下節將提供兩個配置範例。這些配置說明虛擬目錄的主要功能,並指出這些功能的配置方式。
本節的程序說明連結 LDAP 目錄與 MySQL 資料庫的虛擬配置範例。LDAP 目錄是主要的資料來源,包含大部分的使用者資訊。mySQL 資料庫包含關於使用者的其他資訊。下圖說明產生的配置。
您可以使用 install-path /ds6/ldif/Example.ldif 中提供的資料範例複寫本範例,或者以自己的資料替代資料範例。
此配置可分為三部分:
配置與測試 LDAP 資料檢視
配置與測試 JDBC 資料檢視
配置與測試連結資料檢視
為簡便起見,本節中的所有指令假設目錄代理伺服器在本機的 /local/dps 中執行。這些指令還假設已設定下列環境變數:
1389
pwd.txt,包含管理員密碼的檔案。
4389
cn=Directory Manager
本節中的作業假設下列資訊:
目錄伺服器實例在連接埠 4389 的 host1 執行。
目錄伺服器中的資料儲存在尾碼 dc=example,dc=com 下。若要複寫本範例,請建立目錄伺服器實例與尾碼 dc=example,dc=com,並匯入 install-path/ds6/ldif/Example.ldif 中的範例資料。
為目錄伺服器實例建立名為 myds1 的 LDAP 資料來源。
% dpconf create-ldap-data-source myds1 host1:4389 |
啟用資料來源,並允許該資料來源的寫入作業。
% dpconf set-ldap-data-source-prop myds1 is-enabled:true is-read-only:false |
建立名為 myds1-pool 的 LDAP 資料來源池。
% dpconf create-ldap-data-source-pool myds1-pool |
將 LDAP 資料來源附加至 LDAP 資料來源池。
% dpconf attach-ldap-data-source myds1-pool myds1 |
指定資料來源應從資料來源池接收 100% 的連結、增加、搜尋與修改作業。
% dpconf set-attached-ldap-data-source-prop myds1-pool myds1 add-weight:100 \ bind-weight:100 modify-weight:100 search-weight:100 |
為資料來源池建立名為 myds1–view 且基底 DN 為 dc=example,dc=com 的 LDAP 資料檢視。
% dpconf create-ldap-data-view myds1-view myds1-pool dc=example,dc=com |
以 dc=example,dc=com 下使用者的身份搜尋 LDAP 資料來源中的所有項目,來驗證是否可以讀取資料檢視。
% ldapsearch -p 1389 -D "uid=kvaughan,ou=people,dc=example,dc=com" -w bribery \ -b dc=example,dc=com "objectclass=*" |
您必須使用 dc=example,dc=com 下使用者的憑證。若要使用 cn=Directory Manager,則必須定義資料檢視以處理該 DN。
以 dc=example,dc=com 下使用者的身份修改 userPassword 屬性,來驗證是否可以寫入資料檢視。
% ldapmodify -p 1389 -D "uid=kvaughan,ou=people,dc=example,dc=com" -w bribery dn: uid=kvaughan,ou=people,dc=example,dc=com changetype: modify replace: userPassword userPassword: myNewPassword |
目錄伺服器中的預設 ACI 可讓使用者修改自己的密碼。
下列作業假設已安裝 mySQL 資料庫,同時正在執行以及寫入資料,而且 mySQL 資料庫具有下列特性:
資料庫名稱:sample_sql
資料庫 URL:host2.example.com:3306/
JDBC 驅動程式 URL:file:/net/host2.example/local/mysql/lib/jdbc.jar
驅動程式類別:com.mysql.jdbc.Driver
資料庫使用者:root
資料庫密碼檔案:mysqlpwd.txt
下表說明資料庫中的表格及其複合欄位。您需要此資訊才能設定 JDBC 資料檢視。
mySQL 表格 |
欄位 |
---|---|
EMPLOYEE |
ID、SURNAME、PASSWORD、TITLE、COUNTRY_ID |
COUNTRY |
ID、NAME |
PHONE |
USER_ID、NUMBER |
為 SQL 資料庫建立名為 mysql1 的 JDBC 資料來源。
% dpconf create-jdbc-data-source -b sample_sql -B jdbc:mysql://host2.example.com:3306 \ -J file:/net/host2.example/local/mysql/lib/jdbc.jar -S com.mysql.jdbc.Driver mysql1 |
指定 SQL 資料庫的使用者名稱與密碼檔案。
% dpconf set-jdbc-data-source-prop mysql1 db-pwd-file:sqlpwd.txt db-user:root |
重新啟動代理伺服器。
% dpadm restart /local/dps |
啟用資料來源,並允許該資料來源的寫入作業。
% dpconf set-jdbc-data-source-prop mysql1 is-enabled:true is-read-only:false |
建立名為 mysql1–pool 的 JDBC 資料來源池。
% dpconf create-jdbc-data-source-pool mysql1-pool |
將 JDBC 資料來源附加至資料來源池。
% dpconf attach-jdbc-data-source mysql1-pool mysql1 |
為資料來源池建立名為 myjdbc1–view 且基底 DN 為 o=sql 的 JDBC 資料檢視。
% dpconf create-jdbc-data-view mysql1-view mysql1-pool o=sql |
為 MySQL 資料庫中的每個表格建立 JDBC 表格。
% dpconf create-jdbc-table employee1 EMPLOYEE % dpconf create-jdbc-table country1 COUNTRY % dpconf create-jdbc-table phone1 PHONE |
SQL 資料庫中表格的名稱區分大小寫。請確保使用與 SQL 資料庫中相同的大小寫。
為各表格中的每一欄建立 JDBC 屬性。
建立 JDBC 屬性會將 MySQL 欄對映至 LDAP 屬性。
% dpconf add-jdbc-attr employee1 uid ID % dpconf add-jdbc-attr employee1 sn SURNAME % dpconf add-jdbc-attr employee1 userPassword PASSWORD % dpconf add-jdbc-attr employee1 room ROOM % dpconf add-jdbc-attr phone1 tel NUMBER % dpconf add-jdbc-attr country1 country NAME |
由於 phone1 user_id 與 country1 id 欄僅在 MySQL 資料庫環境中使用,因此無須為這兩欄建立 JDBC 屬性。這兩欄不具有對應的 LDAP 屬性。
為 LDAP person 物件類別建立 JDBC 物件類別。
在此步驟中,將 employee1 表格識別為主要表格,而將 country1 與 phone1 表格識別為輔助表格。JDBC 物件類別的建立作業也需要 DN。在此範例中,DN 從資料檢視的 uid 屬性與基底 DN 中建構。
% dpconf create-jdbc-object-class mysql1-view person employee1 country1 phone1 uid |
定義主要表格與輔助表格之間的連結規則。
連結規則定義於輔助表格上,並確定輔助表格的資料如何連結至主要表格的資料。
% dpconf set-jdbc-table-prop country1 filter-join-rule:'ID=${EMPLOYEE.COUNTRY_ID}' % dpconf set-jdbc-table-prop phone1 filter-join-rule:'USER_ID=${EMPLOYEE.ID}' |
指定 JDBC 物件類別的超級類別。
超級類別表示 JDBC 物件類別從其繼承屬性的 LDAP 物件類別。
% dpconf set-jdbc-object-class-prop mysql1-view person super-class:top |
您必須透過配置 ACI 以啟用資料檢視的寫入存取,才能測試 JDBC 資料檢視。依預設拒絕對非 LDAP 資料檢視的寫入存取。就本例目的而言,增加一個允許使用者修改其密碼的全域 ACI 即已足夠。
以代理伺服器管理員的身份將 ACI 池增加至 JDBC 資料來源,並增加一個全域 ACI 以允許使用者修改其項目。
% ldapmodify -p 1389 -D "cn=proxy manager" -w password dn: cn=mysql1,cn=virtual access controls changetype: add objectclass: acisource dpsaci: (targetattr="*") (target = "ldap:///o=sql") \ (version 3.0; acl "enable all access for all users "; allow(all) \ userdn="ldap:///uid=kvaughan,o=sql";) cn: mysql1 |
建立連線處理程式處理與 o=sql 網域的連線。
% dpconf create-connection-handler mysql1-handler |
啟用連線處理程式,並將其配置為處理來自 o=sql 網域中使用者的所有連結。
% dpconf set-connection-handler-prop mysql1-handler is-enabled:true \ bind-dn-filters:"uid=.*,o=sql" |
將連線處理程式配置為使用先前增加的 ACI 池。
% dpconf set-connection-handler-prop mysql1-handler aci-source:mysql1 |
以 o=sql 下使用者的身份搜尋 JDBC 資料來源,來驗證是否可以讀取資料檢視。
% ldapsearch -p 1389 -D "uid=kvaughan,o=sql" -w mypwd -b o=sql "objectclass=*" |
您必須使用 o=sql 下使用者的憑證或匿名連結。
以 o=sql 下使用者的身份修改 userPassword 屬性,來驗證是否可以寫入資料檢視。
% ldapmodify -p 1389 -D "uid=kvaughan,o=sql" -w mypwd dn: uid=kvaughan,o=sql changetype: modify replace: userPassword userPassword: myNewpwd |
將 LDAP 資料檢視指定為主要資料檢視,而 JDBC 資料檢視為輔助資料檢視。
% dpconf create-join-data-view myjoin1-view myds1-view mysql1-view o=join |
在輔助資料檢視上定義連結規則。
下列連結規則指定輔助資料檢視項目的 uid 屬性應與主要資料檢視項目的 uid 屬性相符。
% dpconf set-jdbc-data-view-prop mysql1-view filter-join-rule:uid='${myds1-view.uid}' |
如果在連結資料檢視上設定篩選連結規則,則必須在輔助資料檢視上設定虛擬轉換規則,才能在連結資料檢視上增加項目。
dpconf add-virtual-transformation secondary-view-name \ write add-attr-value dn uid=\${uid} |
若未設定此規則,則不可能在連結資料檢視上增加項目。
定義可以透過連結資料檢視從主要資料檢視讀取及寫入主要資料檢視的一組屬性。
% dpconf set-ldap-data-view-prop myds1-view viewable-attr:dn viewable-attr:cn \ viewable-attr:sn viewable-attr:givenName viewable-attr:objectClass viewable-attr:ou \ viewable-attr:l viewable-attr:uid viewable-attr:mail viewable-attr:telephoneNumber \ viewable-attr:facsimileTelephoneNumber viewable-attr:roomNumber viewable-attr:userPassword % dpconf set-ldap-data-view-prop myds1-view writable-attr:dn writable-attr:cn \ writable-attr:sn writable-attr:givenName writable-attr:objectClass writable-attr:ou \ writable-attr:l writable-attr:uid writable-attr:mail writable-attr:telephoneNumber \ writable-attr:facsimileTelephoneNumber writable-attr:roomNumber writable-attr:userPassword |
這些定義僅套用至連結檢視的環境中。依預設,如果直接存取 LDAP 資料檢視,則可以讀取與寫入所有屬性。
定義可以透過連結資料檢視從輔助資料檢視讀取及寫入輔助資料檢視的一組屬性。
% dpconf set-jdbc-data-view-prop mysql1-view viewable-attr:dn viewable-attr:objectclass \ viewable-attr:sn viewable-attr:room viewable-attr:userpassword viewable-attr:jobtitle \ viewable-attr:country viewable-attr:tel % dpconf set-jdbc-data-view-prop mysql1-view writable-attr:dn writable-attr:objectclass \ writable-attr:sn writable-attr:room writable-attr:userpassword writable-attr:jobtitle \ writable-attr:country writable-attr:tel |
這些定義僅套用至連結檢視的環境中。依預設,如果直接存取 JDBC 資料檢視,則可以讀取與寫入所有屬性。
以代理伺服器管理員的身份增加全域 ACI,來允許對連結資料檢視的匿名存取。
% ldapmodify -p 1389 -D "cn=proxy manager" -w password dn: cn=myjoin1,cn=virtual access controls changetype: add objectclass: acisource dpsaci: (targetattr="*") (target = "ldap:///o=join") \ (version 3.0; acl "anonymous_access"; allow(all) userdn="ldap:///anyone";) cn: myjoin1 |
建立連線處理程式處理與 o=join 網域的連線。
% dpconf create-connection-handler myjoin1-handler |
啟用連線處理程式,並將其配置為處理來自 o=join 下使用者的所有連結。
% dpconf set-connection-handler-prop myjoin1-handler is-enabled:true \ bind-dn-filters:"uid=.*,ou=people,o=join" |
將連線處理程式配置為使用先前增加的 ACI 池。
% dpconf set-connection-handler-prop myjoin1-handler aci-source:myjoin1 |
此步驟將搜尋 Kirsten Vaughan 的項目,以查看是否同時從兩個連結檢視擷取資料。
% ldapsearch -p 1389 -b o=join "uid=kvaughan" |
請注意,傳回的項目包含 LDAP 資料檢視與 JDBC 資料檢視的屬性。
以 o=join 下使用者的身份修改 userPassword 屬性,來驗證是否可以寫入連結資料檢視。
% ldapmodify -p 1389 -D "uid=kvaughan,ou=people,o=join" -w myNewPassword dn: uid=kvaughan,ou=people,o=join changetype: modify replace: userPassword userPassword: myPassword |
此配置以 Example.com 機構為例,說明虛擬目錄的部分功能可以滿足其特定的目錄服務需求。
Example.com 將機構資料儲存在多個不同的資料來源中。為了支援舊版,使用者資料分佈在 LDAP 目錄、平面 LDIF 檔案與 SQL 資料庫中。人力資源部門將使用者資料儲存在基底 DN 為 o=example.com 的 LDAP 目錄中。薪資部門將資料儲存在 SQL 資料庫中。管理部門將部門與大樓編號等管理資料儲存在基底 DN 為 dc=example,dc=com 的 LDIF 檔案中。
此外,Example.com 已買入名為 Company22 的公司。Company22 也將其使用者資料儲存在基底 DN 為 dc=company22,dc=com 的 LDAP 目錄中。
下圖提供如何儲存 Example.com 使用者資料的高階檢視。
Example.com 具有數個必須能夠存取儲存在不同資料來源中的資料的 LDAP 用戶端應用程式。這些用戶端應用程式的需求不盡相同。因此需要不同的資料檢視。在某些情況下,用戶端必須彙總資料。此外,某些用戶端應用程式必須能夠存取 Company22 的使用者資料,以便能夠同時管理 Example.com 的新舊員工。
下圖提供 Example.com 用戶端應用程式需求的高階檢視。
以下幾節引導您充分配置目錄代理伺服器資料檢視,以滿足本範例方案中所述之用戶端應用程式需求。如需有關資料檢視運作方式的資訊,請參閱「Sun Java System Directory Server Enterprise Edition 6.1 Reference」中的第 17 章「Directory Proxy Server Distribution」與「Sun Java System Directory Server Enterprise Edition 6.1 Reference」中的第 18 章「Directory Proxy Server Virtualization」。
範例方案的配置分為下列幾節:
人力資源部門會儲存員工姓名、工作開始資料與工作職級等資訊。管理部門儲存其他資料,例如大樓代碼與辦公室編號。處理人力資源部門資料的用戶端應用程式必須能夠存取合併自這兩個來源的資料。這兩個資料來源具有存在於每個項目中的共用屬性 employeeNumber。
下圖說明用戶端應用程式的需求。
若要滿足此應用程式需求,必須為薪資部門的目錄與管理部門的 LDIF 檔案建立資料檢視。然後,連結這兩個資料檢視以提供對彙總資料的存取。此共用屬性可讓目錄代理伺服器彙總每個使用者的資料。
為簡便起見,本節中所用的指令假設下列資訊:
目錄代理伺服器實例在本機上執行,並具有預設 LDAP 連接埠 (389)。
目錄代理伺服器實例位於 /local/myDPS。
已將包含代理伺服器管理員密碼之檔案的路徑設定為變數 LDAP_ADMIN_PWF。如需有關設定目錄代理伺服器環境變數的更多資訊,請參閱「Sun Java System Directory Server Enterprise Edition 6.1 Installation Guide」中的「Environment Variables」。
薪資部門的 LDAP 目錄在連接埠 2389 上名為 payrollHost 的主機上執行。
用以儲存管理部門資料的 LDIF 檔案名為 example.ldif。
若要取得每個指令的完整語法,請執行不含任何選項的指令。例如:
$ dpconf create-ldap-data-view Operands are missing Usage: dpcfg create-ldap-data-view VIEW_NAME POOL_NAME SUFFIX_DN
為薪資部門目錄建立 LDAP 資料來源。
$ dpconf create-ldap-data-source payroll-directory payrollHost:2389
為薪資部門目錄建立 LDAP 資料來源池。
$ dpconf create-ldap-data-source-pool payroll-pool
將薪資部門資料來源附加至資料來源池。
$ dpconf attach-ldap-data-source payroll-pool payroll-directory
配置附加資料來源的加權。
$ dpconf set-attached-ldap-data-source-prop -h payrollHost -p 2389 \ payroll-pool payroll-directory add-weight:2 \ bind-weight:2 compare-weight:2 delete-weight:2 \ modify-dn-weight:2 modify-weight:2 search-weight:2
建立薪資部門目錄的 LDAP 資料檢視。
$ dpconf create-ldap-data-view payroll-view payroll-pool o=example.com
啟用 LDAP 資料檢視以將用戶端請求路由至此資料檢視。
$ dpconf set-ldap-data-view-prop payroll-view is-enabled:true
重新啟動目錄代理伺服器以使變更生效。
$ dpadm restart /local/myDPS
建立管理部門資料的 LDIF 資料檢視。
$ dpconf create-ldif-data-view admin-view example.ldif dc=example,dc=com
啟用管理部門資料的 LDIF 資料檢視。
$ dpconf set-ldif-data-view-prop admin-view is-enabled:true
指定管理部門檢視包含薪資部門檢視中多個項目所使用的項目。
$ dpconf set-ldif-data-view-prop admin-view contains-shared-entries:true
當此特性設為 TRUE 時,刪除薪資部門資料檢視中的某項目,不會導致刪除管理部門資料檢視中的共用項目。如果某項目不存在,將該項目增加至薪資部門資料檢視僅會將其增加至輔助資料檢視。
重新啟動目錄代理伺服器以使變更生效。
$ dpadm restart /local/myDPS
建立管理部門資料檢視的篩選連結規則,以指定彙總資料的方式。
下列連結規則指定應根據使用者項目的 employeeNumber 屬性連結資料。
$ dpconf set-ldif-data-view-prop admin-view \ filter-join-rule:'employeeNumber=\${payroll-view.employeeNumber}'
建立彙總這兩個資料檢視的連結資料檢視。
對於此連結資料檢視,該機構使用尾碼 DN dc=example,dc=com。
$ dpconf create-join-data-view example-join-view payroll-view admin-view \ dc=example,dc=com
Company22 的使用者資料儲存在 DN dc=company22,dc=com 下。雖然 Example.com 希望在大多數情況下能夠單獨儲存此使用者資料,但卻只有一個用戶端應用程式同時管理 Company 22 員工與其他 Example.com 員工。此用戶端應用程式要求 Company22 的使用者資料必須類似於 Example.com 的資料。
下圖說明用戶端應用程式的需求。
若要滿足此應用程式需求,必須為 Company22 的目錄建立虛擬 DN 為 dc=example,dc=com 的資料檢視。
為簡便起見,本節中所用的指令假設下列資訊:
目錄代理伺服器實例在本機上執行,並具有預設 LDAP 連接埠 (389)。
目錄代理伺服器實例位於 /local/myDPS。
已將包含代理伺服器管理員密碼之檔案的路徑設定為變數 LDAP_ADMIN_PWF。如需有關設定目錄代理伺服器環境變數的更多資訊,請參閱「Sun Java System Directory Server Enterprise Edition 6.1 Installation Guide」中的「Environment Variables」。
Company 22 的 LDAP 目錄在連接埠 2389 上名為 company22Host 的主機上執行。
為 Company 22 的目錄建立 LDAP 資料來源。
$ dpconf create-ldap-data-source company22-directory company22Host:2389
為 Company 22 的目錄建立 LDAP 資料來源池。
$ dpconf create-ldap-data-source-pool company22-pool
將 Company 22 的資料來源附加至資料來源池。
$ dpconf attach-ldap-data-source company22-pool company22-directory
配置附加資料來源的加權。
$ dpconf set-attached-ldap-data-source-prop -h company22Host -p 2389 \ company22-pool company22-directory add-weight:2 \ bind-weight:2 compare-weight:2 delete-weight:2 \ modify-dn-weight:2 modify-weight:2 search-weight:2
為 Company 22 的目錄建立虛擬 DN 為 dc=example,dc=com 的 LDAP 資料檢視。
$ dpconf create-ldap-data-view company22-view company22-pool dc=example,dc=com
指示目錄代理伺服器將此虛擬 DN 對映至 Company 22 目錄中的實際 DN。
$ dpconf set-ldap-data-view-prop company22-view \ dn-mapping-source-base-dn:dc=company22,dc=com
啟用 Company 22 目錄的 LDAP 資料檢視,以將用戶端請求路由至此資料檢視。
$ dpconf set-ldap-data-view-prop company22-view is-enabled:true
重新啟動目錄代理伺服器以使變更生效。
$ dpadm restart /local/myDPS
人力資源部門需要 Example.com 與新買入的 Company 22 人力資源部門資料的彙總檢視。下圖說明人力資源部門全域應用程式的需求。
建立 Company 22 資料檢視的篩選連結規則,以指定彙總資料的方式。
下列連結規則指定應根據使用者項目的 employeeNumber 屬性連結資料。
$ dpconf set-ldif-data-view-prop company22-view \ filter-join-rule:'employeeNumber=\${example-join-view.employeeNumber}'
建立彙總 Company 22 的資料檢視與 Example.com 連結資料檢視的連結資料檢視。
$ dpconf create-join-data-view global-join-view example-join-view \ company22-view dc=example,dc=com
Example.com 的薪資部門將薪水資料儲存在 SQL 資料庫中。該資料庫有兩個表格,分別為 employee 表格與 salary 表格。Example.com 具有要求能夠存取那些資料的 LDAP 用戶端應用程式。用戶端應用程式要求 SQL 資料必須類似於 LDAP 資料。
下圖說明用戶端應用程式的需求。
若要滿足此應用程式需求,必須建立 JDBC 資料檢視將 SQL 表格中的欄對映至 LDAP 屬性。
為簡便起見,本節中所用的指令假設下列資訊:
目錄代理伺服器實例在本機上執行,並具有預設 LDAP 連接埠 (389)。
目錄代理伺服器實例位於 /local/myDPS。
已將包含代理伺服器管理員密碼之檔案的路徑設定為變數 LDAP_ADMIN_PWF。如需有關設定目錄代理伺服器環境變數的更多資訊,請參閱「Sun Java System Directory Server Enterprise Edition 6.1 Installation Guide」中的「Environment Variables」。
SQL 資料庫已啟動且正在執行。
已將 JAVA_HOME 變數設定為正確的 Java 路徑。
SQL 資料庫的密碼儲存在 myPasswordFile 檔案中的 myPassword。
為薪資部門資料庫建立 JDBC 資料來源。
$ dpconf create-jdbc-data-source -b payrollsqldb \ -B jdbc:payrollsqldb:payrollsql://localhost/ \ -J file://payrollsqldb.jar \ -S org.payrollsqldb.jdbcDriver payroll-src
以 SQL 資料庫的特性配置 JDBC 資料來源。
$ dpconf set-jdbc-data-source-prop payroll-src \ db-user:proxy db-pwd-file:password-file-location/myPasswordFile
啟用 JDBC 資料來源。
$ dpconf set-jdbc-data-source-prop payroll-src is-enabled:true
為薪資部門資料庫建立 JDBC 資料來源池。
$ dpconf create-jdbc-data-source-pool payroll-pool
將薪資部門資料來源附加至資料來源池。
$ dpconf attach-jdbc-data-source payroll-pool payroll-src
為薪資部門資料庫建立虛擬 DN 為 o=payroll 的 JDBC 資料檢視。
$ dpconf create-jdbc-data-view payroll-view payroll-pool o=payroll
為 SQL 資料庫中的每個表格建立 JDBC 表格。
$ dpconf create-jdbc-table jdbc-employee employee $ dpconf create-jdbc-table jdbc-salary salary
為 SQL 表格中的每一欄增加 JDBC 屬性。
$ dpconf add-jdbc-attr jdbc-employee eid employee_id $ dpconf add-jdbc-attr jdbc-employee first firstname $ dpconf add-jdbc-attr jdbc-employee last lastname $ dpconf add-jdbc-attr jdbc-employee description description $ dpconf add-jdbc-attr jdbc-employee spouse spousename $ dpconf add-jdbc-attr jdbc-salary salary salary $ dpconf add-jdbc-attr jdbc-salary social ssn
指定可以透過 JDBC 資料檢視進行檢視與寫入的屬性。
$ dpconf set-jdbc-data-view-prop payroll-view \ viewable-attr:eid \ viewable-attr:first \ viewable-attr:last \ viewable-attr:desc \ viewable-attr:spouse \ viewable-attr:salary \ viewable-attr:social $ dpconf set-jdbc-data-view-prop payroll-view \ writable-attr:eid \ writable-attr:first \ writable-attr:last \ writable-attr:description \ writable-attr:spouse \ writable-attr:salary \ writable-attr:social
建立對映至 LDAP 物件類別的 JDBC 物件類別。
下列指令建立對映至 LDAP person 物件類別的物件類別。該物件類別指定員工表格應作為主要表格使用,而薪資表格應用做輔助表格。eid 屬性應用來建構 DN。
$ dpcfg create-jdbc-object-class payroll-view \ person jdbc-employee jdbc-salary eid
在輔助表格上建立篩選連結規則,以指定輔助表格的資料如何連結至主要表格的資料。
下列連結規則指定應根據 employee_id 屬性連結資料。
$ dpconf set-jdbc-table-prop jdbc-salary \ filter-join-rule:'employee_id=\${employee.employee_id}'
建立 JDBC 物件類別的超級類別。
$ set-jdbc-object-class-prop payroll-view person super-class:extensibleObject
透過在 LDAP 目錄中定義 ACI 可處理該目錄的存取控制。透過虛擬資料檢視存取資料來源時,必須定義 ACI 僅會套用至透過這些資料檢視進行檢視的資料。
連線處理程式控制透過目錄代理伺服器的所有存取。如需有關連線處理程式的資訊,請參閱第 25 章, 用戶端與目錄代理伺服器之間的連線。
增加 ACI。
$ ldapadd -v -D "cn=proxy manager" -w password -p 389 dn: cn=ldifonly-acis,cn=virtual access controls objectclass: top objectclass: aciSource cn: ldifonly-acis dpsaci: (targetattr="*")(version 3.0; acl "anonymous_access"; allow(all) \ (userdn="ldap:///anyone");)
將連線處理程式指向虛擬 ACI。
$ dpconf set-connection-handler-prop anonymous aci-source:ldifonly-acis
啟用連線處理程式。
$ dpconf set-connection-handler-prop anonymous is-enabled:true