替换 ACI 的步骤

开始之前

在开始此过程之前，建议您先检查目录中现有的 ACI。您应确定是否可能需要保留任何将被此过程删除的 ACI。

此过程首先会从根后缀处删除全部 ACI，然后用下面列出的一组 ACI 来替换它们。如果目录中包含由 Messaging Server 以外的应用程序生成的 ACI，则应该将这些 ACI 保存到一个文件中，然后在应用 replacement.acis.ldif 文件后将这些 ACI 重新应用于目录。

要获得有关对 Access Manager 和 Messaging Server 生成的现有 ACI 进行分析的帮助，请参见本附录后面的以下几节：

• 对现有 ACI 的分析

• ACI 合并方式分析

• 要放弃的未使用的 ACI 列表

替换 ACI

以下过程描述了如何合并根后缀中的 ACI 并删除未使用的 ACI。

替换 ACI 的步骤

步骤

1. 保存根后缀上现有的 ACI。

   可以使用 ldapsearch 命令，如以下示例所示：

   ldapsearch -D “cn=Directory Manager” -w <password> -s base -b <$rootSuffix> aci=* aci ><filename>

   其中

   <password> 是 Directory Server 管理员的密码。

   <$rootSuffix> 是根后缀， 例如 o=usergroup。

   <filename> 是所保存 ACI 将被写入的文件的名称。

2. 复制并重命名 replacement.acis.ldif 文件。

   安装了 Delegated Administrator 后，就会将 replacement.acis.ldif 文件安装在以下目录中：

   da_base /lib/config-templates

3. 编辑您的 replacement.acis.ldif 文件副本中的 $rootSuffix 条目。

   将根后缀参数 $rootSuffix 更改为您的根后缀（例如 o=usergroup）。$rootSuffix 参数会在 ldif 文件中出现多次；必须将每个实例都替换掉。

4. 使用 LDAP 目录工具 ldapmodify 替换 ACI。

   例如，可以运行以下命令：

   ldapmodify -D <directory manager> -w <password> -f <replacement.acis.finished.ldif>

   其中

   <directory manager> 是 Directory Server 管理员的用户名。

   <password> 是 Directory Server 管理员的密码。

   <replacement.acis.finished.ldif> 是编辑后的 ldif 文件名，该文件用于合并和删除目录中的 ACI。

清除动态组织 ACI

使用 Delegated Administrator 控制台创建了一个组织后，就在该组织节点上创建了一组 ACI。

由于在上述过程中安装了替换 ACI，因此不需要每个组织上的这些 ACI。您可以通过使用 Access Manager 控制台来防止在每个组织节点上创建 ACI。

清除动态组织 ACI 的步骤

步骤

1. 作为 amadmin 登录到 AM 控制台。

   AM 控制台位于以下 url：

   http://< machine name>:<port >/amconsole

   其中

   <machine name> 是运行 Access Manager 的计算机

   <port> 是端口

2. 选择“服务配置”选项卡。

   默认情况下将显示“管理配置”页。

3. 在控制台右侧，向下滚动到“动态管理职责 ACI”。

4. 选择并删除“动态管理职责 ACI”文本框中的所有 ACI。

5. 保存编辑后的设置。