第 1 章 目錄伺服器工具

Sun Java^TM System Directory Server Enterprise Edition 提供可在複寫環境中管理多重伺服器、實例與尾碼的瀏覽器介面與指令行工具。本章提供有關目錄伺服器管理工具的簡介資訊。

本章包含下列主題：

• 目錄伺服器管理簡介

• 決定 DSCC 與指令行的使用時機

• 目錄服務控制中心介面

• 目錄伺服器指令行工具

目錄伺服器管理簡介

此文件集中的其他指南提供有關目錄伺服器管理架構的資訊。

• 如需目錄伺服器管理架構的簡介，請參閱「Sun Java System Directory Server Enterprise Edition 6.2 Deployment Planning Guide」中的「Directory Server Enterprise Edition Administration Model」。

• 如需有關目錄伺服器管理架構之更詳細的參考資訊，請參閱「Sun Java System Directory Server Enterprise Edition 6.2 Reference」中的第 1 章「Directory Server Overview」。

決定 DSCC 與指令行的使用時機

Directory Server Enterprise Edition 提供管理目錄伺服器與目錄代理伺服器的兩個使用者介面：瀏覽器介面目錄服務控制中心 (DSCC) 與指令行介面。

決定某程序是否可以使用 DSCC 完成

本指南中大部分的程序皆可使用指令行或 DSCC 執行。本指南中的程序說明如何使用指令行完成程序。大部分的情況下皆可使用 DSCC 執行相同作業。若 DSCC 可用於執行特定程序，則程序的開頭處就會提供執行說明。

DSCC 線上說明針對如何使用 DSCC 執行本指南中的程序，提供了詳細的指示。

較適合使用 DSCC 的情況

比起使用指令行，DSCC 可讓您更容易執行某些作業與工作，以下幾節中將有所說明。一般而言，必須套用至數部伺服器的指令最好使用 DSCC 執行。

檢視伺服器與尾碼複寫狀態

DSCC 具有顯示表格，可呈現已在 DSCC 中註冊的所有伺服器實例、所有已配置的尾碼，以及這些項目的狀態。

伺服器表格位於 [目錄伺服器] 標籤上，可顯示伺服器的操作狀態。如需可能之伺服器狀態的完整清單，請參閱目錄伺服器線上說明。

尾碼表格位於 [尾碼] 標籤上，並會顯示複寫狀態資訊，例如項目數以及任何遺失變更的數量與存在時間。如需有關此表格所顯示之資訊的更多資訊，請參閱目錄伺服器線上說明。

管理伺服器群組

伺服器群組可協助您監控並配置伺服器。您可以建立群組，以及將伺服器指定至群組中。例如，您可以依地理位置或功能，將伺服器群組化。若具有大量的伺服器，則可以篩選 [目錄伺服器] 標籤上所顯示的伺服器，而僅顯示群組中的伺服器。您也可以將某一伺服器的配置 (例如，索引或快取設定) 複製到群組中的其他所有伺服器。如需有關如何設定及使用伺服器群組的指示，請參閱目錄伺服器線上說明。

複製配置設定

DSCC 可讓您將現有伺服器、尾碼或複寫協議的配置設定，複製到一或多個其他的伺服器、尾碼或複寫協議。如需有關如何執行前述各項作業的資訊，請參閱目錄伺服器線上說明。

配置複寫

使用 DSCC 可讓您快速而輕鬆地設定複寫拓樸。只需建立伺服器實例，再使用 DSCC 所提供的步驟指定各伺服器的角色即可。DSCC 可自動為您建立複寫協議。如需有關如何使用 DSCC 配置複寫的更多資訊，請參閱目錄伺服器線上說明。

目錄服務控制中心介面

目錄服務控制中心 (DSCC) 是可讓您使用瀏覽器管理目錄伺服器與目錄代理伺服器的使用者介面。

若要配置 DSCC，請參閱配置 DSCC。如需有關使用 DSCC 的資訊，請參閱下列幾節。

DSCC 的管理使用者

DSCC 具有數項管理登入。

• 作業系統使用者。可建立伺服器實例，是唯一有權使用 dsadm 指令，在伺服器實例上執行作業系統指令的使用者。DSCC 可能會在某些情況下要求提供作業系統使用者密碼。此使用者必須具有密碼，且必須能夠建立目錄伺服器實例。

• 目錄管理員。伺服器的 LDAP 超級使用者。預設 DN 為 cn=Directory Manager。

• 目錄伺服器管理員。管理目錄伺服器。此使用者的權利與目錄管理員相同，但須受存取控制、密碼策略與認證需求的限制。您可以依需要建立目錄伺服器管理員，數量不限。

• 目錄服務管理員。透過 DSCC 管理多部機器上的伺服器配置與資料。此使用者對已於 DSCC 中註冊的每部伺服器具有與目錄管理員相同的權利，並且是目錄伺服器管理員群組的成員之一。

存取 DSCC

若在存取 DSCC 時遇到任何困難，請參閱「Sun Java System Directory Server Enterprise Edition 6.2 Installation Guide」中的「To Troubleshoot Directory Service Control Center Access」。

1. 請確定已如「Sun Java System Directory Server Enterprise Edition 6.2 Installation Guide」中的「Software Installation」所述，正確安裝 DSCC。

2. 若已使用本機套裝軟體安裝檔案安裝了 DSCC，請遵循下列步驟：

   1. 開啟瀏覽器，然後以下列格式鍵入 DSCC 主機 URL：

      https://hostname:6789

      例如：

      https://host1:6789

      其中 hostname 是您安裝 DSCC 軟體所在的系統。

      Sun Java Web Console 預設連接埠為 6789。

      下圖顯示 Sun Java Web Console 登入視窗。

      圖 1–1 Sun Java Web Console 登入視窗

      
      

   2. 登入 Sun Java Web Console。

      • 若這是您第一次登入 Sun Java Web Console，請以安裝 DSCC 軟體所在系統的超級使用者身份登入。

      • 若這是後續登入，請鍵入作業系統使用者名稱與密碼。此使用者應具有啟動、停止及管理目錄伺服器實例的權限。

      您登入時會看見應用程式的清單。

   3. 選取目錄服務控制中心 (DSCC)。

      DSCC 登入視窗會隨即顯示。

3. 若已使用 Zip 安裝檔案安裝了 DSCC，請遵循下列步驟：

   1. 鍵入 DSCC 主機 URL，以直接在您喜好的應用程式伺服器內存取 DSCC。根據應用程式伺服器配置之不同，DSCC 主機 URL 會是下列其中之一。

      https://hostname:6789

      或

      http://hostname:6789

   2. 使用下列指令初始化 DSCC。

      $ install path/dscc6/bin/dsccsetup ads-create

4. 登入 DSCC。

   若這是第一次登入 DSCC，則必須設定目錄服務管理員密碼。當您日後登入時，請使用第一次登入時所設定的密碼。

   現在即已登入 DSCC，並位於 [常用工作] 標籤上。

   圖 1–2 DSCC [常用工作] 標籤

   
   

5. 使用標籤進行瀏覽。

   • [常用工作] 標籤中具有常用視窗與精靈的捷徑。

   • [目錄伺服器] 標籤會顯示 DSCC 所管理的所有目錄伺服器。若要檢視用以管理及配置特定伺服器的其他選項，請按一下該伺服器的名稱。

   • [代理伺服器] 標籤會顯示 DSCC 所管理的所有目錄代理伺服器。若要檢視用以管理及配置特定伺服器的其他選項，請按一下該伺服器的名稱。

   ---

   備註 –

   如需有關如何使用 DSCC 執行作業的指示，請參閱 DSCC 線上說明。

   ---

   圖 1–3 伺服器子標籤上的目錄伺服器清單

   
   

DSCC 標籤說明

使用 DSCC 中的標籤瀏覽介面。

[常用工作] 標籤

[常用工作] 標籤 (請參閱圖 1–2) 是開啟 DSCC 時所看到的第一個介面。其中包含常用管理作業的連結，例如搜尋目錄資料、檢查記錄與管理伺服器。

[目錄伺服器] 標籤

[目錄伺服器] 標籤 (請參閱圖 1–3) 會列出 DSCC 中已註冊的所有目錄伺服器。您可以檢視每部伺服器的狀態與實例路徑，其會顯示實例的所在位置。

按一下伺服器名稱時，會看見另一個視窗，其中會顯示僅與該部伺服器相關的不同標籤組。

[代理伺服器] 標籤

[代理伺服器] 標籤會列出 DSCC 中已註冊的所有目錄代理伺服器。您可以檢視每部伺服器的狀態與實例路徑，其會顯示實例的所在位置。

按一下伺服器名稱時，會看見另一個視窗，其中會顯示僅與該部伺服器相關的不同標籤組。

[伺服器群組] 標籤

[伺服器群組] 標籤可讓您指定伺服器至群組中，以利於伺服器的管理。若您具有為數眾多的伺服器，可以使用篩選器而僅顯示特定群組中的伺服器。您也可以將某一伺服器的配置 (例如，索引或快取設定) 複製到群組中的其他所有伺服器。

[設定] 標籤

此標籤會顯示 DSCC 連接埠號，並可讓您建立及刪除目錄服務管理員。

DSCC 線上說明

線上說明提供下列項目：

• 目前所使用之頁面的即時線上說明。

• 使用 DSCC 執行管理與配置程序時的一般說明。

在大部分的頁面中，只要按一下畫面右上角的 [說明] 按鈕，即可存取說明。在精靈中要存取說明時，請按一下 [說明] 標籤。也可以從 [常用工作] 標籤存取線上說明。

目錄伺服器指令行工具

您在 DSCC 上執行的大部分作業皆可使用指令行工具執行。這些工具可讓您直接從指令行管理目錄伺服器，以及使用程序檔管理您的伺服器。

主要的目錄伺服器指令為 dsadm 與 dsconf。您可以使用這些指令執行備份、匯出至 LDIF 以及管理憑證等作業。如需有關這些指令的資訊，請參閱 dsadm(1M) 線上手冊與 dsconf(1M) 線上手冊。

本節包含下列有關目錄伺服器指令行工具的資訊：

• 目錄伺服器指令的位置

• 設定 dsconf 的環境變數

• dsadm 與 dsconf 的比較

• 使用 dsadm 與 dsconf 取得說明

• 使用 dsconf 修改配置特性

• 線上手冊

目錄伺服器指令的位置

目錄伺服器指令行工具位於預設的安裝目錄中：

install-path/ds6/bin

安裝目錄視您的作業系統而定。預設路徑與指令位置中列出了所有作業系統的安裝路徑。

設定 dsconf 的環境變數

dsconf 指令需要可使用環境變數預設的一些選項。在使用指令時若未指定選項，或未設定環境變數，則會使用預設值。您可以配置下列選項的環境變數：

-D user DN

使用者連結 DN。環境變數：LDAP_ADMIN_USER。預設值：cn=Directory Manager。

-w password-file

使用者連結 DN 的密碼檔案。環境變數： LDAP_ADMIN_PWF。預設值：密碼提示。

-h host

主機名稱。環境變數：DIRSERV_HOST。預設值：local host。

-p LDAP-port

LDAP 連接埠號。環境變數：DIRSERV_PORT。預設值：389。

-e, --unsecured

指定 dsconf 預設應開啟一個無障礙連線。環境變數：DIRSERV_UNSECURED。若未設定此變數，dsconf 預設會開啟安全連線。

如需詳細資訊，請參閱 dsconf(1M) 線上手冊。

dsadm 與 dsconf 的比較

下表顯示 dsadm 與 dsconf 指令的比較。

使用 dsadm 與 dsconf 取得說明

如需有關如何使用 dsadm 與 dsconf 指令的完整資訊，請參閱 dsadm(1M) 線上手冊與 dsconf(1M) 線上手冊。

• 若要取得子指令的清單，請鍵入適當的指令：

  $ dsadm --help

  $ dsconf --help

• 若要取得如何使用子指令的相關資訊，請鍵入適當的指令：

  $ dsadm subcommand --help

  $ dsconf subcommand --help

使用 dsconf 修改配置特性

許多 dsconf 子指令可讓您檢視與修改配置特性。

• 若要列出目錄伺服器中所使用的配置特性，請鍵入：

  $ dsconf help-properties

• 若要尋找特定的特性，請搜尋說明特性的輸出。

  例如，若您使用 UNIX® 平台，同時想搜尋所有與參照相關的特性，請使用下列指令。

  $ dsconf help-properties | grep -i referral SER referral-url rw M LDAP_URL | undefined Referrals returned to clients requesting a DN not stored in this Directory Server (Default: undefined) SUF referral-mode rw disabled|enabled|only-on-write Specifies how referrals are used for requests involving the suffix (Default: disabled) SUF referral-url rw M LDAP_URL | undefined Server(s) to which updates are referred (Default: undefined) SUF repl-rewrite-referrals-enabled rw on|off Specifies whether automatic referrals are overwritten (Default: off)

  請注意，特性會依目標物件群組化，例如尾碼 (SUF) 與伺服器 (SER)。rw 關鍵字表示特性為可讀取與可寫入。M 關鍵字表示特性為多重值。

• 若要檢視伺服器屬性，請使用詳細模式。以 UNIX 系統為例，請鍵入：

  $ dsconf help-properties -v | grep -i referral-mode SUF referral-mode rw disabled|enabled|only-on-write nsslapd-state Specifies how referrals are used for requests involving the suffix (Default: disabled)

如需有關個別特性的更多資訊，請參閱該特性的線上手冊。這些線上手冊位於「Sun Java System Directory Server Enterprise Edition 6.2 Man Page Reference」中。

使用 dsconf 設定多重值特性

某些特定的目錄伺服器特性可容納多重值。指定這些值的語法如下：

$ dsconf set-container-prop -h host -p port container-name \
 property:value1 property:value2

例如，若要為伺服器設定多個加密密碼，請使用下列指令：

$ dsconf set-server-prop -h host1 -p 1389 ssl-cipher-family:SSL_RSA_WITH_RC4_128_MD5 \
 ssl-cipher-family:SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA

若要將值增加至已包含值的多重值特性，請使用下列語法：

$ dsconf set-container-prop -h host -p port container-name property+:value

若要從已包含值的多重值特性移除值，請使用下列語法：

$ dsconf set-container-prop -h host -p port container-name property-:value

例如，在前述的方案中，若要將 SHA 加密密碼增加至密碼清單，請執行此指令：

$ dsconf set-server-prop -h host1 -p 1389 \
 ssl-cipher-family+:TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

若要從清單中移除 MD5 密碼，請執行此指令：

$ dsconf set-server-prop -h host1 -p 1389 ssl-cipher-family-:SSL_RSA_WITH_RC4_128_MD5

線上手冊

線上手冊可提供目錄伺服器中所使用之所有指令與屬性的說明。此外，線上手冊也會顯示如何在部署中使用指令的一些實用範例。

舊有工具

因為向下相容性的原因，一般目錄伺服器工具隨附舊有工具。這些工具雖仍存在，但實際上已停用。