test

Sun Identity Manager 8.1 业务管理员指南

Procedure配置目录类型数据存储库

可以使用以下步骤配置目录类型数据存储库。

  1. 从“数据存储库类型”菜单中选择“目录”。将显示其他选项。

    图 5–16 “数据存储库配置”页:目录

    该图显示了目录类型的示例“数据存储库配置”页

  2. 您必须为目录类型数据存储库指定连接和验证信息。

    请配置以下选项:

    • 主机。输入运行 LDAP 服务器的主机的 IP 地址或名称。

    • TCP 端口。输入用于与 LDAP 服务器通信的 TCP/IP 端口。

      • 如果使用的是 SSL,该端口通常为 636。

      • 如果使用的不是 SSL,该端口通常为 389。

    • SSL。选中此选项可使用 SSL 连接到 LDAP 服务器。

    • 故障转移服务器。列出首选服务器发生故障时所使用的所有故障转移服务器。请使用以下格式(遵循 RFC 2255 中介绍的标准 LDAP 版本 3 URL)输入该信息:


      ldap://ldap.example.com:389/o=LdapFailover

      只有 URL 的主机、端口和标识名 (distinguished name, DN) 部分在此设置中是相关的。

      如果首选服务器发生故障,JNDI 将自动连接到此列表中的下一个服务器。

    • 用户 DN。输入在更新时用于进行 LDAP 服务器验证的 DN。(默认为 cn=Directory Manager

    • 密码。输入主体的密码。

    • 基本上下文。指定在 LDAP 树中搜索用户时 Identity Manager 可以使用的一个或多个起始点。(默认为 dc=MYDOMAIN,dc=com

      在尝试从 LDAP 服务器中查找用户或查找用户所属的组时,Identity Manager 将执行搜索。

    • 对象类。输入在 LDAP 树中创建新用户对象时使用的一个或多个对象类。(默认为 top)

      每个条目必须位于单独一行中。不要使用逗号或空格分隔条目。

      某些 LDAP 服务器要求您指定类分层结构中的所有对象类。例如,您可能需要指定 toppersonorganizationalpersoninetorgperson,而不是只使用 inetorgperson

    • 用于检索帐户的 LDAP 过滤器。输入 LDAP 过滤器以控制从 LDAP 资源返回的帐户。如果未指定过滤器,Identity Manager 将返回包含所有指定对象类的所有帐户。

    • 在搜索过滤器中包括所有对象类。选中此框可要求所有帐户都包含每个指定的对象类,并且与“用于检索帐户的 LDAP 过滤器”字段中指定的过滤器相匹配。

      注 –

      如果未指定任何搜索过滤器,则必须启用此选项。如果禁用此选项,可通过使用“协调”或“从资源加载”功能将不包含所有指定对象类的帐户加载到 Identity Manager 中。

      在加载后,不会自动更新帐户的 objectclass 属性。如果通过管理员界面公开缺少对象类的属性,将无法在不修改 objectclass 属性的情况下提供此属性的值。要避免此问题,请覆盖“协调”或“从资源加载”表单中的 objectclass 值。

    • 用户名属性。输入 LDAP 属性的名称,从目录中搜索用户时,该名称会映射到 Identity Manager 用户名称。该名称通常为 uidcn

    • 显示名称属性。输入资源帐户属性名称,其值将在显示此帐户名称时使用。

    • VLV 排序属性。输入用于资源上 VLV 索引的排序属性的名称。

    • 使用块。选中此框可采用分块方式检索并处理用户。

      在对大量用户执行操作时,采用分块方式处理用户可减少该操作使用的内存量。

    • 块计数。输入可组合到块中以进行处理的最大用户数目。

    • 组成员属性。输入在组中添加用户时使用用户标识名 (Distinguished Name, DN) 更新的组成员属性名称。

      属性名称取决于组的对象类。例如,Sun JavaTM System Enterprise Edition Directory Server 和一些 LDAP 服务器使用包含 groupOfUniqueNames 对象类和 uniqueMember 属性的组。其他 LDAP 服务器使用包含 groupOfUniqueNames 对象类和 member 属性的组。

    • 密码散列算法。输入 Identity Manager 可用于散列密码的算法。支持的值包括:

      • SSHA

      • SHA

      • SMD5

      • MD5

      如果指定 0 或将此字段保留空白,Identity Manager 将不散列密码,并在 LDAP 中存储明文密码,除非 LDAP 服务器执行散列。例如,Sun Java System Enterprise Edition Directory Server 散列密码。

    • 更改命名属性。选中此框可允许修改操作更改代表最左侧相关标识名 (distinguished name, DN) 的用户属性。修改通常会将命名属性更改为 uidcn

    • LDAP 激活方法

      • 如果希望资源使用密码分配执行启用或禁用操作,则将此字段保留空白。

      • 输入对此资源的用户执行激活操作时使用的 nsmanageddisabledrole 关键字、nsaccountlock 关键字或类名。

    • LDAP 激活参数。根据在“LDAP 激活方法”字段中填写的内容,输入一个值:

      • 如果指定 nsmanageddisabledrole 关键字,则必须使用以下格式输入一个值:


        IDMAttribute=CN=nsmanageddisabledrole,baseContext

      • 如果指定 nsaccountlock 关键字,则必须使用以下格式输入一个值:


        IDMAttribute=true

      • 如果指定类名,则必须使用以下格式输入一个值:


        IDMAttribute
      注 –

      有关“LDAP 激活方法”和“LDAP 激活参数”的详细信息,请参见《Sun Identity Manager 8.1 Resources Reference》

    • 使用分页结果控制。选中此框可使用 LDAP 分页结果控制在协调期间迭代处理帐户,而不是使用 VLV 控制。

      注 –

      资源必须支持简单分页控制。

    • 保留 LDAP 组成员资格。选中此框可在重命名或删除用户时让适配器保留 LDAP 组成员资格。

      如果未启用此选项,则 LDAP 资源保留组成员资格。

  3. 单击“测试连接”按钮以测试数据存储库连接配置。

    将显示一条消息,以确认连接成功或报告配置错误。

  4. 完成后,单击“保存”,然后单击“下一步”以转至“置备程序通知配置”页。

    注 –

    您必须先设置有效的帐户属性和身份模板,然后才能在 LDAP 资源上创建用户。