注意
要为 Tivoli Access Manager 配置 IBM Directory Server,请遵循这些步骤:
- 确保安装了 IBM Directory Server。
- 请执行以下操作之一:
- 对于除了 Linux on zSeries 之外的所有系统,请跳至3 这一步。
- 仅对于 Linux on zSeries 系统,请遵循这些步骤:
- 应用 Tivoli Access Manager 模式。命名为 secschema.def 的此文件位于 etc 目录(Tivoli Access Manager 的安装目录)中。要应用此模式,请输入以下命令(在一行上):
ldapmodify -h ldap_host -p port -D cn=root -w pswd -c -v -f secschema.def
- 安装的用于 Linux on Series 的 JRE 。关于指导信息,请参阅安装特定于平台的 JRE。
注:IBM Directory Server dmt 和 ldapcfg 工具要成功运行,需要装有 JRE 1.3.1 或更高版本。
- 要使 dmt 和 ldapcfg 工具使用 JRE V1.3.1 而不是随 IBM Directory 安装的 JRE 版本,请更新以下文件:
- 编辑 /usr/ldap/bin/dmt 脚本,并将以下行注释掉:
find_java() { # First, try to find the version of Java that we install with LDAP. # if [ "${ENV_JAVA}" == "" ] ; then COMMENT THIS LINE # OVERRIDE=${LDAPIDIR}/java/bin/java COMMENT THIS LINE # fi COMMENT THIS LINE
- 编辑 /usr/ldap/bin/ldapcfg 脚本,并将以下行注释掉:
find_java() { # First, try to find the version of Java that we install with LDAP. # if [ "${OS}" != "HP-UX" ] ; then COMMENT THIS LINE # if [ "${ENV_JAVA}" == "" ] ; then COMMENT THIS LINE # OVERRIDE=${LDAPCIDIR}/java/bin/java COMMENT THIS LINE # fi COMMENT THIS LINE # fi COMMENT THIS LINE
- 编辑 /usr/ldap/bin/dmt 脚本,并将以下行注释掉:
- 应用 Tivoli Access Manager 模式。命名为 secschema.def 的此文件位于 etc 目录(Tivoli Access Manager 的安装目录)中。要应用此模式,请输入以下命令(在一行上):
- 请执行以下操作之一:
- 对于除了 Linux on zSeries 之外的所有系统,请访问以下地址的 IBM Directory Server Web 管理工具,然后继续步骤 4:
http://servername:port/ldap/index.html
- 仅对于 Linux on zSeries 系统,您必须手工修改 slapd32.conf 文件以添加必需的后缀。 要执行此操作,请通过添加以下必需的 Tivoli Access Manager 后缀以及 GSO 元数据和用户定义的后缀(例如:o=tivoli,c=us),以修改 slapd32.conf 文件的 dn: cn=Directory 部分。然后,跳至14 这一步以继续配置 IBM Directory Server。
dn: cn=Directory, cn=RDBM Backends, cn=IBM, cn=Schemas, cn=Configuration cn: Directory ibm-slapdDbAlias: ldapdb2b ibm-slapdDbConnections: 30 ibm-slapdDbInstance: ldapdb2 ibm-slapdDbName: ldapdb2 ibm-slapdDbUserId: ldapdb2 ibm-slapdDbUserPW: >1aV1aFVp/G44POPw/p4ZkJAldiDt+GsRizdgwYF0F7tJYkcEUuBg4K7 HnRFBgMev8jrleaPmiblTpnxb3br96RQ6ZjHeu75ZqCQ9/cIGqH/G6aDVCfbkmk3xyErW1eQdNt 7i8iY9HHqgICIGQek6Qm1K< ibm-slapdPlugin: database /lib/libback-rdbm.so rdbm_backend_init ibm-slapdReadOnly: FALSE ibm-slapdSuffix: o=tivoli,c=us ibm-slapdSuffix: secAuthority=Default ibm-slapdSuffix: cn=localhost objectclass: top objectclass: ibm-slapdRdbmBackend
- 对于除了 Linux on zSeries 之外的所有系统,请访问以下地址的 IBM Directory Server Web 管理工具,然后继续步骤 4:
- 按下图所示输入 LDAP 管理员的名称和密码,然后单击登录按钮:
显示 IBM Directory Server Administration Web 页面。
- 要确保 IBM Directory Server 已启动,请选择左边浏览窗格中的当前状态 -> 服务器状态。显示与以下类似的窗口:
- 如果服务器已停止,单击启动/停止,然后单击启动以启动服务器。 服务器成功启动或停止时,显示一条消息。
- 要创建后缀,请从左侧导航窗格中选择设置 -> 后缀。显示后缀窗口。
- 要创建 Tivoli Access Manager 维护其元数据所使用的后缀,请按如下所示输入以下所需的后缀:
secAuthority=Default
注:后缀专有名称不区分大小写。 - 单击更新。显示后缀窗口。新后缀显示在当前服务器后缀表中。
- 如果您选择为 GSO 元数据创建后缀,请在后缀 DN 字段中输入新后缀专有名称。例如,可以如下图所示输入 o=tivoli,c=us:
配置 Tivoli Access Manager 组件时,将提示您输入 GSO 后缀。关于为何需要 GSO 后缀的信息, 请参阅LDAP 服务器配置概述。
- 单击更新。再次显示后缀窗口。此时, 可以创建附加的后缀以维护用户和组定义。
注:关于如何添加后缀的更多信息,请单击窗口的右上窗格中的 帮助图标。
- 完成添加后缀后,请如下图所示单击窗口的上部窗格中的消息中的重新启动服务器:
几分钟之后显示以下消息:
目录服务器正在运行。
如果该消息未能显示,请重新启动 IBM Directory Server。例如,在 Windows 系统上,选择开始 -> 设置 -> 控制面板并单击服务。请选择 IBM Directory 服务,并单击启动以重新启动 LDAP 服务器。
- 请执行以下操作之一:
- 要创建目录条目,请从命令提示符输入 dmt 以启动目录管理工具(DMT)。会显示以下窗口
- 单击底部窗格中的添加服务器按钮。 显示与下图类似的窗口:
- 请执行以下操作之一:
- 如果要在 DMT 和 LDAP 服务器之间使用安全套接字层(SSL),请选择使用 SSL,并完成指定的字段。单击帮助以获得关于这些字段的描述。
- 如果不想在 DMT 和 LDAP 服务器之间使用 SSL,请选择一个认证类型。
- 如果选择无或 SASL 外部,则不需要其它任何信息。
- 如果选择简单或 CRAM MD5,请输入用户 DN 和用户密码,然后单击确定。
- 从左窗格中单击浏览树。显示警告消息,指出创建的后缀不包含数据。单击确定不理会这些消息。显示与下图类似的窗口:
- 在右侧的列表中选择主机名并单击添加。例如,先前示例中主机名为 ldap://dliburd2.tivoli.com:389。
- 在“添加 LDAP 项”窗口中填写字段并单击确定。例如,如果您要为 GSO 后缀添加目录条目,则显示与下图类似的窗口:
- 请输入这些属性的值,然后单击添加。例如,GSO 后缀示例显示如下:
- 当完成为所创建的后缀添加目录条目后,请单击退出以关闭“IBM 目录管理工具”窗口。