本章介绍下载 Directory Server Enterprise Edition 软件的位置,并列出了主要的安装要求。
本章包含以下部分:
可从以下位置下载 Sun Java System Directory Server Enterprise Edition 6.0 软件。
http://www.sun.com/software/products/directory_srvr_ee/get.jsp
您可以根据需要下载的分发包类型,从下载页面找到合适的下载内容。以下分发包中提供了 Directory Server Enterprise Edition 6.0。
Sun Java Identity Management Suite 分发包中包含作为 Sun Java Enterprise System 的一部分提供的本地软件包版本。Java Enterprise System 分发包不包含目录服务控制中心。
zip 分发包并非基于本地软件包。zip 分发包不包含目录服务控制中心。
本部分介绍 Directory Server Enterprise Edition 组件产品的硬件要求。
目录代理服务器软件要求提供以下硬件支持。
组件 |
平台要求 |
---|---|
RAM |
1-2 GB(用于评估) 4 GB(用于生产服务器) |
本地磁盘空间 |
300 MB 磁盘空间(用于二进制文件)。默认情况下,从本地软件包安装的二进制文件位于 UNIX® 系统上的 /opt 中。 如果用于评估,当使用默认配置时,每个服务器实例只需额外提供 2 GB 的本地磁盘空间,即足以保存服务器日志。 目录代理服务器不支持在安装了 NFS 的文件系统上进行安装。应该为实例以及本地文件系统(例如 /var/opt 或 /local 中的文件系统)上的实例所用的所有文件提供足够的空间。 |
目录服务器软件要求提供以下硬件支持。
组件 |
平台要求 |
---|---|
RAM |
1-2 GB(用于评估) 至少 4 GB,可能需要更多(用于生产服务器) |
本地磁盘空间 |
300 MB 磁盘空间(用于二进制文件)。默认情况下,从本地软件包安装的二进制文件位于 UNIX 系统上的 /opt 中。如果用于评估,为服务器软件额外提供 2 GB 的本地磁盘空间可能已经足够。 如果要使用目录服务器,应考虑到存储在目录服务器中的条目也会使用本地磁盘空间。目录服务器不支持在安装了 NFS 的文件系统上所安装的日志和数据库。应该为本地文件系统(例如 /var/opt 或 /local 中的文件系统)上的数据库提供足够的空间。对于最多具有 250,000 个条目并且没有二进制属性(如照片)的典型生产部署,4 GB 可能已经足够。 |
Identity Synchronization for Windows 软件要求提供以下硬件支持。
组件 |
平台要求 |
---|---|
RAM |
512 MB(安装组件的情况下用于评估)。建议使用更多内存。 |
本地磁盘空间 |
400 MB 磁盘空间(用于具备目录服务器的最小安装)。 |
在安装目录编辑器之前,请务必阅读本发行说明中的第 6 章,目录编辑器中修复的错误和已知问题。
另外,有关详细信息,请参见 http://docs.sun.com/coll/DirEdit_05q1 中的目录编辑器文档。
本部分介绍支持 Directory Server Enterprise Edition 组件产品所需的操作系统、修补程序和服务包。
目录服务器、目录代理服务器和 Directory Server Resource Kit(包含 Directory SDK for C 和 Directory SDK for Java)的操作系统要求相同。这些软件组件在此处列出的操作系统版本上运行。某些操作系统要求安装下表中列出的其他服务包或修补程序。
您可以获取 Solaris 修补程序簇,这样可以避免下载大部分的单个修补程序。要获取 Solaris 修补程序簇,请执行以下步骤:
转到 SunSolve 修补程序页面,网址为 http://sunsolve.sun.com/pub-cgi/show.pl?target=patchpage
单击 "Recommended Patch Clusters" 链接。
下载适用于您的 Solaris 操作系统和 Java ES 版本的修补程序簇。
Directory Server Enterprise Edition 软件经过验证可以在此处列出的操作系统的完整版本上运行,但未针对缩减的“基本”或“核心”安装进行过验证。
目录服务器在 Solaris SPARC、Solaris 10 AMD x64 系统和 HP-UX PA-RISC 系统上以 64 位模式运行。目录服务器在 Solaris x86 系统、Solaris 9 AMD x64 系统、Red Hat 系统和 Windows 系统上以 32 位模式运行 。
Identity Synchronization for Windows 组件可以在此处列出的操作系统版本上运行。某些操作系统要求安装下表中列出的其他服务包或修补程序。
下表列出了针对目录服务器和 Active Directory 的核心组件和连接器的操作系统要求。
操作系统 |
支持的操作系统版本 |
需要的其他软件 |
---|---|---|
Solaris 操作系统 |
Solaris 10 操作系统(适用于 UltraSPARC® 和 x86 (Pentium) 体系结构) |
不需要其他软件。 |
Solaris 9 操作系统(适用于 SPARC 体系结构) |
不需要其他软件。 |
|
Solaris 8 操作系统(适用于 UltraSPARC 体系结构) |
不需要其他软件。 |
|
Red Hat Linux |
Red Hat Advanced Server 3.0 |
不需要其他软件。 |
Microsoft Windows |
Windows 2000 Server |
Service Pack 4 |
Windows 2000 Advanced Server |
Service Pack 4 |
|
Windows 2003 Server Standard Edition |
最新安全更新 |
|
Windows 2003 Server Enterprise Edition |
最新安全更新 |
下表列出了 Windows NT 组件和连接器的操作系统要求。
操作系统 |
支持的操作系统版本 |
需要的其他软件 |
---|---|---|
Microsoft Windows |
Windows NT 4.0 Server Primary Domain Controller(x86 体系结构) |
Service Pack 6A |
在安装目录编辑器之前,请务必阅读本发行说明中的第 6 章,目录编辑器中修复的错误和已知问题。
另外,有关详细信息,请参见 http://docs.sun.com/coll/DirEdit_05q1 中的目录编辑器文档。
目录服务器依赖于网络安全服务 (Network Security Services, NSS) 层提供加密算法。NSS 经验证可以与 Solaris 10 系统上提供的 Sun 加密框架(支持加密加速设备)一起使用。
在 Windows 系统上,目录服务器要求安装 ActivePerl 软件,以便使用帐户激活和手动模式复制命令。Directory Server Enterprise Edition 不提供 ActivePerl。以下命令要求具有此软件。
目录代理服务器要求 Solaris、Red Hat 和 Windows 系统上至少安装 1.5.0_09 版本的 Java 运行时环境 (Java Runtime Environment, JRE),要求 HP-UX 系统上至少安装 1.5.0_03 版本的 JRE。 zip 分发包将安装 JRE。如果设置了 JAVA_HOME 环境变量,则从 zip 分发包进行安装时,系统将使用由 JAVA_HOME 指定的 Java 运行时环境。如果为环境设置 JAVA_HOME,请确保版本是最新的。
目录代理服务器已通过下列 JDBC 数据源的验证(使用随软件提供的驱动程序)。
DB2 9。
JavaDB 10.1.3.1。
MySQL 5.0。
通过目录代理服务器访问 MySQL 数据源以创建 JDBC 数据视图时,目录代理服务器要求至少安装 5.0.4 版本的 MySQL JDBC 驱动程序。
Oracle 9i Database。
在 Windows 系统上,从 MKS shell 运行 dsee_deploy 命令时,该命令无法在 Common Agent Container (cacao) 中正确注册软件。如果 MKS PATH 不包含 system-drive:\system32 文件夹,可能会发生这种情况。您也可以在 Windows 本地命令行中运行该命令。
尽管《Sun Java System Directory Server Enterprise Edition 6.0 Installation Guide》中的第 II 部分, “Installing Identity Synchronization for Windows”仅列出了对 Directory Server 6.0 的支持,但 Identity Synchronization for Windows 目录服务器连接器也支持 Directory Server 5.2 Patch 5。
在安装 Identity Synchronization for Windows 之前,必须先安装必需的 Sun Java System 软件组件,包括 JRE 和 Message Queue。
Identity Synchronization for Windows 不提供 JRE。
Identity Synchronization for Windows 安装程序要求安装 J2SE 或 JRE 1.5.0_09。
Identity Synchronization for Windows 要求在 Windows NT 上安装 JRE 1.5.0_09。
此发行版的 Identity Synchronization for Windows 包中包含 Message Queue 3.6。
在安装 Identity Synchronization for Windows 时,必须指定要使用的 Message Queue 版本所在的路径。然后,Identity Synchronization for Windows 安装程序将必需的代理安装到 Message Queue,以便 Identity Synchronization for Windows 可以使用 Message Queue 进行同步。
在 Windows 系统上,Identity Synchronization for Windows 仅支持 Message Queue 3.6。 因此,应安装随 Identity Synchronization for Windows 包提供的 Message Queue 3.6。
但是,Message Queue 3.7 将作为 Java Enterprise System 的共享组件进行安装。因此,在 Windows 系统上,默认情况下您最终可能会同时安装了 Message Queue 3.6 和 Message Queue 3.7。在 Windows 系统上,如果要与 Identity Synchronization for Windows 一起安装 Java Enterprise System 组件,请确保未选择 Message Queue 3.7。
在 Windows 系统上,随控制台和Administration Server安装的 JRE 不包含对夏令时更改的修复。必须在安装后应用夏令时更改修复。要修复 JRE,请使用 tzupdater 工具,相关说明位于 http://java.sun.com/javase/tzupdater_README.html。安装后可以在 ServerRoot/bin/base/jre/ 下(即安装控制台和Administration Server的位置)找到要修复的 JRE。
可以在防火墙环境下运行 Identity Synchronization for Windows。以下部分列出了必须通过防火墙公开的服务器端口。
默认情况下,Message Queue 为所有服务(其端口映射器除外)使用动态端口。要通过防火墙访问 Message Queue 代理,代理应该为所有服务使用固定端口。
安装核心后,必须设置 imq.<service_name>.<protocol_type>.port 代理配置属性。尤其是,必须设置 imq.ssljms.tls.port 选项。有关详细信息,请参阅 Message Queue 文档。
Identity Synchronization for Windows 安装程序必须能够与作为配置目录的目录服务器进行通信。
如果要安装 Active Directory 连接器,安装程序必须能够与 Active Directory 的 LDAP 端口 389 联系。
如果要安装目录服务器连接器或目录服务器插件(子组件),安装程序必须能够与目录服务器的 LDAP 端口(默认为 389)联系。
Message Queue、系统管理器和命令行接口必须能够访问存储 Identity Synchronization for Windows 配置的目录服务器。
Identity Synchronization for Windows 控制台必须能够访问:
Active Directory,通过 LDAP(端口 389)或 LDAPS(端口 636)
Active Directory 全局目录,通过 LDAP(端口 3268)或 LDAPS(端口 3269)
每个目录服务器,通过 LDAP 或 LDAPS
Administration Server
Message Queue
所有连接器都必须能够与 Message Queue 进行通信。
此外,还必须满足以下连接器要求。
Active Directory 连接器必须能够通过 LDAP(端口 389)或 LDAPS(端口 636)访问 Active Directory 域控制器。
目录服务器连接器必须能够通过 LDAP(默认端口 389)或 LDAPS(默认端口 636)访问目录服务器实例。
每个目录服务器插件都必须能够访问目录服务器连接器的服务器端口(安装该连接器时所选的端口)。在目录服务器主副本中运行的插件必须能够连接到 Active Directory 的 LDAP 端口 389 或 LDAPS 端口 636。在其他目录服务器副本中运行的插件必须能够访问主目录服务器的 LDAP 和 LDAPS 端口。
本部分介绍安装 Directory Server Enterprise Edition 组件产品时所需的权限或凭证。
从 Java Enterprise System 本地软件包版本安装目录服务器、目录代理服务器或目录服务控制中心时,您必须具有以下权限。
在 Solaris 和 Red Hat 系统上,必须以超级用户身份安装。
在 Windows 系统上,必须以管理员身份安装。
如果从 zip 分发包安装目录服务器、目录代理服务器和 Directory Server Resource Kit,则无需特殊权限。
要安装 Identity Synchronization for Windows,必须提供以下各项的凭证。
配置目录服务器。
要同步的目录服务器。
Active Directory。
有关详细信息,请参见《Sun Java System Directory Server Enterprise Edition 6.0 Installation Guide》中的“Installing Core”。
此外,必须具有以下权限才能安装 Identity Synchronization for Windows。
在 Solaris 和 Red Hat 系统上,必须以超级用户身份安装。
在 Windows 系统上,必须以管理员身份安装。
使用基于文本的安装程序输入密码时,程序将自动屏蔽密码,而不会如实回显密码。只有 Solaris 和 Red Hat 系统支持基于文本的安装程序。
在安装全新的 Identity Synchronization for Windows 之前,请务必阅读《Sun Java System Directory Server Enterprise Edition 6.0 Installation Guide》中的第 4 章 “Preparing for Installation”。
要启用帐户锁定功能,必须映射某些属性,这些属性在目录服务器和 Active Directory 中不同。必须启用帐户锁定。AD 和目录服务器上的密码策略必须相同。使用此配置时,锁定和解除锁定事件可以在 Active Directory 和目录服务器之间双向流动。
Identity Synchronization for Windows 可以在 Active Directory 和目录服务器之间同步以下事件:
从 Active Directory 到目录服务器的锁定事件
从目录服务器到 Active Directory 的锁定事件
从 Active Directory 到目录服务器的手动解除锁定事件
从目录服务器到 Active Directory 的手动解除锁定事件
启用帐户锁定功能之前,应该将两个位置上的属性 lockoutDuration 设置为相同的值。同时请确保系统时间在整个分布式设置中保持一致。否则,如果 lockoutDuration 的值小于系统日期之差,则锁定事件可能会过期。
要启用帐户锁定同步,需要映射属性 accountUnlockTime(目录服务器)和 lockoutTime (AD)。使用 passwordObject 对象类装入模式后,可以在控制台中选择 accountUnlockTime。
应该为 Active Directory 数据源和目录服务器数据源使用类似的帐户锁定策略。
应该为 Active Directory 数据源和目录服务器数据源的帐户锁定持续时间设置相同的值。
必须将 Active Directory 数据源上的 LockoutTime 映射到目录服务器数据源上的 AccountUnLockoutTime。
有关安装的详细信息,请参见软件随附的自述文件。
在 Windows 2003 Server 上,默认密码策略强制使用严格的密码,这与 Windows 2000 上的默认密码策略不同。