Sun ONE 徽标     上一章      目录      索引      下一章     
Sun ONE Directory Proxy server 安装指南



附录 A   配置迁移

安装 Sun ONE Directory Proxy Server 版本 5.2 时存在迁移问题。从 iPlanet Directory Access Router 5.0 安装迁移到 Directory Proxy Server 5.2 版本需要:

  • 同时安装了 iPlanet Directory Access Router 5.0/SP1 和 Directory Proxy Server 5.2。

  • 运行迁移脚本。

  • 如有必要,请在 Directory Proxy Server 5.2 服务器上配置 SSL。

附录包含以下几个部分:

准备迁移

启动迁移前请注意以下内容:

  • 必须将 Directory Proxy Server 安装在单独的服务器根目录上。不要将其安装在现有 Directory Access Router 安装的顶级目录上。

  • 新旧实例的端口号必须在升级过程不发生冲突。如果两个服务的端口有冲突,则需要确保在迁移后的任何时间只运行其中的一个服务。

  • 在升级或卸载后,可以继续使用旧的服务器实例。

  • 可以从 Directory Access Router 版本 5.0 或 5.0 SP1 进行迁移。

  • 必须使用现有的配置目录服务器。

  • 如果从一类平台迁移到另一类平台(例如从 UNIX 迁移到 Windows 平台),则配置路径名可能不正确。针对相应的平台对配置路径名进行修改。

  • 迁移旧的 SSL 配置时,将创建新的配置,但客户端上的 SSL 参数将清除。必须手动重新配置现有的 SSL 配置。详细信息,请参阅“配置 SSL”。进行迁移前应该记录当前的 SSL 配置。

  • 如果在当前配置中将日志配置为转到 <server root>/idar-<host>/logs/fwd.log,则迁移后将继续转到此位置。如果不是所需的行为,则可在迁移前也可在迁移后更改当前配置。

迁移到 Directory Proxy Server 5.2

  1. 请确保没有其他应用程序修改配置目录服务器中的 Directory Access Router/ Directory Proxy Server 配置。关闭 Directory Proxy Server 和 Directory Access Router 控制台。不要在迁移过程中修改配置。

  2. 将 Directory Proxy Server 5.2 安装在与旧安装不同的服务器根目录上。


    3. 注意

    此时 Directory Access Router 5.0 控制台将不再工作。

  3. 迁移公用程序位于 Directory Proxy Server 目录树中。请通过输入以下内容来执行迁移公用程序 migratefromidar50

    4. <install root>/bin/dps_utilities/migratefromidar50 -b <Backup file name> -o <path to tailor.txt file of the Directory Access Router 5.0 Server Instance> -n <path to tailor.txt file of the Directory Proxy Server 5.2 Server Instance>

以下内容说明了 migratefromidar50 参数及其意义:

参数

功能

-b

输入备份文件名。将为出现在新启动配置文件(通过 -n 标志来指定)中的所有配置目录进行“ou=dar-config,o=NetscapeRoot”分支的备份。将数字后缀 (0..n) 添加到指定的文件名,用于表示备份所属的目录。对于启动配置文件中的第一个条目,其后缀是‘0’。

-o

标识 Directory Access Router 5.0 Server Instance 中 tailor.txt 文件的路径。

-n

标识 Directory Proxy Server 5.2 服务器实例中 tailor.txt 文件的路径。

配置已迁移。

  1. 如果迁移无法删除 ou=dar-config, o=NetscapeRoot 子树,并无法使用通过 -b <Backup file name> 参数保存的条目进行替换。则此时 Directory Access Router 5.0 控制台不再具有完整的功能。

    2. 如果存在下面的任何一种情况,则表示迁移已经失败:

  • 迁移输出的最后一行不是“all done”。

  • 控制台读取配置失败。

  • 迁移和手动迁移了所有与 SSL 相关的配置后,服务器启动失败。

  1. 使用 ldapadd (ldif format) 或通过 Directory Server Console 还原备份。

  2. 如果在以前的 Directory Access Router 实例中没有配置 SSL,那么请重新启动新的 Directory Proxy Server。如果配置了 SSL,则继续“配置 SSL”

配置 SSL

如果已经使用 Directory Access Router 的早期版本配置 SSL,那么请使用这些步骤来迁移配置。

如果有 Directory Access Router 5.0 的现有安装,则可以从证书颁发机构 (CA) 源申请并配置新的 SSL 证书和密钥,或者重新配置现有的 SSL 证书和密钥,以便由 Directory Proxy Server 5.2 软件识别。

  1. 使用 Sun ONE Console 创建 SSL 证书数据库。

    2. 详细信息,请参阅 Sun ONE Directory Proxy Server 管理员手册 中的“配置系统参数”。

    注意

    如果正在转换现有的 SSL 证书和密钥,则请继续第 2 步。如果正在申请新的 SSL 证书和密钥,则请跳到第 4 步

  2. 要将旧证书和私钥对插入到刚创建的证书数据库中,则必须将证书/密钥对转换成 PKS12 格式。OpenSSL 提供了将 PEM 证书/密钥对转换成 PKCS12 格式的公用程序。


    3. 注意

    Sun Microsystems 不推荐且不支持使用 openssl 公用程序来转换证书。如有可能,请从证书颁发机构申请新的证书和私钥对。最新信息,请参阅 Directory Proxy Server 发行说明

    OpenSSL 位于:

    http://www.openssl.org

    OpenSSL 文档位于:

    http://www.openssl.org/docs/apps/openssl.html

  3. 将证书/密钥对转换成 PKCS12 格式后,请使用以下位置的 pk12util 软件将其插入到证书数据库中。

    4. <ServerRoot>/shared/bin

    pk12util 文档位于:

    www.mozilla.org/projects/security/pki/nss/tools/pk12util.html

  4. 如果正在申请新的 SSL 证书和密钥,则可使用 Sun ONE Directory Proxy Server 控制台生成可提交到证书颁发机构 (CA) 的证书申请。

    5. 详细信息,请参阅 Sun ONE Directory Proxy Server 管理员手册 中的“为启用 TLS/SSL 的通信配置 Directory Proxy Server”。

  5. 如果准备将 SSL 证书和密钥与 Directory Proxy Server 5.2 一起使用,则请根据需要配置系统目标。

    6. 详细信息,请参阅 Sun ONE Directory Proxy Server 管理员手册 中的“配置系统参数”。

  6. 要确认正确的 SSL 操作,请停止然后重新启动 Directory Proxy Server 软件。

    7. 检查日志文件中的下列条目:

    560212 Now listening on port <port number> and socket <socket nember> for secured connections.

  7. 在生产服务器上安装新的 Directory Proxy Server 5.2 之前,请确保正确迁移了 SSL。请确保:

  • 设置了 Directory Proxy Server SSL 端口。

  • 客户机可以建立到 Directory Proxy Server 的 SSL 连接。

  • 如果适用,则 Directory Proxy Server 可以建立到其后端服务器的 SSL 连接。

上一章      目录      索引      下一章     
版权所有 2003 Sun Microsystems, Inc. 保留所有权利。