使用 Oracle® Solaris 11.2 目录和命名服务:LDAP

退出打印视图

 
更新时间: 2014 年 7 月
 
 

初始化 LDAP 客户机

使用 ldapclient 可以通过以下两种方式之一来初始化 LDAP 客户机:

  • 使用配置文件

    发出 ldapclient 命令时,必须至少指定配置文件和域的服务器地址。如果未指定配置文件,则假定为缺省配置文件。服务器提供了配置文件中除代理和证书数据库信息之外的其余所需信息。

    如果客户机的凭证级别为 proxyproxy anonymous,则必须提供代理的绑定 DN 和口令。有关更多信息,请参见客户机凭证级别。要启用影子数据更新,您必须提供管理员的凭证(adminDNadminPassword)。

    使用配置文件可降低 LDAP 配置的复杂性,尤其是在企业环境中。

  • 在一个命令行中定义所有参数

    不存在任何配置文件。因此,客户机将自己创建配置文件。通过此方法,配置文件信息将存储在高速缓存文件中,服务器永远不会刷新这些信息。

您可以通过使用 ldapclient 命令的不同命令语法来初始化客户机。

  • 通过使用已配置了缺省值的配置文件来初始化客户机。例如:

    # ldapclient init -a profilename=new -a domainname=west.example.com 192.168.0.1
System successfully configured

  • 初始化一个客户机,其配置文件配置为使用每用户凭证和 sasl/GSSAPI 验证方法。

    示例假定当您使用 idsconfig 命令生成 DIT 时,已指定适当的验证方法和凭证级别,例如,凭证级别为 self,验证方法为 sasl/GSSAPI。查看以下 idsconfig 命令的部分输出,其中每用户凭证信息是在服务器上创建的。

    # /usr/lib/ldap/idsconfig
Do you wish to continue with server setup (y/n/h)? [n] y
Enter the Directory Server's hostname to setup: kdc.example.com
Enter the port number for DSEE (h=help): [389] <Enter your port>
Enter the directory manager DN: [cn=Directory Manager] <Enter your DN>
Enter passwd for cn=Directory Manager: <Enter your password>
Enter the domainname to be served (h=help): [example.com] <Enter your domain>
Enter LDAP Base DN (h=help): [dc=example,dc=com] <Enter your DN>
GSSAPI is supported. Do you want to set up gssapi:(y/n) [n] y
Enter Kerberos Realm: [EXAMPLE.COM] EXAMPLE.COM

    配置文件的名称为 gssapi_EXAMPLE.COM。以示例中显示的方式创建配置文件之后,您可以发出 ldapclient 命令,使用每用户配置文件来初始化客户机。

    # ldapclient init -a profilename=gssapi_EXAMPLE.COM -a \
domainname=example.com 9.9.9.50
    注 -  当您初始化配置有每用户凭证的客户机时,必须满足几个要求,如使用 LDAP 所需的 Kerberos 配置和 DNS 服务器配置。有关 Kerberos 的信息,请参见在 Oracle Solaris 11.2 中管理 Kerberos 和其他验证服务 。有关 DNS 配置的信息,请参见使用 Oracle Solaris 11.2 目录和命名服务:DNS 和 NIS 中的第 3  章 管理域名系统。有关验证的信息,请参见Chapter 2, LDAP 和验证服务;有关生成 DIT 的信息,请参见Chapter 3, LDAP 命名服务的规划要求

  • 初始化使用代理凭证的客户机。例如:

    # ldapclient init \
-a proxyDN=cn=proxyagent,ou=profile,dc=west,dc=example,dc=com \
-a domainname=west.example.com \
-a profilename=pit1 \
-a proxypassword=test1234 192.168.0.1

    如果为 proxy 设置了要使用的配置文件,则 –a proxyDN–a proxyPassword 是必需的。由于凭据并不是存储在服务器上保存的配置文件中,因此您必须在初始化客户机时提供该信息。与原先在服务器上存储代理凭证的方法相比,这种方法更安全。

    代理信息存储在 configcred 属性组中的 svc:/network/ldap/client 服务中。

  • 初始化客户机以启用要更新的影子数据。例如:

    # ldapclient init \
-a adminDN=cn=admin,ou=profile,dc=west,dc=example,dc=com \
-a adminPassword=admin-password \
-a domainName=west.example.com \
-a profileName=WestUserProfile \
-a proxyDN=cn=proxyagent,ou=profile,dc=west,dc=example,dc=com \
-a proxyPassword=proxy-password \
-a enableShadowUpdate=TRUE \
192.168.0.1
System successfully configured
版权所有 © 2002, 2014, Oracle 和/或其附属公司。 保留所有权利。 法律声明
上一页
下一页