身份库使用某个目录来储存通过 Identity Manager 解决方案同步的对象。以下各节包含相关指导,可帮助您规划要用作身份库框架的 NetIQ eDirectory 的部署。
NetIQ 建议您在安装用作身份库框架的 eDirectory 之前,先查看以下注意事项:
在安装 eDirectory 之前,必须通过某种方法将树名解析成服务器参照。NetIQ 建议使用服务定位协议 (SLP) 服务。8.8 版以下的 NetIQ eDirectory 安装程序中包含了 SLP。但是,对于 8.8 之后的版本,您必须单独安装 SLP。您也可以使用平面文件 hosts.nds 来解析树名。有关详细信息,请参见部分 8.2, 使用 OpenSLP 或 hosts.nds 解析树名。
(视情况而定)在 Linux 服务器上安装时,必须在路由表中指定 224.0.0.0 以对主机启用多路广播路由。例如,输入以下命令:
route add -net 224.0.0.0 netmask 240.0.0.0 dev interface
其中,interface 表示如 eth0、hme0、hme1 或 hme2 之类的值,具体取决于网络接口卡。
要使 eDirectory 基础结构有效执行,您必须在服务器上配置一个静态 IP 地址。如果在服务器上使用 DHCP 地址,eDirectory 可能会发生不可预知的结果。
同步所有网络服务器上的时间。NetIQ 建议使用网络时间协议 (NTP) 的 ntp 选项。
(视情况而定)要安装二级服务器,安装该产品的目标分区中的所有复本都应处于“开”状态。
(视情况而定)要以非管理员用户身份在现有树中安装二级服务器,请创建一个容器,然后对它进行分区。确保您具有以下权限:
对该服务器所要添加到的目标分区具有“主管”权限。
(Windows) 对该服务器所要添加到的目标容器具有“主管”权限。
所有属性权限:对 W0.KAP.Security 对象具有读取、比较和写入权限。
属性权限:对安全性容器对象具有读取和比较权限。
条目权限:对安全性容器对象具有浏览权限。
当复本计数小于 3 时,如果您要添加复本,则需要具有这些权限。
(视情况而定)要以非管理员用户身份在现有树中安装二级服务器,请确保树中至少有一个服务器的 eDirectory 版本等于或高于以容器管理员身份添加的二级服务器的 eDirectory 版本。如果所添加的二级服务器的版本更高,树管理员必须先扩展纲要,然后使用容器管理员添加二级服务器。
配置 eDirectory 时,您必须在防火墙中启用 NetWare 核心协议 (NCP) 端口(默认为 524),以允许添加二级服务器。此外,您还可以根据需要启用以下默认服务端口:
LDAP 明文 - 389
LDAP 明文 - 636
HTTP 明文 - 8028
HTTP 明文 - 8030
您必须使用适用于 eDirectory 的管理实用程序(例如 iManager)在每个工作站上安装 Novell International Cryptographic Infrastructure (NICI)。NICI 和 eDirectory 支持最多 4096 位的密钥大小。
在 Linux 上,身份库安装程序 nds-install 会自动安装 NICI。但是,您也可以手动安装 NICI。有关详细信息,请参见《NetIQ eDirectory Installation Guide》(NetIQ eDirectory 安装指南)中的“Installing NICI”(安装 NICI)。
(视情况而定)NICI 2.7 和 eDirectory 8.8.x 支持最多 4096 位的密钥大小。要使用 4 KB 密钥大小,必须将每个服务器升级到支持的 eDirectory 版本。此外,还必须使用管理实用程序(例如 iManager 和 ConsoleOne)在每个工作站上安装 NICI 2.7。
在将证书颁发机构 (CA) 服务器升级到支持的 eDirectory 版本时,密钥大小不会改变,仍将保持 2 KB。要创建 4 KB 密钥大小,必须在升级后的 eDirectory 服务器上重新创建 CA。此外,在创建 CA 期间,必须将默认密钥大小从 2 KB 更改为 4 KB。
(视情况而定)如果 eDirectory 树中的容器名称包含句点,则您在安装期间以及在向现有树中添加服务器时,必须使用转义符指定管理员名称、管理员环境和服务器环境参数。有关详细信息,请参见部分 8.1, 当容器名称包含句点(“.”)时使用转义符。
要以非 root 用户身份安装身份库,您的环境必须满足以下条件:
无法以非 root 用户身份在群集环境中安装身份库。
必须由 root 用户在服务器上安装 NICI。有关详细信息,请参见部分 8.6, 在使用管理实用程序的工作站上手动安装 NICI。
必须由 root 用户在服务器上安装并配置 SNMP 子代理 (NOVsubag)。
输入以下命令:rpm -ivh --nodeps NOVLsubag_rpm_file_name_with_path。
使用以下命令手动导出环境变量的路径:
export LD_LIBRARY_PATH=custom_location/opt/novell/eDirectory/lib64:/opt/novell/eDirectory/lib64/nds-modules:/opt/novell/lib64:$LD_LIBRARY_PATH export PATH=/opt/novell/eDirectory/bin:$PATH export MANPATH=/opt/novell/man:$MANPATH
例如:
rpm -ivh --nodeps novell-NOVLsubag-8.8.1-5.i386.rpm
(视情况而定)要在身份库服务器上使用 SLP 和 SNMP,必须以 root 用户身份安装服务。
安装身份库的非 root 用户帐户必须对所要安装到的目录具有“写”权限。
NetIQ 建议您在 Windows 服务器上安装身份库之前,先查看以下注意事项:
您必须对 Windows 服务器以及对 eDirectory 树中包含支持域功能的“用户”对象的所有部分具有管理权限。安装到现有的树中时,需要具有对树对象的管理权限以便扩展纲要和创建对象。
(视情况而定)在执行无提示安装(无人照管)之前,必须先在目标服务器上安装以下软件:
Microsoft Visual C++ 2005 和 Microsoft Visual C++ 2012 可再发行组件包。默认情况下,安装文件 vcredist_x86.exe 和 vcredist_x64.exe 位于 eDirectory\Windows\x64\redist_pkg 文件夹中。
适用于 32 位和 64 位的 Novell International Cryptographic Infrastructure (NICI)。默认情况下,安装文件位于 eDirectory/Windows/processor_type/nici 文件夹中。
由于 NTFS 提供的事务进程较之 FAT 文件系统提供的事务进程更安全,所以您只能在 NTFS 分区上安装 eDirectory。因此,如果您只有 FAT 文件系统,请执行以下操作之一:
使用磁盘管理程序。有关详细信息,请参见 Windows Server 文档。
创建一个新的分区并将其格式化为 NTFS。
使用 CONVERT 命令将现有 FAT 文件系统转换为 NTFS。
有关详细信息,请参见 Windows Server 文档。
如果服务器仅有 FAT 文件系统,而您忘记或疏忽了这一过程,安装程序将提示您提供 NTFS 分区。
您必须运行最新版本的 Windows SNMP 服务。
只有 Windows 操作系统运行的是最新的服务包,您才可以开始安装过程。
要在具有 DHCP 地址的虚拟机上安装,或者要在未广播 SLP 的物理机或虚拟机上安装,请确保网络中已配置目录代理。有关详细信息,请参见部分 8.2.2, 了解 OpenSLP。
NetIQ 建议您在群集环境中安装身份库之前,先查看以下注意事项:
必须配备两个或更多个装有群集软件的 Windows 服务器或 Linux 服务器。
必须配备群集软件支持的外部共享储存,且其磁盘空间足以储存所有身份库和 NICI 数据:
身份库 DIB 必须位于群集共享储存中。身份库的状态数据必须位于共享储存中,以供当前运行服务的群集节点使用。
必须将每个群集节点上的根身份库实例配置为使用共享储存中的 DIB。
此外,您还必须共享 NICI (NetIQ International Cryptographic Infrastructure) 数据,以便在群集节点之间复制服务器特定的密钥。所有群集节点使用的 NICI 数据必须位于群集共享储存中。
NetIQ 建议在共享储存中储存所有其他 eDirectory 配置和日志数据。
您必须有一个虚拟 IP 地址。
(视情况而定)如果您使用 eDirectory 作为身份库的支持结构,nds-cluster-config 实用程序仅支持配置根 eDirectory 实例。eDirectory 不支持配置多个实例,也不支持以非 root 身份在群集环境中安装 eDirectory。
有关详细信息,请参见部分 11.0, 在群集环境中安装身份库。