain domain_name] [--adminserv=true] [--passwordfile file_name] [--secure | -s]
範例:停用領域中除管理伺服器實例之外的所有實例
$ asadmin stop-domain --user admin --password password --host localhost --port 4848 --adminserv=false --domain domain1
DomainStoppedRemotely
重新建立網域註冊為了執行,每個領域的詳細資訊 (包括其名稱、位置、使用的連接埠等等) 都被記錄在名為領域註冊的檔案中。
在一般作業條件下,您無須直接處理領域註冊,因為系統管理指令完全封裝了所有對領域註冊的修改或使用。但是,由於領域註冊是一個檔案,所以可能被損壞 (例如,程序檔出錯,或某人不慎刪除了註冊等等),在這種情況下,您可能必須重新建立檔案。
如果註冊被損壞,請執行下列程序重新建立: