|
| |
| Sun Java(TM) System Directory Proxy Server 5.2 2005Q1 管理指南 | |
第 7 章
创建和管理组当 LDAP 客户机从 LDAP 目录请求服务时,它将连接到 Directory Proxy Server,后者在客户机配置文件中识别客户机的访问权限,确定是否允许该客户机从目录请求服务,施加配置的限制,然后将请求转发到相应的目录。本章说明如何配置 Directory Proxy Server 以识别客户机及使用 Directory Proxy Server 配置编辑器控制台施加任意限制。
本章包含以下几个部分。
组概述Directory Proxy Server 网络组对于了解 Directory Proxy Server 如何工作非常关键 - 它们定义 Directory Proxy Server 应如何识别 LDAP 客户机及 Directory Proxy Server 应对与该组匹配的客户机施加哪些限制。必须清楚地了解 Directory Proxy Server 组,以便使用它们有效地控制 LDAP 客户机的目录访问。
使用网络组识别以下项目:
Directory Proxy Server 通过尝试将连接的原始特性与组的条件相匹配来确定客户机的组成员资格。服务器按优先级的降序(从最高到最低的优先级)检查当前配置的组。满足连接的原始特性的第一个网络组条件将接收该连接。为此,必须根据一般和特殊条件创建单独的组,并按从最特殊到最普通的优先级对这些组排序。
如果未找到与客户机匹配的组,那么客户机的请求将被拒绝并且连接将关闭。为此,Directory Proxy Server 配置中必须至少存在一个组条目。
组的优先级顺序由其在 Directory Proxy Server 配置编辑器控制台“网络组”窗口中的位置指定(请参见图 7-1)。在此窗口中,列表底端组的优先级低于顶端组的优先级。未定义使用相同优先级计算组的顺序。
图 7-1 Directory Proxy Server 配置编辑器控制台:网络组
请注意,首先根据客户机所连接的网络地址(如 IP 地址和/或域名)将其识别到某个组中。客户机在成功绑定后可更改它们的组;有关详细信息,请参见创建和管理事件对象。客户机获得某组中的成员资格后,就意味着该组的所有属性都将应用于客户机。
图 7-2 说明了 Directory Proxy Server 如何计算组以响应客户机的查询。
图 7-2 确定组成员资格的 Directory Proxy Server 决策树
组的网络条件可基于以下条件:
请注意,如果域名后缀规则用于识别客户机,则请确保将 DNS 设置为返回 DNS 查询的全限定名称。如果返回短名称,则此功能将不起作用。
要进一步了解 Directory Proxy Server 如何计算组,请查看表 7-1 中列出的示例组。该表显示了 5 个组,根据特殊到普通的网络条件创建,并按优先级的降序列出。
表 7-1 示例组
优先级
组名
网络条件
5
Admin-machine
129.153.129.72
4
IT-management-subnet
129.153.120.0/24
3
Operations
.ops.sun.com
2
Catch-all
ALL
1
Trusted
0.0.0.0
当 LDAP 客户机从 LDAP 目录请求服务时,Directory Proxy Server 将检查该请求是否来自 IP 地址 129.153.129.72。如果不是,Directory Proxy Server 检查该请求是否匹配 129.153.129.0/24。如果不匹配,Directory Proxy Server 检查该请求是否源自 .ops.sun.com。如果不是,Directory Proxy Server 将该连接放在 catch-all 组中,然后移到决策树的下一步(请参见图 7-2)。
图 7-3 显示的是 Directory Proxy Server 配置编辑器控制台的一部分,您可在其中创建组。
图 7-3 Directory Proxy Server 网络组定义
表 7-2 汇总了可在创建网络组时指定的条件。
表 7-2 网络组的可用条件列表
条件
说明
负载平衡
使您可以指定一组由负载平衡属性表示的 LDAP 服务器,该组将 LDAP 请求转发到此 LDAP 服务器组。负载平衡属性。
网络
使您可以为客户机指定连接详细信息和其他网络条件,以便将它们的请求排序或过滤到相应的组中。
事件
使您可以指定与组关联的事件(如果有),以便该组中的客户机成功绑定到指定目录后能够有效地更改组。显示事件的现有对象列表;有关详细信息,请参见创建组。
加密
使您可以为组指定加密条件(例如,指定客户机是否可以请求 SSL 会话)。
兼容性
LDAP v2 规范 (RFC 1777) 不允许客户机在一个会话中绑定多次。然而,某些客户机却希望具有此功能。此选项可设置为与这些客户机进行互操作。
转发
使您可以指定将绑定、比较和其他 LDAP 请求传递给服务器的条件。
数据隐藏
使您可以指定目录中哪些子树、条目或条目的特性将在组中隐藏。显示“禁止的条目”属性的现有对象列表;有关详细信息,请参见禁止的条目属性。
搜索
使您可以指定搜索组的范围和大小限制。显示“搜索大小限制”属性的现有对象列表;有关详细信息,请参见搜索大小限制属性。
特性
使您可以指定阻止某些搜索种类和比较操作应用于 LDAP 服务器的规则。显示“特性重命名”属性的现有对象列表;有关详细信息,请参见特性重命名属性。
引荐
使您可以指定组是否应转发、跟随还是放弃服务器返回的引用。请注意,不执行 LDAPv3 的客户机将不识别转发引用。该设置适用于除搜索持续引用之外的所有引用。
服务器负载
使您可以指定详细信息,如组连接的总数、每个连接的同时操作数和总操作数、每个 IP 地址的同时操作数等。
创建组本节说明如何使用 Directory Proxy Server 配置编辑器控制台创建组。在开始创建组之前,请先阅读组概述并了解 Directory Proxy Server 组的重要性。在创建所需的组并按优先级排序后,请先测试该配置以查看组能否按要求过滤客户机请求。
请注意,创建网络组时您有机会指定各种条件。本节所提供的说明按其在用户界面中出现的顺序显示了所有这些条件,并根据您的判断设置组的相应条件。
在 Directory Proxy Server 中创建网络组
- 访问 Directory Proxy Server 配置编辑器控制台,如访问 Directory Proxy Server 控制台中所述。
- 在导航树中,选择“网络组”。
右侧窗格将显示现有组的列表。
- 单击“新建”。
“网络组”窗口随即出现。
- 在“名称”字段中,键入组名称。名称必须是唯一的字母数字字符串。
- 请确保选中了“已启用”选项;缺省情况下,该选项处于选中状态。对于是 Directory Proxy Server 配置一部分的组而言,必须选中此选项。取消选择此选项将禁用配置中的组。
- 如果需要,可从下拉菜单中指定负载平衡属性。该属性会识别此组将 LDAP 请求转发到的 LDAP 服务器组,以便使用“负载平衡”属性处理客户机的请求。相关的下拉列表显示“负载平衡”属性的现有对象,如负载平衡属性中所述。选择相应的对象。缺省情况下,不选中任何对象(<无>)。如果没有对象,则可通过单击“新建”按钮立即创建。
新建。显示新建“负载平衡”属性的对话框。
编辑。显示编辑现有“负载平衡”属性的对话框。
- 要指定组的网络条件以便排序或过滤请求,请选择左侧框中的“网络”。然后参考屏幕上的元素说明指定相应的网络值,如下所示:
指定连接器超时值。缺省情况下,不显示值,这也意味着连接未超时。
对连接客户机启用反向 DNS 查找。
选择“启用 TCP 无延迟”。
定义“客户机网络绑定条件”。
该屏幕上的元素说明如下:
指定连接超时。选择此框以输入一个客户机不活动时间段,经过这段时间后,Directory Proxy Server 可以关闭到该客户机的连接。该值必须为数字(以秒为单位),通常为 120 或更大。缺省情况下,不显示值,这也意味着连接未超时。请注意,如果未启用 TCP 保活,则必须具有此特性才能防止 Directory Proxy Server 不被断开的客户机连接阻塞。
对连接客户机执行反向 DNS 查找。缺省情况下,该选项处于启用状态。
如果禁用了反向 DNS 查找,则 Directory Proxy Server 不会通过执行反向 DNS 查找来查找连接客户机的域名。
如果启用了反向 DNS 查找,但是连接客户机的域名不在 DNS 中,则 Directory Proxy Server 将关闭与客户机的连接。
禁用反向 DNS 查找有时可以大大提高 Directory Proxy Server 的性能。如果已经将域名或域名后缀用作“客户机网络绑定条件”中的值,则绝不能禁用反向 DNS 查找,否则 Directory Proxy Server 将无法正常工作。必须配置 DNS 才能返回完整的主机名以查找查询。
启用 TCP 无延迟。缺省情况下,该选项处于启用状态。如果禁用该选项,则 Directory Proxy Server 将对服务器自身与此组中的客户机之间的连接禁用 Nagle 算法。只有 Directory Proxy Server 和客户机之间的网络带宽很小时,才应禁用“TCP 无延迟”;然而,这可能导致性能大大降低。
客户机网络绑定条件。使用此部分可以指定哪些客户机可以在本网络组中进行绑定。
无 IP 绑定。只有当客户机绑定到组时进行切换的情况下,才选择该选项。缺省情况下,此选项处于选中状态。如果组仅用于客户机绑定时进行切换,则取消选中该选项。
从任何网络主机绑定。如果允许所有主机与此网络组进行绑定,则选择该选项。
通过下列网络条件来绑定。选择该选项可指定与网络组匹配的主机域名或 IP 地址;此时,组必须指定将要绑定到的主机域名或 IP 地址。
添加。显示添加网络条件的对话框。有下面四个选项:“域名”、“IP 地址”、“IP 地址和位”和“IP 地址和 Quad”。
编辑。显示编辑网络条件的对话框。
移除。显示移除网络条件的对话框。
域名对话框。指定可以绑定到网络组的客户机的域名后缀或全名,例如,foo.sun.com。请注意,缺省情况下,Directory Proxy Server 不假定任何域名后缀;因此必须提供完整域名。带有前导句点的域名后缀(例如,.sun.com)将使其域名以该后缀结尾的所有主机都匹配。
另外还要注意,如果域名后缀规则用于识别客户机,那么请确保将 DNS 设置为返回 DNS 查询的全限定名称。如果返回短名称,则此功能将不起作用。
IP 地址。指定以小数点形式表示的单个 IP 地址,例如,198.214.11.1。
IP 地址和位。指定以<网络号>/<掩码位>形式表示的 IP 网络掩码。例如,198.241.11.0/24。前半部是网络号,后半部表示匹配所必需的网络号的位数。
IP 地址和 Quad。指定以小数点 Quad 对形式表示的 IP 网络掩码,例如,198.241.11.0/255.255.255.128。前半部是网络号,后半部表示匹配所必需的网络号的位数。例如,198.214.11.0/255.255.255.128 将与 IP 地址为 198.214.11.63 的主机匹配,但不匹配 IP 地址为 198.214.11.191 的主机。
请注意,使用域名或域名后缀要求启用“对连接客户机执行反向 DNS 查找”。
- 要将事件驱动的操作与组关联(例如,将客户机从一个组更改到另一个组),请选择左侧框中的“事件”并在右侧框中指定相应的值。
该屏幕上的元素说明如下:
绑定后续操作。下拉列表显示了 OnBindSuccess 事件的现有对象,如创建 OnBindSuccess 事件对象中所述。选择客户机成功完成绑定操作后将执行的对象名称。缺省情况下,不选中任何对象(<无>)。如果没有对象,则可通过单击“新建”按钮立即创建。
SSL 后续操作。下拉列表显示了 OnSSLEstablished 事件的现有对象,如创建 OnSSLEstablished 事件对象中所述。选择客户机成功建立 SSL 会话后将执行的对象名称。如果没有对象,则可通过单击“新建”按钮立即创建。
编辑。显示编辑事件行为的对话框。
新建。显示新建事件的对话框。
- 要指定组的加密条件(例如,要指定客户机是否可以请求 SSL 会话),请选择左侧框中的“加密”并在右侧框中指定相应的值。
该屏幕上的元素说明如下:
客户机 SSL 策略。配置客户机 SSL 策略。
不要使用 SSL。如果不希望使用 SSL 加密,则选择此选项。
客户机可请求 SSL 会话。如果组中的客户机将通过请求 SSL 来建立 SSL 会话,则选择此选项。
客户机必需建立 SSL 会话。如果组中的客户机必须建立 SSL 会话后才能执行任意操作,则选择此选项。
引荐 SSL 策略。跟随引用时配置 SSL 策略。
不要使用 SSL。如果不希望使用 SSL 加密,则选择此选项。
如果客户机已经建立了 SSL 会话,则建立 SSL 会话。如果启用了该选项,并且如果客户机已经与 Directory Proxy Server 建立了 SSL 会话,则 Directory Proxy Server 将只启动该组客户机的 SSL。
为所有引荐建立 SSL 会话。对于引用而言,如果 Directory Proxy Server 将在转发操作前启动 SSL 会话,则启用此选项。
- 要指定组的兼容性条件(例如,允许客户机在一个会话中绑定多次),请选择左侧框中的“兼容性”并在右侧框中指定相应的值。
该屏幕上的元素说明如下:
使 LDAP v2 客户机在一个会话中绑定多次。LDAP v2 规范 (RFC 1777) 不允许客户机在一个会话中绑定多次。然而,某些客户机却希望具有此功能。如果希望该组允许客户机提交带有特性请求列表中的一个或多个特性(作为 NULL)的搜索请求,则选择该选项。该兼容性功能允许 Directory Proxy Server 与某些中断的基于 JAVA 的客户机进行互操作。请注意,特性请求列表中的 NULL 特性名称与 LDAP 协议相违背。缺省情况下,此选项设置为 TRUE。
使客户机提交带空特性类型名称的请求。如果即使请求未识别其特性类型名,也希望组允许客户机提交这些请求,则选择此选项。
- 要指定组的请求转发条件,请选择左侧框中的“转发”并在右侧框中指定相应的值。
当 Directory Proxy Server 已经从客户机接受了连接并匹配了某个组后,它将等待客户机发送 LDAP 操作。Directory Proxy Server 使用“客户机 DN”、“允许匿名绑定”、“允许简单绑定”和“允许 SASL 绑定”来决定是将绑定请求传递给服务器,还是拒绝绑定请求并关闭客户机的连接。
如果客户机的绑定通过了已启用的测试,则 Directory Proxy Server 就会将其转发给服务器。如果服务器接受绑定,则建立连接。然而,如果服务器返回了绑定请求的错误提示,则 Directory Proxy Server 会将该错误提示转发给客户机,而且如果客户机正在使用 LDAPv2,则将关闭到客户机的连接。
“绑定”选项卡中的元素说明如下:
允许所有客户机。缺省情况下,该选项处于启用状态,即允许所有客户机的访问。
拒绝具有非从属性 DN 的客户机。如果希望组检查标识名 (DN),则选择此选项。在其绑定中提供了非从属于该指定 DN 的标识名的任何客户机都将被拒绝。使用“浏览”按钮浏览 LDAP 目录以便构造 DN。
允许匿名绑定。缺省情况下,该选项处于启用状态,此时即使客户机未提供密码也允许绑定。禁用该选项将禁止匿名绑定。
允许简单绑定。缺省情况下,该选项处于启用状态,即允许客户机提供明文密码。禁用该选项将禁止明文密码验证的绑定请求。
允许 SASL 绑定。缺省情况下,该选项处于启用状态,它指定允许 SASL 绑定。禁用该选项将禁止 SASL 验证。
- 选择“操作”选项卡并指定允许转发的操作。
缺省情况下,Directory Proxy Server 将转发搜索和比较请求。Directory Proxy Server 还识别非绑定请求并关闭到 LDAP 服务器的连接。
“操作”选项卡中的元素说明如下:
允许搜索操作。缺省情况下,该选项处于启用状态。禁用该选项可防止 Directory Proxy Server 将搜索请求转发给服务器。
允许比较操作。缺省情况下,该选项处于启用状态。禁用该选项可防止 Directory Proxy Server 将比较请求转发给该服务器。
允许添加、删除、修改、修改 DN 和扩展操作。缺省情况下,Directory Proxy Server 不转发添加、修改、删除、修改 DN 或扩展操作请求。要允许转发这些操作,请启用允许的相应操作。
请注意,如果希望客户机可以协商“启动 TLS”,则必须启用“允许扩展操作”。
- 要指定组的数据隐藏条件,请选择左侧框中的“数据隐藏”并在右侧框中指定相应的值。
使用“子树”选项卡指定要隐藏的目录树部分,使用“条目”选项卡指定要隐藏的条目或特性。
“子树”选项卡中的元素说明如下:
隐藏条目子树。将拒绝请求禁止的子树条目或该子树下条目的操作,并返回访问权限不够的错误。将丢弃匹配搜索过滤并且位于禁止的子树内的条目。请注意,该选项不会从作为结果一部分返回的条目中移除那些其值位于此子树下的 DN 语法特性。
添加。显示一个对话框,用于将标识名添加到要排除的条目子树基列表中。如果在网络组中不存在标识名,则缺省情况下,允许访问该目录中的所有条目。该列表中的条目具有 dn 语法。
编辑。显示编辑标识名的对话框。
移除。移除该列表中的标识名。
- 选择“条目”选项卡并指定要隐藏的条目或特性。
“条目”选项卡中的元素说明如下:
指定当前正由该组使用的条目隐藏属性。下拉列表显示了“禁止的条目”属性的现有对象,如创建禁止的条目属性对象中所述。选择对象的名称。缺省情况下,不选中任何对象(<无>)。如果没有对象,则可通过单击“新建”按钮立即创建。
新建。显示新建“禁止的条目”属性的对话框。
编辑。显示编辑现有“禁止的条目”属性的对话框。
- 要指定组的搜索特性,请选择左侧框中的“搜索”并在右侧框中指定相应的值。
“大小”选项卡中的元素说明如下:
限制结果条目的最大数目。启用该选项可以指定单个搜索操作一次可返回到客户机的最大结果条目数。该值可以是任何大于零的数,如果达到该值,将向客户机发送 administrativeLimitExceeded 错误,并放弃后续条目。如果禁用该属性,则缺省情况下不放弃条目。
添加。显示添加“搜索大小限制”属性的对话框。有关详细信息,请参见创建搜索大小限制属性对象。
编辑。显示编辑“搜索大小限制”属性的对话框。
移除。显示移除“搜索大小限制”属性的对话框。(此操作在不显示对话框的情况下从组中移除属性。)
- 选择“控制”选项卡并指定控制搜索过滤的条件。
“控制”选项卡中的元素说明如下:
允许不等号筛选。缺省情况下,该选项处于启用状态。允许不等号过滤将指定是否允许客户机请求包含不等号过滤 (attr>=value) 和 (attr<=value) 的搜索。如果网络组不允许执行不等号搜索,则禁用该选项。
限制搜索的时间限制。启用此选项并为网络组输入一个值(以秒为单位),以指定搜索操作的最大时间限制(以秒为单位)。如果客户机指定的时间限制大于此选项中给定的值,则为此网络组指定的值将覆盖客户机的请求。缺省情况下,该选项处于禁用状态,网络组将允许客户机设置任何时间限制,包括无限制。
指定最小的搜索筛选子字符串。启用该选项并输入一个值,以便指定搜索过滤中子字符串的最小允许长度。该值为大于 1 的数。如果禁用该选项,则缺省情况下,搜索过滤中允许使用任何大小的子字符串。如果希望限制由 Web Robot 执行的搜索种类,则应在网络组中启用该选项。例如,值为 2 时将阻止像 (cn=A*) 这样的搜索。
限制到带 DN 的子树。启用该选项并指定所有操作的子树基。该选项具有 dn 语法。如果禁用该选项,则对最小基没有限制。
其目标条目位于最小基条目或最小基条目之下的操作将不受此选项的影响。如果目标条目高于最小基条目,并且操作为子树搜索,则将查询发送到服务器之前将重写查询,以便将此目标条目更改为最小基。如果目标条目没有位于最小基之下或者位于最小基之上,则请求将被拒绝,并返回无此对象错误。
例如,如果将“限制到带 DN 的子树”设置为:
o=sun, st=California, c=US
并且收到了 st=California, c=US 子树搜索,则搜索将被重写,服务器将执行如下子树搜索:
o=sun, st=California, c=US
浏览。显示一个对话框,用于帮助构造有效的 DN。
- 选择“范围”选项卡并指定搜索范围(客户机可在搜索请求中指定的范围)。
“范围”选项卡中的元素说明如下:
允许所有搜索范围。缺省情况下,该选项处于启用状态,允许客户机进行全范围的搜索。
只允许‘基本’搜索范围。启用该选项将只允许基本搜索范围。
只允许‘基本’和‘一级’搜索。启用该选项将只允许基本和一级搜索。
- 选择“引荐”选项卡并指定搜索过程中生成搜索持续引用后将完成的操作。
“引荐”选项卡中的元素说明如下:
放弃引荐。缺省情况下,该选项处于启用状态,即在搜索过程中如果生成引用,则将其放弃。
将引荐转发给客户机。启用该选项将只转发搜索持续引用。
跟随引荐并将结果返回给客户机。启用该选项将跟随并返回搜索持续引用的结果。搜索持续引用是一种特殊的引用,查询的原始目录服务器通过它已经满足部分查询,但该目录服务器又引用了其他目录服务器,其中有更多的数据满足查询。该选项可用于隐藏目录信息树中命名环境由其他 LDAP 服务器控制的部分。它还阻止客户机查找该服务器运行的网络地址和端口。
- 要指定组的特性条件,请选择左侧框中的“特性”并在右侧框中指定相应的值。
“搜索”选项卡中的元素说明如下:
该选项卡用于阻止某些种类的搜索和比较操作连接到 LDAP 服务器。如果客户机的请求属于此限制,则 Directory Proxy Server 将向客户机返回访问权限不够的错误。
允许任何特性。缺省情况下,该选项处于启用状态,可允许所有特性用于搜索过滤和比较。
禁止下列特性。启用该选项指定客户机无法在搜索过滤或比较请求中使用的特性名称。
只允许下列特性。启用该选项指定可用在搜索过滤或比较请求中的特性名称。如果网络组表中有一个或多个特性值,而且比较与其中的特性值都不匹配,则请求将被 Directory Proxy Server 拒绝。如果网络组表中没有任何特性,并且某个特性与任何特性都不匹配,则该特性可被客户机使用。例如,如果希望客户机只可以搜索 cn、dn 和 mail 特性,则可将这些特性添加到表中。
添加。显示一个对话框,允许将特性添加到该表中。必须指定是禁止还是允许这些特性。
编辑。显示一个对话框,用于编辑表中选定的特性。
移除。移除表中的特性。
- 选择“重命名”选项卡并指定特性重命名的规则。
“重命名”选项卡中的元素说明如下:
添加。显示一个对话框,从中将一个或多个现有特性重命名属性添加到下列由该网络组使用的表中。(请参见创建特性重命名属性对象。)
编辑。显示一个对话框,从中编辑选定的特性重命名属性。
移除。从表中移除特性重命名属性。
- 选择“返回”选项卡并指定在将服务器返回的搜索结果转发给客户机前,应用到这些搜索结果的限制。
“返回”选项卡中的元素说明如下:
返回所有特性。缺省情况下,该选项处于启用状态,允许返回所有特性。
排除下列特性。启用该选项以指定将从搜索结果条目中排除的特性名称。
只返回下列特性。启用该选项以指定从搜索结果中返回的特性名称(如果存在)。
如果作为搜索结果一部分的返回特性不存在于“只返回下列特性”表中,则不返回这些特性。如果表为空并且它们不在“排除下列特性”表中,则返回这些特性。
添加。显示一个对话框,允许将特性添加到该表中。必须在上面指定是禁止还是允许这些特性。
编辑。显示一个对话框,用于编辑表中选定的特性。
移除。移除表中的特性。
- 要指定组的引用(例如,该组是将转发、跟随还是放弃服务器返回的引用),请选择左侧框中的“引荐”并在右侧框中指定相应的值。
该屏幕上的元素说明如下:
放弃引荐。如果网络组将放弃服务器返回的所有引用,则启用此选项。
将引荐转发到客户机。缺省情况下,该选项处于启用状态,将转发由服务器返回的引用。
跟随引荐并将结果返回给客户机。如果网络组将转发服务器返回的引用,并将结果返回给客户机,则启用此选项。
绑定策略。当操作被引用而且正在跟随引用时,此选项控制绑定策略。
请注意,对于使用 SASL 机制绑定的客户机,Directory Proxy Server 无法重复进行绑定。因此,如果指定了“必选”而且客户机使用了 SASL 机制进行绑定,则此引用操作将被拒绝。
始终。如果 Directory Proxy Server 跟随连接到此网络组的客户机引用时应始终匿名绑定,则选择此选项。
任意。如果客户机使用基于密码的绑定时网络组就应使用简单绑定,否则网络组使用匿名绑定,则选择此选项。这是缺省设置。
必选。如果客户机使用的不是基于密码的绑定时网络组应拒绝引用的操作,则选择此选项。
每个操作最大的引荐数。请输入大于或等于零的整数。这将限制单个操作将跟随的最大引用数。缺省值为 15。值为零时表示不受任何限制。
引荐 SSL 策略。要启用“引荐 SSL 策略面板”,必须启用加密视图上的“SSL 可用”选项。
客户机是否建立了 SSL 会话。如果客户机已经与 Directory Proxy Server 建立 SSL 会话时网络组将只启动 SSL,则启用此选项。这是缺省设置。
对于所有引荐。对于一个引用,如果组将在转发操作之前启动 SSL 会话,则启用“对于所有引荐”。
- 要指定组的服务器负载条件,请选择左侧框中的“服务器负载”并在右侧框中指定相应的值。
该屏幕上的元素说明如下:
每个连接的同时操作数。选择此选项以限制 Directory Proxy Server 处理该组中每个连接的同时操作数。该值为大于零的整数。如果该特性不存在,则不强制实施任何限制。例如,如果将该值设置为 1,则将强制该组中的所有客户机执行同步 LDAP 操作。除了放弃操作的请求外,其他同时请求都将失败,并出现“服务器忙”错误。
每个连接的总操作数。选择此选项以限制 Directory Proxy Server 允许该组中每个连接的操作总数。该值为大于零的整数。如果客户机超过了组中一个连接允许的最大操作数,则 Directory Proxy Server 将关闭该连接。如果该特性不存在,则表示不设置任何限制。
到该组的同时连接数。选择此选项以限制到该网络组的同时操作数,并指定该操作数。
每个 IP 地址的同时连接数。选择此选项以限制客户机从单个 IP 地址获得的同时连接数。缺省情况下允许任意的连接数。
- 单击“保存”创建该组。
Directory Proxy Server 配置被修改,并提示重新启动基于此配置的服务器。但是,此时请勿重新启动服务器。可以在完成所有配置更改后,重新启动服务器。
- 转到“网络组”窗口(请参见步骤 2)并按优先级对组进行相应地排序。
- 重新启动服务器,如重新启动 Directory Proxy Server 中所述。
修改组
修改组
- 访问 Directory Proxy Server 配置编辑器控制台,如访问 Directory Proxy Server 控制台中所述。
- 在导航树中选择“网络组”。
右侧窗格将显示现有组的列表。
- 在列表中,选择要修改的组并单击“编辑”。
- 进行所需的修改。
- 单击“保存”以保存更改。
Directory Proxy Server 配置被修改,并提示重新启动基于此配置的服务器。但是,此时请勿重新启动服务器。可以在完成所有配置更改后,重新启动服务器。
- 重新启动服务器,如重新启动 Directory Proxy Server 中所述。
删除组可以从 Directory Proxy Server 配置中删除任何不需要的网络组。
删除组
- 访问 Directory Proxy Server 配置编辑器控制台,如访问 Directory Proxy Server 控制台中所述。
- 在导航树中选择“网络组”。
右侧窗格将显示现有组的列表。
- 在列表中选择要删除的组,然后单击“删除”。
- 确认操作。
删除的组名现已从列表中删除。Directory Proxy Server 配置被修改,并提示重新启动基于此配置的服务器。但是,此时请勿重新启动服务器。可以在完成所有配置更改后,重新启动服务器。
- 重新启动服务器,如重新启动 Directory Proxy Server 中所述。
