为 LDAP 配置 Solaris Management Console（任务列表）

Solaris Management Console 是用于管理运行有 Trusted Extensions 的系统网络的 GUI。

任务	说明	参考
初始化 Solaris Management Console。	初始化 Solaris Management Console。在全局区域中，为每个系统执行一次此过程。	在 Trusted Extensions 中初始化 Solaris Management Console 服务器
注册凭证。	向 LDAP 服务器验证 Solaris Management Console。	向 Solaris Management Console 注册 LDAP 凭证
在系统上启用远程管理。	缺省情况下，Solaris Management Console 客户机无法与其他系统上的 Console 服务器进行通信。您必须显式启用远程管理。	使 Solaris Management Console 接受网络通信
创建 LDAP 工具箱。	在 Solaris Management Console for Trusted Extensions 中创建 LDAP 工具箱。	在 Solaris Management Console 中编辑 LDAP 工具箱
验证通信。	验证 Trusted Extensions 主机是否可成为 LDAP 客户机。	验证 Solaris Management Console 是否包含 Trusted Extensions 信息

向 Solaris Management Console 注册 LDAP 凭证

开始之前

您必须是在运行 Trusted Extensions 的 LDAP 服务器上的 root 用户。服务器可以是代理服务器。

必须配置 Sun Java System Directory Server。您已经完成了以下一种配置：

注册 LDAP 管理凭证。

LDAP-Server # /usr/sadm/bin/dtsetup storeCred
Administrator DN:Type the value for cn on your system
Password:Type the Directory Manager password
Password (confirm):Retype the password

在 Directory Server 上列出范围。
```
LDAP-Server # /usr/sadm/bin/dtsetup scopes
Getting list of manageable scopes...
Scope 1 file:Displays name of file scope
Scope 2 ldap:Displays name of ldap scope
```
LDAP 服务器的设置决定了所列出的范围。编辑 LDAP 工具箱之前，LDAP 范围不会列出。注册服务器之后，才可编辑工具箱。

示例 5-1 注册 LDAP 凭证

在本例中，LDAP 服务器的名称为 LDAP1，cn 的值为缺省值 Directory Manager。

# /usr/sadm/bin/dtsetup storeCred
Administrator DN:cn=Directory Manager
Password:abcde1;!
Password (confirm):abcde1;!
# /usr/sadm/bin/dtsetup scopes
Getting list of manageable scopes...
Scope 1 file:/LDAP1/LDAP1
Scope 2 ldap:/LDAP1/cd=LDAP1,dc=example-domain,dc=com

使 Solaris Management Console 接受网络通信

缺省情况下，Solaris 系统未配置为在存在安全风险的端口上进行侦听。因此，您必须显式将您计划远程管理的任何系统配置为接受网络通信。例如，要从客户机管理 LDAP 服务器上的网络数据库，LDAP 服务器上的 Solaris Management Console 服务器必须接受网络通信。

有关包含 LDAP 服务器的网络的 Solaris Management Console 配置要求说明，请参见《Oracle Solaris Trusted Extensions 管理员规程》中的"与 Solaris Management Console 的客户机-服务器通信"。

开始之前

您必须是 Solaris Management Console 服务器系统上的全局区域中的超级用户。在此过程中，该系统称为远程系统。此外，您必须具有作为超级用户通过命令行访问客户机系统的权限。

在远程系统上，使系统接受远程连接。
smc 守护进程是由 wbem 服务控制的。如果 wbem 服务的 options/tcp_listen 属性设置为 true，则 Solaris Management Console 服务器将接受远程连接。
```
# /usr/sbin/svcprop -p options wbem
options/tcp_listen boolean false
# svccfg -s wbem setprop options/tcp_listen=true
```

刷新并重新启动 wbem 服务。

# svcadm refresh wbem
# svcadm restart wbem

验证 wbem 服务是否设置为接受远程连接。

# svcprop -p options wbem
options/tcp_listen boolean true

在远程系统以及需要访问 Solaris Management Console 的任何客户机上，确保在 smcserver.config 文件中启用了远程连接。
1. 在可信编辑器中，打开 smcserver.config 文件。
```
# /usr/dt/bin/trusted_edit /etc/smc/smcserver.config
```
2. 将 remote.connections 参数设置为 true。
```
## remote.connections=false
remote.connections=true
```
3. 保存文件后退出可信编辑器。

故障排除

如果重新启动或启用了 wbem 服务，必须确保 smcserver.config 文件中的 remote.connections 参数仍然设置为 true。

在 Solaris Management Console 中编辑 LDAP 工具箱

开始之前

您必须是 LDAP 服务器上的超级用户。必须向 Solaris Management Console 注册了 LDAP 凭证，且必须了解 /usr/sadm/bin/dtsetup scopes 命令的输出。有关详细信息，请参见向 Solaris Management Console 注册 LDAP 凭证。

找到 LDAP 工具箱。

# cd /var/sadm/smc/toolboxes/tsol_ldap
# ls *tbx
tsol_ldap.tbx

提供 LDAP 服务器名称。
1. 打开可信编辑器。
2. 将 tsol_ldap.tbx 工具箱的完整路径名作为参数复制并粘贴到编辑器中。
  例如，以下路径是 LDAP 工具箱的缺省位置：
```
/var/sadm/smc/toolboxes/tsol_ldap/tsol_ldap.tbx
```
3. 替换范围信息。
  使用 /usr/sadm/bin/dtsetup scopes 命令中 ldap:/...... 行的输出替换 <Scope> 与 </Scope> 标记之间的 server 标记。
```
<Scope>ldap:/<ldap-server-name>/<dc=domain,dc=suffix></Scope>
```
4. 使用 LDAP 服务器替换 <?server?> 或 <?server ?> 的每个实例。
```
<Name>This Computer (ldap-server-name: Scope=ldap, Policy=TSOL)</Name>
services and configuration of ldap-server-name.</Description>
and configuring ldap-server-name.</Description>
...
```
5. 保存文件后退出编辑器。

刷新并重新启动 wbem 服务。

# svcadm refresh wbem
# svcadm restart wbem

示例 5-2 配置 LDAP 工具箱

在本例中，LDAP 服务器的名称为 LDAP1。为配置工具箱，管理员将使用 LDAP1 替换 <?server ?> 的实例。

# cd /var/sadm/smc/toolboxes/tsol_ldap
# /usr/dt/bin/trusted_edit /tsol_ldap.tbx
<Scope>ldap:/LDAP1/cd=LDAP1,dc=example-domain,dc=com</Scope

...
<Name>This Computer (LDAP1: Scope=ldap, Policy=TSOL)</Name>
services and configuration of LDAP1.</Description>
and configuring LDAP1.</Description>
...

验证 Solaris Management Console 是否包含 Trusted Extensions 信息

有关包含 LDAP 服务器的网络以及未包含 LDAP 服务器的网络的 Solaris Management Console 配置要求说明，请参见《Oracle Solaris Trusted Extensions 管理员规程》中的"与 Solaris Management Console 的客户机-服务器通信"。

开始之前

您必须以管理性角色或超级用户身份登录 LDAP 客户机。要使系统成为 LDAP 客户机，请参见使全局区域成为 Trusted Extensions 中的客户机。

要管理本地系统，您必须已经完成在 Trusted Extensions 中初始化 Solaris Management Console 服务器。

要从本地系统连接至远程系统上的 Console 服务器，您必须已经在这两个系统上完成在 Trusted Extensions 中初始化 Solaris Management Console 服务器。此外，在远程系统上，您必须已经完成使 Solaris Management Console 接受网络通信。

要从 LDAP 客户机管理 LDAP 命名服务中的数据库，除了前面的过程之外，在 LDAP 服务器上您必须已经完成在 Solaris Management Console 中编辑 LDAP 工具箱。

启动 Solaris Management Console。
```
# /usr/sbin/smc &
```
打开 Trusted Extensions 工具箱。
Trusted Extensions 工具箱具有值 Policy=TSOL。
- 在使用 LDAP 作为命名服务的可信网络中，执行以下测试：
  1. 要检查是否可访问本地管理数据库，请打开以下工具箱：
```
This Computer (this-host: Scope=Files, Policy=TSOL)
```
  2. 要检查是否可访问 LDAP 服务器的本地管理数据库，请指定以下工具箱：
```
This Computer (ldap-server: Scope=Files, Policy=TSOL)
```
  3. 要检查是否可访问 LDAP 服务器上的命名服务数据库，请指定以下工具箱：
```
This Computer (ldap-server: Scope=LDAP, Policy=TSOL)
```
- 在不使用 LDAP 作为命名服务的可信网络中，执行以下测试：
  1. 要检查是否可访问本地管理数据库，请打开以下工具箱：
```
This Computer (this-host: Scope=Files, Policy=TSOL)
```
  2. 要检查是否可访问远程系统的本地管理数据库，请指定以下工具箱：
```
This Computer (remote-system: Scope=Files, Policy=TSOL)
```
在 "System Configuration"（系统配置）下，依次导航至 "Computers and Networks"（计算机和网络）、"Security Templates"（安全模板）。
检查是否为远程系统应用了正确的模板和标签。
注 - 当您尝试从不是 LDAP 服务器的系统访问网络数据库信息时，该操作将失败。通过控制台，您可以登录到远程主机并打开工具箱。不过，当您尝试访问或更改信息时，以下错误消息指出您在不是 LDAP 服务器的系统上选择了 Scope=LDAP。
```
Management server cannot perform the operation requested.
...
Error extracting the value-from-tool.
The keys received from the client were machine, domain, Scope.
Problem with Scope.
```

故障排除

要排除 LDAP 配置故障，请参见《系统管理指南：命名和目录服务（DNS、NIS 和 LDAP）》中的第 13 章 "LDAP 疑难解答（参考）"。

跳过导航链接
退出打印视图
	Oracle Solaris Trusted Extensions 配置指南 Oracle Solaris 10 8/11 Information Library (简体中文)