iPlanet Directory Server 5.1 管理员指南：第 1 章 “iPlanet Directory Server 简介”

上一页 目录索引 文档主页 下一页

iPlanet Directory Server 5.1 管理员指南

第 1 章 iPlanet Directory Server 简介

iPlanet Directory Server 产品包括管理多个目录的 iPlanet Directory Server 和通过图形界面管理这两个服务器的 iPlanet Console。本章概述有关 iPlanetDirectory Server 的信息以及使用控制台建立目录管理服务所需的最基本的任务。
其中包含以下部分：

iPlanet Directory Server 管理概述

使用 iPlanet Directory Server Console

启动和停止 iPlanet Directory Server

配置 LDAP 参数

在启用 SSL 的情况下启动服务器

在引荐模式下启动服务器

 iPlanet Directory Server 管理概述

iPlanet Directory Server 是一种功能强大、伸缩自如的服务器软件，设计用于管理整个企业范围内的用户和资源目录。它基于一个称做轻型目录访问协议（LDAP）的开放式系统服务器协议。在计算机上，iPlanet Directory Server 以 ns-slapd 进程或服务的形式运行。该服务器管理着目录数据库，同时对客户请求作出响应。
大部分 iPlanet Directory Server 管理任务是通过 Administration Server 执行的，该服务器软件是由 iPlanet 提供的、用于帮助管理 iPlanet Directory Server（以及其它所有 iPlanet 服务器）的辅助服务器。iPlanet Console 是 Administration Server 的图形界面。iPlanet Directory Server Console 是 iPlanet Console 的组成部分，专门设计用于 iPlanet Directory Server。
大部分的 iPlanet Directory Server 管理任务都可以通过 iPlanet Directory Server Console 执行。通过编辑配置文件或使用命令行实用程序，也可以手动执行管理任务。有关 iPlanet Console 的详细信息，请参阅通过 iPlanet Console 管理服务器。

使用 iPlanet Directory Server Console

iPlanet Directory Server Console 是作为 iPlanet Console 的一个独立窗口访问的界面。iPlanet Directory Server Console 需从 iPlanet Console 中启动，有关说明见以下步骤。

启动 iPlanet Directory Server Console

检查目录服务器的守护程序 slapd-serverID 是否处于运行状态。如果未运行，则以 root 用户身份输入下列启动命令：

# /usr/sbin/directoryserver start

检查管理服务器的守护程序 admin-serv 是否处于运行状态。如果未运行，则以 root 用户身份输入下列启动命令：

# /usr/sbin/directoryserver start-admin

输入以下命令，启动 iPlanet Console：

# /usr/sbin/directoryserver startconsole

此时显示控制台登录窗口。或者，如果配置目录（包含 o=NetscapeRoot 后缀的目录）储存于一个独立的 Directory Server 实例中，则所显示的窗口要求输入管理员用户 DN、口令及此目录服务器的管理服务器 URL。

使用满足下列条件的用户绑定 DN 和口令进行登录：该用户对所要执行的操作拥有足够的访问权限。例如，可以使用 cn=Directory Manager 及相应的口令。

此时显示 iPlanet Console。

浏览左侧导航窗口中的目录树，找到为 Directory Server 提供主机服务的计算机，然后单击它的名称或图标以显示它的一般属性。

要编辑目录服务器的名称和说明，单击“编辑”按钮。在文本框中输入新的名称和说明。该名称将出现在左侧的目录树中，如下图所示。

图 1-1    iPlanet Console

单击“确定”设置新的名称和说明。

双击目录树中您的 Directory Server 的名称，或者单击“打开”按钮，以显示用于管理该目录服务器的 iPlanet Directory Server Console。

Directory Server Console 概览

Directory Server Console 提供对 Directory Server 实例进行浏览和执行管理操作的界面。它始终显示四个选项卡，通过这些选项卡可以访问所有的 Directory Server 功能：

“任务”选项卡

“配置”选项卡

“目录”选项卡

“状态”选项卡

 “任务”选项卡

“任务”选项卡是打开 Directory Server Console 后首先看到的界面。如下图所示，它包括用于执行所有重要管理任务（例如启动或停止 Directory Server）的按钮。要查看所有任务及其对应的按钮，最好调整控制台窗口的大小。
图 1-2    Directory Server Console 的“任务”选项卡

必须以具有目录管理员权限的用户身份登录才可以执行这些任务。如果执行任务时没有足够的权限，控制台就会提示输入目录管理员的 DN 和口令。

“配置”选项卡

Directory Server Console 的“配置”选项卡提供查看和修改所有目录设置（如数据库、后缀、复制、模式、日志和插件等设置）的界面和对话框。这些对话框只有在以具有目录管理员权限的用户身份登录后方可用或有效。
该选项卡的左侧窗口中包括所有配置功能的目录树，而右边窗口则显示具体管理各项功能的界面。这些界面通常还包含其它选项卡、对话框或弹出窗口。例如，下图显示整个目录的常规设置。
图 1-3    Directory Server Console 的“配置”选项卡

在左边目录树中选中一个可配置项时，该项的当前设置将显示在右边窗口的一个或多个选项卡中。根据不同的设置，有些更改在保存后立即生效，而有些更改则在重新启动服务器后方才有效。有关这些设置的说明和相关的操作，请参阅本指南中介绍各项功能的章节。
若选项卡中有未保存的更改，则在该选项卡名称旁边用红色的标记指明。即使配置另一项或者对其它主选项卡进行更改，未保存的更改也将一直保留在选项卡上。“保存”和“复位”按钮适用于给定可配置项的所有选项卡，但不会影响其它项的未保存设置。
大多数文本字段要求以正确的语法输入设置值。默认情况下，如果语法不正确，则用红色突出显示该设置的标签和输入的值，直至语法正确。“保存”按钮在所有设置的语法都正确后才可以使用。可以从“编辑”>“首选项”对话框的“ 其他”选项卡中选择使用斜体字来突出显示不正确的值，或者完全不用突出显示。

“目录”选项卡

控制台的“目录”选项卡以树状形式显示目录条目，以方便用户查找。在该选项卡中，可以浏览、显示和编辑所有条目以及它们包含的属性。
图 1-4    Directory Server Console 的“目录”选项卡

如果在登录期间给定的绑定 DN 有足够的访问权限，则配置条目可以按常规条目进行查看，并且可以直接修改。但是，为安全地更改配置设置，应始终使用通过“配置”选项卡提供的对话框。
“视图”菜单提供几个选项，用于更改“目录”选项卡的布局和内容。新的布局选项包括在单个目录树中显示所有条目（包含叶条目）以及在右边窗口显示属性等。默认的布局是在右边窗口查看叶条目，而不在左边的目录树。
“视图”>“显示”选项启用 ACI 计数、角色计数和去活状态图标用于目录树中的所有条目。在上一幅图中，ACI 计数和叶条目显示在左边的树中，而所选条目的属性值显示在右边窗口中。

“状态”选项卡

“状态”选项卡显示服务器统计数据和日志消息。左边的树列出所有状态项，而右边窗口显示每个所选项的内容。例如，下图显示一个日志条目表格。
图 1-5    Directory Server Console 的“状态”选项卡

从控制台查看当前绑定 DN

单击显示器左下角的登录图标，可以查看用于登录 iPlanet Directory Server Console 的绑定 DN。如下所示，当前绑定 DN 显示在登录图标的旁边。

更改登录身份

从 iPlanet Directory Server Console 创建或管理条目以及第一次访问 iPlanet Console 时，可以选择通过提供绑定 DN 和口令进行登录。这用于表明要访问目录树的用户身份并确定其是否有执行操作所需的访问权限。
第一次启动 iPlanet Console 时，可以通过目录管理员 DN 进行登录。您可以随时选择以其它用户身份进行登录，而无须停止和重新启动控制台。
要在 iPlanet Console 中更改登录身份：

在 iPlanet Directory Server Console 中，选择“任务”选项卡并单击“作为新用户登录到 iPlanet Directory Server”标签旁边的按钮。或者，在另一个控制台选项卡中，从“控制台”菜单中选择“作为新用户登录”菜单项。

此时显示一个登录对话框。

输入新的 DN 和口令，然后单击“确定”。

输入要绑定到服务器的条目的完整特异名称。例如，如果想绑定为目录管理员，则在“特异名称”文本框中输入以下内容：

cn=Directory Manager

目录管理员 DN 和口令将在后面的部分做进一步的介绍。

配置目录管理员

目录管理员是有相应权限的数据库管理员，类似于 UNIX 中的 root 用户。访问控制不适用于定义为目录管理员的条目。缺省值为 cn=Directory Manager。
该用户口令在 nsslapd-rootdn 属性中定义。
使用 Directory Server Console 来更改目录管理员 DN 和口令，以及该口令使用的加密模式：

以目录管理员的身份登录 Directory Console。

如果已登录 Directory Console，请参阅“更改登录身份”，了解如何以其它用户的身份进行登录。

在 iPlanet Directory Server Console 上，选择“配置”选项卡，然后选择左侧窗口导航树中上面的条目。

在右侧窗口中，选择“管理员”选项卡。

在“根目录 DN”字段中输入目录管理员的新特异名称。

缺省值是 cn=Directory Manager。

从“管理员口令加密”下拉菜单中，选择希望服务器用于存储目录管理员口令的储存模式。

用提供的文本字段输入新的口令并加以确认。

单击“保存”。

启动帮助系统

iPlanet Directory Server 的帮助系统依赖于 iPlanet Administration Server。如果在 Administration Server 的远程计算机上运行 iPlanet Directory Server Console，则需要确认以下各项：
Administration Server 被授予了客户机 IP 地址。运行 iPlanet Directory Server Console 的计算机需要有对 Administration Server 的访问权限。要将 Administration Server 配置为接受客户机 IP 地址，请在 Administration Server 中执行以下操作：

启动 iPlanet Administration Server Console。该控制台应与 Administration Server 在同一计算机上运行。

单击“配置”选项卡，然后单击“网络”选项卡。

在连接限制设置中，从下拉菜单中选择“允许的 IP 地址”。单击“编辑”。

将“IP 地址”字段编辑为： *.*.*.*

这样即允许所有客户机访问 Administration Server。

重新启动 Administration Server。现在即可通过单击 Directory Server Console 中的帮助按钮来启动在线帮助。
Administration Server 被授予了代理。如果在运行 Directory Server Console 的客户机上使用 HTTP 连接的代理，则需要执行以下操作之一：

从运行 Directory Server Console 的计算机上删除代理。这样即允许客户机直接访问 Administration Server。

要从运行 Directory Server Console 的计算机上删除代理，需要改动用来运行帮助的浏览器的代理配置。在 Netscape Communicator 中，从“编辑”菜单中选择“首选项”。依次选择“高级”和“代理”以访问代理配置。在 Internet Explorer 中，从“工具”菜单中选择“Internet 选项”。

将客户机代理 IP 地址添加到 Administration Server 的可接受的 IP 地址列表中。

警告
将客户机代理 IP 地址添加到 Administration Server 可导致系统出现潜在的安全漏洞。

控制台剪贴板

Directory Server Console 使用系统剪贴板来复制、剪切和粘贴文本。另外，它还包含一个有用的减少输入的功能：在“目录”选项卡内浏览时，可以将条目的 DN 或 URL 生成到剪贴板上：

在 Directory Server Console 上，选择“目录”选项卡。

浏览目录树并选择（左键单击）要复制 DN 或 URL 的条目。

从菜单中选择“编辑”>“复制 DN”或“编辑” >“复制 URL”。
在打开一个对话框或其它选项卡前执行上述操作，这样可以将 DN 或 URL 文本添加到任何文本字段。

启动和停止 iPlanet Directory Server

如果未使用安全套接层 (SSL)，则可通过下列方法启动和停止 iPlanet Directory Server。如果使用了 SSL，请参阅 “在启用 SSL 的情况下启动服务器”。

从控制台启动/停止服务器

启动 iPlanet Directory Server Console。

有关说明，请参阅“启动 iPlanet Directory Server Console”。

在“任务”选项卡中，相应地单击“启动 iPlanet Directory Server”或“停止 iPlanet Directory Server”。
从 iPlanet Directory Server Console 成功地启动或停止 iPlanet Directory Server 后，服务器就会显示一个消息框，提示服务器处于启动或关闭状态。

从命令行启动/停止服务器

利用根用户权限，运行以下之一：
# /usr/sbin/directoryserver start
或
# /usr/sbin/directoryserver stop
脚本必须利用与 iPlanet Directory Server 相同的 UID 与 GID 来运行。例如，如果 iPlanet Directory Server 作为 nobody 运行，则实用程序也必须作为 nobody 运行。

配置 LDAP 参数

可以通过 iPlanet Directory Server Console 查看和更改与服务器的网络和 LDAP 设置相关的参数。本部分提供有关下列内容的信息：

更改目录服务器端口号

将整个 Directory Server 置于只读模式

跟踪目录条目的修改
有关模式检查的信息，请参阅第 9 章“扩展目录模式”。

更改目录服务器端口号

使用 iPlanet Directory Server Console 或通过更改 cn=config 条目下的 nsslapd-port 属性值，可以修改用户目录服务器的端口或安全端口号。
如果要修改包含 iPlanet 配置信息（o=NetscapeRoot 子树）的 iPlanet Directory Server 的端口或安全端口号，则可通过 iPlanet Directory Server Console 完成。
如果想更改配置目录或用户目录端口或安全端口号，则应注意以下几点：

您需要更改 Administration Server 的配置或用户目录端口或者安全端口号。有关信息，请参阅通过 iPlanet Console 管理服务器。

如果安装有其它指向配置或用户目录的 iPlanet 服务器，则需要更新这些服务器以使其指向新的端口号。
要修改用户或配置目录用于监听输入请求的端口或安全端口：

在 iPlanet Directory Server Console 上，选择“配置”选项卡，然后选择左侧窗口导航树中上面的条目。

选择右侧窗口中的“设置”选项卡。

在“端口”文本框中，输入希望服务器用于非 SSL 通讯的端口号。

缺省值是 389。

在“加密端口”文本框中，输入希望服务器用于 SSL 通讯的端口号。

指定的加密端口号不得与常规 LDAP 通信所用的端口号相同。缺省值是 636。

单击“保存”，然后重新启动服务器。

有关说明，请参阅“启动和停止 iPlanet Directory Server”。

将整个 Directory Server 置于只读模式

如果要用目录服务器维护多个数据库，且需要将所有数据库都设为只读模式，则可通过一步操作完成。但要注意，如果 iPlanet Directory Server 包含副本，则不得使用只读模式，因为这将禁用复制功能。
要将 iPlanet Directory Server 置于只读模式：

在 iPlanet Directory Server Console 上，选择“配置”选项卡，然后选择左侧窗口导航树中上面的条目。

选择右侧窗口中的“设置”选项卡。

选中“使整个服务器只读”复选框。

单击“保存”，然后重新启动服务器。

注意此操作也会使目录服务器配置处于只读状态。因此，当处于只读模式时，不能升级服务器配置，不能启用或禁用插件，甚至不能重新启动目录服务器。

有关将单个数据库置于只读模式的信息，请参阅“启用只读模式”。

跟踪目录条目的修改

可以对服务器进行配置，从而为新创建或新修改的条目维护特殊的属性。

creatorsName — 条目最初创建者的特异名称。

createTimestamp — 条目创建的时间戳，以 GMT（格林尼治时间）格式表示。

modifiersName — 条目最终修改者的特异名称。

modifyTimestamp — 最终修改条目的时间戳，以 GMT（格林尼治时间）格式表示。

注意当客户机应用程序利用数据库链接创建或修改条目时，reatorsName 和 modifiersName 属性无法反映条目的真正创建者或修改者。这些属性包含对远程服务器拥有代理验证权限的管理员名称。有关代理验证的信息，请参阅“提供绑定凭证”。

要启用 iPlanet Directory Server 以跟踪这些信息：

在 iPlanet Directory Server Console 上，选择“配置”选项卡，然后选择左侧窗口导航树中上面的条目。

选择右侧窗口中的“设置”选项卡。

选中“跟踪项目修改时间”复选框。

服务器将为每个新创建或修改的条目添加 creatorsName、 createTimestamp、 modifiersName 和 modifyTimestamp 属性。

单击“保存”，然后重新启动服务器。

有关详细信息，请参阅“iPlanet 启动和停止 Directory Server”。

在启用 SSL 的情况下启动服务器

您必须从命令行下启动服务器，还可以创建密码文件来存放您的证书密码。通过把证书数据库口令放在文件中，可以从服务器控制台启动服务器，也可以在无人看护运行时允许服务器自动重新启动。

警告
此口令以纯文本形式储存于口令文件中，因此对它的使用会带来重大的安全隐患。如果服务器运行于非安全环境中，则切勿使用口令文件。

口令文件必须放在以下位置：
/usr/iplanet/ds5/alias/slapd-serverID-pin.txt
其中 serverID 是配置时为服务器指定的标识符。
如下所示，需要在该文件中包括令牌名称和口令：
Token:Password
例如：
Internal (Software) Token:mypassword
要创建证书数据库，则必须使用管理服务器和证书安装向导。有关证书数据库、证书别名、SSL 和获得服务器证书的信息，请参阅通过 iPlanet Console 管理服务器。有关在 iPlanet Directory Server 中使用 SSL 的信息，请参阅第 11 章“管理 SSL”。

在引荐模式下启动服务器

引荐用于在当前服务器不可用时，或者客户机请求信息不在当前服务器上时，将客户机应用程序重新定向到另一个服务器。
例如，若要更改 iPlanet Directory Server 的配置且希望所有客户机在此期间均被引荐到另一原版服务器，就可能想要启动 iPlanet Directory Server。为此，必须用 refer 命令来启动服务器。
如果服务器已处于运行状态，则可以使用 iPlanet Directory Server Console 将其置于引荐模式。此过程的说明参见“设置缺省引荐”。

使用 refer 命令

按以下步骤在引荐模式下启动 iPlanet Directory Server：

进入 bin/slapd/server 目录：

% cd /usr/iplanet/ds5/bin/slapd/server

如下所示运行 refer 命令：

# ./ns-slapd refer -D instanceDir [-p port] -r LDAPurl

其中，instanceDir 是要被引荐查询的目录实例，port 是要以引荐模式启动的 iPlanet Directory Server 的端口号，LDAPurl 则是返回到客户机的引荐。有关 LDAP URL 格式的信息，请参阅附录 C“LDAP URL”。

上一页 目录索引 文档主页 下一页
版权所有 © 2001 Sun Microsystems, Inc.。部分版权所有 © 2001 Netscape Communications Corp.。保留所有权利。

最近更新时间 2002 年 2 月 15 日