將以下兩個 ACI 增加至 OSI 根。您可以在位於 /opt/SUNWcomm/config 目錄中的 usergroup.ldif 檔案中找到以下兩個 ACI。
確定使用 usergroup 字尾替代 ugldapbasedn。將已編輯的 usergroup.ldif 增加至 LDAP 目錄。
# # acis to limit Org Admin Role # ######################################## # dn: <local.ugldapbasedn> ######################################## dn: <ugldapbasedn> changetype: modify add: aci aci: (target="ldap:///($dn),<ugldapbasedn>")(targetattr="*") (version 3.0; acl "Organization Admin Role access deny to org node"; deny (write,add,delete) roledn = "ldap:///cn=Organization Admin Role,($dn),<ugldapbasedn>";) |
dn: <ugldapbasedn> changetype: modify add: aci aci: (target="ldap:///($dn),<ugldapbasedn>")(targetattr="*") (version 3.0; acl "Organization Admin Role access allow read to org node"; allow (read,search) roledn = "ldap:///cn=Organization Admin Role,($dn),<ugldapbasedn>";) |
將以下兩個 ACI 增加至 DC 樹狀結構根字尾。您可以在位於 /opt/SUNWcomm/config 目錄中的 dctree.ldif 檔案中找到以下兩個 ACI。
確定使用 DC 樹狀結構根字尾替代 dctreebasedn,使用 usergroup 字尾替代 ugldapbasedn。將已編輯的 dctree.ldif 增加至 LDAP 目錄。
# # acis to limit Org Admin Role # ######################################## # dn: <dctreebasedn> ######################################## dn: <dctreebasedn> changetype: modify add: aci aci: (target="ldap:///($dn),<dctreebasedn>")(targetattr="*") (version 3.0; acl "Organization Admin Role access deny to dc node"; deny (write,add,delete) roledn = "ldap:///cn=Organization Admin Role,($dn),<ugldapbasedn>";) |
dn: <dctreebasedn> changetype: modify add: aci aci: (target="ldap:///($dn),<dctreebasedn>")(targetattr="*") (version 3.0; acl "Organization Admin Role access allow read to dc node"; allow (read,search) roledn = "ldap:///cn=Organization Admin Role,($dn),<ugldapbasedn>";) |
將以下附加 ACI 增加至 DC 樹狀結構根字尾。(這些 ACI 不在 dctree.ldif 檔案中。)
dn:<dctreebasedn> changetype:modify add:aci aci: (target="ldap:///<dctreebasedn>")(targetattr="*") (version 3.0; acl "S1IS Proxy user rights"; allow (proxy) userdn = "ldap:///cn=puser,ou=DSAME Users,<ugldapbasedn>";) |
dn:<dctreebasedn> changetype:modify add:aci aci: (target="ldap:///<dctreebasedn>")(targetattr="*") (version 3.0; acl "S1IS special dsame user rights for all under the root suffix"; allow (all) userdn ="ldap:///cn=dsameuser,ou=DSAME Users,<ugldapbasedn>";) |
dn:<dctreebasedn> changetype:modify add:aci aci: (target="ldap:///<dctreebasedn>")(targetattr="*") (version 3.0; acl "S1IS Top-level admin rights"; allow (all) roledn = "ldap:///cn=Top-level Admin Role,<ugldapbasedn>";) |
將 AMConfig.properties 檔案中的 com.iplanet.am.domaincomponent 特性設定為您的 DC 樹狀結構根字尾。
例如,修改 <AM_base_directory>/lib/AMConfig.properties 檔案中的以下各行:
從
com.iplanet.am.domaincomponent=o=isp
至
com.iplanet.am.domaincomponent=o=internet
允許 Access Manager (以前稱為 Identity Server) 使用相容模式。
在 Access Manager 主控台中,在 [Administration Console 服務] 頁面中核取 (啟用) [已啟用網域元件樹狀結構] 核取方塊。
將 inetdomain 物件類別增加至所有 DC 樹狀結構節點 (如 dc=com,o=internet),如以下範例所示:
/var/mps/serverroot/shared/bin 298% ./ldapmodify -D "cn=Directory Manager" -w password dn: dc=com,o=internet changetype: modify add: objectclass objectclass: inetdomain |
重新啟動 Web 容器。