Sun Java System Access Manager 7 2005Q4 管理指南

传统模式中的多 LDAP 验证模块配置

Access Manager 控制台仅提供一个值字段时，作为故障转移的形式或为了给一个属性配置多个值，管理员可以在一个领域下定义多个 LDAP 验证模块配置。尽管这些附加配置无法通过控制台查看，但如果未找到对于请求用户的授权的初始搜索，这些配置将与主配置一起发挥作用。例如，一个领域可以定义在两个不同的域中搜索 LDAP 验证服务器，也可以在一个域中配置多个用户命名属性。对于后者，控制台中只有一个文本字段，如果使用主要搜索条件找不到用户，LDAP 模块将使用第二个范围搜索。以下是配置其他 LDAP 配置的步骤。

添加其他 LDAP 配置

步骤

编写一个 XML 文件，在其中包括完整的属性集和第二个（或第三个）LDAP 验证配置所需的新值。

可以通过查看 etc/opt/SUNWam/config/xml 中的 amAuthLDAP.xml 来引用可用的属性。但此步骤创建的 XML 文件是基于 amadmin.dtd 结构的，这与 amAuthLDAP.xml 不同。可以为此文件定义任何或所有属性。代码示例 1-2 是子配置文件的示例，此文件包括 LDAP 验证配置所有可用属性的值。

<?xml version="1.0" encoding="ISO-8859-1"?>

<!--

  Copyright (c) 2002 Sun Microsystems, Inc. All rights reserved.

  Use is subject to license terms.

-->

<!DOCTYPE Requests

    PUBLIC "-//iPlanet//Sun ONE Access Manager 6.0 Admin CLI DTD//EN"

    "jar://com/iplanet/am/admin/cli/amAdmin.dtd"

>

<!--

  Before adding subConfiguration load the schema with

GlobalConfiguration defined and replace corresponding

 serviceName and subConfigID in this sample file OR load

 serviceConfigurationRequests.xml before loading this sample

-->

<Requests>

<realmRequests DN="dc=iplanet,dc=com">

    <AddSubConfiguration subConfigName = "ssc"

        subConfigId = "serverconfig"

        priority = "0" serviceName="iPlanetAMAuthLDAPService">



              <AttributeValuePair>

            <Attribute name="iplanet-am-auth-ldap-server"/>

            <Value>vbrao.red.iplanet.com:389</Value>

        </AttributeValuePair>

        <AttributeValuePair>

            <Attribute name="iplanet-am-auth-ldap-base-dn"/>

            <Value>dc=iplanet,dc=com</Value>

        </AttributeValuePair>

        <AttributeValuePair>

            <Attribute name="planet-am-auth-ldap-bind-dn"/>

            <Value>cn=amldapuser,ou=DSAME Users,dc=iplanet,dc=com</Value>

        </AttributeValuePair>

        <AttributeValuePair>

            <Attribute name="iplanet-am-auth-ldap-bind-passwd"/>

            <Value>

                  plain text password</Value>

        </AttributeValuePair>

        <AttributeValuePair>

            <Attribute name="iplanet-am-auth-ldap-user-naming-attribute"/>

            <Value>uid</Value>

        </AttributeValuePair>

        <AttributeValuePair>

            <Attribute name="iplanet-am-auth-ldap-user-search-attributes"/>

            <Value>uid</Value>

        </AttributeValuePair>

        <AttributeValuePair>

            <Attribute name="iplanet-am-auth-ldap-search-scope"/>

            <Value>SUBTREE</Value>

        </AttributeValuePair>

        <AttributeValuePair>

            <Attribute name="iplanet-am-auth-ldap-ssl-enabled"/>

            <Value>false</Value>

        </AttributeValuePair>

        <AttributeValuePair>

            <Attribute name="iplanet-am-auth-ldap-return-user-dn"/>

            <Value>true</Value>

        </AttributeValuePair>

        <AttributeValuePair>

            <Attribute name="iplanet-am-auth-ldap-auth-level"/>

            <Value>0</Value>

        </AttributeValuePair>

        <AttributeValuePair>

            <Attribute name="iplanet-am-auth-ldap-server-check"/>

            <Value>15</Value>

        </AttributeValuePair>



    </AddSubConfiguration>



</realmRequests>

</Requests>

将纯文本密码作为在步骤 1 中创建的 XML 文件中的 iplanet-am-auth-ldap-bind-passwd 的值进行复制。

在代码示例中，此属性的值被格式化为粗体。

使用 amadmin 命令行工具装入 XML 文件。
./amadmin -u amadmin -w administrator_password -v -t name_of_XML_file.
请注意，第二个 LDAP 配置不可见，也不能用控制台修改。

提示 –
多个 LDAP 配置有可供使用的样例。请参阅 /AccessManager-base /SUNWam/samples/admin/cli/bulk-ops/ 中的serviceAddMultipleLDAPConfigurationRequests .xml 命令行模板。可以在 /AccesManager-base/SUNWam/samples/admin/cli/ 的 Readme.html 中找到说明。