LDAP 规划概述
LDAP 规划主要包括确定向 LDAP 客户机配置文件中放入哪些信息。客户机使用配置文件中的配置信息集合从 LDAP 服务器访问命名服务信息。在 LDAP 服务器上生成配置文件时可以指定配置信息。服务器设置期间,系统会提示您输入该信息。提示输入的某些信息是必需的,而其他信息则是可选信息。在大多数情况下,将会接受已提供的缺省值。提示输入的配置文件的各类信息称为客户机属性。
随着配置文件的配置信息越来越多,可以使用用于配置 LDAP 的空核对表 上的模板核对表。您可以在设置 LDAP 服务器时将这些核对表用作参考信息。
下表显示了 LDAP 客户机配置文件属性。
表 3-1 LDAP 客户机配置文件属性
|
|
|
|
配置文件的名称。该属性没有缺省值。必须指定该属性值。
|
|
|
首选服务器的主机地址是以空格分隔的服务器地址的列表。(请勿使用主机名。)将先尝试与该列表中的服务器建立连接,然后再尝试与 defaultServerList 中的服务器建立连接,直到成功建立连接。该属性没有缺省值。必须至少在 preferredServerList 或 defaultServerList 中指定一台服务器。
注 -
如果要使用主机名同时定义 defaultServerList 和 preferredServerList,则不得将 LDAP 用于主机服务器查找搜索。不要将 svc:/network/name-service/switch 服务的 config/host 属性值配置为 ldap。
|
|
|
缺省服务器的主机地址是以空格分隔的服务器地址的列表。(请勿使用主机名。)在尝试与 preferredServerlist 中的服务器建立连接之后,会先尝试与客户机所在子网中的缺省服务器建立连接,然后再尝试与其余的缺省服务器建立连接,直到成功建立连接。必须至少在 preferredServerList 或 defaultServerList 中指定一台服务器。只有在尝试与首选服务器列表中的服务器建立连接之后,才会尝试与该列表中的服务器建立连接。该属性没有缺省值。
|
|
|
用于查找已知容器的相对 DN。该属性没有缺省值。不过,对于给定服务,可以使用 serviceSearchDescriptor 属性来覆盖该值。
|
|
|
定义客户机要搜索的数据库范围。可以使用 serviceSearchDescriptor 属性覆盖该属性。可能的值为 one 或 sub。缺省值为单级别搜索。
|
|
|
|
|
|
标识了客户机进行验证时应使用的凭证的类型。选项有 anonymous、proxy 或 self(也称为每用户)。缺省值为 anonymous。
|
|
|
定义客户机应如何以及应在何处搜索命名数据库,例如,客户机应在 DIT 中的一个点还是多个点执行查找。缺省情况下,不定义任何 SSD。
|
serviceAuthenticationMethod
|
客户机针对指定服务使用的验证方法。缺省情况下,不定义任何服务验证方法。如果某个服务未定义 serviceAuthenticationMethod,则使用 authenticationMethod 的缺省值。
|
|
|
客户机使用的属性映射。缺省情况下,不定义任何 attributeMap。
|
|
|
客户机使用的对象类映射。缺省情况下,未定义任何 objectclassMap。
|
|
|
客户机上的搜索操作在超时之前可以执行的最长时间(秒)。该值不会影响在 LDAP 服务器上完成搜索所需的时间。缺省值为 30 秒。
|
|
|
客户机与服务器的绑定在超时之前可以持续的最长时间(秒)。缺省值为 30 秒。
|
|
|
指定客户机是否应遵循 LDAP 引用。可能的值包括 TRUE 或 FALSE。缺省值为 TRUE。
|
|
|
|
|
当您在服务器上运行 idsconfig 命令时,将自动设置这些属性。
其他客户机属性可通过使用 ldapclient 命令在客户机系统本地进行设置。有关这些属性的更多信息,请参见定义本地客户机属性。