Sun ONE logo     上一章     目錄     索引     說明文件首頁     下一章    
Sun ONE Directory Server 管理指南



第 14 章   使用通過驗證外掛程式

通過驗證 (PTA) 是一種機制,目錄伺服器可藉此機制參閱另一個目錄伺服器以驗證連結要求。PTA 外掛程式提供此項功能;允許目錄伺服器接受不是儲存在其本機尾碼中之項目的簡單連結作業(以密碼為基礎)。

Sun ONE Directory Server 5.2 使用 PTA 可允許您在 Directory Server 的不同實例上,管理自己的使用者和組態目錄。


注意

當您讓自己的使用者目錄與組態目錄使用相同的伺服器時,PTA 外掛程式不會列在 目錄伺服器主控台 上,但是您可以使用通過驗證建立它。

本章在下列章節中說明 PTA 外掛程式:

目錄伺服器使用 PTA 的方法

如果您在 Directory Server 的不同實例上安裝組態目錄和使用者目錄,安裝程式會自動將 PTA 設定為允許「組態管理者」的使用者(通常為 admin)執行管理任務。

在這種情況下,PTA 是必要的,因為 admin 使用者項目會儲存在組態目錄的 o=NetscapeRoot 之下。因此,嘗試要連結使用者目錄作為 admin 通常會失敗。PTA 允許使用者目錄將認證傳遞給用來驗證使用者目錄的組態目錄。然後使用者目錄會允許 admin 使用者進行連結。

將此範例中的使用者目錄當作 PTA 伺服器使用,也就是將連結要求傳遞至另一個目錄伺服器的伺服器。將組態目錄會當作驗證伺服器使用,也就是包含項目並且驗證要求用戶端之連結認證的伺服器。

您也會在本章中看到 PTA 樹狀子目錄字串的使用。通過樹狀子目錄為不會出現在 PTA 伺服器中的樹狀子目錄。當使用者的連結 DN 包含此樹狀子目錄時,系統會將使用者的認證傳送至驗證目錄。

此一系列的步驟將顯示通過驗證是如何運作的:

  1. 您在主機 configdir.example.com 上,安裝組態目錄伺服器 (驗證目錄),其包含有通過樹狀子目錄 o=NetscapeRoot

  2. 您在主機 userdir.example.com 上,安裝使用者目錄伺服器 (PTA 伺服器),其在dc=example,dc=com 尾碼內包含有資料。

  3. 在使用者目錄的安裝過程中,系統將提示您提供指向組態目錄伺服器的 LDAP URL,例如:

    4. ldap://configdir.example.com/o=NetscapeRoot

  4. 安裝程式以您提供的 LDAP URL 設定並啟用使用者目錄內的 PTA 外掛程式。

    5. 現在,使用者目錄已設定為 PTA 目錄。它將傳送其 DN 含有 o=NetscapeRoot 的項目的所有連結要求至組態目錄 configdir.example.com

  5. 安裝完成時,admin 使用者即嘗試連結至使用者目錄以開始建立使用者資料。

    6. admin 項目在組態目錄中儲存為 uid=admin, ou=Administrators,ou=TopologyManagement,o=NetscapeRoot。所以,使用者目錄通過如 PTA 外掛程式組態所定義之組態目錄的連結要求。

  6. 組態目錄可驗證連結的認證,包括密碼,並傳回確認至使用者目錄。

  7. 使用者目錄允許 admin 使用者進行連結。

設定 PTA 外掛程式

PTA 外掛程式組態資訊在 PTA 伺服器中指定為 cn=Pass Through Authentication,cn=plugins,cn=config 項目。

如果您在不同伺服器實例中安裝了使用者和組態目錄,系統會自動將 PTA 外掛程式項目加入使用者目錄組態。如果您在相同的實例上同時安裝了兩個目錄,而且您希望以其他的目錄執行通過驗證,您必須先建立外掛程式組態項目。

建立外掛程式組態項目

  1. 執行下列指令以建立外掛程式組態項目:

    2. ldapmodify -a -h PTAhost -p port -D "cn=Directory Manager" -w password
    dn:cn=Pass Through Authentication,cn=plugins,cn=config
    objectClass:top
    objectClass:nsSlapdPlugin
    objectClass:extensibleObject
    cn:Pass Through Authentication
    nsslapd-pluginPath:ServerRoot/lib/passthru-plugin.extension
    nsslapd-pluginInitfunc:passthruauth_init
    nsslapd-pluginType:preoperation
    nsslapd-plugin-depends-on-type:database
    nsslapd-pluginId:passthruauth
    nsslapd-pluginVersion: 5.2
    nsslapd-pluginVendor:Sun Microsystems, Inc.
    nsslapd-pluginDescription:pass through authentication plugin
    nsslapd-pluginEnabled:on or off
    nsslapd-pluginarg0:ldap[s]://authenticatingHost[:port]/PTAsubtree options

    其中ServerRoot視您的安裝而定,extension在 HP-UX 上是 .sl,在所其他的 UNIX 平台上是 .so,在 Windows 上是 .dll

    外掛程式引數指定了識別驗證目錄伺服器的主機名稱、選用的連接埠和 PTA 樹狀子目錄的 LDAP URL。如果沒有指定連接埠,LDAP 預設值為 389、LDAPS 為 636。您也可以設定選用的連線參數,如下列章節所述。如果 PTAhost 已有 PTAsubtree 存在,外掛程式將不會通過連結要求至 authenticatingHost,連結將在本地端處理,而不會通過。

  2. <啟動和停止Diectory Server> 所述,重新啟動伺服器。

設定 PTA 以使用安全連線

因為 PTA 外掛程式必須傳送包含密碼的連結認證至驗證目錄,因此我們建議您使用安全連線。若要設定 PTA 目錄以透過 SSL 與驗證目錄進行通訊:

  • 在 PTA 和驗證目錄中設定和啟用 SSL,如第 11 章<執行安全性>所述。

  • 建立或修改 PTA 外掛程式組態,以在 LDAP URL 中使用 LDAPS 和安全連接埠,例如:

    • ldaps://configdir.example.com:636/o=NetscapeRoot

設定選用連線參數

PTA 外掛程式引數接受一組選用連線參數在 LDAP URL 之後:

ldap[s]://host[:port]/subtree [maxconns,maxops,timeout,ldapver,connlife]

參數必須依顯示的順序指定。雖然這些參數為選用,但是如果您要指定其中一個,則您必須全部指定。如果您不希望自訂所有參數,請依下列指定其預設值。請確認樹狀子目錄參數和選用的參數間有空格。

您可設定下列每個 LDAP URL 的選用參數:

  • maxconns - PTA 伺服器可同時開放給驗證伺服器的最大連線數目。此參數限制可通過至驗證伺服器的同時連結數量。預設值是 3

  • maxops - PTA 目錄伺服器可同時傳送至單一連線中之驗證目錄伺服器的最大連結要求數量此參數進一步限制同時通過驗證的數量。預設值為 5

  • timeout - 您要 PTA 伺服器等待驗證伺服器回應的最大延遲秒數。預設值為 300 秒(五分鐘)。

  • ldapver - 您想要 PTA 伺服器連線至驗證伺服器使用的 LDAP 協定版本。LDAPv2 的允許值是 2,LDAPv3 是 3。預設值是 3

  • connlife - 在時間限制的秒數內,PTA 伺服器將重新使用連線至驗證伺服器。如果該時間到期後,用戶端才要求 PTA 樹狀子目錄內的連結,伺服器會關閉 PTA 連線,再開啟新的連線。除非啟動連結要求而且伺服器判定已經超過逾時值,否則伺服器不會關閉連線。如果您不指定此選項,或者如果只有一個驗證伺服器列於 LDAP URL 中,則不會強制執行任何時間限制。如果列示了兩個或以上的主機,則預設為 300 秒 (五分鐘)。

下列 PTA 外掛程式引數的範例增加連線數量至 10,但是降低逾時時間為一分鐘(60 秒鐘)。所有其他參數的預設值指定如下:

ldaps://configdir.example.com:636/o=NetscapeRoot 10,5,60,3,300

指定多重伺服器和樹狀子目錄

您可以使用多組引數設定 PTA 外掛程式,以指定多重驗證伺服器、多重 PTA 樹狀子目錄或兩者同時指定。每個引數包含一個 LDAP URL,並可能有其自己的連線選項組。

當相同的 PTA 伺服器有多重驗證伺服器時,他們可以做為容錯移轉伺服器。每當 PTA 連線達到逾時限制,外掛程式將依列出的順序建立連線至驗證伺服器。如果所有連線皆逾時,則驗證將失敗。

當已定義多重 PTA 樹狀子目錄,外掛程式將依據連結 DN,通過驗證要求至對應的伺服器。下列範例顯示四個外掛程式引數,定義兩個 PTA 樹狀子目錄,每一個都有驗證的容錯轉移伺服器和伺服器特定的連線參數:

nsslapd-pluginarg0:ldaps://configdir.example.com/o=NetscapeRoot
 10,10,60,3,300
nsslapd-pluginarg1:ldaps://configbak.example.com/o=NetscapeRoot
 3,5,300,3,300
nsslapd-pluginarg2:ldaps://east.example.com/ou=East,ou=People,
 dc=example,dc=com 10,10,300,3,300
nsslapd-pluginarg3:ldaps://eastbak.example.com/ou=East,ou=People,
 dc=example,dc=com 3,5,300,3,300

修改 PTA 外掛程式組態

您可以在任何時間重新設定 PTA 外掛程式,啟用或停用,或變更驗證主機或 PTA 樹狀子目錄。

  1. 編輯 PTA 外掛程式組態項目 (cn=Pass Through Authentication,cn=plugins,cn=config) 以修改 nsslapd-pluginenablednsslapd-pluginargN 屬性。您可以使用主控台或 ldapmodify 公用程式編輯組態。

    2. 例如,下列指令將啟用 PTA 外掛程式和 SSL,以及上述顯示的連線參數。

    dn:cn=Pass Through Authentication,cn=plugins,cn=config
    changetype:modify
    replace:nsslapd-pluginenabled
    nsslapd-pluginenabled:on
    -
    replace:nsslapd-pluginarg0
    nsslapd-pluginarg0:ldaps://configdir.example.com:636/
     o=NetscapeRoot 10,10,60,3,300
    -
    replace:nsslapd-pluginarg1
    nsslapd-pluginarg1:ldaps://configbak.example.com:636/
     o=NetscapeRoot 3,5,300,3,300
    ^D

  2. <啟動和停止Diectory Server> 所述,重新啟動伺服器。

上一章     目錄     索引     說明文件首頁     下一章    
版權所有 2003 Sun Microsystems, Inc. 保留所有權利。