本部分包含可用于将请求从目录代理服务器转发到后端 LDAP 服务器的各种方法的相关信息。
有关目录代理服务器中客户端证书绑定重放的信息,请参见《Sun Java System Directory Server Enterprise Edition 6.3 Reference》中的“Directory Proxy Server Configured for BIND Replay”。以下过程介绍如何使用绑定重放将请求从目录代理服务器转发到后端 LDAP 服务器。
可使用 DSCC 执行此任务。有关信息,请参见目录服务控制中心界面和 DSCC 联机帮助。
配置数据源客户端证书,以便使用客户端提供的证书通过后端 LDAP 服务器的验证。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ client-cred-mode:use-client-identity |
有关目录代理服务器中代理授权的信息,请参见《Sun Java System Directory Server Enterprise Edition 6.3 Reference》中的“Directory Proxy Server Configured for Proxy Authorization”。
本部分包含的过程将使用代理授权和代理授权控件来转发请求。
将数据源配置为接受版本 1 或版本 2 的代理授权控件。
例如,将数据源配置为接受版本 1 的代理授权控件。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ proxied-auth-use-v1:true |
或者,将数据源配置为接受版本 2 的代理授权控件。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ proxied-auth-use-v1:false |
将数据源配置为使用代理授权通过到后端 LDAP 服务器的验证。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ client-cred-mode:use-proxy-auth |
要将数据源配置为使用只有写入操作权限的代理授权来通过后端 LDAP 服务器的验证,请运行以下命令:
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ client-cred-mode:use-proxy-auth-for-write |
使用代理授权控制执行只写操作时,客户端标识不会转发到 LDAP 服务器以用于读取请求。有关转发无客户端标识的请求的详细信息,请参见转发无客户端标识的请求。
使用目录代理服务器的绑定证书配置数据源。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ bind-dn:DPS-bind-dn bind-pwd-file:filename |
将数据源配置为启用超时。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ proxied-auth-check-timeout:value |
目录代理服务器使用 getEffectiveRights 命令验证客户端 DN 是否具有代理授权的相关 ACI。结果将缓存在目录代理服务器中,并在 proxied-auth-check-timeout 过期时进行更新。
重新启动目录代理服务器实例以使更改生效(如有必要)。
有关重新启动目录代理服务器的信息,请参见重新启动目录代理服务器。
可使用 DSCC 执行此任务。有关信息,请参见目录服务控制中心界面和 DSCC 联机帮助。
将目录代理服务器配置为接受版本 1 和/或版本 2 的代理授权控件。
$ dpconf set-server-prop -h host -p port allowed-ldap-controls:proxy-auth-v1 \ allowed-ldap-controls:proxy-auth-v2 |
以下过程介绍如何将请求从目录代理服务器转发到后端 LDAP 服务器,而不转发客户端标识。
可使用 DSCC 执行此任务。有关信息,请参见目录服务控制中心界面和 DSCC 联机帮助。
将数据源配置为使用目录代理服务器证书通过后端 LDAP 服务器的验证。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ client-cred-mode:use-specific-identity |
使用目录代理服务器的绑定证书配置数据源。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ bind-dn:bind-dn-of-DPS bind-pwd-file:filename |
重新启动目录代理服务器实例以使更改生效(如有必要)。
有关重新启动目录代理服务器的信息,请参见重新启动目录代理服务器。
可使用 DSCC 执行此任务。有关信息,请参见目录服务控制中心界面和 DSCC 联机帮助。
启用要以备用用户身份转发的操作。
$ dpconf set-server-prop -h host -p port enable-user-mapping:true |
指定包含远程映射 ID 的属性名称。
$ dpconf set-server-prop -h host -p port \ remote-user-mapping-bind-dn-attr:attribute-name |
将目录代理服务器配置为远程映射客户端 ID。
$ dpconf set-server-prop -h host -p port enable-remote-user-mapping:true |
配置默认映射。
$ dpconf set-server-prop -h host -p port \ user-mapping-default-bind-dn:default-mapping-bind-dn \ user-mapping-default-bind-pwd-file:filename |
如果在远程 LDAP 服务器上找不到映射的标识,则客户端标识将映射到默认标识。
在远程 LDAP 服务器上的客户端条目中配置用户映射。
有关在目录服务器中配置用户映射的信息,请参见代理授权。
可使用 DSCC 执行此任务。有关信息,请参见目录服务控制中心界面和 DSCC 联机帮助。
启用要以备用用户身份转发的操作。
$ dpconf set-server-prop -h host -p port enable-user-mapping:true |
确保未将目录代理服务器配置为远程映射客户端 ID。
$ dpconf set-server-prop -h host -p port enable-remote-user-mapping:false |
配置默认映射。
$ dpconf set-server-prop -h host -p port \ user-mapping-default-bind-dn:default-mapping-bind-dn \ user-mapping-default-bind-pwd-file:filename |
如果远程 LDAP 服务器上的映射失败,客户端 ID 将映射到此 DN。
如果允许未经验证的用户执行操作,请为未经验证的客户端配置映射。
$ dpconf set-server-prop -h host -p port \ user-mapping-anonymous-bind-dn:anonymous-mapping-bind-dn \ user-mapping-anonymous-bind-pwd-file:filename |
有关如何允许未经验证的用户执行操作的信息,请参见配置匿名访问。
配置客户端 ID。
$ dpconf set-user-mapping-prop -h host -p port \ user-bind-dn:client-bind-dn user-bind-pwd-file:filename |
配置备用用户 ID。
$ dpconf set-user-mapping-prop -h host -p port \ mapped-bind-dn:alt-user-bind-dn mapped-bind-pwd-file:filename |
可使用 DSCC 执行此任务。有关信息,请参见目录服务控制中心界面和 DSCC 联机帮助。
为未经验证的客户端配置映射。
$ dpconf set-server-prop -h host -p port \ user-mapping-anonymous-bind-dn:anonymous-mapping-bind-dn \ user-mapping-anonymous-bind-pwd-file:filename |
将在目录代理服务器中配置匿名客户端映射,因为远程 LDAP 服务器中不包含匿名客户端条目。
有关允许未经验证的用户执行操作的信息,请参见配置匿名访问。