目錄伺服器含有預設管理使用者、「目錄管理員」與 cn=admin,cn=Administrators,cn=config 使用者。這兩種使用者具有相同的存取權限,但 cn=admin,cn=Administrators,cn=config 須受 ACI 支配。
本節說明如何建立具有超級使用者存取權的管理使用者,以及如何配置「目錄管理員」。
若要建立與 cn=admin,cn=Administrators,cn=config 具有相同權限的新管理使用者,請在 cn=Administrators,cn=config 群組中建立新的使用者。此群組中的所有使用者均須受全域 ACI 支配,該全域 ACI 可允許與「目錄管理員」相同之存取權限。
無法使用 DSCC 執行此作業。請依照此程序中的說明使用指令行。
建立新的管理使用者。
例如,若要建立新的使用者 cn=Admin24,cn=Administrators,cn=config,請鍵入:
$ ldapmodify -h host1 -p 1389 -D cn=admin,cn=Administrators,cn=config -w - dn: cn=admin24,cn=Administrators,cn=config changetype: add objectclass: top objectclass: person userPassword: password description: Administration user with the same access rights as Directory Manager. |
-D 與 -w 選項分別可為有權建立此項目的使用者指定連結 DN 與密碼。
「目錄管理員」是具有特權的伺服器管理員,相當於 UNIX 系統上的 root 使用者。存取控制不適用於「目錄管理員」。
大部分的管理作業均不需用到「目錄管理員」。您可以改用使用者 cn=admin,cn=Administrators,cn=config,或任何您在 cn=Administrators,cn=config 下建立的其他使用者。唯一需要「目錄管理員」的作業,是變更根 ACI 以及複寫的疑難排解作業,例如修復複寫與搜尋標記。
您可以變更目錄管理員 DN 與密碼,以及建立可從中自動讀取密碼的檔案。
無法使用 DSCC 執行此作業。請依照此程序中的說明使用指令行。
尋找現有的目錄管理員 DN。
$ dsconf get-server-prop -h host -p port root-dn root-dn:cn=Directory Manager |
在必要時修改「目錄管理員」設定。
若要修改目錄管理員 DN,請鍵入:
$ dsconf set-server-prop -h host -p port root-pwd-file:new-root-dn-password-file |
若目錄管理員 DN 中有空格,請使用引號。例如:
$ dsconf set-server-prop -h host1 -p 1389 root-dn:"cn=New Directory Manager" |
若要變更目錄管理員密碼,請鍵入:
$ dsconf set-server-prop -h host -p port root-pwd:new-root-dn-password |
若因安全性考量而不以指令行引數的形式傳送純文字密碼,請建立用以設定密碼的暫存檔。
$ echo password > /tmp/pwd.txt |
此檔案只能讀取一次,您必須儲存密碼以供日後使用。設定伺服器根密碼檔案特性。
$ dsconf set-server-prop -h host -p port root-pwd-file:/tmp/pwd.txt |
此指令會提示伺服器讀取密碼檔案。設定密碼檔案特性後,請移除暫存密碼檔案。
$ rm /tmp/pwd.txt |