이 장에서는 디렉토리 프록시 서버 인스턴스를 관리하는 방법에 대해 설명합니다. 이 장은 다음 내용으로 구성되어 있습니다.
디렉토리 프록시 서버의 인스턴스를 만들 경우 인스턴스에 필요한 파일과 디렉토리가 지정된 경로에 만들어집니다.
DSCC를 사용하여 이 작업을 수행할 수 있습니다. 자세한 내용은 디렉토리 서비스 제어 센터 인터페이스 및 DSCC 온라인 도움말을 참조하십시오.
DSCC를 사용하여 새 서버 인스턴스를 만들 경우 기존 서버에서 서버 구성 설정 중 일부 또는 모두를 복사하도록 선택할 수 있습니다.
디렉토리 프록시 서버 인스턴스를 만듭니다.
$ dpadm create -p port instance-path |
예를 들어 /local/dps 디렉토리에서 새 인스턴스를 만들려면 다음 명령을 사용합니다.
$ dpadm create -p 2389 /local/dps |
인스턴스의 다른 매개 변수를 지정하려면 dpadm(1M) 설명서 페이지를 참조하십시오.
필요한 경우 비밀번호를 입력합니다.
인스턴스의 상태를 확인하여 인스턴스가 만들어졌는지 확인합니다.
$ dpadm info instance-path |
(옵션) Sun JavaTM Enterprise System 설치 프로그램이나 기본 패키지 설치를 사용하여 디렉토리 프록시 서버를 설치했으며 OS에서 서비스 관리 솔루션을 제공할 경우 다음 표와 같이 서버를 서비스로 관리하도록 활성화할 수 있습니다.
운영 체제 |
명령 |
---|---|
Solaris 10 |
dpadm enable-service --type SMF instance-path |
Solaris 9 |
dpadm autostart instance-path |
Linux, HP-UX |
dpadm autostart instance-path |
Windows |
dpadm enable-service --type WIN_SERVICE instance-path |
(옵션) 다음 방법 중 하나를 사용하여 서버 인스턴스를 등록합니다.
URL https://localhost:6789를 통해 DSCC에 액세스하고 브라우저 인터페이스에 로그인합니다.
dsccreg add-server 명령을 사용합니다.
자세한 내용은 dsccreg(1M) 설명서 페이지를 참조하십시오.
DSCC를 사용하여 이 작업을 수행할 수 있습니다. 자세한 내용은 디렉토리 서비스 제어 센터 인터페이스 및 DSCC 온라인 도움말을 참조하십시오.
DSCC를 사용하여 이 작업을 수행할 수 있습니다. 자세한 내용은 디렉토리 서비스 제어 센터 인터페이스 및 DSCC 온라인 도움말을 참조하십시오.
구성 변경을 적용하려면 서버를 다시 시작해야 하는 경우가 있습니다. 이 절차를 사용하여 구성을 변경한 후에 디렉토리 프록시 서버 인스턴스를 다시 시작해야 하는지 여부를 확인합니다.
서버를 다시 시작해야 하는지 여부를 확인합니다.
$ dpconf get-server-prop -h host -p port is-restart-required |
이 명령에서 true를 반환할 경우 디렉토리 프록시 서버 인스턴스를 다시 시작해야 합니다.
이 명령에서 false를 반환할 경우 디렉토리 프록시 서버 인스턴스를 다시 시작할 필요가 없습니다.
DSCC를 사용하여 이 작업을 수행할 수 있습니다. 자세한 내용은 디렉토리 서비스 제어 센터 인터페이스 및 DSCC 온라인 도움말을 참조하십시오.
$ dpadm restart instance-path |
예를 들어 /local/dps에서 인스턴스를 다시 시작하려면 다음 명령을 사용합니다.
$ dpadm restart /local/dps |
DSCC를 사용하여 이 작업을 수행할 수 있습니다. 자세한 내용은 디렉토리 서비스 제어 센터 인터페이스 및 DSCC 온라인 도움말을 참조하십시오.
$ dpadm stop instance-path |
인스턴스를 중지하지 않으면 삭제 명령은 인스턴스를 자동으로 중지합니다. 그러나 서비스 관리 솔루션에서 인스턴스를 활성화한 경우 수동으로 중지해야 합니다.
(옵션) 이전에 DSCC를 사용하여 서버를 관리했다면 명령줄을 사용하여 서버를 등록 취소합니다.
$ dsccreg remove-server /local/dps Enter DSCC administrator's password: /local/dps is an instance of DPS Enter password of "cn=Proxy Manager" for /local/dps: Unregistering /local/dps from DSCC on localhost. Connecting to /local/dps Disabling DSCC access to /local/dps |
자세한 내용은 dsccreg(1M) 설명서 페이지를 참조하십시오.
(옵션) 이전에 서비스 관리 솔루션에서 서버 인스턴스를 활성화한 경우 서버를 서비스로 관리하지 않도록 비활성화합니다.
운영 체제 |
명령 |
---|---|
Solaris 10 |
dpadm disable-service --type SMF instance-path |
Solaris 9 |
dpadm autostart --off instance-path |
Linux, HP-UX |
dpadm autostart --off instance-path |
Windows |
dpadm disable-service --type WIN_SERVICE instance-path |
$ dpadm delete instance-path |
이 절에서는 디렉토리 프록시 서버 인스턴스를 구성하는 방법에 대해 설명합니다. 이 절의 절차에서는 dpadm 및 dpconf 명령을 사용합니다. 이러한 명령에 대한 자세한 내용은 dpadm(1M) 및 dpconf(1M) 설명서 페이지를 참조하십시오.
$ dpconf info Instance Path : instance path Host Name : host Secure listen address : IP address Port : port Secure port : secure port SSL server certificate : defaultServerCert Directory Proxy Server needs to be restarted. |
dpconf info에는 해당 등록 정보가 기본값이 아닌 값으로 설정된 경우에만 Secure listen address 및 Non-secure listen address가 표시됩니다. 위 출력에는 이 등록 정보가 기본값 이외의 값으로 설정되지 않았으므로 Non-secure listen address가 표시되지 않습니다.
또한 dpconf info는 다시 시작해야 할 경우 인스턴스를 다시 시작하도록 사용자에게 알립니다.
dpadm info를 사용하여 디렉토리 프록시 서버 인스턴스 구성 정보를 표시할 수도 있습니다.
이 절에서는 디렉토리 프록시 서버의 구성을 수정하는 방법에 대해 설명합니다.
DSCC를 사용하여 이 작업을 수행할 수 있습니다. 자세한 내용은 디렉토리 서비스 제어 센터 인터페이스 및 DSCC 온라인 도움말을 참조하십시오.
디렉토리 프록시 서버의 현재 구성을 찾습니다.
$ dpconf get-server-prop -h host -p port |
allow-cert-based-auth : allow allow-ldapv2-clients : true allow-persistent-searches : false allow-sasl-external-authentication : true allow-unauthenticated-operations : true allowed-ldap-controls : - cert-data-view-routing-custom-list : none cert-data-view-routing-policy : all-routable cert-search-attr-mappings : none cert-search-base-dn : none cert-search-bind-dn : none cert-search-bind-pwd : none cert-search-user-attr : userCertificate configuration-manager-bind-dn : cn=proxy manager configuration-manager-bind-pwd : {3DES}RPdIFbvoWdvhLR8lU43zCMZyKFGPxfFg connection-pool-wait-timeout : 3s data-source-read-timeout : 20s data-view-automatic-routing-mode : automatic email-alerts-enabled : false email-alerts-message-from-address : local email-alerts-message-subject : Proxy Server Administrative Alert email-alerts-message-subject-includes-alert-code : false email-alerts-message-to-address : root@localhost email-alerts-smtp-host : localhost email-alerts-smtp-port : smtp enable-remote-user-mapping : false enable-user-mapping : false enabled-admin-alerts : none enabled-ssl-cipher-suites : JRE enabled-ssl-protocols : SSLv3 enabled-ssl-protocols : TLSv1 encrypt-configuration : true extension-jar-file-url : none is-restart-required : false number-of-search-threads : 20 number-of-worker-threads : 50 proxied-auth-check-timeout : 30m remote-user-mapping-bind-dn-attr : none scriptable-alerts-command : echo scriptable-alerts-enabled : false search-mode : parallel search-wait-timeout : 10s ssl-client-cert-alias : none ssl-server-cert-alias : defaultServerCert supported-ssl-cipher-suites : SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA supported-ssl-cipher-suites : SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA supported-ssl-cipher-suites : SSL_DHE_DSS_WITH_DES_CBC_SHA supported-ssl-cipher-suites : SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA supported-ssl-cipher-suites : SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA supported-ssl-cipher-suites : SSL_DHE_RSA_WITH_DES_CBC_SHA supported-ssl-cipher-suites : SSL_DH_anon_EXPORT_WITH_DES40_CBC_SHA supported-ssl-cipher-suites : SSL_DH_anon_EXPORT_WITH_RC4_40_MD5 supported-ssl-cipher-suites : SSL_DH_anon_WITH_3DES_EDE_CBC_SHA supported-ssl-cipher-suites : SSL_DH_anon_WITH_DES_CBC_SHA supported-ssl-cipher-suites : SSL_DH_anon_WITH_RC4_128_MD5 supported-ssl-cipher-suites : SSL_RSA_EXPORT_WITH_DES40_CBC_SHA supported-ssl-cipher-suites : SSL_RSA_EXPORT_WITH_RC4_40_MD5 supported-ssl-cipher-suites : SSL_RSA_WITH_3DES_EDE_CBC_SHA supported-ssl-cipher-suites : SSL_RSA_WITH_DES_CBC_SHA supported-ssl-cipher-suites : SSL_RSA_WITH_NULL_MD5 supported-ssl-cipher-suites : SSL_RSA_WITH_NULL_SHA supported-ssl-cipher-suites : SSL_RSA_WITH_RC4_128_MD5 supported-ssl-cipher-suites : SSL_RSA_WITH_RC4_128_SHA supported-ssl-cipher-suites : TLS_DHE_DSS_WITH_AES_128_CBC_SHA supported-ssl-cipher-suites : TLS_DHE_RSA_WITH_AES_128_CBC_SHA supported-ssl-cipher-suites : TLS_DH_anon_WITH_AES_128_CBC_SHA supported-ssl-cipher-suites : TLS_KRB5_EXPORT_WITH_DES_CBC_40_MD5 supported-ssl-cipher-suites : TLS_KRB5_EXPORT_WITH_DES_CBC_40_SHA supported-ssl-cipher-suites : TLS_KRB5_EXPORT_WITH_RC4_40_MD5 supported-ssl-cipher-suites : TLS_KRB5_EXPORT_WITH_RC4_40_SHA supported-ssl-cipher-suites : TLS_KRB5_WITH_3DES_EDE_CBC_MD5 supported-ssl-cipher-suites : TLS_KRB5_WITH_3DES_EDE_CBC_SHA supported-ssl-cipher-suites : TLS_KRB5_WITH_DES_CBC_MD5 supported-ssl-cipher-suites : TLS_KRB5_WITH_DES_CBC_SHA supported-ssl-cipher-suites : TLS_KRB5_WITH_RC4_128_MD5 supported-ssl-cipher-suites : TLS_KRB5_WITH_RC4_128_SHA supported-ssl-cipher-suites : TLS_RSA_WITH_AES_128_CBC_SHA supported-ssl-protocols : SSLv2Hello supported-ssl-protocols : SSLv3 supported-ssl-protocols : TLSv1 syslog-alerts-enabled : false syslog-alerts-facility : USER syslog-alerts-host : localhost use-cert-subject-as-bind-dn : true use-external-schema : false user-mapping-anonymous-bind-dn : none user-mapping-anonymous-bind-pwd : none user-mapping-default-bind-dn : none user-mapping-default-bind-pwd : none verify-certs : false |
또는 하나 이상의 구성 등록 정보에 대해 현재 설정을 봅니다.
$ dpconf get-server-prop -h host -p port property-name ... |
예를 들어 다음 명령을 실행하여 인증되지 않은 작업이 허용되는지 확인합니다.
$ dpconf get-server-prop -h host -p port allow-unauthenticated-operations allow-unauthenticated-operations : true |
$ dpconf set-server-prop -h host -p port property:value ... |
예를 들어 다음 명령을 실행하여 인증되지 않은 작업을 허용하지 않습니다.
$ dpconf set-server-prop -h host -p port allow-unauthenticated-operations:false |
잘못된 변경을 수행할 경우 해당 변경 사항은 적용되지 않습니다. 예를 들어 allow-unauthenticated-operations 매개 변수를 false 대신에 f로 설정할 경우 다음 오류가 발생합니다.
$ dpconf set-server-prop -h host -p port allow-unauthenticated-operations:f The value "f" is not a valid value for the property "allow-unauthenticated-operations". Allowed property values: BOOLEAN The "set-server-prop" operation failed. |
필요한 경우 디렉토리 프록시 서버 인스턴스를 다시 시작하여 변경 사항을 적용합니다.
디렉토리 프록시 서버를 다시 시작하는 방법에 대한 자세한 내용은 디렉토리 프록시 서버를 다시 시작하는 방법을 참조하십시오.
프록시 관리자는 권한을 가진 관리자, UNIX® 시스템의 루트 사용자와 유사합니다. 프록시 관리자 항목은 디렉토리 프록시 서버 인스턴스가 만들어질 때 정의됩니다. 프록시 관리자의 기본 DN은 cn=Proxy Manager입니다.
다음 절차에 표시된 것처럼 프록시 관리자 DN 및 비밀번호를 보고 변경할 수 있습니다.
DSCC를 사용하여 이 작업을 수행할 수 있습니다. 자세한 내용은 디렉토리 서비스 제어 센터 인터페이스 및 DSCC 온라인 도움말을 참조하십시오.
프록시 관리자의 구성을 찾습니다.
$ dpconf get-server-prop -h host -p port configuration-manager-bind-dn configuration-manager-bind-pwd configuration-manager-bind-dn : cn=proxy manager configuration-manager-bind-pwd : {3DES}U77v39WX8MDpcWVrueetB0lfJlBc6/5n |
프록시 관리자의 기본값은 cn=proxy manager입니다. 구성 관리자 비밀번호에 해시된 값이 반환됩니다.
프록시 관리자의 DN을 변경합니다.
$ dpconf set-server-prop -h host -p port configuration-manager-bind-dn:bindDN |
프록시 관리자의 비밀번호를 포함하는 파일을 만들고 해당 파일을 가리키는 등록 정보를 설정합니다.
$ dpconf set-server-prop -h host -p port configuration-manager-bind-pwd-file:filename |
디렉토리 프록시 서버 및 해당 엔티티에 대한 구성 변경 사항은 대부분 온라인으로 수행할 수 있습니다. 특정 변경 사항의 경우 변경 사항을 적용하려면 서버를 다시 시작해야 합니다. 다음 목록의 등록 정보에 대한 구성 변경 사항을 수행한 경우 서버를 다시 시작해야 합니다.
aci-data-view bind-dn client-cred-mode custom-distribution-algorithm db-name db-pwd db-url db-user distribution-algorithm ldap-address ldap-port ldaps-port listen-address listen-port load-balancing-algorithm num-bind-init num-read-init num-write-init number-of-search-threads number-of-threads number-of-worker-threads ssl-policy use-external-schema
등록 정보의 rws 및 rwd 키워드는 등록 정보를 변경한 경우 서버를 다시 시작해야 하는지 여부를 나타냅니다.
등록 정보에 rws(read, write, static) 키워드가 있는 경우 등록 정보를 변경할 때 서버를 다시 시작해야 합니다.
등록 정보에 rwd(read, write, dynamic) 키워드가 있는 경우 서버를 다시 시작하지 않아도 등록 정보의 수정 사항이 동적으로 구현됩니다.
등록 정보를 변경한 경우 서버를 다시 시작해야 하는지 확인하려면 다음 명령을 실행합니다.
$ dpconf help-properties | grep property-name
예를 들어 LDAP 데이터 소스의 바인드 DN을 변경한 경우 서버를 다시 시작해야 하는지 확인하려면 다음 명령을 실행합니다.
$ dpconf help-properties | grep bind-dn connection-handler bind-dn-filters rwd STRING | any This property specifies a set of regular expressions. The bind DN of a client must match at least one regular expression in order for the connection to be accepted by the connection handler. (Default: any) ldap-data-source bind-dn rws DN | "" This property specifies the DN to use when binding to the LDAP data source. (Default: undefined)
구성을 변경한 후에 서버를 다시 시작해야 하는지 확인하려면 다음 명령을 실행합니다.
$ dpconf get-server-prop -h host -p port is-restart-required
dpadm을 사용하여 디렉토리 프록시 서버를 백업할 경우 구성 파일과 서버 인증서가 백업됩니다. 디렉토리 프록시 서버 가상 ACI를 구현한 경우 ACI도 백업됩니다.
디렉토리 프록시 서버는 서버가 성공적으로 시작될 때마다 conf.ldif 파일을 자동으로 백업합니다.
DSCC를 사용하여 이 작업을 수행할 수 있습니다. 자세한 내용은 디렉토리 서비스 제어 센터 인터페이스 및 DSCC 온라인 도움말을 참조하십시오.
디렉토리 프록시 서버 인스턴스를 중지합니다.
$ dpadm stop instance-path |
디렉토리 프록시 서버 인스턴스를 백업합니다.
$ dpadm backup instance-path archive-dir |
archive-dir 디렉토리는 backup 명령으로 만들어지며 이 명령을 실행하기 전에 존재하지 않아야 합니다. 이 디렉토리에는 각 구성 파일과 인증서의 백업이 포함됩니다.
DSCC를 사용하여 이 작업을 수행할 수 있습니다. 자세한 내용은 디렉토리 서비스 제어 센터 인터페이스 및 DSCC 온라인 도움말을 참조하십시오.
복원 작업을 시작하기 전에 디렉토리 프록시 서버 인스턴스를 만들어야 합니다.