Identity Vault 使用一個目錄來儲存透過 Identity Manager 解決方案同步化的物件。以下章節包含的指導準則可協助您規劃要用做 Identity Vault 架構之 NetIQ eDirectory 的部署。
NetIQ 建議您在安裝用做 Identity Vault 架構的 eDirectory 之前檢閱以下考量:
在安裝 eDirectory 之前,您必須已設定將網路樹名稱解析成伺服器轉介的方法。NetIQ 建議使用服務位置通訊協定 (SLP) 服務。早於 8.8 版的 NetIQ eDirectory 安裝程式中包含 SLP。但對於 8.8 之後的版本,您必須單獨安裝 SLP。您也可以使用平面檔 hosts.nds 來解析網路樹名稱。如需詳細資訊,請參閱節 8.2, 使用 OpenSLP 或 hosts.nds 解析網路樹名稱。
(視情況而定) 在 Linux 伺服器上安裝時,您必須在路由表中指定 224.0.0.0,以使主機支援多路廣播路由。例如,輸入以下指令:
route add -net 224.0.0.0 netmask 240.0.0.0 dev interface
其中,interface 代表諸如 eth0、hme0、hme1 或 hme2 之類的值,具體視所用的網路介面卡而定。
若要使 eDirectory 基礎架構有效執行,您必須在伺服器上設定一個靜態 IP 位址。如果在伺服器上使用 DHCP 位址,eDirectory 可能會發生無法預期的結果。
在所有網路伺服器之間同步化時間。NetIQ 建議使用網路時間通訊協定 (NTP) 的 ntp 選項。
(視情況而定) 若要安裝次要伺服器,用於安裝該產品的分割區中所有複本都應處於「開啟」狀態。
(視情況而定) 若要以非管理員使用者身分在現有網路樹中安裝次要伺服器,請建立一個容器,然後將其分割。確保您具有以下權限:
對要新增該伺服器的分割區擁有「監督者」權限。
(Windows) 對要新增該伺服器的容器擁有「監督者」權限。
「所有屬性」權限:對 W0.KAP.Security 物件擁有讀取、比較和寫入權限。
「屬性」權限:對安全性容器物件擁有讀取和比較權限。
「存取」權限:對安全性容器物件擁有瀏覽權限。
當複本計數小於 3 時,若要新增複本,便需要擁有這些權限。
(視情況而定) 若要以非管理員使用者身分在現有網路樹中安裝次要伺服器,請確保網路樹中至少有一個伺服器的 eDirectory 版本等於或高於以容器管理員身分新增之次要伺服器的 eDirectory 版本。如果要新增之次要伺服器的版本更高,網路樹的管理員必須在使用容器管理員身分新增次要伺服器之前延伸綱要。
設定 eDirectory 時,必須在防火牆中啟用 NetWare 核心協定 (NCP) 連接埠 (預設為 524),以允許新增次要伺服器。此外,您還可以依據自己的要求啟用以下預設服務連接埠:
LDAP 純文字 - 389
LDAP 純文字 - 636
HTTP 純文字 - 8028
HTTP 純文字 - 8030
您必須使用適用於 eDirectory 的管理公用程式 (例如 iManager) 在每個工作站上安裝 Novell International Cryptographic Infrastructure (NICI)。NICI 和 eDirectory 支援的最大金鑰大小為 4096 位元。
在 Linux 上,Identity Vault 安裝程式 nds-install 會自動安裝 NICI。但您也可以手動安裝 NICI。如需詳細資訊,請參閱《NetIQ eDirectory Installation Guide》(NetIQ eDirectory 安裝指南) 中的「Installing NICI」(安裝 NICI)。
(視情況而定) NICI 2.7 和 eDirectory 8.8.x 支援的最大金鑰大小為 4096 位元。若要使用 4 KB 大小的金鑰,必須將每個伺服器升級至受支援的 eDirectory 版本。此外,還必須使用管理公用程式 (例如 iManager 和 ConsoleOne) 在每個工作站上安裝 NICI 2.7。
將證書管理中心 (CA) 伺服器升級至受支援的 eDirectory 版本後,金鑰大小不會變更,而是保持為 2 KB。若要建立 4 KB 大小的金鑰,必須在升級後的 eDirectory 伺服器上重新建立 CA。此外,在建立 CA 期間,必須將預設金鑰大小從 2 KB 變更為 4 KB。
(視情況而定) 如果 eDirectory 網路樹中容器的名稱包含句點,您在安裝期間以及在將伺服器新增至現有網路樹時,必須使用逸出字元指定管理員名稱、管理網路位置和伺服器網路位置參數。如需詳細資訊,請參閱節 8.1, 當容器名稱中包含句點 (「.」) 時使用逸出字元。
若要以非 root 使用者身分安裝 Identity Vault,您的環境必須符合以下條件:
您無法以非 root 使用者身分在叢集環境中安裝 Identity Vault。
必須由 root 使用者在伺服器上安裝 NICI。如需詳細資訊,請參閱節 8.6, 在裝有管理公用程式的工作站上手動安裝 NICI。
必須由 root 使用者在伺服器上安裝並設定 SNMP 子代理程式 (NOVsubag)。
輸入以下指令:rpm -ivh --nodeps NOVLsubag_rpm_file_name_with_path。
使用以下指令手動輸出環境變數的路徑:
export LD_LIBRARY_PATH=custom_location/opt/novell/eDirectory/lib64:/opt/novell/eDirectory/lib64/nds-modules:/opt/novell/lib64:$LD_LIBRARY_PATH export PATH=/opt/novell/eDirectory/bin:$PATH export MANPATH=/opt/novell/man:$MANPATH
例如:
rpm -ivh --nodeps novell-NOVLsubag-8.8.1-5.i386.rpm
(視情況而定) 若要在 Identity Vault 伺服器上使用 SLP 和 SNMP,您必須以 root 身分安裝這些服務。
安裝 Identity Vault 的非 root 使用者帳戶必須對安裝目錄擁有「寫入」權限。
NetIQ 建議您在 Windows 伺服器上安裝 Identity Vault 之前檢閱以下考量:
您必須擁有該 Windows 伺服器的管理權限,並且對 eDirectory 網路樹中包含具備網域功能之「使用者」物件的所有部分擁有管理權限。要安裝到現有的網路樹,您需要管理網路樹物件的權限,這樣您才可以延伸綱要與建立物件。
(視情況而定) 在執行靜默安裝 (無人管理安裝) 之前,必須在目標伺服器上安裝以下軟體:
Microsoft Visual C++ 2005 和 Microsoft Visual C++ 2012 可轉散發套件。依預設,安裝檔案 vcredist_x86.exe 和 vcredist_x64.exe 位於 eDirectory\Windows\x64\redist_pkg 資料夾中。
適用於 32 位元和 64 位元系統的 Novell International Cryptographic Infrastructure (NICI)。依預設,安裝檔案位於 eDirectory/Windows/處理器類型/nici 資料夾中。
由於 NTFS 提供比 FAT 檔案系統更安全的交易程序,您只能在 NTFS 分割區上安裝 eDirectory。因此,如果您只有 FAT 檔案系統,請採用下列其中一種方法:
使用「磁碟管理者」。如需詳細資訊,請參閱相應的 Windows Server 文件。
建立新的分割區並格式化為 NTFS。
使用 CONVERT 指令將現存的 FAT 檔案系統轉換為 NTFS。
如需詳細資訊,請參閱相應的 Windows Server 文件。
若您的伺服器只提供 FAT 檔案系統而且您忘記或忽視了這項程序,安裝程式會提示您要提供 NTFS 分割區。
您必須執行最新版本的 Windows SNMP 服務。
在您開始執行安裝程序之前,您的 Windows 作業系統執行的必須是最新的 Service Pack。
若要在使用 DHCP 位址的虛擬機器上安裝,或者要在未廣播 SLP 的實體機器或虛擬機器上安裝,請確保網路中已設定目錄代理程式。如需詳細資訊,請參閱節 8.2.2, 瞭解 OpenSLP。
NetIQ 建議您在叢集環境中安裝 Identity Vault 之前檢閱以下考量:
您必須有兩個或更多個裝有叢集軟體的 Windows 伺服器或 Linux 伺服器。
您必須有叢集軟體支援的外部共享儲存區,其磁碟空間足以儲存所有 Identity Vault 和 NICI 資料:
Identity Vault DIB 必須位於叢集共享儲存中。Identity Vault 的狀態資料必須位於共享儲存中,以便可供目前正執行服務的叢集節點使用。
必須將每個叢集節點上的根 Identity Vault 例項設定為使用共享儲存中的 DIB。
此外,您還必須共享 NICI (NetIQ International Cryptographic Infrastructure) 資料,以便在叢集節點之間複製伺服器特定的金鑰。所有叢集節點使用的 NICI 資料都必須位於叢集共享儲存中。
NetIQ 建議在共享儲存中儲存所有其他 eDirectory 組態和記錄資料。
您必須有一個虛擬 IP 位址。
(視情況而定) 如果您要使用 eDirectory 做為 Identity Vault 的支援結構,nds-cluster-config 公用程式僅支援設定根 eDirectory 例項。eDirectory 不支援設定多個例項,並且不支援以非 root 身分在叢集環境中安裝 eDirectory。
如需詳細資訊,請參閱節 11.0, 在叢集環境中安裝 Identity Vault。