Sun Java System Access Manager 7 2005Q4 管理指南

附錄 B serverconfig.xml 檔案

serverconfig.xml 檔案提供有關以 Directory Server 做為資料存放區之 Sun Java™ System Access Manager 的配置資訊。本章說明該檔案的元素以及如何針對容錯移轉對其進行配置、如何具有多重實例、如何取消部署主控台以及如何從伺服器移除主控台檔案。包含以下小節：

簡介

serverconfig.xml 檔案位於 / AccessManager-base /SUNWam/config/ums。它包含 Identity SDK 建立 LDAP 連線池連至 Directory Server 時所用的參數。產品中的其他功能不使用此檔案。這個檔案中定義了兩個使用者：user1 為 Directory Server 代理使用者，user2 為 Directory Server 管理員。

代理使用者

代理使用者可以具備任何使用者的權限 (例如，組織管理員或一般使用者)。以連結至代理使用者之連線建立連線池。Access Manager 以 cn=puser,ou=DSAME Users,dc=example,dc=com 之 DN 建立代理使用者。此使用者用於所有針對 Directory Server 的查詢。它利用了已在 Directory Server 中配置的代理使用者 ACI，因此可在必要時代表使用者執行動作。它會保持一條開啟的連線，透過該連線傳遞所有的查詢 (服務配置、組織資訊的擷取等等)。代理使用者密碼一律會加密。代理使用者說明加密的密碼在 serverconfig.xml 中的位置。

範例 B–1 serverconfig.xml 中的代理使用者

<User name="User1" type="proxy">
<DirDN>
cn=puser,ou=DSAME Users,dc=example,dc=com
</DirDN>
<DirPassword>
AQICkc3qIrCeZrpexyeoL4cdeXih4vv9aCZZ
</DirPassword>
</User>

管理員使用者

dsameuser 用於連結，當 Access Manager SDK 在未連結至特定使用者的 Directory Server 上執行作業時使用 (例如，擷取服務配置資訊)。代理使用者會代表 dsameuser 執行這些作業，但是連結必須先驗證 dsameuser 憑證。安裝時，Access Manager 會建立 cn=dsameuser,ou=DSAME Users,dc=example,dc=com。代理使用者說明可在 serverconfig.xml 中的何處找到加密的 dsameuser 密碼。

範例 B–2 serverconfig.xml 中的管理員使用者

 <User name="User2" type="admin">
 <DirDN>
 cn=dsameuser,ou=DSAME Users,dc=example,dc=com
 </DirDN>
 <DirPassword>
 AQICkc3qIrCeZrpexyeoL4cdeXih4vv9aCZZ
 </DirPassword>
 </User>

server-config 定義類型文件

server-config.dtd 定義 serverconfig.xml 的結構。它位於 AccessManager-base /SUNWam/dtd。本節定義 DTD 的主要元素。MiscConfig 元素是 serverconfig.xml 檔案的範例。

iPlanetDataAccessLayer 元素

iPlanetDataAccessLayer 是根元素。它允許為每個 XML 檔案定義多個伺服器群組。其直接子元素為 ServerGroup 元素。它並未包含任何屬性。

ServerGroup 元素

ServerGroup 定義到一或多個 Directory Server 的指標。它們可以是主伺服器或副本伺服器。符合 ServerGroup 標準的子元素包括 Server 元素、User 元素、BaseDN 元素與 MiscConfig 元素。ServerGroup 的 XML 屬性是該伺服器群組的名稱，而 minConnPool 和 maxConnPool 則定義可為 LDAP 連線池開啟的最小 (1) 和最大 (10) 連線數。不支援定義多個 ServerGroup 元素。

備註 –

Access Manager 使用連線池存取 Directory Server。當 Access Manager 開啟後且尚未關閉時，所有連線都是開啟的。可以重複使用這些連線。

Server 元素

Server 定義特定 Directory Server 實例。它並未包含任何子元素。對伺服器、主機名稱、執行 Directory Server 的連接埠號、必須開啟的 LDAP 連線類型 (簡單或 SSL) 而言，Server 的必要 XML 屬性名稱都是使用者友善的。

備註 –

如需使用 Server 元素之自動容錯移轉的範例，請參閱容錯移轉或多主節點配置。

User 元素

User 包含的子元素定義為 Directory Server 實例配置的使用者。符合 User 標準的子元素包括 DirDN 和 DirPassword。其必要的 XML 屬性為使用者的名稱，以及使用者的類型。type 的值可用於確定使用者的權限和為 Directory Server 實例開啟的連線類型。選項包括：

auth—定義驗證到 Directory Server 的使用者。
proxy—定義 Directory Server 代理使用者。請參閱代理使用者以取得更多資訊。
rebind—定義具有可用來重新連結之憑證的使用者。
admin—定義具有 Directory Server 管理權限的使用者。請參閱管理員使用者以取得更多資訊。

DirDN 元素

DirDN 包含所定義使用者的 LDAP 辨別名稱。

DirPassword 元素

DirPassword 包含所定義使用者的已加密密碼。

注意 –

在部署過程中保持密碼與加密金鑰的一致性是很重要的。例如，此元素中定義的密碼亦會儲存在 Directory Server 中。如果變更了任一處的密碼，則必須在兩個地方都進行更新。此外，這個密碼是加密的。如果變更了 am.encryption.pwd 特性中定義的加密金鑰，則必須使用 ampassword --encrypt password 來重新加密 serverconfig.xml 中所有的密碼。

BaseDN 元素

BaseDN 定義伺服器群組的基本辨別名稱。它並未包含任何子元素與 XML 屬性。

MiscConfig 元素

MiscConfig 是定義任何 LDAP JDK 功能的預留位置，例如快取大小。它並未包含任何子元素。其必要的 XML 屬性是該功能的名稱及其定義值。

範例 B–3 serverconfig.xml

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<!--
 Copyright (c) 2002 Sun Microsystems, Inc. All rights reserved.

 Use is subject to license terms.

-->
<iPlanetDataAccessLayer>
        <ServerGroup name="default" minConnPool="1" maxConnPool="10">
                <Server name="Server1" host="
               ishost.domain_name" port="389"
type="SIMPLE" />
                <User name="User1" type="proxy">
                        <DirDN>
                                cn=puser,ou=DSAME Users,dc=example,dc=com
                        </DirDN>
                        <DirPassword>
                                AQICkc3qIrCeZrpexyeoL4cdeXih4vv9aCZZ
                        </DirPassword>
                </User>
                <User name="User2" type="admin">
                        <DirDN>
                                cn=dsameuser,ou=DSAME Users,dc=example,dc=com
                        </DirDN>
                        <DirPassword>
                                AQICkc3qIrCeZrpexyeoL4cdeXih4vv9aCZZ
                        </DirPassword>
                </User>
                <BaseDN>
                        dc=example,dc=com
                </BaseDN>
        </ServerGroup>
</iPlanetDataAccessLayer>

容錯移轉或多主節點配置

Access Manager 允許自動容錯移轉至任何在 serverconfig.xml 中定義為ServerGroup 元素和Server 元素之 Directory Server。可以為容錯移轉或多主節點配置多部伺服器。如果第一部配置的伺服器關閉，則第二部配置的伺服器會接管。容錯移轉或多主節點配置說明具有自動容錯移轉配置的 serverconfig.xml。

範例 B–4 在 serverconfig.xml 中配置容錯移轉

<?xml version="1.0" encoding="ISO-8859-1" standalone="yes"?>
<!--
PROPRIETARY/CONFIDENTIAL. Use of this product is subject to license terms.
Copyright 2002 Sun Microsystems, Inc. All rights reserved.
-->
<iPlanetDataAccessLayer>
     <ServerGroup name="default" minConnPool="1" maxConnPool="10">
          <Server name="Server1" host="
            amhost1.domain_name" port="389" type="SIMPLE" />
          <Server name="Server2" host="
            amhost2.domain_name" port="389" type="SIMPLE" />
          <Server name="Server3" host="
            amhost3.domain_name" port="390" type="SIMPLE" />
          <User name="User1" type="proxy">
               <DirDN>
                    cn=puser,ou=DSAME Users,dc=example,dc=com
               </DirDN>
               <DirPassword>
                    AQIC5wM2LY4Sfcy+AQBQxghVwhBE92i78cqf
               </DirPassword>
          </User>
          <User name="User2" type="admin">
               <DirDN>
                    cn=dsameuser,ou=DSAME Users,dc=example,dc=com
               </DirDN>
               <DirPassword>
                    AQIC5wM2LY4Sfcy+AQBQxghVwhBE92i78cqf
               </DirPassword>
          </User>
          <BaseDN>
               o=isp
          </BaseDN>
     </ServerGroup>
</iPlanetDataAccessLayer>