開始使用此程序之前,建議您先檢查目錄中的現有 ACI。應確定是否需要保留將被此程序刪除的任何 ACI。
該程序最初會從根字尾處移除所有 ACI,並用下面列出的 ACI 集替代它們。如果目錄包含由 Messaging Server 以外的應用程式產生的 ACI,應將這些 ACI 儲存至檔案,並在套用 replacement.acis.ldif 檔案後將其重新套用到該目錄。
為協助您分析由 Access Manager 和 Messaging Server 產生的現有 ACI,請參閱本指南後面部分的以下小節︰
以下程序說明如何在根字尾處合併 ACI 以及移除未使用的 ACI。
儲存目前在根字尾處的現有 ACI。
可以使用 ldapsearch 指令,如以下範例所示︰
ldapsearch -D “cn=Directory Manager” -w <password> -s base -b <$rootSuffix> aci=* aci ><filename>
其中,
<password> 為 Directory Server 管理員密碼。
<$rootSuffix> 為根字尾,例如 o=usergroup。
<filename> 是儲存的 ACI 將要寫入的檔案之名稱。
複製並重新命名 replacement.acis.ldif 檔案。
安裝 Delegated Administrator 時,replacement.acis.ldif 檔案將安裝在以下目錄中︰
da_base /lib/config-templates
在 replacement.acis.ldif 檔案副本中編輯 $rootSuffix 項目。
將根字尾參數 $rootSuffix 變更為您的根字尾 (例如 o=usergroup)。$rootSuffix 參數在 ldif 檔案中多次顯示;必須替代每個實例。
使用 LDAP 目錄工具 ldapmodify 替代 ACI。
例如,可以執行以下指令︰
ldapmodify -D <directory manager> -w <password> -f <replacement.acis.finished.ldif>
其中,
<directory manager> 為 Directory Server 管理員名稱。
<password> 為 Directory Service 管理員密碼。
<replacement.acis.finished.ldif> 是在目錄中合併和移除 ACI 之已編輯的 ldif 檔案的名稱。
使用 Delegated Administrator 主控台建立組織時,將在組織節點上建立一組 ACI。
在前面程序中安裝的替代 ACI 不需要這些針對組織的 ACI。可以透過使用 Access Manager 主控台阻止建立針對組織的 ACI。