附錄 A 組態的遷移

Sun ONE Directory Proxy Server 安裝指南

附錄 A 組態的遷移

在安裝 Sun ONE Directory Proxy Server 5.2 版本時發生一些遷移問題。從 iPlanet Directory Access Router 5.0 安裝遷移到 Directory Proxy Server 5.2 版本有下列需求：

已安裝 iPlanet Directory Access Router 5.0/SP1 和 Directory Proxy Server 5.2。

執行遷移指令檔。

如有必要，在 Directory Proxy Server 5.2 伺服器上設定 SSL。

本附錄包含以下各節：

遷移的準備工作

遷移到 Directory Proxy Server 5.2

設定 SSL

遷移的準備工作

開始遷移之前，請注意以下幾點：

Directory Proxy Server 必須單獨安裝在不同的伺服器根目錄。請勿將它安裝在現有 Directory Access Router 安裝的最上層。

新、舊實例的連接埠號碼必須不會在升級過程中發生衝突。如果兩個服務的連接埠相衝突，則要確定遷移之後的任何時間只能執行其中一個服務。

升級或解除安裝後，您可以繼續使用舊的伺服器實例。

不論是從 Directory Access Router 5.0 版本或 5.0 SP1 都可以進行遷移。

您必須使用現有的 Configuration Directory Server。

如果從一種平台遷移到另一種平台 (例如從 UNIX 到 Windows 平台)，您的組態路徑名稱可能會不正確。請針對適當的平台做修改。

當您遷移舊的 SSL 組態時，會建立這個新的組態，但是用戶端的 SSL 參數會被清除掉。您必須以手動方式重新設定現有的 SSL 組態。如需詳細資訊，請參閱「設定 SSL」。遷移之前，請將目前的 SSL 組態記錄下來。

如果目前組態的記錄設定成記錄到 <server root>/idar-<host>/logs/fwd.log，則遷移之後仍會繼續記錄到該位置。如果不希望採用這種運作方式，請在遷移之前或之後變更目前的組態。

遷移到 Directory Proxy Server 5.2

確定沒有其他應用程式正在修改 Configuration Directory Server 中的 Directory Access Router/ Directory Proxy Server 組態。關閉 Directory Proxy Server 和 Directory Access Router 主控台。當遷移正在進行時，請勿修改組態。

在與舊安裝不同的伺服器根目錄上安裝 Directory Proxy Server 5.2。

注意
這時候，您的 Directory Access Router 5.0 主控台將不再運作。

遷移公用程式位在 Directory Proxy Server 樹狀目錄中。請輸入以下指令執行遷移公用程式 migratefromidar50：

<install root>/bin/dps_utilities/migratefromidar50 -b <Backup file name> -o <path to tailor.txt file of the Directory Access Router 5.0 Server Instance> -n <path to tailor.txt file of the Directory Proxy Server 5.2 Server Instance>

以下描述 migratefromidar50 的引數及其意義：

引數

功能

-b

輸入備份檔名。將為出現在新啟動組態檔 (以 -n 標幟指定) 中的所有組態目錄製作「ou=dar-config,o=NetscapeRoot」分支的備份。指定的檔案名稱後面將加入數值尾碼 (0..n) 以指示備份所屬的目錄。啟動組態檔中第一個項目的尾碼將是「0」。

-o

指出 Directory Access Router 5.0 Server 實例的 tailor.txt 檔案路徑。

-n

指出 Directory Proxy Server 5.2 Server 實例的 tailor.txt 檔案路徑。

組態已經遷移。

如果遷移失敗，請刪除 ou=dar-config, o=NetscapeRoot 樹狀子目錄，然後以 -b <備份檔案名稱> 引數所儲存的項目取代。這時候 Directory Access Router 5.0 主控台將不再完全運作。

如果出現以下任一種狀況，表示遷移已經失敗：

遷移輸出的最後一行不是「all done」。

主控台無法讀取組態。

在完成遷移作業，並手動遷移所有 SSL 相關組態後，伺服器仍無法啟動。

使用 ldapadd (ldif 格式) 或透過 Directory Server 主控台還原備份。

如果原先的 Directory Access Router 實例未設定 SSL，請重新啟動新的 Directory Proxy Server。如果已設定 SSL，請繼續進行「設定 SSL」。

設定 SSL

如果舊版 Directory Access Router 已設定 SSL，請使用以下程序遷移您的組態。

如果已有現存的 Directory Access Router 5.0 安裝，請向憑證授權單位 (CA) 來源要求新的 SSL 憑證和金鑰並進行設定，或重新設定現有的 SSL 憑證和金鑰，讓 Directory Proxy Server 5.2 軟體能夠辨識。

使用 Sun ONE 主控台建立 SSL 憑證資料庫。

如需詳細資訊，請參閱「Sun ONE Directory Proxy Server 管理員指南」中的「設定系統參數」。

注意
如果您正在轉換現有的 SSL 憑證和金鑰，請繼續進行步驟 2。如果您要求新的 SSL 憑證和金鑰，請跳到步驟 4。

為了將舊的憑證和私密金鑰組插入剛建立的憑證資料庫，您必須將憑證/金鑰組轉換成 PKS12 格式。OpenSSL 提供將 PEM 憑證/金鑰組轉換成 PKCS12 格式的公用程式。

注意
建議您不要用 openssl 公用程式轉換憑證，而且 Sun Microsystems 也不支援此功能。如有可能，請向憑證授權單位要求新的憑證和私密金鑰組。如需最新的資訊，請參閱「 Directory Proxy Server 版本資訊」。

OpenSSL 位於：

http://www.openssl.org

OpenSSL 的說明文件位於：

http://www.openssl.org/docs/apps/openssl.html

將憑證/金鑰組轉換成 PKCS12 格式後，使用位於下列位置的 pk12util 軟體將它們插入憑證資料庫。

<serverroot>/shared/bin

pk12util 的說明文件位於：

www.mozilla.org/projects/security/pki/nss/tools/pk12util.html

如果您欲要求新的 SSL 憑證和金鑰，請使用 Sun ONE Directory Proxy Server 主控台產生憑證要求，然後將它提交給憑證授權單位 (CA)。

如需詳細資訊，請參閱「Sun ONE Directory Proxy Server 管理員指南」中的「為啟用 TLS/SSL 的通訊設定 Directory Proxy Server」。

一旦 SSL 憑證和金鑰做好用於 Directory Proxy Server 5.2 的準備工作，請依需要設定系統物件。

如需詳細資訊，請參閱「Sun ONE Directory Proxy Server 管理員指南」中的「設定系統參數」。

若要確定 SSL 作業一切正常，請停止 Directory Proxy Server 軟體，再重新啟動。

檢查下列項目的記錄檔：

560212 Now listening on port <port number> and socket <socket nember> for secured connections.

在將新的 Directory Proxy Server 5.2 安裝設為實際執行伺服器之前，必須確定已正確遷移 SSL。請確定：

已設定 Directory Proxy Server SSL 連接埠。

用戶端可以與 Directory Proxy Server 建立 SSL 連線。

Directory Proxy Server 可以與其後端伺服器建立 SSL 連線 (如果可以的話)。

引數	功能
-b	輸入備份檔名。將為出現在新啟動組態檔 (以 -n 標幟指定) 中的所有組態目錄製作「ou=dar-config,o=NetscapeRoot」分支的備份。指定的檔案名稱後面將加入數值尾碼 (0..n) 以指示備份所屬的目錄。啟動組態檔中第一個項目的尾碼將是「0」。
-o	指出 Directory Access Router 5.0 Server 實例的 tailor.txt 檔案路徑。
-n	指出 Directory Proxy Server 5.2 Server 實例的 tailor.txt 檔案路徑。

上一章目錄索引下一章
版權所有 2003 Sun Microsystems, Inc. 保留所有權利。