test

Sun Java System Directory Server Enterprise Edition 6.0 管理指南

第 18 章 目錄代理伺服器配置

本章說明如何配置目錄代理伺服器實例。本章中的程序使用 dpadmdpconf 指令。如需有關這些指令的資訊,請參閱 dpadm(1M)dpconf(1M) 線上手冊。

本章包含下列主題:

修改目錄代理伺服器的配置

本節說明如何修改目錄代理伺服器的配置。

Procedure修改目錄代理伺服器的配置

您可以使用 DSCC 執行此作業。如需有關資訊,請參閱目錄服務控制中心介面與 DSCC 線上說明。

  1. 尋找目錄代理伺服器目前的配置。


    $ dpconf get-server-prop -h host -p port

    或者,檢視一或多個配置特性目前的設定。


    $ dpconf get-server-prop -h host -p port property-name ...

    例如,透過執行此指令找出是否允許未認證的作業:


    $ dpconf get-server-prop -h host -p port allow-unauthenticated-operations
allow-unauthenticated-operations  :  true

  2. 變更一或多個配置參數。


    $ dpconf set-server-prop -h host -p port property:value ...

    例如,透過執行此指令禁止未認證的作業:


    $ dpconf set-server-prop -h host -p port allow-unauthenticated-operations:false

    如果嘗試執行非法的變更,便無法完成變更。例如,如果將 allow-unauthenticated-operations 參數設為 f 而非 false,會產生下列錯誤:


    $ dpconf set-server-prop -h host -p port allow-unauthenticated-operations:f
The value "f" is not a valid value for the property "allow-unauthenticated-operations".
Allowed property values: BOOLEAN
The "set-server-prop" operation failed.

  3. 請視需要重新啟動目錄代理伺服器實例以使變更生效。

    如需有關重新啟動目錄代理伺服器的資訊,請參閱重新啟動目錄代理伺服器

備份與復原目錄代理伺服器實例

當您使用 dpadm 備份目錄代理伺服器時,會備份配置檔案與伺服器憑證。如果已執行目錄代理伺服器虛擬 ACI,也會備份 ACI。

目錄代理伺服器在每次伺服器成功啟動時,自動備份 conf.ldif 檔案。

Procedure備份目錄代理伺服器實例

您可以使用 DSCC 執行此作業。如需有關資訊,請參閱目錄服務控制中心介面與 DSCC 線上說明。

  1. 停止目錄代理伺服器實例。


    $ dpadm stop instance-path

  2. 備份目錄代理伺服器實例。


    $ dpadm backup instance-path archive-dir

    archive-dir 目錄由 backup 指令建立,並且不可以在執行指令前存在。此目錄包含每個配置檔案與憑證的備份。

Procedure復原目錄代理伺服器實例

您可以使用 DSCC 執行此作業。如需有關資訊,請參閱目錄服務控制中心介面與 DSCC 線上說明。

  1. 停止目錄代理伺服器實例。


    $ dpadm stop instance-path

  2. 復原目錄代理伺服器實例。


    $ dpadm restore instance-path archive-dir

    • 如果存在實例路徑,則以無訊息方式執行復原作業。archive-dir 目錄中的配置檔案與憑證會取代 instance-path 目錄中的配置檔案與憑證。

    • 如果不存在實例路徑,復原作業會失敗。

配置代理伺服器管理員

代理伺服器管理員是授權管理員,類似 UNIX® 系統上的超級使用者。在建立目錄代理伺服器實例時定義代理伺服器管理員項目。代理伺服器管理員的預設 DN 為 cn=Proxy Manager

您可以檢視並變更代理伺服器管理員 DN 與密碼,如下列程序所示。

Procedure配置代理伺服器管理員

您可以使用 DSCC 執行此作業。如需有關資訊,請參閱目錄服務控制中心介面與 DSCC 線上說明。

  1. 尋找代理伺服器管理員的配置。


    $ dpconf get-server-prop -h host -p port configuration-manager-bind-dn configuration-manager-bind-pwd
configuration-manager-bind-dn   :  cn=proxy manager
configuration-manager-bind-pwd  :  {3DES}U77v39WX8MDpcWVrueetB0lfJlBc6/5n

    代理伺服器管理員的預設值為 cn=proxy manager。傳回配置管理員密碼的雜湊值。

  2. 變更代理伺服器管理員的 DN。


    $ dpconf set-server-prop -h host -p port configuration-manager-bind-dn:bindDN

  3. 建立包含代理伺服器管理員密碼的檔案,並設定指向該檔案的特性。


    $ dpconf set-server-prop -h host -p port configuration-manager-bind-pwd-file:filename

要求重新啟動伺服器的配置變更

目錄代理伺服器及其實體的大部分配置變更可在線上完成。某些變更需要重新啟動伺服器才會生效。如果變更下列清單中任何特性的配置,則必須重新啟動伺服器:

bind-dn
client-cred-mode
db-name
db-pwd
db-url
db-user
distribution-algorithm
ldap-address
ldap-port
ldaps-port
lexicographic-attrs
lexicographic-lower-bound
lexicographic-upper-bound
listen-address
listen-port
load-balancing-algorithm
num-bind-init
num-read-init
num-write-init
number-of-search-threads
number-of-threads
number-of-worker-threads
numeric-attrs
numeric-default-data-view
numeric-lower-bound
numeric-upper-bound
pattern-matching-base-object-search-filter
pattern-matching-dn-regular-expression
pattern-matching-one-level-search-filter
pattern-matching-subtree-search-filter
replication-role
ssl-policy
use-external-schema

特性的 rwsrwd 關鍵字表示該特性的變更是否需要重新啟動伺服器。

若要確定對特性的變更是否需要重新啟動伺服器,請執行下列指令:

$ dpconf help-properties | grep property-name

例如,若要確定變更 LDAP 資料來源的連結 DN 是否需要重新啟動伺服器,請執行下列指令:

$ dpconf help-properties | grep bind-dn
connection-handler   	bind-dn-filters        rwd  STRING | any
This property specifies a set of regular expressions. The bind DN 
of a client must match at least one regular expression in order for 
the connection to be accepted by the connection handler. (Default: any)
ldap-data-source      bind-dn               rws  DN | ""
This property specifies the DN to use when binding to the LDAP data 
source. (Default: undefined)

若要確定在某項配置變更之後是否必須重新啟動伺服器,請執行下列指令:

$ dpconf get-server-prop -h host -p port is-restart-required

使用目錄代理伺服器存取目錄伺服器的配置項目

目錄代理伺服器的配置項目位於 cn=config 中。依預設,使用目錄代理伺服器存取配置項目時,會存取目錄代理伺服器的配置項目。

若要存取目錄伺服器的配置項目,請使用目錄伺服器而非目錄代理伺服器。如需有關如何配置目錄伺服器的資訊,請參閱第 3 章, 目錄伺服器配置

注意 – 注意 –

如果重新配置目錄代理伺服器存取目錄伺服器的配置項目,則很可能破壞目錄代理伺服器的管理架構。

若要使用目錄代理伺服器存取目錄伺服器的配置項目,請採取特殊步驟以確保不破壞目錄代理伺服器的管理架構。本節說明如何透過使用目錄代理伺服器存取目錄伺服器的配置項目。

Procedure透過使用目錄代理伺服器存取目錄伺服器的配置項目

  1. 建立與配置 LDAP 資料來源中所述,建立一或多個資料來源。

  2. 建立與配置 LDAP 資料來源池中所述,建立 LDAP 資料來源池。

  3. 將 LDAP 資料來源附加至資料來源池中所述,將一或多個資料來源附加至資料來源池。

    • 若要顯示某個特定資料來源的配置項目,請僅附加一個 LDAP 資料來源至 LDAP 資料來源池。


      $ dpconf attach-ldap-data-source -h host -p port pool-name data-source-name

      執行此步驟之後,用戶端可以存取連線至目錄代理伺服器之資料來源的配置項目。

    • 若要顯示任何資料來源的配置項目,請附加多個 LDAP 資料來源至 LDAP 資料來源池。


      $ dpconf attach-ldap-data-source -h host -p port pool-name data-source-name \
 data-source-name ...

      執行此步驟之後,用戶端可以存取連線至目錄代理伺服器的某一資料來源的配置項目。但是,用戶端無法得知該配置項目所屬的資料來源。

  4. 建立 LDAP 資料檢視以顯示 cn=config


    $ dpconf create-ldap-data-view -h host -p port view-name pool-name cn=dir-config