如果要在 Schema 2 兼容性模式下使用 LDAP 目录,则必须手动向该目录中添加 ACI,以便 Delegated Administrator 能够在您的目录中进行置备。请执行以下步骤:
将以下两个 ACI 添加到 OSI 根目录。可以在位于 /opt/SUNWcomm/config 目录中的 usergroup.ldif 文件中找到以下两个 ACI。
请确保用您的用户组后缀来替换 ugldapbasedn。将编辑后的 usergroup.ldif 文件添加到 LDAP 目录中。
# # acis to limit Org Admin Role # ######################################## # dn: <local.ugldapbasedn> ######################################## dn: <ugldapbasedn> changetype: modify add: aci aci: (target="ldap:///($dn),<ugldapbasedn>")(targetattr="*") (version 3.0; acl "Organization Admin Role access deny to org node"; deny (write,add,delete) roledn = "ldap:///cn=Organization Admin Role,($dn),<ugldapbasedn>";) |
dn: <ugldapbasedn> changetype: modify add: aci aci: (target="ldap:///($dn),<ugldapbasedn>")(targetattr="*") (version 3.0; acl "Organization Admin Role access allow read to org node"; allow (read,search) roledn = "ldap:///cn=Organization Admin Role,($dn),<ugldapbasedn>";) |
将以下两个 ACI 添加到 DC 树根后缀。可以在位于 /opt/SUNWcomm/config 目录中的 dctree.ldif 文件中找到以下两个 ACI。
请确保用您的 DC 树根后缀来替换 dctreebasedn,用您的用户组后缀来替换 ugldapbasedn。将编辑后的 dctree.ldif 文件添加到 LDAP 目录中。
# # acis to limit Org Admin Role # ######################################## # dn: <dctreebasedn> ######################################## dn: <dctreebasedn> changetype: modify add: aci aci: (target="ldap:///($dn),<dctreebasedn>")(targetattr="*") (version 3.0; acl "Organization Admin Role access deny to dc node"; deny (write,add,delete) roledn = "ldap:///cn=Organization Admin Role,($dn),<ugldapbasedn>";) |
dn: <dctreebasedn> changetype: modify add: aci aci: (target="ldap:///($dn),<dctreebasedn>")(targetattr="*") (version 3.0; acl "Organization Admin Role access allow read to dc node"; allow (read,search) roledn = "ldap:///cn=Organization Admin Role,($dn),<ugldapbasedn>";) |
将以下附加 ACI 添加到 DC 树根后缀。(这些 ACI 不在 dctree.ldif 文件中。)
dn:<dctreebasedn> changetype:modify add:aci aci: (target="ldap:///<dctreebasedn>")(targetattr="*") (version 3.0; acl "S1IS Proxy user rights"; allow (proxy) userdn = "ldap:///cn=puser,ou=DSAME Users,<ugldapbasedn>";) |
dn:<dctreebasedn> changetype:modify add:aci aci: (target="ldap:///<dctreebasedn>")(targetattr="*") (version 3.0; acl "S1IS special dsame user rights for all under the root suffix"; allow (all) userdn ="ldap:///cn=dsameuser,ou=DSAME Users,<ugldapbasedn>";) |
dn:<dctreebasedn> changetype:modify add:aci aci: (target="ldap:///<dctreebasedn>")(targetattr="*") (version 3.0; acl "S1IS Top-level admin rights"; allow (all) roledn = "ldap:///cn=Top-level Admin Role,<ugldapbasedn>";) |
将 AMConfig.properties 文件中的 com.iplanet.am.domaincomponent 属性设置为您的 DC 树根后缀。
例如,修改 <AM_base_directory>/lib/AMConfig.properties 文件中的以下行:
from
com.iplanet.am.domaincomponent=o=isp
改为
com.iplanet.am.domaincomponent=o=internet
启用 Access Manager(以前称为 Identity Server)以使用兼容性模式。
在 Access Manager 控制台中,选中(启用)“管理控制台服务”页中的启用域组件树复选框。
将 inetdomain 对象类添加到所有 DC 树节点(例如 dc=com,o=internet),如以下示例所示:
/var/mps/serverroot/shared/bin 298% ./ldapmodify -D "cn=Directory Manager" -w password dn: dc=com,o=internet changetype: modify add: objectclass objectclass: inetdomain |
重新启动 Web 容器。