要从支持 EBA 的 iManager 访问支持 EBA 的 eDirectory,EBA CA 证书必须驻留在 EBA 信任的 iManager 证书储存中。.eba.p12 文件包含树的 EBA CA 证书。要在运行 iManager 的计算机上下载 EBA CA 证书,请使用 ebaclientinit。ebaclientinit 是在 iManager 安装包中捆绑的新命令行实用程序。
当您运行 ebaclientinit 时,此实用程序将为特定树的特定用户生成一个 .eba.p12 文件。该文件是隐藏的,驻留在 Linux 上的用户主目录 ($HOME) 和 Windows 上的用户配置文件目录 (%USERPROFILE%)·中。
重要说明:EBA 要求 eDirectory 环境中所有启用 EBA 的服务器和客户端上的时间进行同步。如果未同步时间,EBA 可能无法正常工作。
下表列出了可用于 ebaclientinit 实用程序的命令行选项:
|
命令行选项 |
说明 |
|---|---|
|
--user-dn |
以点分隔格式表示的用户 DN。 |
|
--password |
启用 EBA 的用户的口令。 |
|
--地址 |
树中 NCP 服务器的地址。语法是 <IP 地址>:<端口>。 |
例如,ebaclientinit --mechanism ebatls --user-dn john.foo.org --password p@$$w0rd --address 111.111.11.1:524
根据您的平台,使用以下方法之一运行 ebaclientinit:
Linux: iManager 在 Linux 上以 novlwww 用户身份运行。因此,使用以下命令以 novlwww 用户身份运行 ebaclientinit:
sudo -u novlwww -H LD_LIBRARY_PATH=/var/opt/novell/iManager/nps/WEB-INF/bin/linux/var/opt/novell/iManager/nps/WEB-INF/bin/linux/ebaclientinit --mechanism ebatls
Windows: 执行以下操作:
以 System 用户以外的任何其他用户身份登录到 iManager。
通过 C:\Program Files\Novell\Tomcat\webapps\nps\WEBINF\bin\windows\ebaclientinit.exe --mechanism ebatls 运行 ebaclientinit。
这会将 .eba.p12 文件放置在用户的主目录中。
将 .eba.p12 文件复制到 C:\Windows\System32\config\systemprofile。
您需要执行此操作,因为 iManager 在 Windows 中以 System 用户身份运行。
此外,也可以使用 psexec 工具以 System 用户身份运行 ebaclientinit。
从 Microsoft 下载页下载 psexec 工具。
在命令提示符下,导航到包含 psexec 的目录并运行以下命令:
psexec -i -s -d cmd
在命令提示符下,使用以下命令运行 ebaclientinit:
C:\Windows\system32\Program Files\Novell\Tomcat\webapps\nps\WEBINF\bin\windows\ebaclientinit.exe --mechanism ebatls
注:如果 iManager 未在 .eba.p12 文件中找到树的 EBA CA 证书,或者如果 .eba.p12 文件不存在,iManager 的 EBA 插件将提示您输入充当 EBA CA 的服务器的 sadmin 身份凭证。但是,NetIQ 公司不建议您使用 sadmin。