跳过导航链接 | |
退出打印视图 | |
Oracle Solaris Trusted Extensions 配置指南 Oracle Solaris 10 8/11 Information Library (简体中文) |
3. 将 Trusted Extensions 软件添加到 Solaris OS(任务)
5. 为 Trusted Extensions 配置 LDAP(任务)
在 Trusted Extensions 主机上配置 LDAP 服务器(任务列表)
在 Trusted Extensions 主机上配置 LDAP 代理服务器(任务列表)
在 Trusted Extensions 系统上配置 Sun Java System Directory Server
收集用于 LDAP 的 Directory Server 的信息
安装 Sun Java System Directory Server
为 Directory Server 创建 LDAP 客户机
配置 Sun Java System Directory Server 的日志
为 Sun Java System Directory Server 配置多级别端口
置备 Sun Java System Directory Server
为现有 Sun Java System Directory Server 创建 Trusted Extensions 代理
为 LDAP 配置 Solaris Management Console(任务列表)
向 Solaris Management Console 注册 LDAP 凭证
使 Solaris Management Console 接受网络通信
6. 配置具有 Trusted Extensions 的无显示系统(任务)
Solaris Management Console 是用于管理运行有 Trusted Extensions 的系统网络的 GUI。
|
开始之前
您必须是在运行 Trusted Extensions 的 LDAP 服务器上的 root 用户。服务器可以是代理服务器。
必须配置 Sun Java System Directory Server。您已经完成了以下一种配置:
LDAP-Server # /usr/sadm/bin/dtsetup storeCred Administrator DN:Type the value for cn on your system Password:Type the Directory Manager password Password (confirm):Retype the password
LDAP-Server # /usr/sadm/bin/dtsetup scopes Getting list of manageable scopes... Scope 1 file:Displays name of file scope Scope 2 ldap:Displays name of ldap scope
LDAP 服务器的设置决定了所列出的范围。编辑 LDAP 工具箱之前,LDAP 范围不会列出。注册服务器之后,才可编辑工具箱。
示例 5-1 注册 LDAP 凭证
在本例中,LDAP 服务器的名称为 LDAP1,cn 的值为缺省值 Directory Manager。
# /usr/sadm/bin/dtsetup storeCred Administrator DN:cn=Directory Manager Password:abcde1;! Password (confirm):abcde1;! # /usr/sadm/bin/dtsetup scopes Getting list of manageable scopes... Scope 1 file:/LDAP1/LDAP1 Scope 2 ldap:/LDAP1/cd=LDAP1,dc=example-domain,dc=com
缺省情况下,Solaris 系统未配置为在存在安全风险的端口上进行侦听。因此,您必须显式将您计划远程管理的任何系统配置为接受网络通信。例如,要从客户机管理 LDAP 服务器上的网络数据库,LDAP 服务器上的 Solaris Management Console 服务器必须接受网络通信。
有关包含 LDAP 服务器的网络的 Solaris Management Console 配置要求说明,请参见《Oracle Solaris Trusted Extensions 管理员规程》中的"与 Solaris Management Console 的客户机-服务器通信"。
开始之前
您必须是 Solaris Management Console 服务器系统上的全局区域中的超级用户。在此过程中,该系统称为远程系统。此外,您必须具有作为超级用户通过命令行访问客户机系统的权限。
smc 守护进程是由 wbem 服务控制的。如果 wbem 服务的 options/tcp_listen 属性设置为 true,则 Solaris Management Console 服务器将接受远程连接。
# /usr/sbin/svcprop -p options wbem options/tcp_listen boolean false # svccfg -s wbem setprop options/tcp_listen=true
# svcadm refresh wbem # svcadm restart wbem
# svcprop -p options wbem options/tcp_listen boolean true
# /usr/dt/bin/trusted_edit /etc/smc/smcserver.config
## remote.connections=false remote.connections=true
故障排除
如果重新启动或启用了 wbem 服务,必须确保 smcserver.config 文件中的 remote.connections 参数仍然设置为 true。
开始之前
您必须是 LDAP 服务器上的超级用户。必须向 Solaris Management Console 注册了 LDAP 凭证,且必须了解 /usr/sadm/bin/dtsetup scopes 命令的输出。有关详细信息,请参见向 Solaris Management Console 注册 LDAP 凭证。
# cd /var/sadm/smc/toolboxes/tsol_ldap # ls *tbx tsol_ldap.tbx
例如,以下路径是 LDAP 工具箱的缺省位置:
/var/sadm/smc/toolboxes/tsol_ldap/tsol_ldap.tbx
使用 /usr/sadm/bin/dtsetup scopes 命令中 ldap:/...... 行的输出替换 <Scope> 与 </Scope> 标记之间的 server 标记。
<Scope>ldap:/<ldap-server-name>/<dc=domain,dc=suffix></Scope>
<Name>This Computer (ldap-server-name: Scope=ldap, Policy=TSOL)</Name> services and configuration of ldap-server-name.</Description> and configuring ldap-server-name.</Description> ...
# svcadm refresh wbem # svcadm restart wbem
示例 5-2 配置 LDAP 工具箱
在本例中,LDAP 服务器的名称为 LDAP1。为配置工具箱,管理员将使用 LDAP1 替换 <?server ?> 的实例。
# cd /var/sadm/smc/toolboxes/tsol_ldap # /usr/dt/bin/trusted_edit /tsol_ldap.tbx <Scope>ldap:/LDAP1/cd=LDAP1,dc=example-domain,dc=com</Scope ... <Name>This Computer (LDAP1: Scope=ldap, Policy=TSOL)</Name> services and configuration of LDAP1.</Description> and configuring LDAP1.</Description> ...
有关包含 LDAP 服务器的网络以及未包含 LDAP 服务器的网络的 Solaris Management Console 配置要求说明,请参见《Oracle Solaris Trusted Extensions 管理员规程》中的"与 Solaris Management Console 的客户机-服务器通信"。
开始之前
您必须以管理性角色或超级用户身份登录 LDAP 客户机。要使系统成为 LDAP 客户机,请参见使全局区域成为 Trusted Extensions 中的客户机。
要管理本地系统,您必须已经完成在 Trusted Extensions 中初始化 Solaris Management Console 服务器。
要从本地系统连接至远程系统上的 Console 服务器,您必须已经在这两个系统上完成在 Trusted Extensions 中初始化 Solaris Management Console 服务器。此外,在远程系统上,您必须已经完成使 Solaris Management Console 接受网络通信。
要从 LDAP 客户机管理 LDAP 命名服务中的数据库,除了前面的过程之外,在 LDAP 服务器上您必须已经完成在 Solaris Management Console 中编辑 LDAP 工具箱。
# /usr/sbin/smc &
Trusted Extensions 工具箱具有值 Policy=TSOL。
This Computer (this-host: Scope=Files, Policy=TSOL)
This Computer (ldap-server: Scope=Files, Policy=TSOL)
This Computer (ldap-server: Scope=LDAP, Policy=TSOL)
This Computer (this-host: Scope=Files, Policy=TSOL)
This Computer (remote-system: Scope=Files, Policy=TSOL)
注 - 当您尝试从不是 LDAP 服务器的系统访问网络数据库信息时,该操作将失败。通过控制台,您可以登录到远程主机并打开工具箱。不过,当您尝试访问或更改信息时,以下错误消息指出您在不是 LDAP 服务器的系统上选择了 Scope=LDAP。
Management server cannot perform the operation requested. ... Error extracting the value-from-tool. The keys received from the client were machine, domain, Scope. Problem with Scope.
故障排除
要排除 LDAP 配置故障,请参见《系统管理指南:命名和目录服务(DNS、NIS 和 LDAP)》中的第 13 章 "LDAP 疑难解答(参考)"。