本章說明如何配置目錄代理伺服器實例。本章中的程序使用 dpadm 與 dpconf 指令。如需有關這些指令的資訊,請參閱 dpadm(1M) 與 dpconf(1M) 線上手冊。
本章包含下列主題:
本節說明如何修改目錄代理伺服器的配置。
您可以使用 DSCC 執行此作業。如需有關資訊,請參閱目錄服務控制中心介面與 DSCC 線上說明。
尋找目錄代理伺服器目前的配置。
$ dpconf get-server-prop -h host -p port |
或者,檢視一或多個配置特性目前的設定。
$ dpconf get-server-prop -h host -p port property-name ... |
例如,透過執行此指令找出是否允許未認證的作業:
$ dpconf get-server-prop -h host -p port allow-unauthenticated-operations allow-unauthenticated-operations : true |
變更一或多個配置參數。
$ dpconf set-server-prop -h host -p port property:value ... |
例如,透過執行此指令禁止未認證的作業:
$ dpconf set-server-prop -h host -p port allow-unauthenticated-operations:false |
如果嘗試執行非法的變更,便無法完成變更。例如,如果將 allow-unauthenticated-operations 參數設為 f 而非 false,會產生下列錯誤:
$ dpconf set-server-prop -h host -p port allow-unauthenticated-operations:f The value "f" is not a valid value for the property "allow-unauthenticated-operations". Allowed property values: BOOLEAN The "set-server-prop" operation failed. |
請視需要重新啟動目錄代理伺服器實例以使變更生效。
如需有關重新啟動目錄代理伺服器的資訊,請參閱重新啟動目錄代理伺服器。
當您使用 dpadm 備份目錄代理伺服器時,會備份配置檔案與伺服器憑證。如果已執行目錄代理伺服器虛擬 ACI,也會備份 ACI。
目錄代理伺服器在每次伺服器成功啟動時,自動備份 conf.ldif 檔案。
您可以使用 DSCC 執行此作業。如需有關資訊,請參閱目錄服務控制中心介面與 DSCC 線上說明。
停止目錄代理伺服器實例。
$ dpadm stop instance-path |
備份目錄代理伺服器實例。
$ dpadm backup instance-path archive-dir |
archive-dir 目錄由 backup 指令建立,並且不可以在執行指令前存在。此目錄包含每個配置檔案與憑證的備份。
您可以使用 DSCC 執行此作業。如需有關資訊,請參閱目錄服務控制中心介面與 DSCC 線上說明。
停止目錄代理伺服器實例。
$ dpadm stop instance-path |
復原目錄代理伺服器實例。
$ dpadm restore instance-path archive-dir |
如果存在實例路徑,則以無訊息方式執行復原作業。archive-dir 目錄中的配置檔案與憑證會取代 instance-path 目錄中的配置檔案與憑證。
如果不存在實例路徑,復原作業會失敗。
代理伺服器管理員是授權管理員,類似 UNIX® 系統上的超級使用者。在建立目錄代理伺服器實例時定義代理伺服器管理員項目。代理伺服器管理員的預設 DN 為 cn=Proxy Manager。
您可以檢視並變更代理伺服器管理員 DN 與密碼,如下列程序所示。
您可以使用 DSCC 執行此作業。如需有關資訊,請參閱目錄服務控制中心介面與 DSCC 線上說明。
尋找代理伺服器管理員的配置。
$ dpconf get-server-prop -h host -p port configuration-manager-bind-dn configuration-manager-bind-pwd configuration-manager-bind-dn : cn=proxy manager configuration-manager-bind-pwd : {3DES}U77v39WX8MDpcWVrueetB0lfJlBc6/5n |
代理伺服器管理員的預設值為 cn=proxy manager。傳回配置管理員密碼的雜湊值。
變更代理伺服器管理員的 DN。
$ dpconf set-server-prop -h host -p port configuration-manager-bind-dn:bindDN |
建立包含代理伺服器管理員密碼的檔案,並設定指向該檔案的特性。
$ dpconf set-server-prop -h host -p port configuration-manager-bind-pwd-file:filename |
目錄代理伺服器及其實體的大部分配置變更可在線上完成。某些變更需要重新啟動伺服器才會生效。如果變更下列清單中任何特性的配置,則必須重新啟動伺服器:
bind-dn client-cred-mode db-name db-pwd db-url db-user distribution-algorithm ldap-address ldap-port ldaps-port lexicographic-attrs lexicographic-lower-bound lexicographic-upper-bound listen-address listen-port load-balancing-algorithm num-bind-init num-read-init num-write-init number-of-search-threads number-of-threads number-of-worker-threads numeric-attrs numeric-default-data-view numeric-lower-bound numeric-upper-bound pattern-matching-base-object-search-filter pattern-matching-dn-regular-expression pattern-matching-one-level-search-filter pattern-matching-subtree-search-filter replication-role ssl-policy use-external-schema
特性的 rws 與 rwd 關鍵字表示該特性的變更是否需要重新啟動伺服器。
如果特性具有 rws (讀取、寫入、靜態) 關鍵字,則變更特性後必須重新啟動伺服器。
如果特性具有 rwd (讀取、寫入、動態) 關鍵字,則動態執行對特性的修改作業 (不重新啟動伺服器)。
若要確定對特性的變更是否需要重新啟動伺服器,請執行下列指令:
$ dpconf help-properties | grep property-name
例如,若要確定變更 LDAP 資料來源的連結 DN 是否需要重新啟動伺服器,請執行下列指令:
$ dpconf help-properties | grep bind-dn connection-handler bind-dn-filters rwd STRING | any This property specifies a set of regular expressions. The bind DN of a client must match at least one regular expression in order for the connection to be accepted by the connection handler. (Default: any) ldap-data-source bind-dn rws DN | "" This property specifies the DN to use when binding to the LDAP data source. (Default: undefined)
若要確定在某項配置變更之後是否必須重新啟動伺服器,請執行下列指令:
$ dpconf get-server-prop -h host -p port is-restart-required
目錄代理伺服器的配置項目位於 cn=config 中。依預設,使用目錄代理伺服器存取配置項目時,會存取目錄代理伺服器的配置項目。
若要存取目錄伺服器的配置項目,請使用目錄伺服器而非目錄代理伺服器。如需有關如何配置目錄伺服器的資訊,請參閱第 3 章, 目錄伺服器配置。
如果重新配置目錄代理伺服器存取目錄伺服器的配置項目,則很可能破壞目錄代理伺服器的管理架構。
若要使用目錄代理伺服器存取目錄伺服器的配置項目,請採取特殊步驟以確保不破壞目錄代理伺服器的管理架構。本節說明如何透過使用目錄代理伺服器存取目錄伺服器的配置項目。
如建立與配置 LDAP 資料來源中所述,建立一或多個資料來源。
如建立與配置 LDAP 資料來源池中所述,建立 LDAP 資料來源池。
如將 LDAP 資料來源附加至資料來源池中所述,將一或多個資料來源附加至資料來源池。
若要顯示某個特定資料來源的配置項目,請僅附加一個 LDAP 資料來源至 LDAP 資料來源池。
$ dpconf attach-ldap-data-source -h host -p port pool-name data-source-name |
執行此步驟之後,用戶端可以存取連線至目錄代理伺服器之資料來源的配置項目。
若要顯示任何資料來源的配置項目,請附加多個 LDAP 資料來源至 LDAP 資料來源池。
$ dpconf attach-ldap-data-source -h host -p port pool-name data-source-name \ data-source-name ... |
執行此步驟之後,用戶端可以存取連線至目錄代理伺服器的某一資料來源的配置項目。但是,用戶端無法得知該配置項目所屬的資料來源。
建立 LDAP 資料檢視以顯示 cn=config。
$ dpconf create-ldap-data-view -h host -p port view-name pool-name cn=dir-config |