配置管理用户

目录服务器包含默认的管理用户，即目录管理员和 cn=admin,cn=Administrators,cn=config 用户。这两个用户具有相同的访问权限，但 cn=admin,cn=Administrators,cn=config 受 ACI 控制。

本部分说明如何创建具有超级用户权限的管理用户，以及如何配置目录管理员。

创建具有超级用户权限的管理用户

如果要创建与 cn=admin,cn=Administrators,cn=config 具有相同权限的新管理用户，请在 cn=Administrators,cn=config 组中创建新用户。此组中的所有用户都受全局 ACI 控制，此 ACI 允许具有与目录管理员相同的访问权限。

无法使用 DSCC 执行此任务。请使用命令行，如以下过程所述。

1. 创建新的管理用户。

   例如，要创建新用户 cn=Admin24,cn=Administrators,cn=config，请键入：

   $ ldapmodify -h host1 -p 1389 -D cn=admin,cn=Administrators,cn=config -w - dn: cn=admin24,cn=Administrators,cn=config changetype: add objectclass: top objectclass: person userPassword: password description: Administration user with the same access rights as Directory Manager.

   -D 和 -w 选项分别提供具有此条目创建权限的用户的绑定 DN 和密码。

配置目录管理员

目录管理员是具有特权的服务器管理员，与 UNIX 系统上的 root 类似。访问控制不适用于目录管理员。

大多数管理任务都不需要使用目录管理员。您可以使用 cn=admin,cn=Administrators,cn=config 用户或者在 cn=Administrators,cn=config 下创建的任何其他用户。需要使用目录管理员的任务只包括更改根 ACI 和复制故障排除任务（如修复复制和搜索逻辑删除）。

可以更改目录管理员的 DN 和密码，以及创建可供自动读取密码的文件。

无法使用 DSCC 执行此任务。请使用命令行，如以下过程所述。

1. 查找现有的目录管理员 DN。

   $ dsconf get-server-prop -h host -p port root-dn root-dn:cn=Directory Manager

2. 根据需要修改目录管理员设置。

   • 要修改目录管理员 DN，请键入：

     $ dsconf set-server-prop -h host -p port root-dn:new-root-dn

     如果目录管理员 DN 中存在空格，请使用引号。例如：

     $ dsconf set-server-prop -h host1 -p 1389 root-dn:"cn=New Directory Manager"

   • 要更改目录管理员密码，请键入：

     $ dsconf set-server-prop -h host -p port root-pwd:new-root-dn-password

     如果出于安全考虑，您不希望将明文密码作为命令行参数进行传递，可创建一个用于设置密码的临时文件。

     $ echo password > /tmp/pwd.txt

     此文件只读取一次，并存储密码以供将来使用。请设置服务器根密码文件属性。

     $ dsconf set-server-prop -h host -p port root-pwd-file:/tmp/pwd.txt

     此命令将提示服务器读取密码文件。请在设置密码文件属性之后删除临时密码文件。

     $ rm /tmp/pwd.txt