2.4 Аутентификация на сервере eDirectory с поддержкой EBA

Для доступа к дереву eDirectory с поддержкой EBA из iManager с поддержкой EBA сертификат EBA CA должен находиться в хранилище доверенных сертификатов iManager. Файл .eba.p12 содержит сертификат EBA CA дерева. Для загрузки сертификата EBA CA на компьютер с iManager используйте утилиту ebaclientinit. ebaclientinit — это новая утилита командной строки, входящая в комплект программы установки iManager.

При запуске утилиты ebaclientinit она создает файл .eba.p12 для определенного пользователя и дерева. Этот файл является скрытым и находится в личном каталоге пользователя ($HOME) в Linux или в каталоге профиля пользователя (%USERPROFILE%) в Windows.

ВАЖНО.При использовании EBA необходимо, чтобы на всех серверах и клиентах EBA в среде eDirectory было синхронизировано время. Если время не синхронизировано, EBA может работать неправильно.

В следующей таблице перечислены параметры командной строки утилиты ebaclientinit.

Параметры командной строки

Описание

--user-dn

Отличительное имя пользователя в формате с точками.

--пароль

Пароль пользователя EBA.

--адрес

Адрес сервера NCP в дереве. Синтаксис: <IP-адрес >:< порт >.

Пример: ebaclientinit --mechanism ebatls --user-dn john.foo.org --password p@$$w0rd --address 111.111.11.1:524

В зависимости от платформы для запуска ebaclientinit используется один из следующих методов.

Linux: В Linux iManager запускается от имени пользователя novlwww. Поэтому запускайте ebaclientinit от имени пользователя novlwww, используя следующую команду.

sudo -u novlwww -H LD_LIBRARY_PATH=/var/opt/novell/iManager/nps/WEB-INF/bin/linux/var/opt/novell/iManager/nps/WEB-INF/bin/linux/ebaclientinit --mechanism ebatls

Windows. Выполните следующие действия.

  1. Выполните вход в iManager от имени любого пользователя, кроме пользователя Система.

  2. Запустите утилиту ebaclientinit с помощью команды C:\Program Files\Novell\Tomcat\webapps\nps\WEBINF\bin\windows\ebaclientinit.exe --mechanism ebatls.

    При этом файл .eba.p12 будет помещен в личный каталог пользователя.

  3. Скопируйте файл .eba.p12 в папку C:\Windows\System32\config\systemprofile.

    Это действие необходимо, так как iManager в Windows запускается от имени пользователя Система.

Можно также запустить утилиту ebaclientinit с помощью средства psexec от имени пользователя Система.

  1. Загрузите средство psexec с веб-сайта загрузок Microsoft.

  2. Из командной строки перейдите в каталог, содержащий средство psexec, и выполните следующую команду.

    psexec -i -s -d cmd

  3. Запустите ebaclientinit, введя следующую команду в командной строке: 

    C:\Windows\system32\Program Files\Novell\Tomcat\webapps\nps\WEBINF\bin\windows\ebaclientinit.exe --mechanism ebatls

ПРИМЕЧАНИЕ.Если iManager не удается найти сертификат EBA CA для дерева в файле .eba.p12 или если файл .eba.p12 отсутствует, подключаемый модуль EBA в iManager выведет запрос на ввод учетных данных sadmin сервера, выполняющего функции центра сертификации EBA. Компания NetIQ не рекомендует использовать sadmin.