如果在客户机上 enableShadowUpdate 开关设置为 true,则将使用管理员凭证来更新影子数据。阴影数据存储在目录服务器上的 shadowAccount 对象类中。管理员凭证是由 adminDN 和 adminPassword 属性的值定义的,如定义本地客户机属性中所述。
管理员凭证具有与 proxy 凭证类似的属性。但是,对于管理员凭证,用户必须具有区域的所有特权或者有效的 root UID,才能读取或更新影子数据。
注意 - 管理员凭证可以指定给任何允许绑定到目录的条目。不过,不要使用 LDAP 服务器的同一目录管理器标识 (cn=Directory Manager)。 |
具有管理员凭证的条目必须具有足够的访问权限才能读取影子数据并将其写入目录。此条目是一个按系统共享的资源。因此,必须在每个客户机上配置 adminDN 和 adminPassword 属性。
经过加密的 adminPassword 存储在客户机本地。口令使用为客户机配置的相同验证方法。特定系统上的所有用户和进程都将使用管理员凭证来读取和更新影子数据。