11.2 安裝後設定 Identity Vault

在安裝 Identity Vault 後，您可以使用 ndsconfig 公用程式來設定目錄，並使用 ndsmanage 公用程式來建立、啟動和停止伺服器例項。如果您的伺服器原本就支援 IPv6 位址，您還可以將 Identity Vault 設定為使用 IPv6 位址。

11.2.1 使用 ndsconfig 公用程式修改 eDirectory 網路樹和複本伺服器

安裝 Identity Vault 之後，您便可使用 ndsconfig 公用程式來設定 Identity Vault。若要使用 ndsconfig 公用程式，您必須具有管理員權限。當您配合引數使用此公用程式時，它會驗證所有引數，並提示輸入具有管理員權限之使用者的密碼。如果您不配合引數使用該公用程式，ndsconfig 將會顯示公用程式及可用選項的描述。

您還可以使用此公用程式來移除 eDirectory 複本伺服器，以及變更 eDirectory 伺服器的目前組態。如需詳細資訊，請參閱節 11.2, 安裝後設定 Identity Vault。

在使用 ndsconfig 公用程式時，請注意以下事項：

treename、admin_FDN 和 server_FDN 變數允許的最大字元數如下︰
- treename：32 個字元
- admin_FDN：255 個字元
- server_FDN：255 個字元
當您將伺服器新增至現有網路樹時，如果指定的網路位置在伺服器物件中不存在，則 ndsconfig 公用程式會在新增該伺服器時建立該網路位置。
您可以在安裝 Identity Vault 後將 LDAP 和安全性服務新增至現有網路樹中。
若要在伺服器中啟用加密複製，請在用於向現有網路樹新增伺服器的指令中包含 -E 選項。如需加密複製的詳細資訊，請參閱《NetIQ eDirectory Administration Guide》(NetIQ eDirectory 管理指南) 中的「Encrypted Replication」(加密複製)。

如需使用 ndsconfig 公用程式修改 eDirectory 的詳細資訊，請參閱《NetIQ eDirectory Administration Guide》(NetIQ eDirectory 管理指南)。

瞭解 ndsconfig 公用程式參數

Ndsconfig 公用程式支援以下參數：

new

建立新的網路樹。如果您未在指令行中指定參數，該公用程式將會提示您為缺少的每個參數輸入值。

def

建立新的網路樹。如果您未在指令行中指定參數，ndsconfig 將為缺少的每個參數套用預設值。

add

將伺服器新增至現有網路樹中。此外，當您在現有網路樹中設定 Identity Vault 後，它還會新增 LDAP 和 SAS 服務。

rm

從網路樹移除伺服器物件及目錄服務。

附註：此選項不會移除金鑰資料物件。您必須手動移除這些物件。

upgrade

將 eDirectory 升級至更高的版本。

-i

指示公用程式在您設定新網路樹時，不要檢查是否存在同名的網路樹。系統中可以存在多個同名的網路樹。

-t 網路樹名稱

指定要新增伺服器的網路樹名稱。該值最多可包含 32 個字元。如果未指定網路樹名稱，ndsconfig 將採用 /etc/opt/novell/eDirectory/conf/nds.conf 檔案指定之 n4u.nds.treename 參數中的名稱。預設的網路樹名稱為 $LOGNAME-$HOSTNAME-NDStree。

-n 伺服器網路位置

指定要在其中新增伺服器物件的伺服器網路位置。該值最多可包含 64 個字元。如果未指定網路位置，ndsconfig 將採用 /etc/opt/novell/eDirectory/conf/nds.conf 檔案指定之 n4u.nds.server-context 組態參數中的網路位置。必須輸入已指定的伺服器網路位置。預設網路位置為 org。

-d DIB 路徑

指定資料庫檔案將存放的目錄路徑。

-r

強制新增該伺服器的複本，而不管已有多少個伺服器新增至該伺服器。

-L LDAP 連接埠

指定 LDAP 伺服器上的 TCP 連接埠號。如果預設連接埠 389 已在使用中，該公用程式會提示您指定一個新連接埠。

-l SSL 連接埠

指定 LDAP 伺服器上的 SSL 連接埠號。如果預設連接埠 636 已在使用中，該公用程式會提示您指定一個新連接埠。

-a 管理員 FDN

指定對要在其中建立伺服器物件和目錄服務的網路位置擁有「監督者」權限之使用者物件的完全可辨識名稱。必須輸入已指定的 admin 名稱。該值最多可包含 64 個字元。預設值為 admin.org。

-e

對 LDAP 物件啟用純文字密碼。

-m 模組名稱

指定要安裝或設定之模組的名稱。如果您正在設定新網路樹，則只能指定 ds 模組。在設定 ds 模組後，可以使用 add 指令新增 NMAS、LDAP、SAS、SNMP、HTTP 服務和 NetIQ SecretStore (ss)。如果未指定模組名稱，則會安裝所有模組。

附註：如果您不想在透過 nds-install 指令升級 eDirectory 期間設定 SecretStore，請向此選項傳遞 no_ss 值。例如，輸入 ndsinstall '-m no_ss'。

-o

指定 HTTP 純文字連接埠號。

-O

指定 HTTP 安全連接埠號。

-p IP 位址:[連接埠]

指定遠端主機的 IP 位址，該遠端主機存放要新增此伺服器的分割區複本。在將次要伺服器新增至網路樹 (使用 add 指令) 時，請使用此選項。預設連接埠號碼為 524。這可以避免進行 SLP 查閱，因而有助於加快查閱網路樹的速度。

-R

將您要向其新增伺服器的分割區複製到本地伺服器上。此選項會禁止將複本新增至本地伺服器。

-c

防止在執行 ndsconfig 期間出現提示，例如，提示是否要繼續操作，或者在發生衝突時提示重新輸入連接埠號，等等。如果未在指令行上傳遞強制參數，該公用程式仍會提示您輸入這些參數。

-w 管理員密碼

此選項允許傳遞純文字格式的管理員使用者密碼。

附註：NetIQ 不建議在注重密碼安全性的環境中使用此選項。

-E

為您要嘗試新增的伺服器啟用加密複製。

-j

指示公用程式在安裝 Identity Vault 之前跳過或置換狀態檢查選項。

-b 要結合的連接埠

指定特定例項應監聽的預設連接埠號。這會設定 n4u.server.tcp-port 和 n4u.server.udp-port 上的預設連接埠號。如果您使用 -b 選項指定了 NCP 連接埠，則公用程式會假設該連接埠是預設連接埠，並相應地更新 TCP 和 UDP 參數。

附註：-b 和 -B 選項是互斥的參數。

-B interface1@port1,interface2@port2,...

指定連接埠號以及 IP 位址或介面。例如 -B eth0@524、-B 100.1.1.2@524、-B[2015::3]@524。

附註：

-b 和 -B 選項是互斥的參數。
若要指定 IPv6 位址，必須將位址包含在方括號 ([ ]) 中。

--config-file 組態檔案

指定用於儲存 nds.conf 組態檔案的絕對路徑和檔案名稱。例如，若要在 /etc/opt/novell/eDirectory/directory 中儲存組態檔案，請輸入以下指令：

--config-file /etc/opt/novell/eDirectory/nds.conf

-P LDAP_URL(s)

允許 LDAP URL 設定 LDAP 伺服器物件上的 LDAP 介面。請使用逗號分隔多個 URL。例如：

-P ldap://1.2.3.4:389,ldaps://1.2.3.4:636,ldap://[2015::3]:389

附註：

若要指定 IPv6 位址，必須將位址包含在方括號 ([ ]) 中。例如 ldap://[2015::3]:389。
如果在進行啟始組態設定時未指定 LDAP URL，您可以在完成啟始設定後，使用 ldapconfig 指令或 iManager 將其新增至 ldapInterfaces 屬性中。

-D path_for_data

在指定的路徑中建立 data、dib 和 log 目錄。

set valuelist

設定您為 Identity Vault 指定之可設定參數的值。在設定網路樹之前，可以使用此選項設定開機參數。

變更組態參數後，必須重新啟動 ndsd 才能使新值生效。對於以下組態參數，無需重新啟動 ndsd：

n4u.nds.inactivity-synchronization-interval
n4u.nds.synchronization-restrictions
n4u.nds.janitor-interval
n4u.nds.backlink-interval
n4u.nds.drl-interval
n4u.nds.flatcleaning-interval
n4u.nds.server-state-up-threshold
n4u.nds.heartbeat-schema
n4u.nds.heartbeat-data

get help paramlist

顯示您為 Identity Vault 指定之可設定參數的說明字串。如果您未指定參數清單，該公用程式會列出所有可設定參數的說明字串。

使用特定的地區設定進行 Identity Vault 設定

若要使用特定的地區設定進行 Identity Vault 設定，必須在執行組態設定前，先將 LC_ALL 和 LANG 輸出為該特定地區設定。例如，在 ndsconfig 公用程式中輸入以下指令：

export LC_ALL=ja

export LANG=ja

將新網路樹新增至 Identity Vault 中

當您在 Identity Vault 中建立新網路樹時，ndsconfig 公用程式可以引導您完成組態設定，或者，您也可以輸入一個指令來指定所有參數值。如果您的 Identity Vault 伺服器原本就支援 IPv6 位址，您可以為新網路樹指定 IPv6 位址。

(視情況而定) 若要讓 ndsconfig 公用程式提示您為 Identity Vault 中的新網路樹指定參數，請輸入以下指令：
```
ndsconfig new [-t tree_name] [-n server_context] [-a admin_FDN]
```
例如：
```
ndsconfig new -t corp-tree -n o=company -a cn=admin.o=company
```
(視情況而定) 若要透過在指令行中指定所有參數的方式在 Identity Vault 中建立新網路樹，請輸入以下文字：

ndsconfig new [-t 網路樹名稱] [-n 伺服器網路位置] [-a 管理員 FDN] [-i] [-S 伺服器名稱] [-d DIB 路徑] [-m 模組] [e] [-L LDAP 連接埠] [-l SSL 連接埠] [-o HTTP 連接埠] [-O HTTPS 連接埠] [-p IP 位址:[連接埠]] [-R] [-c] [-w 管理員密碼] [-b 要結合的連接埠] [-B interface1@port1,interface2@port2,..] [-D 自訂位置] [--config-file 組態檔案]

或

ndsconfig def [-t 網路樹名稱] [-n 伺服器網路位置] [-a 管理員 FDN] [-w 管理員密碼] [-c] [-i] [-S 伺服器名稱] [-d DIB 路徑] [-m 模組] [-e] [-L LDAP 連接埠] [-l SSL 連接埠] [-o HTTP 連接埠] [-O HTTPS 連接埠] [-D 自訂位置] [--config-file 組態檔案]

將伺服器新增至現有網路樹

若要將伺服器新增至現有網路樹，請輸入以下指令：

ndsconfig add [-t treename] [-n server context] [-a admin_FDN] [-i] [-S server_name] [-d path_for_dib] [-m module] [e] [-L ldap_port] [-l SSL_port] [-o http_port] [-O https_port] [-p IP_address:[port]] [-R] [-c] [-w admin_password] [-b port_to_bind] [-B interface1@port1,interface2@port2,..] [-D custom_location] [--config-file configuration_file]

例如：

ndsconfig add -t corp-tree -n o=company -a cn=admin.o=company -S srv1

從伺服器中移除 Identity Vault 及其資料庫

導覽至預設位於 /var/opt/novell/eDirectory/data/ 中的 dsreports 目錄。
刪除您先前使用 iMonitor 建立的 HTML 檔案。

使用 ndsconfig 公用程式輸入以下指令：

ndsconfig rm [-a admin_FDN] [-w admin_password] [-p IP_address:[port]] [-c]

從網路樹中移除 eDirectory 伺服器物件和目錄服務

要從網路樹中移除伺服器物件，請輸入以下指令：

ndsconfig rm -a Admin_FDN

設定多個 Identity Vault 例項

您可以在一個主機上設定多個 Identity Vault 例項。使用 ndsconfig 公用程式設定多個例項的方法類似於多次設定一個例項。每個例項應具有唯一的例項識別碼，如下所述：

不同的資料和記錄檔案位置。使用 --config-file、-d 和 -D 選項。
例項要監聽的唯一連接埠號。使用 -b 和 -B 選項。
例項的唯一伺服器名稱。使用 -S 伺服器名稱選項。

如需詳細資訊，請參閱《NetIQ eDirectory Installation Guide》(NetIQ eDirectory 安裝指南) 中的「Using ndsconfig to Configure Multiple Instances of eDirectory」(使用 ndsconfig 設定多個 eDirectory 例項)。

附註：

在 Identity Vault 組態設定期間，預設的 NCP 伺服器名稱會設定為主機伺服器名稱。當設定多個例項時，您必須變更 NCP 伺服器名稱。使用 ndsconfig 指令行選項 -S 伺服器名稱可以指定其他伺服器名稱。若要設定多個例項 (無論是在相同的網路樹還是不同的網路樹中)，NCP 伺服器名稱都應該是唯一的。
所有例項共享同一個伺服器金鑰 (NICI)。

11.2.2 使用 ndsmanage 公用程式管理例項

使用 ndsmanage 公用程式可以建立、啟動和停止 Identity Vault 中的伺服器例項。您還可以檢視所設定例項的清單。

列出 Identity Vault 例項

您可以使用 ndsmanage 公用程式來檢視伺服器例項的組態檔案路徑、完全可辨識名稱和連接埠，以及所指定使用者的例項狀態 (使用中或非使用中)。該公用程式支援以下參數：

ndsmanage: 列出您設定的所有例項。
ndsmanage -a|--all: 列出所有使用 Identity Vault 特定安裝版本之使用者的例項。
ndsmanage 使用者名稱: 列出指定使用者設定的例項。

在 Identity Vault 中建立新例項

在指令行中輸入 ndsmanage。
輸入 c。
依照指令提示符中的指示建立新例項。

在 Identity Vault 中設定和取消設定例項

若要設定例項，請輸入以下指令：

ndsconfig new -t treename -n server_context -a admin_FDN -b port_to_bind -D path_for_data

例如：

ndsconfig new -t mytree -n o=netiq -a cn=admin.o=company -b 1524 -D
/home/mary/inst1/var --config-file /home/mary/inst1/nds.conf

附註：Linux 作業系統限制在裝入的檔案系統上建立通訊端。對於 eDirectory，NetIQ 建議將 var 目錄放置在本地檔案系統上 (結合 -D 選項使用 ndsconfig)，而 DIB 目錄可以採用任何檔案系統 (結合 -d 選項使用 ndsconfig)。

若要取消設定某個例項：

在指令行中輸入 ndsmanage。
選取要取消設定的例項。
輸入 d。

針對 Identity Vault 中的例項呼叫公用程式

您可以針對例項執行 DSTrace 等公用程式。例如，您想要對監聽連接埠 1524 的例項 1 執行 DSTrace 公用程式，其組態檔案位於 /home/mary/inst1/nds.conf 目錄，並且其 DIB 檔案位於 /home/mary/inst1/var 目錄中。您可以輸入下列其中一個指令：

ndstrace --config-file /home/mary/inst1/nds.conf

或

ndstrace -h 192.168.0.1:1524

如果您未指定例項識別碼，該公用程式會顯示您的所有例項。然後，您便可以選取一個例項。

在 Identity Vault 中啟動和停止例項

您可以啟動或停止您所設定的一或多個例項。

(視情況而定) 若要透過引導式程序啟動或停止單個例項，請完成以下步驟：
1. 在指令行中輸入 ndsmanage。
2. 選取要啟動或停止的例項。
3. 輸入 s 或 k 相應地啟動或停止該例項。

(視情況而定) 若要啟動或停止單個例項，請輸入：

ndsmanage start --config-file configuration_file_of_the_instance

或

ndsmanage stop --config-file configuration_file_of_the_instance

(視情況而定) 若要啟動或停止所有例項，請輸入：
```
ndsmanage startall
```
或
```
ndsmanage stopall
```