In diesem Kapitel erfahren Sie, wo Directory Server Enterprise Edition-Software heruntergeladen werden kann. Zudem sind hier die wichtigsten Installationsvoraussetzungen aufgeführt.
Dieses Kapitel enthält die folgenden Abschnitte:
Die Sun Java System Directory Server Enterprise Edition 6.0-Software kann hier heruntergeladen werden:
http://www.sun.com/software/products/directory_srvr_ee/get.jsp
Die Download-Seite ist der Ausgangspunkt, von dem aus Sie zu den entsprechenden Downloads gelangen, je nachdem, welchen Verteilungstyp Sie herunterladen müssen. Directory Server Enterprise Edition 6.0 ist in den nachfolgend aufgeführten Verteilungen verfügbar:
Die Sun Java Identity Management Suite-Verteilung enthält die native Paketverteilung, die als Bestandteil von Sun Java Enterprise System zur Verfügung gestellt wird. Die Java Enterprise System-Verteilung beinhaltet Directory Service Control Center.
Die zip-Verteilung basiert nicht auf nativen Paketen. Die zip-Verteilung beinhaltet Directory Service Control Center nicht.
Einen Vergleich der beiden Distributionen finden Sie unter Directory Server Enterprise Edition Software Distributions in Sun Java System Directory Server Enterprise Edition 6.0 Installation Guide.
In diesem Abschnitt werden die Hardware-Anforderungen für Directory Server Enterprise Edition-Komponentenprodukte beschrieben.
Für die Directory Proxy Server-Software ist folgender Hardware-Support erforderlich.
Komponente |
Plattformanforderungen |
---|---|
RAM |
1 - 2 GB zu Evaluierungszwecken 4 GB für Produktionsserver |
Lokaler Festplattenspeicher |
300 MB Festplattenspeicher für Binärdateien. Binärdateien, die aus nativen Paketen installiert werden, werden auf UNIX®-Systemen in /opt gespeichert. Zu Evaluierungszwecken ist bei Verwendung der Standardkonfiguration ein zusätzlicher lokaler 2-GB-Festplattenspeicher pro Serverinstanz ausreichend, um Serverprotokolle zu speichern. Directory Proxy Server unterstützt keine Installation auf NFS-gemounteten Dateisystemen. Es sollte genügend Plattenspeicher für die Instanz sowie für alle von der Instanz verwendeten Dateien auf einem lokalen Dateisystem, z. B. in /var/opt oder /local, vorhanden sein. |
Für die Verzeichnisserver-Software ist folgende Hardware-Unterstützung erforderlich.
Komponente |
Plattformanforderungen |
---|---|
RAM |
1 - 2 GB zu Evaluierungszwecken Mindestens 4 GB und wahrscheinlich mehr für Produktionsserver |
Lokaler Festplattenspeicher |
300 MB Festplattenspeicher für Binärdateien. Binärdateien, die aus nativen Paketen installiert werden, werden auf UNIX-Systemen in /opt gespeichert. Zu Evaluierungszwecken sind eventuell 2 GB zusätzlicher lokaler Festplattenspeicher für die Serversoftware ausreichend. Wenn Sie Verzeichnisserver verwenden, sollten Sie beachten, dass die in Verzeichnisserver gespeicherten Einträge lokalen Festplattenspeicher belegen. Verzeichnisserver unterstützt keine Protokolle und Datenbanken, die auf NFS-gemounteten Dateisystemen installiert sind. Für die Datenbank sollte auf einem lokalen Dateisystem, z. B. in /var/opt oder /local genügend Speicherplatz vorhanden sein. Bei einer typischen Produktbereitstellung mit maximal 250.000 Einträgen ohne Binärattribute, z. B. Fotos, sind 4 GB ausreichend. |
Für die Identity Synchronization für Windows-Software ist folgende Hardware-Unterstützung erforderlich.
Komponente |
Plattformanforderungen |
---|---|
RAM |
512 MB zu Evaluierungszwecken, wo Komponenten installiert werden. Mehr Arbeitsspeicher wird bevorzugt. |
Lokaler Festplattenspeicher |
400 MB Festplattenspeicher für die Mindestinstallation neben Verzeichnisserver. |
Lesen Sie vor der Installation von Directory Editor unbedingt Kapitel 6, Behobene Directory Editor-Fehler und bekannte Probleme dieser Versionshinweise.
Weitere Informationen finden Sie auch in der Directory EditorDokumentation unter http://docs.sun.com/coll/DirEdit_05q1.
In diesem Abschnitt werden Betriebssysteme, Patches und Service Packs beschrieben, die für eine Unterstützung der Directory Server Enterprise Edition-Komponentenprodukte erforderlich sind.
Für Verzeichnisserver, Directory Proxy Server und Directory Server Resource Kit, einschließlich Directory SDK für C und Directory SDK für Java, gelten dieselben Betriebssystemanforderungen. Diese Software-Komponenten werden auf den nachfolgend aufgeführten Betriebssystemversionen ausgeführt. Für bestimmte Betriebssysteme sind zusätzliche Service Packs oder Patches erforderlich, wie in der folgenden Tabelle dargestellt.
Sie können Solaris-Patch-Cluster abrufen und auf diese Weise in den meisten Fällen das Herunterladen einzelner Patches vermeiden. Gehen Sie zum Abrufen von Solaris-Patch-Clustern folgendermaßen vor:
Begeben Sie sich zur SunSolve-Patch-Seite unter http://sunsolve.sun.com/pub-cgi/show.pl?target=patchpage.
Klicken Sie auf den Link "Recommended Patch Clusters".
Laden Sie den Patch-Cluster für Ihr Solaris-Betriebssystem und Ihre Java ES-Versionen herunter.
Die Directory Server Enterprise Edition-Software wird mit vollständigen Installationen der hier aufgeführten Betriebssysteme validiert, nicht mit reduzierten “Basis„ oder “Kern„Installationen.
Verzeichnisserver wird auf Solaris SPARC, auf Solaris 10 AMD x64-Systemen und auf HP-UX PA-RISC-Systemen im 64-Bit-Modus ausgeführt. Verzeichnisserver wird auf Solaris x86-Systemen, auf Solaris 9 AMD x64-Systemen, auf Red Hat-Systemen und auf Windows-Systemen im 32-Bit-Modus ausgeführt.
Identity Synchronization für Windows-Komponenten werden unter den hier aufgeführten Betriebssystemversionen ausgeführt. Für bestimmte Betriebssysteme sind zusätzliche Service Packs oder Patches erforderlich, wie in den folgenden Tabellen dargestellt.
In der nachfolgenden Tabelle sind die Betriebssystemanforderungen für Kernkomponenten und Konnektoren für Verzeichnisserver und Active Directory aufgeführt.
Betriebssystem |
Unterstützte Betriebssystemversionen |
Zusätzlich benötigte Software |
---|---|---|
Solaris OS |
Solaris 10-Betriebssystem für UltraSPARC®- und x86 (Pentium)-Architekturen |
Es ist keine zusätzliche Software erforderlich. |
Solaris 9-Betriebssystem für SPARC-Architekturen |
Es ist keine zusätzliche Software erforderlich. |
|
Solaris 8-Betriebssystem für UltraSPARC-Architekturen |
Es ist keine zusätzliche Software erforderlich. |
|
Red Hat Linux |
Red Hat Advanced Server 3.0 |
Es ist keine zusätzliche Software erforderlich. |
Microsoft Windows |
Windows 2000 Server |
Service Pack 4 |
Windows 2000 Advanced Server |
Service Pack 4 |
|
Windows 2003 Server Standard Edition |
Aktuellste Sicherheitsupdates |
|
Windows 2003 Server Enterprise Edition |
Aktuellste Sicherheitsupdates |
In der nachfolgenden Tabelle sind die Betriebssystemanforderungen für Windows NT-Komponenten und -Konnektoren aufgeführt.
Betriebssystem |
Unterstützte Betriebssystemversionen |
Zusätzlich benötigte Software |
---|---|---|
Microsoft Windows |
Windows NT 4.0 Server Primary Domain Controller, x86-Architekturen |
Service Pack 6A |
Lesen Sie vor der Installation von Directory Editor unbedingt Kapitel 6, Behobene Directory Editor-Fehler und bekannte Probleme dieser Versionshinweise.
Weitere Informationen finden Sie auch in der Directory EditorDokumentation unter http://docs.sun.com/coll/DirEdit_05q1.
Verzeichnisserver ist abhängig von Network Security Services, NSS, einer Schicht für kryptografische Algorithmen. NSS wurde für das kryptografische Framework von Sun validiert, das auf Solaris 10-Systemen zur Verfügung steht und kryptografische Beschleunigungsgeräte unterstützt.
Auf Windows-Systemen ist für Verzeichnisserver ActivePerl-Software erforderlich, damit die Befehle für die Kontoaktivierung und die manuelle Schemareplikation verwendet werden können. ActivePerl ist in Directory Server Enterprise Edition nicht enthalten. Die Abhängigkeit ist für die nachfolgend aufgeführten Befehle relevant.
Für Directory Proxy Server ist Java Runtime Environment (JRE) erforderlich, und zwar mindestens Version 1.5.0_09 auf Solaris-, Red Hat- und Windows-Systemen und 1.5.0_03 auf HP-UX-Systemen. JRE wird mit der zip-Verteilung installiert. Wenn Sie die Installation mithilfe der zip-Verteilung vornehmen und die Umgebungsvariable JAVA_HOME eingestellt ist, wird die von JAVA_HOME angegebene Java Runtime Environment-Version verwendet. Wenn JAVA_HOME auf Ihre Environment (Umgebung) eingestellt ist, vergewissern Sie sich, dass die Version aktuell ist.
Directory Proxy Server wurden mit folgenden JDBC-Datenquellen validiert, unter Verwendung der im Lieferumfang der Software enthaltenen Treibern.
DB2 9.
JavaDB 10.1.3.1.
MySQL 5.0.
Wenn Sie über Directory Proxy Server auf eine MySQL-Datenquelle zugreifen, um eine JDBC-Datenansicht zu erstellen, ist für Directory Proxy Server mindestens die MySQL-JDBC-Treiberversion 5.0.4 erforderlich.
Oracle 9i Database.
Auf Windows-Systemen kann mit dem Befehl dsee_deploy, wenn er aus einer Shell ausgeführt wird, Software nicht vorschriftsmäßig im Common Agent Container, cacao, registriert werden. Dies kann vorkommen, wenn Ihr MKS-PATH den Ordner system-drive:\system32 nicht enthält. Alternativ können Sie den Befehl an der systemeigenen Befehlszeile von Windows ausführen.
Obwohl in Teil II, Installing Identity Synchronization for Windows in Sun Java System Directory Server Enterprise Edition 6.0 Installation Guide angegeben ist, dass lediglich Verzeichnisserver 6.0 unterstützt wird, unterstützen Identity Synchronization für Windows-Directory Server-Konnektoren Verzeichnisserver 5.2 Patch 5.
Bevor Sie Identity Synchronization für Windows installieren können, müssen Sie die erforderlichen Sun Java System-Software-Komponenten, u. a. JRE und Message Queue, installieren.
Im Lieferumfang von Identity Synchronization für Windows ist keine JRE enthalten.
Für das Identity Synchronization für Windows-Installationsprogramm ist J2SE bzw. JRE 1.5.0_09 erforderlich.
Für Identity Synchronization für Windows ist JRE 1.5.0_09 unter Windows NT erforderlich.
Im Identity Synchronization für Windows-Paket für diese Version ist Message Queue 3.6 enthalten.
Bei der Installation von Identity Synchronization für Windows muss der Pfad der zu verwendenden Message Queue-Version angegeben werden. Vom Identity Synchronization für Windows-Installationsprogramm wird daraufhin ein erforderlicher Broker in Message Queue installiert, damit Identity Synchronization für Windows Message Queue für Synchronisierungszwecke verwenden kann.
Auf Windows-Systemen unterstützt Identity Synchronization für Windows lediglich Message Queue 3.6. Sie installieren also Message Queue 3.6 (im Lieferumfang des Identity Synchronization für Windows-Pakets enthalten).
Message Queue 3.7 wird hingegen als gemeinsam genutzte Java Enterprise System-Komponente installiert. Bei der standardmäßigen Vorgehensweise ist es folglich sehr gut möglich, dass sowohl Message Queue 3.6 als auch Message Queue 3.7 installiert werden. Wenn sowohl Java Enterprise System-Komponenten als auch Identity Synchronization für Windows auf einem Windows-System installieren, vergewissern Sie sich, dass Message Queue 3.7 nicht ausgewählt ist.
Auf Windows-Systemen beinhaltet die mit Console und Administrationsserver installierte JRE keine Fixes für Änderungen, die im Zusammenhang mit der Sommerzeit stehen. Fixes für Änderungen, die im Zusammenhang mit der Sommerzeit stehen, müssen nach der Installation angewendet werden. Verwenden Sie zur Korrektur der JRE das Tool tzupdater (eine Erläuterung finden Sie hier: http://java.sun.com/javase/tzupdater_README.html). Die zu korrigierende JRE finden Sie nach der Installation unter ServerRoot/bin/base/jre/, also dort, wo Console und Administrationsserver installiert wurden.
Sie können Identity Synchronization für Windows in einer Firewall-Umgebung ausführen. In den folgenden Abschnitten werden die Serverports aufgelistet, die Sie über die Firewall bekannt geben müssen.
Identity Synchronization für Windows Message Queue-Anforderungen in einer Firewall-Umgebung
Identity Synchronization für Windows-Installer-Anforderungen in einer Firewall-Umgebung
Identity Synchronization für Windows-Kernkomponentenanforderungen in einer Firewall-Umgebung
Identity Synchronization für Windows-Konsolenanforderungen in einer Firewall-Umgebung
Identity Synchronization für Windows-Konnektor-Anforderungen in einer Firewall-Umgebung
Message Queue verwendet standardmäßig dynamische Ports für alle Dienste mit Ausnahme des Portzuordnungsprogramms. Wenn Sie auf den Message Queue-Broker über eine Firewall zugreifen möchten, sollte der Broker feste Ports für alle Dienste verwenden.
Nachdem Sie den Kern installiert haben, müssen Sie die imq.<service_name>.<protocol_type>.port-Broker-Konfigurationseigenschaften festlegen. Insbesondere müssen Sie die imq.ssljms.tls.port-Option festlegen. Weitere Informationen finden Sie in der Message Queue-Dokumentation.
Der Identity Synchronization für Windows-Installer muss mit dem Verzeichnisserver kommunizieren können, der als Konfigurationsverzeichnis fungiert.
Wenn Sie einen Active Directory-Konnektor installieren, muss der Installer den LDAP-Port 389 von Active Directory kontaktieren können.
Wenn Sie einen Verzeichnisserver-Konnektor oder ein Verzeichnisserver-Plug-In (Unterkomponente) installieren, muss der Installer den Verzeichnisserver-LDAP-Port, standardmäßig 389, kontaktieren können.
Die Message Queue, der System Manager und die Befehlszeilenschnittstelle müssen Verzeichnisserver erreichen können, wo die Identity Synchronization für Windows-Konfiguration gespeichert ist.
Die Identity Synchronization für Windows-Konsole muss Folgendes erreichen können:
Active Directory über LDAP, Port 389, oder LDAPS, Port 636
Active Directory Global Catalog über LDAP, Port 3268, oder LDAPS, Port 3269
Jeden Verzeichnisserver über LDAP oder LDAPS
Administrationsserver
Message Queue
Alle Konnektoren müssen mit Message Queue kommunizieren können.
Außerdem müssen folgende Konnektor-Anforderungen erfüllt sein.
Der Active Directory-Konnektor muss auf den Active Directory-Domänencontroller über LDAP, Port 389, oder LDAPS, Port 63, zugreifen können.
Der Verzeichnisserver-Konnektor muss auf die Verzeichnisserver-Instanzen über LDAP, Standardport 389, oder LDAPS, Standardport 636, zugreifen können.
Jedes Verzeichnisserver-Plug-In muss den Verzeichnisserver-Konnektor-Serverport erreichen können, der bei der Konnektor-Installation ausgewählt wurde. Plug-Ins, die in Verzeichnisserver-Master-Repliken ausgeführt werden, müssen eine Verbindung mit LDAP von Active Directory, Port 389, oder LDAPS, Port 636, herstellen können. Die Plug-Ins, die in anderen Verzeichnisserver-Repliken ausgeführt werden, müssen die Verzeichnisserver-Master-LDAP- und LDAPS-Ports erreichen können.
In diesem Abschnitt werden die Berechtigungen und Anmeldeinformationen beschrieben, die für die Installation der Directory Server Enterprise Edition-Komponentenprodukte erforderlich sind.
Bei der Installation von Verzeichnisserver, Directory Proxy Server oder Directory Service Control Center über die auf dem nativen Java Enterprise System-Paket basierenden Verteilung müssen Sie über die nachfolgend aufgeführten Berechtigungen verfügen.
Auf Solaris- und Red Hat-Systemen müssen Sie die Installation als root durchführen.
Auf Windows-Systemen müssen Sie die Installation als Administrator durchführen.
Sie können Verzeichnisserver, Directory Proxy Server und Directory Server Resource Kit ohne Sonderberechtigungen aus der zip-Verteilung installieren.
Weitere Informatinen finden Sie unter Directory Server Enterprise Edition Software Distributions in Sun Java System Directory Server Enterprise Edition 6.0 Installation Guide.
Für die Installation von Identity Synchronization für Windows müssen Sie Anmeldeinformationen für Folgendes angeben.
Verzeichnisserver der Konfiguration
Verzeichnisserver, der synchronisiert wird.
Active Directory.
Weitere Informationen finden Sie unter Installing Core in Sun Java System Directory Server Enterprise Edition 6.0 Installation Guide.
Außerdem müssen Sie über die folgenden Berechtigungen für die Installation von Identity Synchronization für Windows verfügen.
Auf Solaris- und Red Hat-Systemen müssen Sie die Installation als root durchführen.
Auf Windows-Systemen müssen Sie die Installation als Administrator durchführen.
Wenn Sie Passwörter mithilfe des textbasierten Installationsprogramms eingeben, werden die Passwörter automatisch so vom Programm maskiert, dass sie nicht preisgegeben werden können. Das textbasierte Installationsprogramm wird nur auf Solaris- und Red Hat-Systemen unterstützt.
Vor der Installation von neuen Teilen von Identity Synchronization für Windows müssen Sie Kapitel 4, Preparing for Installation in Sun Java System Directory Server Enterprise Edition 6.0 Installation Guide lesen.
Wenn Sie die Kontosperrenfunktion aktivieren möchten, müssen Sie bestimmte Attribute zuordnen, die in Verzeichnisserver und in Active Directory unterschiedlich sind. Die Kontosperre muss aktiviert sein. Die Kennwortrichtlinien müssen auf AD und Verzeichnisserver identisch sein. Bei dieser Konfiguration können die Sperr- und Entsperrereignisse bidirektional zwischen Active Directory und Verzeichnisserver fließen.
Mit Identity Synchronization for Windows können die folgenden Ereignisse zwischen Active Directory und Verzeichnisserver synchronisiert werden:
Sperrereignisse von Active Directory nach Verzeichnisserver
Sperrereignisse von Verzeichnisserver nach Active Directory
Manuelle Entsperrereignisse von Active Directory nach Verzeichnisserver
Manuelle Entsperrereignisse von Verzeichnisserver nach Active Directory
Das Attribut lockoutDuration sollte an beiden Stellen auf denselben Wert festgelegt sein, bevor die Kontosperrfunktion aktiviert wird. Vergewissern Sie sich, dass die Systemzeit auch über die verteilte Konfiguration hinweg gleich ist. Andernfalls können die Sperrereignisse ablaufen, falls die lockoutDuration weniger beträgt als der Unterschied im Systemdatum.
Wenn Sie die Kontosperrsynchronisierung aktivieren möchten, müssen Sie die Attribute accountUnlockTime (Verzeichnisserver) und lockoutTime (AD) zuordnen. accountUnlockTime kann in der Konsole ausgewählt werden, nachdem das Schema mit der passwordObject-Objektklasse geladen wurde.
Die Kontosperrrichtlinien sollten auf Active Directory und auf den Verzeichnisserver-Datenquellen ähnlich sein.
Die Dauer der Kontosperre sollte in der Active Directory- und Verzeichnisserver-Datenquelle auf denselben Wert festgelegt werden.
LockoutTime in der Active Directory-Datenquelle muss AcountUnLockoutTime in der Verzeichnisserver-Datenquelle zugeordnet sein.
Weitere Installationsinformationen entnehmen Sie der README-Datei, die im Lieferumfang der Software enthalten ist.
Auf Windows 2003 Server erzwingt die Standardpasswortrichtlinie strenge Passwörter, was nicht der Standardpasswortrichtlinie von Windows 2000 entspricht.