Configuration Agent

Configuration Agent 是多个不同软件包之一，下表列出了这些软件包：

Solaris 软件包名称	描述
SUNWapbas	配置共享库
SUNWapmsc	Configuration Agent 的其他文件
SUNWapoc	Configuration Agent
SUNWapdc	Configuration Agent 向导

安装这些软件包时，将安装此 API 需要的所有文件。可以手动安装这些软件包，也可以通过 Java Desktop System 安装来完成。安装完成之后，必须在系统上配置并启用 Configuration Agent。

---

注 –

在 Java Desktop System 安装中，Configuration Agent 软件包将作为 Solaris 的一部分进行安装。但是，Desktop Manager 会在安装过程中对这些文件进行修补，以便提供正确的功能级别。

---

要访问远程配置数据，Configuration Agent 需要某些最基本的引导信息，例如 LDAP 服务器的主机名和端口。这些信息保存在一组属性文件（如 policymgr.properties、apocd.properties 和 os.properties）中。这些文件存储在本地 /etc/apoc 目录中。可以手动编辑这些属性文件（请参见附录 A，配置参数），也可以使用 Configuration Agent 的配置向导。

该配置向导提供了一个图形用户界面，可以引导您完成 Configuration Agent 的必要设置。对于该向导的每个页面，都存在一个相应的帮助屏幕。您可以通过 /usr/bin/apoc-config 脚本以超级用户 (root) 的身份启动该向导。

---

注 –

也可以启动该向导而不启动图形界面。例如，通过执行 /usr/bin/apoc-config -nodisplay 在控制台模式下启动该向导。

---

引导信息

图 3–1 Configuration Agent，配置系统信息库

---

注 –

在括号中指明了关联的属性文件关键字（在适当的位置）。

---

• 状态：Configuration Agent 的状态。可以使用该复选框激活或取消激活 Configuration Agent。要使用配置系统信息库，必须激活 Configuration Agent。激活操作自动包括对 Solaris 上服务管理工具 ( smf(5) ) 的必要注册。

• 主机标识符 (HostIdentifierType)：可以是 "HostName" 或 "IPAddress"。搜索特定于主机的策略数据时，Configuration Agent 将通过主机名或 IP 地址来识别当前主机。请根据主机的标识方式（在选定类型的上下文中）来选择正确的值。

• 上下文类型：使用此设置可以向 Configuration Agent 指明，组织层次结构和配置数据是在 LDAP 存储、基于文件的存储还是混合式存储中定义的。

  ---

  注 –

  要手动启用或禁用 Configuration Agent，请以 root 身份登录，然后键入 /usr/lib/apoc/apocd enable（如果要启用）或 /usr/lib/apoc/apocd disable（如果要禁用）。

  ---

图 3–2 Configuration Agent, LDAP 层次结构和基于文件的存储

---

注 –

图 3–2 中的屏幕将随着在前一个屏幕中所选的上下文类型而变化。如果选择了 LDAP 或混合式上下文类型，则必须提供服务器标识符、服务器端口和后缀。如果选择了基于文件或混合式上下文类型，则必须提供配置设置 URL。

---

• 服务器标识符：LDAP 服务器的主机名。

• 服务器端口：LDAP 服务器的端口号。

• 后缀：LDAP 系统信息库的基本 DN。

• 配置设置 URL：用于指定基于文件系统信息库位置的 URL。

  URL 列表可用于指定备用系统信息库，以便在无法连接到第一个系统信息库时使用。 此列表可由一个或多个 URL 组成（URL 之间以空格分隔），每个 URL 的格式为 file://<filepath> 、http://<host>:<port>/<filepath> 或 https://<host>:<port>/<filepath>。有关详细信息，请参见附录 A，配置参数。

  ---

  注 –

  代理将首先尝试使用 SSL 连接来访问 LDAP 服务器。如果失败，代理会尝试普通的 SSL 连接。

  要成功进行 SSL 连接，Java 运行时环境密钥库中必须具有合适的证书。标准 JRE 的密钥库位于 <installation directory>/lib/security/cacerts 中，而标准 JDK 的密钥库位于 <installation directory>/jre/lib/security/cacerts 中。必须将证书颁发机构或 LDAP 服务器证书添加到密钥库中，方法是使用命令 keytool -import -file <certificate file> -keystore <cacerts file location>。该密钥库的默认密码为 changeit。

  ---

图 3–3 Configuration Agent，验证机制

• Configuration Agent 的验证类型：可以是“匿名”或“简单”。如果选择“匿名”，将自动禁用“限定的用户名”和“密码”字段。

• 限定的用户名 (AuthDn)：具有读取和搜索系统信息库权限的用户的完整 DN。

• 密码 (Password)：已注册的 LDAP 用户的密码

  ---

  注 –

  如果在目录中启用了匿名访问，则可以将“限定的用户名”和“密码”设置留空。

  ---

• 应用程序的验证类型 (AuthType)：可以是“匿名”或“GSSAPI”，这取决于 LDAP 服务器验证用户的方式。

  ---

  注 –

  有关详细信息，请参见数据访问/用户验证。

  ---

端口设置

Configuration Agent 使用以下两个端口：

• 代理端口 (DaemonPort)：代理使用该端口与客户端应用程序进行通信（默认值为 38900）。

• 管理端口 (DaemonAdminPort)：在与代理通信时，代理控制器程序 (apocd) 所用的端口（默认值为 38901）。

图 3–4 Configuration Agent，端口设置

更改检测间隔

Configuration Agent 使用以下两种间隔定期检查配置数据中的更改：

• 常规检测间隔 (ChangeDetectionInterval)：桌面应用程序（客户端）的配置数据的两个更改检测周期之间的间隔（以分钟为单位）。

  ---

  注 –

  指定 -1 将关闭更改检测。

  ---

• 代理设置的间隔 (DaemonChangeDetectionInterval)：代理特定的配置设置的两个更改检测周期之间的间隔（以分钟为单位）。

  ---

  注 –

  指定 -1 将关闭更改检测。

  ---

可以使用常规检测间隔来调整远程配置数据更改至客户端应用程序的传播。为此设置指定的值表示最长经过多少分钟后，远程更改才反映在客户端应用程序中。

值越小，Configuration Agent 和 LDAP 服务器活动就越多。因此，调整此设置的值时应谨慎。例如，在初始部署阶段，可以将该值设置为一分钟，这样就可以测试远程配置对客户端应用程序的影响。完成测试后，请将此设置还原为初始值。

操作设置

图 3–5 Configuration Agent，数据目录

可以配置以下设置：

• 数据目录 (DataDir)：用于存储运行时数据的目录。默认值为 /var/opt/apoc。

• 缓存数据的存储期限 (TimeToLive)：非脱机配置数据在本地数据库中的保留时间（以分钟为单位）。

图 3–6 Configuration Agent，请求处理和日志记录

• 垃圾收集周期 (GarbageCollectionInterval)：本地配置数据库中两个垃圾收集周期之间的间隔（以分钟为单位）。

• 客户端线程的最大数目 (MaxClientThreads)：可以同时处理的客户端请求的最大数目。

• 客户端连接的最大数目 (MaxClientConnections)：客户端连接的最大数目。

• 最大请求大小 (MaxRequestSize)：客户端请求的最大大小。

• 连接超时 (ConnectTimeout)：表示 LDAP 服务器响应连接请求时所允许的间隔。默认值为一秒。

• 日志级别 (LogLevel)：代理日志文件中的详细程度。此日志级别应与 Java 记录程序的级别保持一致。这些级别如下所示（按严重性递减顺序）：

  • 严重

  • 警告

  • 信息

  • 配置

  • 良好

  • 较好

  • 最好

---

注 –

大多数操作设置（“数据目录”和“连接超时”设置除外）也可以通过 LDAP 服务器中存储的相应策略进行集中维护。如果要使用此功能，请不要通过向导更改相应的设置。相反，应使用 Desktop Manager 中的 Configuration Agent 策略来集中指定操作设置。

---

应用代理设置

已通过 Desktop Manager 存储在 LDAP 服务器中的操作设置（“数据目录”和“连接超时”除外）将在代理配置的下一个更改检测周期自动生效（请参见 DaemonChangeDetectionInterval）。

图 3–7 Configuration Agent，“汇总”页

在本地更改的所有其他设置均需要重新装入 Configuration Agent，或者重新启动 Configuration Agent。如果使用配置向导，将自动执行重新装入和重新启动操作。

---

注 –

要手动重新启动 Configuration Agent，请确保未运行任何相关的客户端应用程序，然后以 root 身份登录，并键入命令 /usr/lib/apoc/apocd restart。

---

其他代理设置

---

注 –

在配置向导中未提供以下设置。

---

• 应用本地策略 (ApplyLocalPolicy)：使用此设置可以指明本地主机上的策略数据是否可用于客户端应用程序。"true" 值表示本地策略数据可用于客户端应用程序。"false" 值表示本地策略数据无法用于客户端应用程序。有关详细信息，请参见使用本地策略。

使用本地策略

可以配置 Configuration Agent 来应用部署于本地的策略 （替代全局策略或作为其补充） 中的设置。可以使用以下步骤部署此类本地策略：

部署本地策略

步骤

1. 使用 Desktop Manager 创建具有所需策略设置的配置文件。

2. 使用 Desktop Manager 将配置文件导出为一个 Zip 文件。

3. 在客户端主机上，创建 ${DataDir}/Policies/profiles/PROFILE_REPOSITORY_default 目录（如果此目录尚未存在）。

   ${DataDir} 与 Configuration Agent 数据目录的值（默认值为 /var/opt/apoc）相对应。

4. 将先前导出的 Zip 文件复制到 ${DataDir}/Policies/profiles/PROFILE_REPOSITORY_default 中。

5. 确保将 Configuration Agent 配置为应用可用的本地策略（有关详细信息，请参见其他代理设置）。

   ---

   注 –

   如果更改了 Configuration Agent 的 "ApplyLocalPolicy" 设置，则需要重新加载 Configuration Agent（方法是以 root 身份登录，然后键入命令 /usr/lib/apoc/apocd reload）。

   在下一个 Configuration Agent 更改检测周期中，所有以此方式部署的本地策略都将可用于客户端。

   ---

自动重新启动 Configuration Agent

如果失败，Configuration Agent 将自动重新启动。服务管理工具 ( smf(5) ) 负责作出此项决策。如果服务管理工具认为不应该重新启动（例如，如果失败次数太多），则会将 Configuration Agent 置于维护模式。

如果无法重新启动 Configuration Agent，则应暂时禁用此代理（方法是以 root 身份登录，然后执行命令 /usr/lib/apoc/apocd disable），纠正导致代理失败的所有问题，然后通过执行命令 /usr/lib/apoc/apocd enable 重新启用代理。