您可以使用非 root 使用者身分安裝 Identity Manager 引擎,以增強 Linux 伺服器的安全性。如果您是以 root 使用者身分安裝 Identity Vault,則不能以非 root 使用者身分安裝 Identity Manager 引擎。如果要以非 root 使用者身分安裝引擎,則需執行以下步驟:
確定已安裝 NICI。如需詳細資訊,請參閱安裝 NICI。
以非 root 使用者身分安裝 Identity Vault。如需詳細資訊,請參閱以非 root 使用者身分安裝 Identity Vault。
以非 root 使用者身分安裝 Identity Manager 引擎。如需詳細資訊,請參閱以非 root 使用者身分安裝引擎。
必須先安裝 NICI,然後再繼續 Identity Vault 安裝。由於必需的 NICI 套件將在系統範圍內使用,因此建議您使用 root 使用者身分安裝必要的套件。不過,如果需要,您也可以使用 sudo 將存取權委託給其他帳戶,然後使用該帳戶來安裝 NICI 套件。
從掛接的 iso 中,導覽至 /IDVault/setup/ 目錄。
執行以下指令:
rpm -ivh nici64-3.1.0-1.00.x86_64.rpm
驗證 NICI 是否設定為伺服器模式。輸入以下指令:
/var/opt/novell/nici/set_server_mode64
必須執行此步驟,以確定 Identity Vault 組態程序不會失敗。
本節介紹如何使用 Tar 聚合檔來安裝 Identity Vault。當您擷取檔案時,系統將建立 etc、opt 和 var 目錄。
以對要安裝 Identity Vault 的電腦擁有相應權限的 sudo 使用者身分登入。
附註:若要指定自訂安裝路徑,也可以使用 root 使用者身分登入。
從掛接的 iso 中,導覽至 /IDVault/ 目錄。
建立一個新目錄,然後將 eDir_NonRoot.tar.gz 檔案複製到該目錄。例如,/home/user/install/eDirectory。
使用下列指令來解壓縮檔案:
tar -zxvf eDir_NonRoot.tar.gz
若要手動輸出環境變數的路徑,請輸入以下指令:
export LD_LIBRARY_PATH=custom_location/eDirectory/opt/novell/eDirectory/ lib64:custom_location/eDirectory/opt/novell/eDirectory/lib64/ndsmodules: custom_location/eDirectory/opt/novell/lib64:$LD_LIBRARY_PATH export PATH=custom_location/eDirectory/opt/novell/eDirectory/ bin:custom_location/eDirectory/opt/novell/eDirectory/sbin:/opt/novell/ eDirectory/bin:$PATH export MANPATH=custom_location/eDirectory/opt/novell/man:custom_location/ eDirectory/opt/novell/eDirectory/man:$MANPATH export TEXTDOMAINDIR=custom_location/eDirectory/opt/novell/eDirectory/ share/locale:$TEXTDOMAINDIR
若要使用 ndspath 程序檔輸出環境變數的路徑,必須將 ndspath 程序檔置於公用程式之前。完成以下步驟:
從 custom_location/eDirectory/opt 目錄中,使用以下指令執行該公用程式:
custom_location/eDirectory/opt/novell/eDirectory/bin/ndspath utility_name_with_parameters
使用以下指令輸出目前外圍程序中的路徑:
. custom_location/eDirectory/opt/novell/eDirectory/bin/ndspath
照常執行公用程式。
在 /etc/profile、~/bashrc 或類似程序檔的末尾新增用於輸出路徑的指示。
執行此步驟後,每當您登入或者開啟新外圍程序時,都可以直接啟動公用程式。
使用以下方法之一設定 Identity Vault:
使用 ndsconfig 公用程式
ndsconfig new [-t <treename>] [-n <server_context>] [-a <admin_FDN>] [-w <admin password>] [-i] [-S <server_name>] [-d <path_for_dib>] [-m <module>] [e] [-L <ldap_port>] [-l <SSL_port>] [-o <http_port>] -O <https_port>] [-p <IP address:[port]>] [-c] [-b <port_to_bind>] [-B <interface1@port1>, <interface2@port2>,..] [-D <custom_location>] [--config-file <configuration_file>] [--configure-eba-now <yes/no>]
其中,-t 表示要將伺服器新增至的樹狀結構名稱。
-n 表示要在其中新增伺服器物件的伺服器網路位置。
-a 表示對要在其中建立伺服器物件和目錄服務的環境具有監督者權限的使用者物件的完整可辨識名稱。
-s 表示伺服器名稱。
-d 表示儲存資料庫檔案的目錄路徑。
-m 表示模組名稱。
必須指定在組態過程中所指定的相同值。
例如:
ndsconfig new -t novell-tree -n novell -a admin.novell -S linux1 -d /home/ mary/inst1/data -b 1025 -L 1026 -l 1027 -o 1028 -O 1029 -D /home/inst1/var --config-file /home/inst1/nds.conf --configure-eba-now yes
輸入的連接埠號碼需在 1024 到 65535 的範圍內。小於 1024 的連接埠號碼通常是為進階使用者和標準應用程式保留的。因此,您不能對任何 eDirectory 應用程式假定使用預設連接埠 524。
這可能會導致以下應用程式中斷:
未提供用來指定目標伺服器連接埠的選項的應用程式。
使用 NCP 並以 root 身分在 524 上執行的舊版應用程式。
使用 ndsmanage 公用程式設定一個新例項。如需詳細資訊,請參閱《NetIQ eDirectory Installation Guide》(NetIQ eDirectory 安裝指南) 中的「Creating an Instance through ndsmanage」(透過 ndsmanage 建立例項)。
當您使用此方法時,將無法安裝以下元件:
遠端載入器: 若要以非 root 使用者身分安裝遠端載入器,請使用 Java 遠端載入器。如需詳細資訊,請參閱安裝 Java 遠端載入器。
Linux 帳戶驅動程式: 需要根特權才能運作。
附註:以非 root 使用者身分安裝 Identity Manager 引擎時,安裝檔案位於非 root 使用者目錄下。例如 /home/user,其中 user 為非 root 使用者。執行 Identity Manager 並不需要安裝檔案。您可在安裝後刪除安裝檔案。
若要以非 root 使用者身分安裝 Identity Manager 引擎:
以安裝 Identity Vault 時使用的非 root 使用者身分登入。
該使用者帳戶必須對非 root Identity Vault 安裝的目錄和檔案具有寫入存取權。
導覽至掛接 Identity_Manager_4.8_Linux.iso 的位置。
從掛接位置導覽至 /IDM 目錄。
執行下列指令:
./idm-nonroot-install.sh
根據以下資訊完成此安裝:
指定非根 eDirectory 安裝的目錄。例如,/home/user/install/eDirectory。
如果這是在此 eDirectory 例項中安裝的第一個 Identity Manager 伺服器,請輸入 Y 以延伸綱要。如果未延伸綱要,則 Identity Manager 將無法運作。
系統會提示您為由非根 eDirectory 安裝所代管之非根使用者擁有的每一個 eDirectory 例項延伸綱要。
如果您選擇延伸綱要,請指定有權延伸綱要之 eDirectory 使用者的完整可辨識名稱 (DN)。使用者必須擁有整個網路樹的「監督者」權限才能延伸綱要。如需以非根使用者身分延伸綱要的詳細資訊,請參閱 schema.log 檔案,該檔案位於每一個 eDirectory 例項的 data 目錄中。
完成安裝之後,執行 /opt/novell/eDirectory/bin/idm-install-schema 程式,以對其他 eDirectory 例項延伸綱要。
若要完成安裝程序,請繼續完成非 Root 使用者安裝。