스키마 2 호환성 모드용 ACI 추가

LDAP 디렉토리를 스키마 2 호환성 모드에서 사용하고 있는 경우 Delegated Administrator에서 사용자의 디렉토리를 관리할 수 있게 하려면 디렉토리에 ACI를 수동으로 추가해야 합니다. 다음 단계를 수행합니다.

스키마 2 호환성 모드용 ACI를 추가하려면

1. OSI 루트에 다음 두 ACI를 추가합니다. /opt/SUNWcomm/config 디렉토리에 있는 usergroup.ldif 파일에서 다음 두 ACI를 찾을 수 있습니다.

   ugldapbasedn을 해당 사용자/그룹 접미어로 바꿉니다. 편집한 usergroup.ldif를 LDAP 디렉토리에 추가합니다.

   # # acis to limit Org Admin Role # ######################################## # dn: <local.ugldapbasedn> ######################################## dn: <ugldapbasedn> changetype: modify add: aci aci: (target="ldap:///($dn),<ugldapbasedn>")(targetattr="*") (version 3.0; acl "Organization Admin Role access deny to org node"; deny (write,add,delete) roledn = "ldap:///cn=Organization Admin Role,($dn),<ugldapbasedn>";)

   dn: <ugldapbasedn> changetype: modify add: aci aci: (target="ldap:///($dn),<ugldapbasedn>")(targetattr="*") (version 3.0; acl "Organization Admin Role access allow read to org node"; allow (read,search) roledn = "ldap:///cn=Organization Admin Role,($dn),<ugldapbasedn>";)

2. 다음 두 ACI를 DC 트리 루트 접미어에 추가합니다. 다음 두 ACI는 /opt/SUNWcomm/lib/config-templates 디렉토리의 dctree.ldif 파일에서 찾을 수 있습니다.

   dctreebasedn을 DC 트리 루트 접미어로 바꾸고, ugldapbasedn을 사용자/그룹 접미어로 바꾸어야 합니다. 편집한 dctree.ldif를 LDAP 디렉토리에 추가합니다.

   # # acis to limit Org Admin Role # ######################################## # dn: <dctreebasedn> ######################################## dn: <dctreebasedn> changetype: modify add: aci aci: (target="ldap:///($dn),<dctreebasedn>")(targetattr="*") (version 3.0; acl "Organization Admin Role access deny to dc node"; deny (write,add,delete) roledn = "ldap:///cn=Organization Admin Role,($dn),<ugldapbasedn>";)

   dn: <dctreebasedn> changetype: modify add: aci aci: (target="ldap:///($dn),<dctreebasedn>")(targetattr="*") (version 3.0; acl "Organization Admin Role access allow read to dc node"; allow (read,search) roledn = "ldap:///cn=Organization Admin Role,($dn),<ugldapbasedn>";)

3. DC 트리 루트 접미어에 다음의 추가 ACI를 추가합니다. (이 ACI는 dctree.ldif 파일에 없음.)

   dn:<dctreebasedn> changetype:modify add:aci aci: (target="ldap:///<dctreebasedn>")(targetattr="*") (version 3.0; acl "S1IS Proxy user rights"; allow (proxy) userdn = "ldap:///cn=puser,ou=DSAME Users,<ugldapbasedn>";)

   dn:<dctreebasedn> changetype:modify add:aci aci: (target="ldap:///<dctreebasedn>")(targetattr="*") (version 3.0; acl "S1IS special dsame user rights for all under the root suffix"; allow (all) userdn ="ldap:///cn=dsameuser,ou=DSAME Users,<ugldapbasedn>";)

   dn:<dctreebasedn> changetype:modify add:aci aci: (target="ldap:///<dctreebasedn>")(targetattr="*") (version 3.0; acl "S1IS Top-level admin rights"; allow (all) roledn = "ldap:///cn=Top-level Admin Role,<ugldapbasedn>";)

4. AMConfig.properties 파일에서 com.iplanet.am.domaincomponent 등록 정보를 해당 DC 트리 루트 접미어로 설정합니다.

   예를 들어, < AM_base_directory>/lib/AMConfig.properties 파일에서 다음 줄을 수정합니다.

   수정 전

   com.iplanet.am.domaincomponent=o=isp

   수정 후

   com.iplanet.am.domaincomponent=o=internet

5. Access Manager에서 호환성 모드 사용을 활성화합니다.

   Access Manager 콘솔의 관리 콘솔 서비스 페이지에서 도메인 구성 요소 트리 사용 가능 확인란을 선택(활성화)합니다.

6. 다음 예와 같이 inetdomain 객체 클래스를 모든 DC 트리 노드(예: dc=com,o=internet)에 추가합니다.

   /var/mps/serverroot/shared/bin 298% ./ldapmodify -D "cn=Directory Manager" -w password dn: dc=com,o=internet changetype: modify add: objectclass objectclass: inetdomain

7. 웹 컨테이너를 다시 시작합니다.