11.2 安装后配置身份库

在安装身份库后,您可以使用 ndsconfig 实用程序来配置目录,并使用 ndsmanage 实用程序来创建、启动和停止服务器实例。如果您的服务器已支持 IPv6 地址,则还可以将身份库配置为使用 IPv6 地址。

11.2.1 使用 ndsconfig 实用程序修改 eDirectory 树和复本服务器

安装身份库之后,您便可使用 ndsconfig 实用程序来配置身份库。要使用 ndsconfig 实用程序,您必须具有管理员权限。当您结合自变量使用此实用程序时,它会验证所有自变量,并提示输入具有管理员权限的用户的口令。如果您不结合自变量使用该实用程序,ndsconfig 将显示实用程序及可用选项的说明。

您还可以使用此实用程序去除 eDirectory 复本服务器以及更改 eDirectory 服务器的当前配置。有关详细信息,请参见部分 11.2, 安装后配置身份库

在使用 ndsconfig 实用程序时,请注意以下事项:

  • treenameadmin_FDNserver_FDN 变量允许的最大字符数如下:

    • treename:32 个字符

    • admin_FDN:255 个字符

    • server_FDN:255 个字符

  • 当您在现有树中添加服务器时,如果指定的环境在服务器对象中不存在,则 ndsconfig 实用程序将在添加该服务器时创建相应环境。

  • 您可以在安装身份库后向现有树添加 LDAP 和安全服务。

  • 要在服务器中启用加密复制,请在用于向现有树添加服务器的命令中包含 -E 选项。有关加密复制的详细信息,请参见《NetIQ eDirectory Administration Guide》(NetIQ eDirectory 管理指南)中的“Encrypted Replication”(加密复制)。

有关使用 ndsconfig 实用程序修改 eDirectory 的详细信息,请参见《NetIQ eDirectory Administration Guide》(NetIQ eDirectory 管理指南)。

了解 ndsconfig 实用程序参数

ndsconfig 实用程序支持以下参数:

new

创建新树。如果未在命令行中指定参数,该实用程序将提示您为每个缺少的参数输入值。

def

创建新树。如果未在命令行中指定参数,ndsconfig 将为每个缺少的参数应用默认值。

add

将服务器添加到现有树中。此外,在您配置现有树中的身份库后,还会添加 LDAP 和 SAS 服务。

rm

从树中去除服务器对象和目录服务。

注:此选项不会去除密钥材料对象。您必须手动去除这些对象。

upgrade

将 eDirectory 升级到更高的版本。

-i

指示实用程序在您配置新树时忽略同名树检查。允许存在多个同名的树。

-t treename

指定要将服务器添加到的树的名称。该名称最多可包含 32 个字符。如果未指定树名,ndsconfig 将从 /etc/opt/novell/eDirectory/conf/nds.conf 文件中指定的 n4u.nds.treename 参数中获得该名称。默认树名为 $LOGNAME-$HOSTNAME-NDStree

-n server_context

指定要在其中添加服务器对象的服务器环境。最多可包含 64 个字符。如果未指定环境,ndsconfig 将从 /etc/opt/novell/eDirectory/conf/nds.conf 文件中指定的 n4u.nds.server-context 配置参数中获得环境。应以键入的形式指定服务器环境。默认环境为 org

-d path_for_DIB

指定要储存数据库文件的目录路径。

-r

不管已将多少个服务器添加到该服务器,都会强制添加该服务器的复本。

-L ldap_port

指定 LDAP 服务器上的 TCP 端口号。如果默认端口 389 已被占用,该实用程序会提示您指定一个新端口。

-l ssl_port

指定 LDAP 服务器上的 SSL 端口号。如果默认端口 636 已被占用,该实用程序会提示您指定一个新端口。

-a admin_FDN

指定对要在其中创建服务器对象和目录服务的环境具有主管权限的用户对象的完全判别名。应以键入的形式指定 admin 名称。最多可包含 64 个字符。默认值为 admin.org。

-e

为 LDAP 对象启用明文口令。

-m module_name

指定要安装或配置的模块的名称。如果您正在配置新树,则只能指定 ds 模块。在配置 ds 模块后,可以使用 add 命令添加 NMAS、LDAP、SAS、SNMP、HTTP 服务和 NetIQ SecretStore (ss)。如果未指定模块名称,则会安装所有模块。

注:如果您不希望在通过 nds-install 命令升级 eDirectory 期间配置 SecretStore,请向此选项传递 no_ss 值。例如,输入 ndsinstall '-m no_ss'

-o

指定 HTTP 明文端口号。

-O

指定 HTTP 安全端口号。

-p IP_address:[port]

指定远程主机的 IP 地址,该远程主机用于托管此服务器要添加到的分区的复本。在向树中添加二级服务器(使用 add 命令)时,请使用此选项。默认端口号是 524。这可以避免 SLP 查找,有助于加快树的查找速度。

-R

将服务器所要添加到的分区复制到本地服务器。此选项会禁止将复本添加到本地服务器。

-c

防止在执行 ndsconfig 操作期间出现提示,例如,提示是否要继续操作,或者在发生冲突时提示重新输入端口号,等等。如果未在命令行上传递强制参数,该实用程序会继续提示您输入这些参数。

-w admin_password

此选项允许以明文格式传递管理员用户口令。

注:NetIQ 不建议在关注口令安全性的环境中使用此选项。

-E

对您在尝试添加的服务器启用加密复制。

-j

指示实用程序在安装身份库之前跳过或覆盖运行状况检查选项。

-b port_to_bind

指定特定实例要在其上侦听的默认端口号。这会设置 n4u.server.tcp-portn4u.server.udp-port 上的默认端口号。如果您使用 -b 选项指定了 NCP 端口,则实用程序会假设该端口是默认端口,并相应地更新 TCP 和 UDP 参数。

注:-b-B 选项是互斥参数。

-B interface1@port1,interface2@port2,...

指定端口号以及 IP 地址或接口。例如:-B eth0@524-B 100.1.1.2@524-B[2015::3]@524

注:

  • -b-B 选项是互斥参数。

  • 要指定 IPv6 地址,必须将地址包含在方括号 ([ ]) 中。

--config-file configuration_file

指定用于储存 nds.conf 配置文件的绝对路径和文件名。例如,要在 /etc/opt/novell/eDirectory/directory 中储存配置文件,请输入以下命令:

--config-file /etc/opt/novell/eDirectory/nds.conf
-P LDAP_URL(s)

允许 LDAP URL 配置 LDAP 服务器对象上的 LDAP 接口。使用逗号分隔多个 URL。例如:

-P ldap://1.2.3.4:389,ldaps://1.2.3.4:636,ldap://[2015::3]:389

注:

  • 要指定 IPv6 地址,必须将地址包含在方括号 ([ ]) 中。例如:ldap://[2015::3]:389。

  • 如果在执行初始配置时未指定 LDAP URL,您可以在完成初始配置后使用 ldapconfig 命令或在 iManager 中将其添加到 ldapInterfaces 属性。

-D path_for_data

在指定的路径中创建 datadiblog 目录。

set valuelist

设置您为身份库指定的可配置参数的值。在配置树之前,可以使用此选项设置引导参数。

更改配置参数后,必须重启动 ndsd 才能使新值生效。对于以下配置参数,无需重启动 ndsd:

  • n4u.nds.inactivity-synchronization-interval

  • n4u.nds.synchronization-restrictions

  • n4u.nds.janitor-interval

  • n4u.nds.backlink-interval

  • n4u.nds.drl-interval

  • n4u.nds.flatcleaning-interval

  • n4u.nds.server-state-up-threshold

  • n4u.nds.heartbeat-schema

  • n4u.nds.heartbeat-data

get help paramlist

显示您为身份库指定的可配置参数的帮助字符串。如果您未指定参数列表,该实用程序将列出所有可配置参数的帮助字符串。

在特定的区域设置中配置身份库

要在特定的区域设置中配置身份库,必须先将 LC_ALL 和 LANG 导出到该特定区域设置,然后再执行配置。例如,在 ndsconfig 实用程序中输入以下命令:

export LC_ALL=ja
export LANG=ja

在身份库中添加新树

当您在身份库中创建新树时,ndsconfig 实用程序可以引导您完成配置,或者,您也可以输入一条命令来指定所有参数值。如果您的身份库服务器已支持 IPv6 地址,则可以为新树指定 IPv6 地址。

  1. (视情况而定)要让 ndsconfig 实用程序提示您为身份库中的新树指定参数,请输入以下命令:

    ndsconfig new [-t tree_name] [-n server_context] [-a admin_FDN]

    例如:

    ndsconfig new -t corp-tree -n o=company -a cn=admin.o=company

  2. (视情况而定)要通过在命令行中指定所有参数的方式在身份库中创建新树,请输入以下文本:

    ndsconfig new [-t treename] [-n server_context] [-a admin_FDN] [-i] [-S server_name] [-d path_for_dib] [-m module] [e] [-L ldap_port] [-l SSL_port] [-o http_port] [-O https_port] [-p IP_address:[port]] [-R] [-c] [-w admin_password] [-b port_to_bind] [-B interface1@port1,interface2@port2,..] [-D custom_location] [--config-file configuration_file]

    或者

    ndsconfig def [-t treename] [-n server_context] [-a admin_FDN] [-w admin_password] [-c] [-i] [-S server_name] [-d path_for_dib] [-m module] [-e] [-L ldap_port] [-l SSL_port] [-o http_port] [-O https_port] [-D custom_location] [--config-file configuration_file]

在现有树中添加服务器

要将服务器添加到现有树中,请输入以下命令:

ndsconfig add [-t treename] [-n server context] [-a admin_FDN] [-i] [-S server_name] [-d path_for_dib] [-m module] [e] [-L ldap_port] [-l SSL_port] [-o http_port] [-O https_port] [-p IP_address:[port]] [-R] [-c] [-w admin_password] [-b port_to_bind] [-B interface1@port1,interface2@port2,..] [-D custom_location] [--config-file configuration_file]

例如:

ndsconfig add -t corp-tree -n o=company -a cn=admin.o=company -S srv1

从服务器中去除身份库及其数据库

  1. 浏览到默认位于 /var/opt/novell/eDirectory/data/ 中的 dsreports 目录。

  2. 删除您先前使用 iMonitor 创建的 HTML 文件。

  3. 使用 ndsconfig 实用程序输入以下命令:

    ndsconfig rm [-a admin_FDN] [-w admin_password] [-p IP_address:[port]] [-c]

从树中去除 eDirectory 服务器对象和目录服务

要从树中去除 服务器对象和目录服务,输入以下命令:

ndsconfig rm -a Admin_FDN

配置身份库的多个实例

您可以在一个主机上配置身份库的多个实例。使用 ndsconfig 实用程序配置多个实例的方法类似于数次配置单个实例。每个实例应具有唯一的实例符,如下所示:

  • 不同的数据和日志文件位置。使用 --config-file-d-D 选项。

  • 实例要侦听的唯一端口号。使用 -b-B 选项。

  • 实例的唯一服务器名称。使用 -S server name 选项。

有关详细信息,请参见《NetIQ eDirectory Installation Guide》(NetIQ eDirectory 安装指南)中的“Using ndsconfig to Configure Multiple Instances of eDirectory”(使用 ndsconfig 配置 eDirectory 的多个实例)。

注:

  • 在配置身份库期间,默认的 NCP 服务器名称将设置为主机服务器名称。在配置多个实例时,您必须更改 NCP 服务器名称。使用 ndsconfig 命令行选项 -S server_name 可以指定其他服务器名称。在相同或不同的树上配置多个实例时,NCP 服务器名称应是唯一的。

  • 所有实例共享同一个服务器密钥 (NICI)。

11.2.2 使用 ndsmanage 实用程序管理实例

使用 ndsmanage 实用程序可以创建、启动和停止身份库中的服务器实例。还可以查看已配置实例的列表。

列出身份库实例

您可以使用 ndsmanage 实用程序来查看配置文件路径、服务器实例的完全判别名和端口,以及指定用户的实例状态(活动或非活动)。该实用程序支持以下参数:

ndsmanage

列出您配置的所有实例。

ndsmanage -a|--all

列出使用身份库特定安装的所有用户的实例。

ndsmanage username

列出由指定用户配置的实例。

在身份库中创建新实例

  1. 在命令行中,输入 ndsmanage

  2. 输入 c

  3. 遵循命令提示符上的说明创建新实例。

在身份库中配置和取消配置实例

要配置实例,请输入以下命令:

ndsconfig new -t treename -n server_context -a admin_FDN -b port_to_bind -D path_for_data

例如:

ndsconfig new -t mytree -n o=netiq -a cn=admin.o=company -b 1524 -D
/home/mary/inst1/var --config-file /home/mary/inst1/nds.conf

注:Linux 操作系统限制在装入的文件系统上创建套接字。对于 eDirectory,NetIQ 建议将 var 目录放置在本地文件系统上(在 ndsconfig 中使用 -D 选项),而 DIB 目录可以是任何文件系统(在 ndsconfig 中使用 -d 选项)。

要取消配置某个实例,请执行以下操作:

  1. 在命令行中,输入 ndsmanage

  2. 选择要取消配置的实例。

  3. 输入 d

为身份库中的实例调用实用程序

您可以针对某个实例运行 DSTrace 等实用程序。例如,如果您希望对侦听端口 1524 且配置文件位于 /home/mary/inst1/nds.conf 目录、DIB 文件位于 /home/mary/inst1/var 目录的实例 1,运行 DSTrace 实用程序。则您可以输入以下命令之一:

ndstrace --config-file /home/mary/inst1/nds.conf

或者

ndstrace -h 192.168.0.1:1524

如果您未指定实例符,该实用程序将显示您的所有实例。然后,您可以选择其中一个实例。

在身份库中启动和停止实例

您可以启动或停止您所配置的一个或多个实例。

  1. (视情况而定)要通过引导式过程启动或停止单个实例,请完成以下步骤:

    1. 在命令行中,输入 ndsmanage

    2. 选择要启动或停止的实例。

    3. 输入 sk 可分别启动或停止该实例。

  2. (视情况而定)要启动或停止单个实例,请输入:

    ndsmanage start --config-file configuration_file_of_the_instance

    或者

    ndsmanage stop --config-file configuration_file_of_the_instance

  3. (视情况而定)要启动或停止所有实例,请输入:

    ndsmanage startall

    或者

    ndsmanage stopall