Um die Leistung der Benutzeranwendung zu verbessern, sollte der Administrator von eDirectory™ Indizes für die Attribute „manager“, „ismanager“ und „srvprvUUID“ erstellen. Sind für diese Attribute keine Indizes vorhanden, kann dies insbesondere in einer Cluster-Umgebung eine eingeschränkte Leistung zur Folge haben.
Diese Indizes können automatisch während der Installation erstellt werden, wenn Sie auf der Registerkarte des Teilfensters „Benutzeranwendung - Konfiguration“ auswählen (beschrieben in Tabelle A-2). Alternativ erhalten Sie im Novell eDirectory-Administrationshandbuch weitere Anweisungen zur Verwendung des Index-Managers zum Erstellen von Indizes.
Diese Konfiguration ist nur dann erforderlich, wenn Sie die SAML-Beglaubigungsmethode verwenden möchten, jedoch nicht den Access Manager verwenden. Wenn Sie den Access Manager verwenden, enthält Ihre eDirectory-Baumstruktur bereits die Methode. Das Verfahren umfasst folgende Schritte:
Installieren der SAML-Methode in Ihrer eDirectory-Baumstruktur
Bearbeiten der eDirectory-Attribute mithilfe von iManager
Suchen Sie im .iso-Image die Datei nmassaml.zip und entpacken Sie sie.
Installieren Sie die SAML-Methode in Ihre eDirectory-Baumstruktur.
Erweitern Sie das in authsaml.sch gespeicherte Schema.
Im folgenden Beispiel wird die Durchführung unter Linux gezeigt:
ndssch -h <edir_ip> <edir_admin> authsaml.sch
Installieren Sie die SAML-Methode.
Im folgenden Beispiel wird die Durchführung unter Linux gezeigt:
nmasinst -addmethod <edir_admin> <tree> ./config.txt
Öffnen Sie iManager und wechseln Sie zu .
Wählen Sie .
Erstellen Sie ein neues Objekt der Klasse authsamlAffiliate.
Wählen Sie authsamlAffiliate und klicken Sie auf . (Sie können diesem Objekt einen beliebigen gültigen Namen geben.)
Wählen Sie das Containerobjekt in der Baumstruktur aus, um den Kontext anzugeben, und klicken Sie anschließend auf
Sie müssen Attribute zum Klassenobjekt authsamlAffiliate hinzufügen.
Wechseln Sie zur iManager-Registerkarte und suchen Sie Ihr neues affiliate-Objekt im Container „SAML Assertion.Authorized Login Methods.Security“.
Wählen Sie das neue affiliate-Objekt und wählen Sie anschließend aus.
Fügen Sie ein -Attribut zum neuen affiliate-Objekt hinzu. Dieses Attribut dient der Übereinstimmung einer Assertion mit ihrem Partner. Der Inhalt dieses Attributs muss exakt mit dem Ausstellerattribut übereinstimmen, das von der SAML-Assertion gesendet wurde.
Klicken Sie auf .
Fügen Sie die Attribute und zum affiliate-Objekt hinzu. Diese Attribute definieren die Zeit in Sekunden um ein in einer Assertion, wenn die Assertion als gültig angesehen wird. Der übliche Standardwert ist 180 Sekunden.
Klicken Sie auf .
Wählen Sie den Sicherheitscontainer und anschließend aus, um einen in Ihrem Sicherheitscontainer zu erstellen.
Erstellen Sie ein sobjekt im Herkunftsverbürgungscontainer.
Kehren Sie zurück zu und wählen Sie anschließend .
Wählen Sie erneut .
So erstellen Sie ein sobjekt für das Zertifikat, das Ihr Partner zum Signieren von Assertions verwendet. Sie benötigen hierzu eine verschlüsselte Kopie des Zertifikats.
Erstellen Sie neue Herkunftsverbürgungsobjekte für jedes Zertifikat in der Kette der unterzeichnenden Zertifikate bis zum Stamm-CA-Zertifikat.
Legen Sie den Kontext auf den zuvor erstellen Herkunftsverbürgungs-Container fest und klicken Sie anschließend auf .
Kehren Sie zum Objekt-Viewer zurück.
Fügen Sie ein -Attribut zum affiliate-Objekt hinzu und klicken Sie anschließend auf .
Dieses Attribut sollte auf das „Herkunftsverbürgungsobjekt“ für das unterzeichnende Zertifikat zeigen, das Sie im vorherigen Schritt erstellt haben. (Alle Assertions für den Partner müssen von Zertifikaten unterzeichnet werden, auf die dieses Attribut zeigt, sonst werden sie abgewiesen.)
Fügen Sie ein -Attribut zum affiliate-Objekt hinzu und klicken Sie anschließend auf .
Dieses Attribut sollte auf den „Herkunftsverbürgungscontainer“ zeigen, den Sie bereits erstellt haben. (Dieses Attribut dient zur Überprüfung der Zertifikatskette des unterzeichnenden Zertifikats.)