Configuration Agent ist Bestandteil verschiedener Packages, die in folgender Tabelle aufgeführt sind:
Name des Solaris-Packages |
Beschreibung |
---|---|
SUNWapbas |
Gemeinsam genutzte Konfigurationsbibliotheken |
SUNWapmsc |
Diverse Configuration Agent-Dateien |
SUNWapoc |
Configuration Agent |
SUNWapdc |
Configuration Agent-Assistent |
Mit der Installation dieser Packages werden die für diese API erforderlichen Dateien installiert. Sie können die Packages entweder manuell oder gemeinsam mit Java Desktop System installieren. Nach der Installation müssen Sie Configuration Agent auf Ihrem System konfigurieren und aktivieren.
Configuration Agent-Packages werden als Teil der Solaris-Installation mit Java Desktop System installiert. Jedoch ergänzt Desktop Manager diese Dateien während der Installation, um eine korrekte Funktionsweise sicherzustellen.
Für den Zugriff auf die entfernten Konfigurationsdaten benötigt Configuration Agent einige Bootstrap-Informationen wie den Rechnernamen und den Port des LDAP-Servers. Diese Informationen werden in einem Satz Eigenschaftendateien wie policymgr.properties, apocd.properties und os.properties geführt. Diese Dateien sind lokal im Verzeichnis /etc/apoc gespeichert. Sie können diese Eigenschaften manuell bearbeiten (siehe Anhang A, Konfigurationsparameter) oder Sie können den Konfigurationsassistenten für Configuration Agent verwenden.
Der Konfigurationsassistent bietet eine grafische Benutzeroberfläche, die Sie durch die für Configuration Agent erforderlichen Einstellungen leitet. Für jede Seite im Assistenten steht Ihnen ein Hilfefenster zur Verfügung. Sie können den Assistenten mit dem Skript /usr/bin/apoc-config als Superuser (root) starten.
Der Assistent kann auch ohne die grafische Benutzeroberfläche gestartet werden. Führen Sie beispielsweise /usr/bin/apoc-config -nodisplay aus, um den Assistenten im Konsolenmodus zu starten.
Sofern zutreffend, sind die Schlüssel der entsprechenden Eigenschaftendatei in Klammern angegeben.
Status: Status von Configuration Agent. Das Kontrollkästchen dient zum Aktivieren bzw. Deaktivieren von Configuration Agent. Auf die Konfigurationsdatensammlung kann nur zugegriffen werden, wenn Configuration Agent aktiviert ist. Die Aktivierung schließt automatisch die notwendige Registrierung bei der Dienstverwaltungsfunktion ( smf(5) ) von Solaris ein.
Host-Kennung (HostIdentifierType): kann "Host-Name" oder "IP-Adresse" sein. Bei der Suche nach Host-spezifischen Richtliniendaten identifiziert Configuration Agent den aktuellen Host entweder über den Host-Namen oder die IP-Adresse. Wählen Sie entsprechend der Art und Weise, wie Ihr Host im ausgewählten Kontexttyp identifiziert wird, den korrekten Wert.
Kontexttyp: Verwenden Sie diese Einstellung, um für Configuration Agent anzugeben, ob Ihre Organisationshierarchie und Konfigurationsdaten in LDAP oder in einer dateibasierten Speicherung oder einer Kombination aus beiden definiert sind.
Um Configuration Agent manuell zu aktivieren bzw. zu deaktivieren, melden Sie sich als root an und geben Sie den Befehl /usr/lib/apoc/apocd enable bzw. /usr/lib/apoc/apocd disable ein.
Der Bildschirm in Abbildung 3–2 variiert je nach im vorhergehenden Bildschirm gewähltem Kontexttyp. Server-Kennung, Server-Port und Suffix sind erforderlich, wenn LDAP oder ein hybrider Kontexttyp gewählt wird. Eine URL für die Konfigurationseinstellungen ist erforderlich, wenn ein dateibasierter oder hybrider Kontexttyp gewählt wird.
Server-Kennung: Rechnername des LDAP-Servers.
Server-Port: Port-Nummer des LDAP-Servers.
Suffix: Base-DN der LDAP-Datensammlung
URL für Konfigurationseinstellungen: URL, die den Speicherort der dateibasierten Datensammlung angibt.
Eine Liste von URLs kann dafür verwendet werden, Ersatzdatensammlungen anzugeben, falls die Verbindung mit der ersten fehlschlägt. Die Liste kann aus einer oder mehreren URLs bestehen, die durch Leerzeichen getrennt aufgeführt werden und die folgende Form haben: file://<Dateipfad> , http://<host>:<Port>/<Dateipfad> oder https://<Host>:<Port>/<Dateipfad>. Weitere Informationen finden Sie in Anhang A, Konfigurationsparameter.
Configuration Agent versucht zunächst, mithilfe einer SSL-Verbindung auf den LDAP-Server zuzugreifen. Gelingt dies nicht, versucht Configuration Agent, eine einfache SSL-Verbindung herzustellen.
Für eine erfolgreiche SSL-Verbindung muss im Schlüsselspeicher der Java-Laufzeitumgebung das korrekte Zertifikat vorliegen. Dieser Schlüsselspeicher befindet sich bei einer Standard-JRE im Verzeichnis <Installationsverzeichnis>/lib/security/cacerts und bei einem Standard-JDK im Verzeichnis <Installationsverzeichnis>/jre/lib/security/cacerts. Diesem Speicher müssen entweder der Zertifikataussteller oder das LDAP-Serverzertifikat mithilfe des Befehls keytool -import -file <Zertifikatdatei> -keystore <cacerts-Speicherort> hinzugefügt werden. Das Standardpasswort für diesen Schlüsselspeicher ist changeit.
Authentifizierungsart für Configuration Agent: Entweder "Anonym" oder "Einfach". Wird "Anonym" ausgewählt, werden die Felder "Qualifizierter Benutzername" und "Passwort" automatisch deaktiviert.
Qualifizierter Benutzername (AuthDn): vollständiger DN eines Benutzers mit Lese- und Suchberechtigung für die Datensammlung.
Passwort (Password): Passwort eines registrierten LDAP-Benutzers
Wenn für das Verzeichnis der anonyme Zugriff aktiviert ist, können die Einstellungen "Qualifizierter Benutzername" und "Passwort" leer bleiben.
Authentifizierungsart für Anwendungen (AuthType): "Anonym" oder "GSSAPI", je nach der Methode zur Benutzerauthentifizierung auf dem LDAP-Server
Weitere Informationen finden Sie im Abschnitt Zugriff auf Daten/Benutzerauthentifizierung.
Configuration Agent verwendet zwei Ports:
Agent-Port (DaemonPort): Port, den der Agent für die Kommunikation mit Client-Anwendungen nutzt (Standardeinstellung ist 38900).
Administrations-Port (DaemonAdminPort): Port, über den das Agent-Controller-Programm apocd mit dem Agent kommuniziert (Standardeinstellung ist 38901).
Configuration Agent prüft die Konfigurationsdaten regelmäßig auf Änderungen. Hierbei gelten die folgenden Intervalle:
Allgemeines Erkennungsintervall (ChangeDetectionInterval): Intervall in Minuten zwischen Zyklen zur Erkennung von Änderungen an Konfigurationsdaten der Desktop-Anwendung (des Clients).
Durch Angabe von -1 wird die Änderungserkennung deaktiviert.
Intervall für Agent-Einstellungen (DaemonChangeDetectionInterval): Intervall in Minuten zwischen Zyklen zur Erkennung von Änderungen an Agent-spezifischen Konfigurationseinstellungen.
Durch Angabe von -1 wird die Änderungserkennung deaktiviert.
Mit dem allgemeinen Erkennungsintervall lässt sich die Weitergabe von entfernten Konfigurationsdatenänderungen an Client-seitige Anwendungen einstellen. Der für diese Einstellung festgelegte Wert bestimmt, wie viele Minuten maximal verstreichen, bevor entfernt vorgenommene Änderungen auf die Client-Anwendungen übertragen werden.
Je niedriger der Wert, desto höher die Configuration Agent- und LDAP-Server-Aktivität. Bedenken Sie dies bitte, wenn Sie einen Wert für diese Einstellungen wählen. Geschickt wäre es zum Beispiel, den Wert für die anfängliche Bereitstellungsphase auf eine Minute einzustellen, damit sich die Auswirkung der entfernten Konfiguration auf die Client-Anwendungen testen lässt, und die Einstellung nach Abschluss dieser Tests auf den Ausgangswert zurückzusetzen.
Die folgenden Einstellungen können konfiguriert werden:
Datenverzeichnis (DataDir): Verzeichnis, in dem Laufzeitdaten abgelegt werden. Das Standardverzeichnis ist /var/opt/apoc.
Aufbewahrungsdauer für zwischengespeicherte Daten (TimeToLive): Aufbewahrungsdauer in Minuten für Nicht-Offline-Konfigurationsdaten in der lokalen Datenbank
Zyklus zur Cache-Bereinigung (GarbageCollectionInterval): Intervall in Minuten zwischen Zyklen zur Bereinigung (garbage collection) der lokalen Konfigurationsdatenbank
Max. Client-Threads (MaxClientThreads): Höchstanzahl für Client-Anforderungen, die gleichzeitig abgearbeitet werden können.
Max. Client-Verbindungen (MaxClientConnections): Höchstanzahl für Client-Verbindungen
Max. Anforderungsgröße (MaxRequestSize): maximale Größe für Client-Anforderungen
Zeitüberschreitung für Verbindungen (ConnectTimeout): zulässige Verzögerung der Reaktion des LDAP-Servers auf Verbindungsanforderungen. Das Standardintervall beträgt eine Sekunde.
Protokollgenauigkeit (LogLevel): Genauigkeit der Agent-Protokolldateien. Die Stufen der Protokollgenauigkeit stimmen mit den Java Logger-Levels überein. Diese lauten, nach abnehmender Wichtigkeit geordnet:
ERNST
WARNUNG
INFO
KONFIGURATION
DETAILS
MEHR DETAILS
MAX. DETAILS
Die meisten Betriebseinstellungen außer "Datenverzeichnis" und "Zeitüberschreitung für Verbindungen" lassen sich auch zentral mithilfe entsprechender auf dem LDAP-Server gespeicherter Richtlinien verwalten. Wenn Sie dieses Leistungsmerkmal verwenden möchten, passen Sie diese Einstellungen nicht über den Assistenten an, sondern geben Sie die Betriebseinstellungen zentral mit den Configuration Agent-Richtlinien in Desktop Manager an.
Betriebseinstellungen außer "Datenverzeichnis" und "Zeitüberschreitung für Verbindungen", die mithilfe von Desktop Manager auf dem LDAP-Server gespeichert wurden, werden beim nächsten Erkennungsintervall für Änderungen an der Agent-Konfiguration (siehe DaemonChangeDetectionInterval) automatisch wirksam.
Für alle anderen lokal geänderten Einstellungen muss Configuration Agent neu geladen oder gestartet werden. Bei Verwendung des Konfigurationsassistenten erfolgt das erneute Laden oder der Neustart automatisch.
Um Configuration Agent manuell neu zu starten, vergewissern Sie sich, dass keine der dazugehörigen Client-Anwendungen ausgeführt wird. Melden Sie sich als Root an, und geben Sie den Befehl /usr/lib/apoc/apocd restart ein.
Die folgenden Einstellungen stehen im Konfigurationsassistenten nicht zur Verfügung.
Anwendung lokaler Richtlinien (ApplyLocalPolicy): Diese Einstellung wird verwendet, um anzugeben, ob die auf dem lokalen Host verfügbaren Richtliniendaten Client-Anwendungen zur Verfügung gestellt werden sollten. Der Wert "true" bedeutet, dass die lokalen Richtliniendaten verfügbar gemacht werden sollten. Der Wert "false" bedeutet, dass die lokalen Richtliniendaten nicht verfügbar gemacht werden sollten. Weitere Informationen finden Sie im Abschnitt Verwendung lokaler Richtlinien.
Sie können Configuration Agent so konfigurieren, dass Konfigurationseinstellungen von lokal bereitgestellten Richtlinien zusätzlich oder alternativ zu den global verfügbaren Richtlinien angewendet werden. Gehen Sie zum Bereitstellen solcher lokaler Richtlinien wie folgt vor:
Erstellen Sie mithilfe von Desktop Manager ein Profil mit den erforderlichen Richtlinieneinstellungen.
Exportieren Sie das Profil mithilfe von Desktop Manager in eine ZIP-Datei.
Erstellen Sie auf dem Client-Host das Verzeichnis ${DataDir}/Policies/profiles/PROFILE_REPOSITORY_default , sofern es nicht bereits vorhanden ist.
${DataDir} entspricht dem Wert des Datenverzeichnisses von Configuration Agent, welcher standardmäßig /var/opt/apoc lautet.
Kopieren Sie die zuvor exportierte ZIP-Datei in das Verzeichnis ${DataDir}/Policies/profiles/PROFILE_REPOSITORY_default .
Vergewissern Sie sich, dass Configuration Agent so konfiguriert ist, dass verfügbare lokale Richtlinien angewendet werden (weitere Informationen im Abschnitt Zusätzliche Agent-Einstellungen).
Wenn Sie die ApplyLocalPolicy-Einstellung von Configuration Agent ändern, müssen Sie Configuration Agent erneut laden, indem Sie sich als root anmelden und den Befehl /usr/lib/apoc/apocd reload eingeben.
Jede auf diese Weise bereitgestellte lokale Richtlinie wird den Clients während des nächsten Zyklus zur Erkennung von Änderungen von Configuration Agent zur Verfügung gestellt.
Tritt ein Fehler auf, wird Configuration Agent automatisch neugestartet. Die Dienstverwaltungsfunktion ( smf(5) ) ist für diese Entscheidung zuständig. Entscheidet die Dienstverwaltungsfunktion, dass ein Neustart nicht angebracht ist (beispielsweise, wenn bereits zu viele Fehler aufgetreten sind), wird Configuration Agent in den Wartungsmodus versetzt.
Wenn Configuration Agent nicht neugestartet wird, sollten Sie Configuration Agent temporär deaktivieren, indem Sie sich als root anmelden und dann den Befehl /usr/lib/apoc/apocd disable ausführen. Beheben Sie die Probleme, die dazu führen, dass der Agent nicht korrekt ausgeführt werden kann, und aktivieren Sie ihn erneut mit dem Befehl /usr/lib/apoc/apocd enable.