配置 IBM Directory Server

注意

• 如果您使用了简易安装 ezinstall_ldap_server 脚本来安装和配置 IBM Directory Server，请跳过本章中的指导信息。简易安装会自动配置 IBM Directory Server。
• 在配置 IBM Directory Server 之前，请确保您已经阅读本机安装过程，并正在以其中描述的顺序遵循各个步骤。 配置之前，补丁程序是必需的。
• 如果您要在 Linux for zSeries 上安装 IBM Directory，请确保您如本机安装过程中的指示在安装了 Tivoli Access Manager 之后配置该服务器。

要为 Tivoli Access Manager 配置 IBM Directory Server，请遵循这些步骤：

1. 确保安装了 IBM Directory Server。
2. 请执行以下操作之一：
   • 对于除了 Linux on zSeries 之外的所有系统，请跳至3 这一步。
   • 仅对于 Linux on zSeries 系统，请遵循这些步骤：
     1. 应用 Tivoli Access Manager 模式。命名为 secschema.def 的此文件位于 etc 目录（Tivoli Access Manager 的安装目录）中。要应用此模式，请输入以下命令（在一行上）：

        ldapmodify -h ldap_host -p port -D cn=root -w pswd -c -v -f secschema.def

     2. 安装的用于 Linux on Series 的 JRE 。关于指导信息，请参阅安装特定于平台的 JRE。
        注:
        IBM Directory Server  dmt 和  ldapcfg 工具要成功运行，需要装有 JRE 1.3.1 或更高版本。
     3. 要使 dmt 和 ldapcfg 工具使用 JRE V1.3.1 而不是随 IBM Directory 安装的 JRE 版本，请更新以下文件：
        • 编辑 /usr/ldap/bin/dmt 脚本，并将以下行注释掉：

          find_java()                                                                   
          {                                                                             
             # First, try to find the version of Java that we install with LDAP.        
                                                                                        
          #   if [ "${ENV_JAVA}" == "" ] ; then  COMMENT THIS LINE
          #      OVERRIDE=${LDAPIDIR}/java/bin/java     COMMENT THIS LINE
          #   fi                                        COMMENT THIS LINE
          

        • 编辑 /usr/ldap/bin/ldapcfg 脚本，并将以下行注释掉：

          find_java()                                                             
          {                                                                       
             # First, try to find the version of Java that we install with LDAP.  
          #    if [ "${OS}" != "HP-UX" ] ; then               COMMENT THIS LINE
          #        if [ "${ENV_JAVA}" == "" ] ; then          COMMENT THIS LINE
          #           OVERRIDE=${LDAPCIDIR}/java/bin/java     COMMENT THIS LINE
          #        fi                                         COMMENT THIS LINE
          #    fi                                             COMMENT THIS LINE
          

4. 请执行以下操作之一：
   • 对于除了 Linux on zSeries 之外的所有系统，请访问以下地址的 IBM Directory Server Web 管理工具，然后继续步骤 4：

     http://servername:port/ldap/index.html

     其中 servername 是 LDAP 服务器的名称，而 port 是 httpd.conf 文件中所列的端口号。

   • 仅对于 Linux on zSeries 系统，您必须手工修改 slapd32.conf 文件以添加必需的后缀。 要执行此操作，请通过添加以下必需的 Tivoli Access Manager 后缀以及 GSO 元数据和用户定义的后缀（例如：o=tivoli,c=us），以修改 slapd32.conf 文件的 dn: cn=Directory 部分。然后，跳至14 这一步以继续配置 IBM Directory Server。

     dn: cn=Directory, cn=RDBM Backends, cn=IBM, cn=Schemas, cn=Configuration      
     cn: Directory                                                                 
     ibm-slapdDbAlias: ldapdb2b                                                    
     ibm-slapdDbConnections: 30                                                    
     ibm-slapdDbInstance: ldapdb2                                                  
     ibm-slapdDbName: ldapdb2                                                      
     ibm-slapdDbUserId: ldapdb2                                                    
     ibm-slapdDbUserPW: >1aV1aFVp/G44POPw/p4ZkJAldiDt+GsRizdgwYF0F7tJYkcEUuBg4K7   
     HnRFBgMev8jrleaPmiblTpnxb3br96RQ6ZjHeu75ZqCQ9/cIGqH/G6aDVCfbkmk3xyErW1eQdNt   
     7i8iY9HHqgICIGQek6Qm1K<                                                    
     ibm-slapdPlugin: database /lib/libback-rdbm.so rdbm_backend_init              
     ibm-slapdReadOnly: FALSE                                                      
     ibm-slapdSuffix: o=tivoli,c=us                                      
     ibm-slapdSuffix: secAuthority=Default                               
     ibm-slapdSuffix: cn=localhost                                                 
     objectclass: top                                                              
     objectclass: ibm-slapdRdbmBackend         
     

6. 按下图所示输入 LDAP 管理员的名称和密码，然后单击登录按钮：
   

   显示 IBM Directory Server Administration Web 页面。

7. 要确保 IBM Directory Server 已启动，请选择左边浏览窗格中的当前状态 -> 服务器状态。显示与以下类似的窗口：
   
8. 如果服务器已停止，单击启动／停止，然后单击启动以启动服务器。 服务器成功启动或停止时，显示一条消息。
9. 要创建后缀，请从左侧导航窗格中选择设置 -> 后缀。显示后缀窗口。
11. 要创建 Tivoli Access Manager 维护其元数据所使用的后缀，请按如下所示输入以下所需的后缀：

    secAuthority=Default

    注:
    后缀专有名称不区分大小写。
12. 单击更新。显示后缀窗口。新后缀显示在当前服务器后缀表中。
13. 如果您选择为 GSO 元数据创建后缀，请在后缀 DN 字段中输入新后缀专有名称。例如，可以如下图所示输入 o=tivoli,c=us：
    

    配置 Tivoli Access Manager 组件时，将提示您输入 GSO 后缀。关于为何需要 GSO 后缀的信息， 请参阅LDAP 服务器配置概述。

14. 单击更新。再次显示后缀窗口。此时， 可以创建附加的后缀以维护用户和组定义。
    注:
    关于如何添加后缀的更多信息，请单击窗口的右上窗格中的 帮助图标。
15. 完成添加后缀后，请如下图所示单击窗口的上部窗格中的消息中的重新启动服务器：
    

    几分钟之后显示以下消息：

    目录服务器正在运行。

    如果该消息未能显示，请重新启动 IBM Directory Server。例如，在 Windows 系统上，选择开始 -> 设置 -> 控制面板并单击服务。请选择 IBM Directory 服务，并单击启动以重新启动 LDAP 服务器。

16. 请执行以下操作之一：
    • 如果您未添加除 secAuthority=Default 之外的任何后缀，请跳过步骤 14 到 20 这一步。当配置 policy server 时，会自动添加 secAuthority=Default 目录条目。
    • 如果您添加了除 secAuthority=Default 之外的后缀，请继续步骤 14 以为每个后缀创建目录条目。
18. 要创建目录条目，请从命令提示符输入 dmt 以启动目录管理工具（DMT）。会显示以下窗口
    
19. 单击底部窗格中的添加服务器按钮。 显示与下图类似的窗口：
    
20. 请执行以下操作之一：
    • 如果要在 DMT 和 LDAP 服务器之间使用安全套接字层（SSL），请选择使用 SSL，并完成指定的字段。单击帮助以获得关于这些字段的描述。
    • 如果不想在 DMT 和 LDAP 服务器之间使用 SSL，请选择一个认证类型。
      1. 如果选择无或 SASL 外部，则不需要其它任何信息。
      2. 如果选择简单或 CRAM MD5，请输入用户 DN 和用户密码，然后单击确定。
21. 从左窗格中单击浏览树。显示警告消息，指出创建的后缀不包含数据。单击确定不理会这些消息。显示与下图类似的窗口：
    
22. 在右侧的列表中选择主机名并单击添加。例如，先前示例中主机名为 ldap://dliburd2.tivoli.com:389。
23. 在“添加 LDAP 项”窗口中填写字段并单击确定。例如，如果您要为 GSO 后缀添加目录条目，则显示与下图类似的窗口：
    
25. 请输入这些属性的值，然后单击添加。例如，GSO 后缀示例显示如下：
    
26. 当完成为所创建的后缀添加目录条目后，请单击退出以关闭“IBM 目录管理工具”窗口。