Sun Java System Directory Server Enterprise Edition 6.0 管理指南

第 1 章目錄伺服器工具

Sun Java^TM System Directory Server Enterprise Edition 提供可在複寫環境中管理多重伺服器、實例與尾碼的瀏覽器介面與指令行工具。本章提供有關目錄伺服器管理工具的簡介資訊。

本章包含下列主題：

目錄伺服器管理簡介

有關目錄伺服器管理架構的資訊，另載於本文件集的其他指南中。

如需目錄伺服器管理架構的簡介，請參閱「Sun Java System Directory Server Enterprise Edition 6.0 Deployment Planning Guide」中的「Directory Server Enterprise Edition Administration Model」。
如需有關目錄伺服器管理架構的詳細參考資訊，請參閱「Sun Java System Directory Server Enterprise Edition 6.0 Reference」中的第 1 章「Directory Server Overview」。

決定 DSCC 與指令行的使用時機

Directory Server Enterprise Edition 提供兩種管理目錄伺服器與目錄代理伺服器的使用者介面：瀏覽器介面目錄服務控制中心 (DSCC) 與指令行介面。

判斷是否可使用 DSCC 執行某程序

本指南中大部分的程序皆可使用指令行或 DSCC 執行。本指南中的程序說明如何使用指令行完成程序。大部分的情況下皆可使用 DSCC 執行相同作業。若 DSCC 可用於執行特定程序，則程序的開頭處就會提供執行說明。

DSCC 線上說明針對如何使用 DSCC 執行本指南中的程序，提供了詳細的指示。

較適合使用 DSCC 的情況

比起使用指令行，DSCC 可讓您更容易執行某些作業與工作，以下幾節中將有所說明。一般而言，必須套用至數部伺服器的指令最好使用 DSCC 執行。

檢視伺服器與尾碼複寫狀態

DSCC 具有顯示表格，可呈現已在 DSCC 中註冊的所有伺服器實例、所有已配置的尾碼，以及這些項目的狀態。

伺服器表格位於 [目錄伺服器] 標籤上，可顯示伺服器的操作狀態。如需可能之伺服器狀態的完整清單，請參閱目錄伺服器線上說明。

尾碼表格位於 [尾碼] 標籤上，並會顯示複寫狀態資訊，例如項目數以及任何遺失變更的數量與存在時間。如需有關此表格所顯示之資訊的更多資訊，請參閱目錄伺服器線上說明。

管理伺服器群組

伺服器群組可協助您監控並配置伺服器。您可以建立群組，以及將伺服器指定至群組中。例如，您可以依地理位置或功能，將伺服器群組化。若具有大量的伺服器，則可以篩選 [目錄伺服器] 標籤上所顯示的伺服器，而僅顯示群組中的伺服器。您也可以將某一伺服器的配置 (例如，索引或快取設定) 複製到群組中的其他所有伺服器。如需有關如何設定及使用伺服器群組的指示，請參閱目錄伺服器線上說明。

複製配置設定

DSCC 可讓您將現有伺服器、尾碼或複寫協議的配置設定，複製到一或多個其他的伺服器、尾碼或複寫協議。如需有關如何執行前述各項作業的資訊，請參閱目錄伺服器線上說明。

配置複寫

使用 DSCC 可讓您快速而輕鬆地設定複寫拓樸。只需建立伺服器實例，再使用 DSCC 所提供的步驟指定各伺服器的角色即可。DSCC 可自動為您建立複寫協議。如需有關如何使用 DSCC 配置複寫的更多資訊，請參閱目錄伺服器線上說明。

目錄服務控制中心介面

目錄服務控制中心 (DSCC) 是一項可讓您使用瀏覽器管理目錄伺服器與目錄代理伺服器的使用者介面。

若要配置 DSCC，請參閱配置 DSCC。如需有關使用 DSCC 的資訊，請參閱下列幾節。

DSCC 的管理使用者

DSCC 具有一些管理登入。

作業系統使用者。可建立伺服器實例，是唯一有權使用 dsadm 指令，在伺服器實例上執行作業系統指令的使用者。DSCC 可能會在某些情況下要求提供作業系統使用者密碼。此使用者必須具有密碼，且必須能夠建立目錄伺服器實例。
目錄管理員。伺服器的 LDAP 超級使用者。預設 DN 為 cn=Directory Manager。
目錄伺服器管理員。管理目錄伺服器。此使用者的權利與目錄管理員相同，但須受存取控制、密碼策略與認證需求的限制。您可以依需要建立目錄伺服器管理員，數量不限。
目錄服務管理員。透過 DSCC 管理多部機器上的伺服器配置與資料。此使用者對已於 DSCC 中註冊的每部伺服器具有與目錄管理員相同的權利，並且是目錄伺服器管理員群組的成員之一。

存取 DSCC

若您在存取 DSCC 時有任何問題，請參閱「Sun Java System Directory Server Enterprise Edition 6.0 Installation Guide」中的「To Troubleshoot Directory Service Control Center Access」。

請確定 DSCC 已如「Sun Java System Directory Server Enterprise Edition 6.0 Installation Guide」中的「Software Installation」所述正確地安裝。

開啟瀏覽器，然後以下列格式鍵入 DSCC 主機 URL：
https://hostname:6789
例如：
https://host1:6789
其中 hostname 是您安裝 DSCC 軟體所在的系統。

Sun Java Web Console 預設連接埠為 6789。

下圖顯示 Sun Java Web Console 登入視窗。

圖 1–1 Sun Java Web Console 登入視窗

登入 Sun Java Web Console。
- 若這是您第一次登入 Sun Java Web Console，請以安裝 DSCC 軟體所在系統的超級使用者身份登入。
- 若這是後續登入，請鍵入作業系統使用者名稱與密碼。此使用者應具有啟動、停止及管理目錄伺服器實例的權限。
您登入時會看見應用程式的清單。

選取目錄服務控制中心 (DSCC)。

DSCC 登入視窗會隨即顯示。

登入 DSCC。

若這是第一次登入 DSCC，則必須設定目錄服務管理員密碼。當您日後登入時，請使用第一次登入時所設定的密碼。

現在即已登入 DSCC，並位於 [常用工作] 標籤上。

圖 1–2 DSCC [常用工作] 標籤

使用標籤進行瀏覽。
- [常用工作] 標籤中具有常用視窗與精靈的捷徑。
- [目錄伺服器] 標籤會顯示 DSCC 所管理的所有目錄伺服器。若要檢視用以管理及配置特定伺服器的其他選項，請按一下該伺服器的名稱。
- [代理伺服器] 標籤會顯示 DSCC 所管理的所有目錄代理伺服器。若要檢視用以管理及配置特定伺服器的其他選項，請按一下該伺服器的名稱。
備註 –
如需有關如何使用 DSCC 執行作業的指示，請參閱 DSCC 線上說明。

圖 1–3 伺服器子標籤上的目錄伺服器清單

DSCC 標籤說明

使用 DSCC 中的標籤瀏覽介面。

[常用工作] 標籤

[常用工作] 標籤 (請參閱圖 1–2) 是您在開啟 DSCC 後所看見的第一個介面。其中包含常用管理作業的連結，例如搜尋目錄資料、檢查記錄與管理伺服器。

[目錄伺服器] 標籤

[目錄伺服器] 標籤 (請參閱圖 1–3) 會列出 DSCC 中已註冊的所有目錄伺服器。您可以檢視每部伺服器的狀態與實例路徑，其會顯示實例的所在位置。

按一下伺服器名稱時，會看見另一個視窗，其中會顯示僅與該部伺服器相關的不同標籤組。

[代理伺服器] 標籤

[代理伺服器] 標籤會列出 DSCC 中已註冊的所有目錄代理伺服器。您可以檢視每部伺服器的狀態與實例路徑，其會顯示實例的所在位置。

按一下伺服器名稱時，會看見另一個視窗，其中會顯示僅與該部伺服器相關的不同標籤組。

[伺服器群組] 標籤

[伺服器群組] 標籤可讓您指定伺服器至群組中，以利於伺服器的管理。若您具有為數眾多的伺服器，可以使用篩選器而僅顯示特定群組中的伺服器。您也可以將某一伺服器的配置 (例如，索引或快取設定) 複製到群組中的其他所有伺服器。

[設定] 標籤

此標籤會顯示 DSCC 連接埠號，並可讓您建立及刪除目錄服務管理員。

DSCC 線上說明

線上說明提供下列項目：

目前所使用之頁面的即時線上說明。
使用 DSCC 執行管理與配置程序時的一般說明。

在大部分的頁面中，只要按一下畫面右上角的 [說明] 按鈕，即可存取說明。在精靈中要存取說明時，請按一下 [說明] 標籤。也可以從 [常用工作] 標籤存取線上說明。

目錄伺服器指令行工具

可在 DSCC 上執行的作業，大多也可使用指令行工具執行。這些工具可讓您直接從指令行管理目錄伺服器，以及使用程序檔管理您的伺服器。

主要的目錄伺服器指令為 dsadm 與 dsconf。您可以使用這些指令執行備份、匯出至 LDIF 以及管理憑證等作業。如需有關這些指令的資訊，請參閱 dsadm(1M) 線上手冊與 dsconf(1M) 線上手冊。

本節包含下列有關目錄伺服器指令行工具的資訊：

目錄伺服器指令的位置

目錄伺服器指令行工具位於預設的安裝目錄中：

install-path/ds6/bin

安裝目錄視您的作業系統而定。預設路徑與指令位置中列出了所有作業系統的安裝路徑。

設定 `dsconf` 的環境變數

dsconf 指令需要某些可透過環境變數預先設定的選項。在使用指令時若未指定選項，或未設定環境變數，則會使用預設值。您可以配置下列選項的環境變數：

-D user DN: 使用者連結 DN。環境變數：LDAP_ADMIN_USER。預設值：cn=Directory Manager。
-w password-file: 使用者連結 DN 的密碼檔案。環境變數： LDAP_ADMIN_PWF。預設值：密碼提示。
-h host: 主機名稱。環境變數：DIRSERV_HOST。預設值：local host。
-p LDAP-port: LDAP 連接埠號。環境變數：DIRSERV_PORT。預設值：389。

如需詳細資訊，請參閱 dsconf(1M) 線上手冊。

`dsadm` 與 `dsconf` 的比較

下表顯示 dsadm 與 dsconf 指令的比較。

表 1–1 dsadm 與 dsconf 指令的比較


	`dsadm` 指令	`dsconf` 指令
說明	必須直接在本地主機上執行的管理指令。例如：啟動及停止伺服器建立伺服器實例	可從遠端主機上執行的管理指令。例如：啟用複寫設定快取大小
注意	必須停止伺服器 (`dsadm stop` 與 `dsadm info` 指令除外)。伺服器由伺服器實例路徑 (`instance-path`) 進行識別。您必須具備伺服器實例路徑的作業系統存取權限。	伺服器必須正在執行中。伺服器由主機名稱 (`-h`) 連接埠 ( `-p`) 或 LDAPS 安全連接埠 (`-P`) 進行識別。若未指定連接埠號，`dsconf` 會使用預設連接埠 (`389` 適用於 LDAP)。您必須具備配置資料的 LDAP 存取權限，例如，具備使用者 cn=admin,cn=Administrators,cn=config 的身份。

使用 `dsadm` 與 `dsconf` 取得說明

如需有關如何使用 dsadm 與 dsconf 指令的完整資訊，請參閱 dsadm(1M) 線上手冊與 dsconf(1M) 線上手冊。

若要取得子指令的清單，請鍵入適當的指令：
$ dsadm --help
$ dsconf --help
若要取得如何使用子指令的相關資訊，請鍵入適當的指令：
$ dsadm subcommand --help
$ dsconf subcommand --help

使用 `dsconf` 修改配置特性

有許多 dsconf 子指令皆可讓使用者檢視及修改配置特性。

若要列出目錄伺服器中所使用的配置特性，請鍵入：
$ dsconf help-properties

若要尋找特定的特性，請搜尋說明特性的輸出。

例如，若您使用 UNIX® 平台，同時想搜尋所有與參照相關的特性，請使用下列指令。請注意，特性會依目標物件群組化，例如尾碼 (SUF) 與伺服器 (SER)。

$ dsconf help-properties | grep -i referral
SER  referral-url                   rw  LDAP_URL | undefined
  Referrals returned to clients requesting a DN not stored in this
  Directory Server (Default: undefined)
SUF  referral-mode                  rw  disabled|enabled|only-on-write
 Specifies how referrals are used for requests involving the suffix 
  (Default: disabled)
SUF  referral-url                   rw  LDAP_URL | undefined
  Server(s) to which updates are referred (Default: undefined)
SUF  repl-rewrite-referrals-enabled rw  on|off
  Specifies whether automatic referrals are overwritten (Default: off)

若要檢視伺服器屬性，請使用詳細模式。以 UNIX 系統為例，請鍵入：

$ dsconf help-properties -v | grep -i referral-mode
SUF  referral-mode    rw  disabled|enabled|only-on-write  nsslapd-state
  Specifies how referrals are used for requests involving the suffix
  (Default: disabled)

如需有關個別特性的更多資訊，請參閱該特性的線上手冊。此線上手冊位於「Sun Java System Directory Server Enterprise Edition 6.0 Man Page Reference」中。

使用 `dsconf` 設定多重值特性

某些目錄伺服器特性可容納多個值。指定這些值的語法如下：

$ dsconf set-container-prop -h host -p port container-name \
 property:value1 property:value2

例如，若要為伺服器設定多個加密密碼，請使用下列指令：

$ dsconf set-server-prop -h host1 -p 1389 ssl-cipher-family:SSL_RSA_WITH_RC4_128_MD5 \
 ssl-cipher-family:SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA

若對已含有值的多重值特性增加或修改了值，即必須重設所有值。例如，在前述案例中，若要增加加密密碼，則必須在指令中納入所有其他的加密密碼：

$ dsconf set-server-prop -h host1 -p 1389 ssl-cipher-family:SSL_RSA_WITH_RC4_128_MD5 \
 ssl-cipher-family:SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA \
 ssl-cipher-family:TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

相同的規則亦適用於移除值。因此，若要從前述範例中的清單移除 MD5 密碼，請執行下列指令：

$ dsconf set-server-prop -h host1 -p 1389 ssl-cipher-family:SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA \
 ssl-cipher-family:TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

線上手冊

線上手冊可提供目錄伺服器中所使用之所有指令與屬性的說明。此外，線上手冊也會顯示如何在部署中使用指令的一些實用範例。

舊有工具

一般目錄伺服器工具中附有舊有工具，以提供向下相容性。這些工具雖仍存在，但實際上已停用。

第 1 章 目錄伺服器工具