第 21 章 目錄代理伺服器與後端 LDAP 伺服器之間的連線
本章說明如何配置目錄代理伺服器與後端 LDAP 伺服器之間的連線。本章包含下列主題:
配置目錄代理伺服器與後端 LDAP 伺服器之間的連線
如需有關如何配置目錄代理伺服器與後端 LDAP 伺服器之間連線的資訊,請參閱下列程序:
配置目錄代理伺服器與後端 LDAP 伺服器之間的連線數
備註 –
本程序配置連結作業的連線數。若要配置讀取或寫入作業的連線數,請執行相同的程序,但以 read 或 write 取代 bind。
您可以使用 DSCC 執行此作業。如需有關資訊,請參閱目錄服務控制中心介面與 DSCC 線上說明。
-
配置目錄代理伺服器與後端 LDAP 伺服器之間連結作業的初始連線數。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ num-bind-init:new-value
-
配置連結作業的連線增量。
增量是每次請求超過目前連線數時所增加的連線數。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ num-bind-incr:new-value
-
配置連結作業的最大連線數。
到達最大連線數之後,即無法增加更多連線。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ num-bind-limit:new-value
配置連線逾時
您可以使用 DSCC 執行此作業。如需有關資訊,請參閱目錄服務控制中心介面與 DSCC 線上說明。
配置目錄代理伺服器嘗試連線至資料來源的最長時間。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ connect-timeout:new-value |
例如,將連線逾時配置為 10 毫秒。
$ dpconf set-ldap-data-source-prop -h host1 -p 1389 data-source-name connect-timeout:10 |
配置連線池等待逾時
您可以使用 DSCC 執行此作業。如需有關資訊,請參閱目錄服務控制中心介面與 DSCC 線上說明。
配置目錄代理伺服器等待連線池中建立的連線變為可用的最長時間。
$ dpconf set-server-prop -h host -p port data-source-name \ connection-pool-wait-timeout:value |
例如,將逾時配置為 20 秒。
$ dpconf set-ldap-data-source-prop -h host1 -p 1389 data-source-name \ connection-pool-wait-timeout:20000 |
配置目錄代理伺服器與後端 LDAP 伺服器之間的 SSL
下列程序說明如何配置目錄代理伺服器與後端 LDAP 伺服器之間的 SSL。
配置目錄代理伺服器與後端 LDAP 伺服器之間的 SSL
您可以使用 DSCC 執行此作業。如需有關資訊,請參閱目錄服務控制中心介面與 DSCC 線上說明。
-
配置目錄代理伺服器與後端 LDAP 伺服器之間的安全連接埠。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ ldaps-port:port-number
-
配置目錄代理伺服器與後端 LDAP 伺服器之間的連線使用 SSL 的時機。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name ssl-policy:value
-
如果 value 為 always,則 SSL 始終可供連線使用。
-
如果 value 為 client,則在用戶端使用 SSL 時使用 SSL。
如果連線未使用 SSL,可以透過使用 startTLS 指令將連線升級至 SSL。
-
-
如選擇目錄代理伺服器的 SSL 密碼與協定中所述,選擇 SSL 的協定與密碼。
-
將目錄代理伺服器配置為驗證來自後端 LDAP 伺服器的 SSL 伺服器憑證。
如需有關資訊,請參閱將憑證從後端目錄伺服器增加至目錄代理伺服器憑證資料庫。
-
如果後端 LDAP 伺服器請求來自目錄代理伺服器的憑證,請配置目錄代理伺服器以傳送 SSL 用戶端憑證。
如需有關資訊,請參閱匯出憑證至後端 LDAP 伺服器。
-
重新啟動目錄代理伺服器實例,變更方可生效。
如需有關重新啟動目錄代理伺服器的資訊,請參閱重新啟動目錄代理伺服器。
選擇目錄代理伺服器的 SSL 密碼與協定
目錄代理伺服器可以使用的密碼與協定依賴於正在使用的 JavaTM 虛擬機器 (JVMTM)。依預設,目錄代理伺服器使用為 JVM 機器啟用的預設密碼與協定。
選擇密碼與協定清單
使用此程序擷取支援的密碼與協定,以及啟用的密碼與協定。如果是支援的密碼或協定,您可加以啟用或停用。
您可以使用 DSCC 執行此作業。如需有關資訊,請參閱目錄服務控制中心介面與 DSCC 線上說明。
-
檢視支援的密碼與協定清單。
$ dpconf get-server-prop -h host -p port supported-ssl-cipher-suites \ supported-ssl-protocols
-
檢視啟用的密碼與協定清單。
$ dpconf get-server-prop -h host -p port enabled-ssl-cipher-suites \ enabled-ssl-protocols
-
啟用一或多個支援的密碼或協定。
-
啟用一或多個支援的密碼。
$ dpconf set-server-prop -h host -p port \ enabled-ssl-cipher-suites:supported-ssl-cipher-suite \ [enabled-ssl-cipher-suites:supported-ssl-cipher-suite ...]
-
啟用一或多個支援的協定。
$ dpconf set-server-prop -h host -p port \ enabled-ssl-cipher-protocols:supported-ssl-cipher-protocol \ [enabled-ssl-cipher-protocols:supported-ssl-cipher-protocol ...]
-
-
若要停用支援的密碼或協定,請使用前兩個步驟中的指令。
指定密碼或協定的完整清單,並排除要停用的密碼或協定。
將請求轉寄至後端 LDAP 伺服器
本節包含有關用於將請求從目錄代理伺服器轉寄至後端 LDAP 伺服器之不同方法的資訊。
利用重新執行連結轉寄請求
如需有關目錄代理伺服器中用戶端憑證的連結重新執行的資訊,請參閱「Sun Java System Directory Server Enterprise Edition 6.0 Reference」中的「Directory Proxy Server Configured for BIND Replay」。下列程序說明如何透過使用連結重新執行將請求從目錄代理伺服器轉寄至後端 LDAP 伺服器。
利用重新執行連結轉寄請求
您可以使用 DSCC 執行此作業。如需有關資訊,請參閱目錄服務控制中心介面與 DSCC 線上說明。
配置資料來源用戶端憑證,以透過使用由用戶端提供的憑證認證後端 LDAP 伺服器。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ client-cred-mode:use-client-identity |
利用代理授權轉寄請求
如需有關目錄代理伺服器中代理授權的資訊,請參閱「Sun Java System Directory Server Enterprise Edition 6.0 Reference」中的「Directory Proxy Server Configured for Proxy Authorization」。
本節包含透過使用代理授權與代理授權控制轉寄請求的程序。
透過使用代理授權轉寄請求
-
將資料來源配置為預期代理授權控制版本為 1 或 2。
例如,將資料來源配置為預期代理授權控制版本 1。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ proxied-auth-use-v1:true
或者,將資料來源配置為預期代理授權控制版本 2。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ proxied-auth-use-v1:false
-
將資料來源配置為透過使用代理授權認證後端 LDAP 伺服器。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ client-cred-mode:use-proxy-auth
若要將資料來源配置為透過僅使用寫入作業的代理授權認證後端 LDAP 伺服器,請執行此指令:
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ client-cred-mode:use-proxy-auth-for-write
僅使用代理授權控制執行寫入作業時,用戶端身份識別不會轉寄至 LDAP 伺服器進行讀取請求。如需有關轉寄不含用戶端身份識別的請求的詳細資訊,請參閱轉寄不含用戶端身份識別的請求。
-
利用目錄代理伺服器的連結憑證配置資料來源。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ bind-dn:DPS-bind-dn bind-pwd-file:filename
-
使用逾時配置資料來源。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ proxied-auth-check-timeout:value
目錄代理伺服器透過使用 getEffectiveRights 指令驗證用戶端 DN 是否具有代理授權的相關 ACI。在目錄代理伺服器中快取結果,並於 proxied-auth-check-timeout 過期時進行更新。
-
請視需要重新啟動目錄代理伺服器實例以使變更生效。
如需有關重新啟動目錄代理伺服器的資訊,請參閱重新啟動目錄代理伺服器。
當請求包含代理授權控制時,透過使用代理授權轉寄請求
您可以使用 DSCC 執行此作業。如需有關資訊,請參閱目錄服務控制中心介面與 DSCC 線上說明。
將目錄代理伺服器配置為接受代理授權控制版本 1 和/或版本 2。
$ dpconf set-server-prop -h host -p port allowed-ldap-controls:proxy-auth-v1 \ allowed-ldap-controls:proxy-auth-v2 |
轉寄不含用戶端身份識別的請求
下列程序說明如何將請求從目錄代理伺服器轉寄至後端 LDAP 伺服器,而不轉寄用戶端身份識別。
轉寄不含用戶端身份識別的請求
您可以使用 DSCC 執行此作業。如需有關資訊,請參閱目錄服務控制中心介面與 DSCC 線上說明。
-
透過使用目錄代理伺服器的憑證,將資料來源配置為驗證後端 LDAP 伺服器。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ client-cred-mode:use-specific-identity
-
利用目錄代理伺服器的連結憑證配置資料來源。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \ bind-dn:bind-dn-of-DPS bind-pwd-file:filename
-
請視需要重新啟動目錄代理伺服器實例以使變更生效。
如需有關重新啟動目錄代理伺服器的資訊,請參閱重新啟動目錄代理伺服器。
以替代使用者身份轉寄請求
本節包含有關如何以替代使用者身份轉寄請求的資訊。
配置遠端使用者對映
您可以使用 DSCC 執行此作業。如需有關資訊,請參閱目錄服務控制中心介面與 DSCC 線上說明。
-
啟用要以替代使用者身份轉寄的作業。
$ dpconf set-server-prop -h host -p port enable-user-mapping:true
-
指定包含遠端對映 ID 的屬性的名稱。
$ dpconf set-server-prop -h host -p port \ remote-user-mapping-bind-dn-attr:attribute-name
-
使目錄代理伺服器能夠遠端對映用戶端 ID。
$ dpconf set-server-prop -h host -p port enable-remote-user-mapping:true
-
配置預設對映。
$ dpconf set-server-prop -h host -p port \ user-mapping-default-bind-dn:default-mapping-bind-dn \ user-mapping-default-bind-pwd-file:filename
如果遠端 LDAP 伺服器上找不到對映的身份識別,會將用戶端身份識別對映至預設的身份識別。
-
為遠端 LDAP 伺服器上的用戶端在項目中配置使用者對映。
如需有關在目錄伺服器中配置使用者對映的資訊,請參閱代理授權。
配置本機使用者對映
您可以使用 DSCC 執行此作業。如需有關資訊,請參閱目錄服務控制中心介面與 DSCC 線上說明。
-
啟用要以替代使用者身份轉寄的作業。
$ dpconf set-server-prop -h host -p port enable-user-mapping:true
-
確保未將目錄代理伺服器配置為從遠端對映用戶端 ID。
$ dpconf set-server-prop -h host -p port enable-remote-user-mapping:false
-
配置預設對映。
$ dpconf set-server-prop -h host -p port \ user-mapping-default-bind-dn:default-mapping-bind-dn \ user-mapping-default-bind-pwd-file:filename
如果遠端 LDAP 伺服器的對映失敗,用戶端 ID 會對映至此 DN。
-
如果允許未認證的使用者執行作業,請配置未認證之用戶端的對映。
$ dpconf set-server-prop -h host -p port \ user-mapping-anonymous-bind-dn:anonymous-mapping-bind-dn \ user-mapping-anonymous-bind-pwd-file:filename
如需有關如何允許未認證的使用者執行作業的資訊,請參閱配置匿名存取。
-
配置用戶端的 ID。
$ dpconf set-user-mapping-prop -h host -p port \ user-bind-dn:client-bind-dn user-bind-pwd-file:filename
-
配置替代使用者的 ID。
$ dpconf set-user-mapping-prop -h host -p port \ mapped-bind-dn:alt-user-bind-dn mapped-bind-pwd-file:filename
配置匿名用戶端的使用者對映
您可以使用 DSCC 執行此作業。如需有關資訊,請參閱目錄服務控制中心介面與 DSCC 線上說明。
配置未認證的用戶端的對映。
$ dpconf set-server-prop -h host -p port \ user-mapping-anonymous-bind-dn:anonymous-mapping-bind-dn \ user-mapping-anonymous-bind-pwd-file:filename |
由於遠端 LDAP 伺服器不包含匿名用戶端的項目,因此在目錄代理伺服器中配置匿名用戶端的對映。
如需有關允許未認證的使用者執行作業的資訊,請參閱配置匿名存取。
- © 2010, Oracle Corporation and/or its affiliates