在开始此过程之前,建议您先检查目录中现有的 ACI。您应确定是否可能需要保留任何将被此过程删除的 ACI。
此过程首先会从根后缀处删除全部 ACI,然后用下面列出的一组 ACI 来替换它们。如果目录中包含由 Messaging Server 以外的应用程序生成的 ACI,则应该将这些 ACI 保存到一个文件中,然后在应用 replacement.acis.ldif 文件后将这些 ACI 重新应用于目录。
要获得有关对 Access Manager 和 Messaging Server 生成的现有 ACI 进行分析的帮助,请参见本附录后面的以下几节:
以下过程描述了如何合并根后缀中的 ACI 并删除未使用的 ACI。
保存根后缀上现有的 ACI。
可以使用 ldapsearch 命令,如以下示例所示:
ldapsearch -D “cn=Directory Manager” -w <password> -s base -b <$rootSuffix> aci=* aci ><filename>
其中
<password> 是 Directory Server 管理员的密码。
<$rootSuffix> 是根后缀, 例如 o=usergroup。
<filename> 是所保存 ACI 将被写入的文件的名称。
复制并重命名 replacement.acis.ldif 文件。
安装了 Delegated Administrator 后,就会将 replacement.acis.ldif 文件安装在以下目录中:
da_base /lib/config-templates
编辑您的 replacement.acis.ldif 文件副本中的 $rootSuffix 条目。
将根后缀参数 $rootSuffix 更改为您的根后缀(例如 o=usergroup)。$rootSuffix 参数会在 ldif 文件中出现多次;必须将每个实例都替换掉。
使用 LDAP 目录工具 ldapmodify 替换 ACI。
例如,可以运行以下命令:
ldapmodify -D <directory manager> -w <password> -f <replacement.acis.finished.ldif>
其中
<directory manager> 是 Directory Server 管理员的用户名。
<password> 是 Directory Server 管理员的密码。
<replacement.acis.finished.ldif> 是编辑后的 ldif 文件名,该文件用于合并和删除目录中的 ACI。
使用 Delegated Administrator 控制台创建了一个组织后,就在该组织节点上创建了一组 ACI。
由于在上述过程中安装了替换 ACI,因此不需要每个组织上的这些 ACI。您可以通过使用 Access Manager 控制台来防止在每个组织节点上创建 ACI。