test

Sun Java System Directory Server Enterprise Edition 6.0 管理指南

將請求轉寄至後端 LDAP 伺服器

本節包含有關用於將請求從目錄代理伺服器轉寄至後端 LDAP 伺服器之不同方法的資訊。

利用重新執行連結轉寄請求

如需有關目錄代理伺服器中用戶端憑證的連結重新執行的資訊,請參閱「Sun Java System Directory Server Enterprise Edition 6.0 Reference」中的「Directory Proxy Server Configured for BIND Replay」。下列程序說明如何透過使用連結重新執行將請求從目錄代理伺服器轉寄至後端 LDAP 伺服器。

Procedure利用重新執行連結轉寄請求

您可以使用 DSCC 執行此作業。如需有關資訊,請參閱目錄服務控制中心介面與 DSCC 線上說明。

    配置資料來源用戶端憑證,以透過使用由用戶端提供的憑證認證後端 LDAP 伺服器。


    $ dpconf set-ldap-data-source-prop -h host -p port data-source-name \
 client-cred-mode:use-client-identity

利用代理授權轉寄請求

如需有關目錄代理伺服器中代理授權的資訊,請參閱「Sun Java System Directory Server Enterprise Edition 6.0 Reference」中的「Directory Proxy Server Configured for Proxy Authorization」

本節包含透過使用代理授權與代理授權控制轉寄請求的程序。

Procedure透過使用代理授權轉寄請求

  1. 將資料來源配置為預期代理授權控制版本為 1 或 2。

    例如,將資料來源配置為預期代理授權控制版本 1。


    $ dpconf set-ldap-data-source-prop -h host -p port data-source-name \
 proxied-auth-use-v1:true

    或者,將資料來源配置為預期代理授權控制版本 2。


    $ dpconf set-ldap-data-source-prop -h host -p port data-source-name \
 proxied-auth-use-v1:false

  2. 將資料來源配置為透過使用代理授權認證後端 LDAP 伺服器。


    $ dpconf set-ldap-data-source-prop -h host -p port data-source-name \
 client-cred-mode:use-proxy-auth

    若要將資料來源配置為透過僅使用寫入作業的代理授權認證後端 LDAP 伺服器,請執行此指令:


    $ dpconf set-ldap-data-source-prop -h host -p port data-source-name \
 client-cred-mode:use-proxy-auth-for-write

    僅使用代理授權控制執行寫入作業時,用戶端身份識別不會轉寄至 LDAP 伺服器進行讀取請求。如需有關轉寄不含用戶端身份識別的請求的詳細資訊,請參閱轉寄不含用戶端身份識別的請求

  3. 利用目錄代理伺服器的連結憑證配置資料來源。


    $ dpconf set-ldap-data-source-prop -h host -p port data-source-name \
 bind-dn:DPS-bind-dn bind-pwd-file:filename

  4. 使用逾時配置資料來源。


    $ dpconf set-ldap-data-source-prop -h host -p port data-source-name \
 proxied-auth-check-timeout:value

    目錄代理伺服器透過使用 getEffectiveRights 指令驗證用戶端 DN 是否具有代理授權的相關 ACI。在目錄代理伺服器中快取結果,並於 proxied-auth-check-timeout 過期時進行更新。

  5. 請視需要重新啟動目錄代理伺服器實例以使變更生效。

    如需有關重新啟動目錄代理伺服器的資訊,請參閱重新啟動目錄代理伺服器

Procedure當請求包含代理授權控制時,透過使用代理授權轉寄請求

您可以使用 DSCC 執行此作業。如需有關資訊,請參閱目錄服務控制中心介面與 DSCC 線上說明。

    將目錄代理伺服器配置為接受代理授權控制版本 1 和/或版本 2。


    $ dpconf set-server-prop -h host -p port allowed-ldap-controls:proxy-auth-v1 \
 allowed-ldap-controls:proxy-auth-v2

轉寄不含用戶端身份識別的請求

下列程序說明如何將請求從目錄代理伺服器轉寄至後端 LDAP 伺服器,而不轉寄用戶端身份識別。

Procedure轉寄不含用戶端身份識別的請求

您可以使用 DSCC 執行此作業。如需有關資訊,請參閱目錄服務控制中心介面與 DSCC 線上說明。

  1. 透過使用目錄代理伺服器的憑證,將資料來源配置為驗證後端 LDAP 伺服器。


    $ dpconf set-ldap-data-source-prop -h host -p port data-source-name \
 client-cred-mode:use-specific-identity

  2. 利用目錄代理伺服器的連結憑證配置資料來源。


    $ dpconf set-ldap-data-source-prop -h host -p port data-source-name \
 bind-dn:bind-dn-of-DPS bind-pwd-file:filename

  3. 請視需要重新啟動目錄代理伺服器實例以使變更生效。

    如需有關重新啟動目錄代理伺服器的資訊,請參閱重新啟動目錄代理伺服器

以替代使用者身份轉寄請求

本節包含有關如何以替代使用者身份轉寄請求的資訊。

Procedure配置遠端使用者對映

您可以使用 DSCC 執行此作業。如需有關資訊,請參閱目錄服務控制中心介面與 DSCC 線上說明。

  1. 啟用要以替代使用者身份轉寄的作業。


    $ dpconf set-server-prop -h host -p port enable-user-mapping:true

  2. 指定包含遠端對映 ID 的屬性的名稱。


    $ dpconf set-server-prop -h host -p port \
 remote-user-mapping-bind-dn-attr:attribute-name

  3. 使目錄代理伺服器能夠遠端對映用戶端 ID。


    $ dpconf set-server-prop -h host -p port enable-remote-user-mapping:true

  4. 配置預設對映。


    $ dpconf set-server-prop -h host -p port \
 user-mapping-default-bind-dn:default-mapping-bind-dn \
 user-mapping-default-bind-pwd-file:filename

    如果遠端 LDAP 伺服器上找不到對映的身份識別,會將用戶端身份識別對映至預設的身份識別。

  5. 為遠端 LDAP 伺服器上的用戶端在項目中配置使用者對映。

    如需有關在目錄伺服器中配置使用者對映的資訊,請參閱代理授權

Procedure配置本機使用者對映

您可以使用 DSCC 執行此作業。如需有關資訊,請參閱目錄服務控制中心介面與 DSCC 線上說明。

  1. 啟用要以替代使用者身份轉寄的作業。


    $ dpconf set-server-prop -h host -p port enable-user-mapping:true

  2. 確保未將目錄代理伺服器配置為從遠端對映用戶端 ID。


    $ dpconf set-server-prop -h host -p port enable-remote-user-mapping:false

  3. 配置預設對映。


    $ dpconf set-server-prop -h host -p port \
 user-mapping-default-bind-dn:default-mapping-bind-dn \
 user-mapping-default-bind-pwd-file:filename

    如果遠端 LDAP 伺服器的對映失敗,用戶端 ID 會對映至此 DN。

  4. 如果允許未認證的使用者執行作業,請配置未認證之用戶端的對映。


    $ dpconf set-server-prop -h host -p port \
 user-mapping-anonymous-bind-dn:anonymous-mapping-bind-dn \
 user-mapping-anonymous-bind-pwd-file:filename

    如需有關如何允許未認證的使用者執行作業的資訊,請參閱配置匿名存取

  5. 配置用戶端的 ID。


    $ dpconf set-user-mapping-prop -h host -p port \
 user-bind-dn:client-bind-dn user-bind-pwd-file:filename

  6. 配置替代使用者的 ID。


    $ dpconf set-user-mapping-prop -h host -p port \
 mapped-bind-dn:alt-user-bind-dn mapped-bind-pwd-file:filename

Procedure配置匿名用戶端的使用者對映

您可以使用 DSCC 執行此作業。如需有關資訊,請參閱目錄服務控制中心介面與 DSCC 線上說明。

    配置未認證的用戶端的對映。


    $ dpconf set-server-prop -h host -p port \
 user-mapping-anonymous-bind-dn:anonymous-mapping-bind-dn \
 user-mapping-anonymous-bind-pwd-file:filename

    由於遠端 LDAP 伺服器不包含匿名用戶端的項目,因此在目錄代理伺服器中配置匿名用戶端的對映。

    如需有關允許未認證的使用者執行作業的資訊,請參閱配置匿名存取