Aplikacja LDAP Services for NDS firmy Novell® instalowana jest wraz z NDS eDirectoryTM. Domyslna konfiguracje tej aplikacji mozna zmodyfikowac przy uzyciu programu ConsoleOneTM. Aby uzyskac wiecej informacji, patrz Instalacja i aktualizacja produktu NDS eDirectory.
Przy instalacji NDS do drzewa katalogu dodawane sa dwa nowe obiekty:
Patrz Konfigurowanie obiektu serwera LDAP , aby uzyskac wiecej informacji na ten temat.
Patrz Konfigurowanie obiektu grupy LDAP , aby uzyskac wiecej informacji na ten temat.
Aplikacja LDAP Services for NDS moze byc ladowana i zwalniana recznie. Aby zaladowac LDAP Services for NDS nalezy wprowadzic nastepujace polecenia:
Ladowanie i zwalnianie aplikacji LDAP Services for NDS
Tabela 95.
| Serwer | Polecenie |
|---|---|
Novell |
Po znaku zachety konsoli wpisz LOAD NLDAP.NLM. |
Windows* NT* |
Na ekranie DHOST (NDSCONS) wybierz NLDAP.DLM > kliknij Start. |
Linux*, Solaris* lub Tru64 |
Po znaku zachety systemu Linux, Solaris lub Tru64, wpisz /usr/sbin/nldap -l |
Aby zwolnic aplikacje LDAP Services for NDS, nalezy wprowadzic nastepujace polecenia:
Tabela 96.
| Serwer | Polecenie |
|---|---|
NetWare® |
Po znaku zachety konsoli wpisz: UNLOADNLDAP.NLM. |
Windows NT |
Na ekranie DHOST (NDSCONS), wybierz NLDAP.DLM > kliknij Stop. |
Linux, Solaris lub Tru64 |
Po znaku zachety systemu Linux, Solaris lub Tru64, wpisz /usr/sbin/nldap -u |
Ponizej przedstawiono optymalne ustawienia aplikacji dla uslug przeszukiwania i uwierzytelniania w przypadku serwera z dwoma procesorami i 2 GB RAM:
Tabela 97.
Maksymalny limit portu TCP |
45000 |
Maksymalna liczba oczekujacych zadan polaczenia TCP |
4096 |
Maksymalna liczba buforów odbioru pakietów |
10000 |
Minimalna liczba buforów odbioru pakietów |
3000 |
Maksymalny rozmiar fizyczny odbieranego pakietu |
2048 |
Maksymalna liczba jednoczesnych zapisów do bufora dysku |
2000 |
Maksymalna liczba jednoczesnych zapisów do bufora katalogu |
500 |
Maksymalna liczba buforów katalogu |
200000 |
Maksymalna liczba wewnetrznych uchwytów katalogu |
100 |
Maksymalna liczba uchwytów katalogu |
20 |
DSTRACE |
!mxxxxxx Zastap xxxxxx wielkoscia pamieci of RAM (w bajtach) która ma byc uzyta na bufor. W systemie NT, utwórz w katalogu NDS plik tekstowy o nazwie_NDSDB.INI, a nastepnie dolacz ten wiersz. |
NDS eDirectory wykorzystuje pamiec na bufor bazy danych oraz na potrzeby katalogu. Sa to oddzielnie przydzielone pule pamieci. Mechanizm katalogu w razie potrzeby korzysta z pamieci zawartej w dostepnych w systemie operacyjnym pulach pamieci. Baza danych korzysta z puli bufora, zdefiniowanej za pomoca ponizszych parametrów. Zwiekszenie rozmiaru bufora bazy danych NDS eDirectory przyczynia sie zwykle do poprawy wydajnosci. Jednak poniewaz NDS eDirectory wykorzystuje dostepna w systemie pamiec na swoje bufory, jezeli klienci wykonuja zapytania wymagajace zwracania duzych zbiorów danych, moze zajsc koniecznosc zmniejszenia rozmiaru bufora bazy danych aby katalog dysponowal wystarczajaca iloscia pamieci do obslugi odpowiedzi na zapytania.
Mechanizm bazy danych wykorzystuje jej bufor do przechowywania bloków do których ostatnio uzyskano dostep. Poczatkowy, staly rozmiar tego bufora wynosi 16 MB. W dostarczanych wersjach eDirectory, rozmiar ten moze byc zmieniony przy pomocy wiersza polecen. Ponizsze przykladowe polecenie ustawia rozmiar bufora bazy danych eDirectory na 80 milionów bajtów:
set dstrace=!mb 80000000
Mozna równiez zdefiniowac plik o nazwie _NDSDB.INI, umieszczony w katalogu SYS:\NETWARE na serwerze NetWare, lub w katalogu zawierajacym pliki bazy danych eDirectory w srodowiskach Windows, Solaris i Linux (zwykle \novell\nds\dbfiles). W pliku tym nalezy po prostu umiescic wiersz, np. taki jak ponizszy:
cache=80000000
Przy znaku równosci (=) nie nalezy wstawiac zadnych odstepów
Bufor w NDS eDirectory 8.5 mozna zainicjowac ze sztywnym limitem pamieci, tak jak we wczesniejszych wersjach. Mozna równiez ustawic górne i dolne limity pamieci, w postaci wartosci bezwzglednych lub w postaci procenta dostepnej pamieci. Parametry dynamicznego sterowania przydzialem pamieci umozliwiaja dostosowywanie sie rozmiaru bufora do potrzeb. Przy zastosowaniu wlasciwych parametrów konfiguracyjnych, rozmiar bufora bazy danych dostosowuje sie do potrzeb innych zasobów systemowych.
Edytujac plik _NDSDB.INI mozna recznie sterowac wykorzystaniem pamieci na potrzeby bazy danych. Ponizej przedstawiono format polecen pliku INI:
cache=bajtyBufora # Ustawia sztywny limit pamieci.
Formaty alternatywne pokazane sa w Tabela 98.
Tabela 98.
cache=opcje_bufora |
Ustawia sztywny lub dynamicznie dostosowujacy sie limit. Mozna podac kilka opcji bufora w dowolnym porzadku, oddzielajac je przecinkami. Wszystkie sa opcjonalne. Dostepne sa nastepujace atrybuty: |
DYN lub HARD |
Limit dynamiczny lub sztywny. |
AVAIL lub TOTAL |
(DOSTEPNA lub CALKOWITA) - Opcje te maja zastosowanie tylko przy wyborze sztywnego (HARD) limitu. Nalezy je pominac w przypadku limitu dynamicznego. |
%:procent |
Procent dostepnej lub calkowitej pamieci fizycznej. |
MIN:bajty |
Minimalna liczba bajtów. |
MAX:bajty |
Maksymalna liczba bajtów. |
LEAVE:bajty |
Minimalna liczba bajtów pamieci, która byc pozostawiona systemowi operacyjnemu. |
blockcachepercent=procent |
Rozdziela bufor na bufor bloków i bufor rekordów (blockcachelimit - limit dla bufora bloków). |
Jezeli okreslono sztywny limit a administrator chce okreslic aby bufor bazy danych wykorzystywal pewien procent pamieci, moze on zdecydowac czy ma to byc procent calkowitej pamieci czy procent dostepnej pamieci. Limit dynamiczny zawsze odnosi sie do procentu dostepnej pamieci. Ponizszej podano przyklady prawidlowych polecen w pliku _NDSDB.INI.
Nastepujacy przyklad okresla dynamiczny limit 75% dostepnej pamieci, minimum 16 mln bajtów, przy pozostawieniu 32 mln bajtów systemowi operacyjnemu:
cache=DYN,%:75,MIN:16000000, LEAVE 32000000
Nastepujacy przyklad okresla sztywny limit na 75% calkowitej pamieci fizycznej, minimum 18 mln bajtów i maksimum 512 mln bajtów:
cache=HARD, TOTAL,%:75,MIN:18000000, MAX 512000000
Kolejny przyklad okresla sztywny limit 8 mln bajtów, na wzór starszych wersji NDS:
cache=8000000
Bufor bazy danych jest podzielony na bufor bloków i bufor rekordów. Bufor bloków przechowuje bloki danych i indeksów, dublujac te które sa przechowywane na dysku. Bufor rekordów przechowuje pamieciowe reprezentacje obiektów i atrybutów katalogu. Jezeli dokonywane sa aktualizacje katalogu lub dolaczane sa do niego obiekty czy atrybuty, nalezy uzywac bufora bloków. I Przy dokonywaniu wielu sekwencyjnych aktualizacji bez prawidlowego przydzielenia rozmiaru bufora mozliwe jest przeladowanie obu buforów. O ile nie okreslono inaczej, na oba bufory zostaje przydzielone po 50% calkowitego rozmiaru bufora. Aby procentowo okreslic jaka czesc bufora ma byc przeznaczona na buforowanie bloków danych i indeksów, do pliku _NDSDB.INI nalezy dodac opcje blockcachepercent (procent na bufor bloków). (Domyslnie jest to 50%). Pozostala czesc bufora uzywana jest dla wpisów.
Aby na przyklad przeznaczyc 60% bufora na bufor bloków a 40% na bufor rekordów, nalezy wprowadzic:
blockcachepercent=60
Na zaden z tych typów buforów nie nalezy przeznaczac 100% calkowitej wielkosci bufora, gdyz spowoduje to zablokowanie drugiego bufora. Zasadniczo, na zaden z tych buforów nie nalezy przeznaczac wiecej niz 75% calkowitej pamieci bufora.
Ustawienia bufora bazy danych mozna równiez kontrolowac przy uzyciu programu NDS iMonitor.
Chociaz rozmiar bufora zmienia sie dynamicznie, w zaleznosci od dostepnej pamieci, mimo to w indywidualnych przypadkach mozna nadal uzywac polecenia DSTRACE.
Obiekt serwera LDAP przechowuje dane konfiguracyjne serwera aplikacji LDAP Services for NDS. Podczas instalacji tworzony jest obiekt serwera LDAP pod nazwa Serwer LDAP nazwa_serwera (gdzie nazwa_serwera jest nazwa serwera na którym zainstalowana jest aplikacja LDAP Services for NDS). Obiekt serwera LDAP tworzony jest w tym samym kontenerze co obiekt serwera.
Kazdy obiekt serwera LDAP konfiguruje jeden serwer aplikacji LDAP Services for NDS. Nie nalezy przypisywac tego samego obiektu serwera LDAP do wiecej niz jednego serwera z zainstalowana aplikacja LDAP Services for NDS. W przypadku przypisania obiektu serwera LDAP do drugiego serwera, dotychczasowe przypisanie do pierwszego serwera zostanie anulowane.
W czasie konfiguracji obiektu serwera LDAP, do serwera LDAP wysylane jest zadanie odswiezenia. Przez krótki okres czasu nie sa wówczas obslugiwane zadne zadania uslug od klientów LDAP (takie jak ldapadd).
W programie ConsoleOne kliknij prawym przyciskiem myszy obiekt serwera LDAP > kliknij Wlasciwosci.
Na stronach wlasciwosci wprowadz konfigurowalne parametry.
Aby uzyskac wiecej informacji na temat parametrów serwera LDAP, patrz dokumentacja elektroniczna na temat LDAP.
Kliknij Zastosuj > OK.
Obiekt grupy LDAP zawiera dane konfiguracyjne, które moga byc stosowane w odniesieniu do pojedynczego serwera LDAP lub do grupy serwerów LDAP. Jezeli taka sama konfiguracja ma byc zastosowana dla kilku serwerów, nalezy skonfigurowac jeden obiekt grupy LDAP i na stronie ogólnej serwera LDAP przypisac go do kazdego serwera aplikacji LDAP Services for NDS.
Grupa LDAP zawiera konfiguracje klas, przyporzadkowania atrybutów i strategie bezpieczenstwa serwera. Znaczaco upraszcza to wprowadzanie zmian w konfiguracji, poniewaz jedna zmiane mozna natychmiast zastosowac do wielu serwerów LDAP.
Podczas instalacji, w tym samym kontenerze co obiekt serwera tworzony jest obiekt grupy LDAP pod nazwa Grupa LDAP nazwa_serwera
Aby skonfigurowac obiekt grupy LDAP, przy uzyciu programu ConsoleOne nalezy wykonac nastepujace czynnosci:
W ConsoleOne kliknij prawym przyciskiem myszy obiekt grupy LDAP > kliknij Wlasciwosci.
Na stronach wlasciwosci wprowadz konfigurowalne parametry.
Aby uzyskac wiecej informacji na temat parametrów grupy LDAP, patrz dokumentacja elektroniczna na temat LDAP.
Kliknij Zastosuj > OK.
Do modyfikacji, przegladania i odswiezania atrybutów obiektów serwera LDAP i grupy LDAP w systemach Linux, Solaris i Tru64 mozna wykorzystac narzedzie konfiguracyjne ldapconfig.
Zastosowanie nastepujacej skladni umozliwia przegladanie wartosci atrybutów LDAP w systemach Linux, Solaris i Tru64:
ldapconfig [-t nazwa_drzewa | -p nazwa_hosta[:port]] [-w haslo] [-a FDN_uzytkownika] -v atrybut,atrybut2...
Zastosowanie nastepujacej skladni umozliwia zmiane wartosci atrybutów LDAP w systemach Linux, Solaris i Tru64:
ldapconfig [-t nazwa_drzewa | -p nazwa_hosta[:port]] [-w haslo] [-a FDN_administratora] -s atrybut=wartosc,...
Tabela 99.
| Parametr ldapconfig | Opis |
|---|---|
-t |
Nazwa drzewa NDS w którym skladnik bedzie zainstalowany. |
-p |
Nazwa pierwszego hosta. |
-w |
Haslo uzytkownika o uprawnieniach administratora. |
-a |
Pelna nazwa wyrózniajaca (FDN) uzytkownika o uprawnieniach administratora. |
-v |
Opcja umozliwiajaca przegladanie wartosci atrybutu LDAP. |
-s |
Opcja umozliwiajaca ustawienie wartosci atrybutu instalowanych skladników. |
atrybut |
Nazwa konfigurowalnego atrybutu serwera lub grupy LDAP. Aby uzyskac wiecej informacji, patrz Atrybuty serwera LDAP oraz Atrybuty grupy LDAP. |
Tabela 100 zawiera opis konfigurowalnych atrybutów serwera LDAP:
Tabela 100. Atrybuty serwera LDAP
| Atrybut serwera LDAP | Opis |
|---|---|
Serwer LDAP |
Pelna nazwa wyrózniajaca obiektu serwera LDAP w NDS |
Host LDAP |
Pelna nazwa wyrózniajaca serwera NDS na którym pracuje serwer LDAP. |
Grupa LDAP |
Obiekt grupy LDAP w NDS której ten serwer LDAP jest czlonkiem. |
Limit wiazania serwera LDAP |
Liczba klientów którzy moga jednoczesnie uzyskac powiazanie z serwerem LDAP. Wartosc 0 (zero) oznacza brak limitu. |
Limit czasu bezczynnosci klienta na serwerze LDAP |
Okres bezczynnosci klienta po którym serwer LDAP zakonczy z nim polaczenie. Wartosc 0 (zero) oznacza brak limitu. |
Wlaczenie TCP w LDAP |
Wskazuje czy polaczenia TCP (nie SSL) sa wlaczone dla tego serwera LDAP. Dopuszczalne wartosci to 1 (tak) i 0 (nie). |
Wlaczenie SSL w LDAP |
Wskazuje czy polaczenia SSL sa wlaczone dla tego serwera LDAP. Dopuszczalne wartosci to 1 (tak) i 0 (nie). |
Port TCP dla LDAP |
Numer portu na którym serwer LDAP bedzie oczekiwal na polaczenia TCP (nie SSL). |
Port SSL dla LDAP |
Numer portu na którym serwer LDAP bedzie oczekiwal na polaczenia SSL. |
keyMaterialName |
Nazwa obiektu certyfikatu w NDS, który jest skojarzony z tym serwerem LDAP i bedzie uzywany przy bezpiecznych polaczeniach (SSL) LDAP. |
searchSizeLimit |
Maksymalna liczba pozycji które serwer LDAP zwróci klientowi LDAP w odpowiedzi na zadanie przeszukiwania. Wartosc 0 (zero) oznacza brak limitu. |
searchTimeLimit |
Maksymalny okres czasu (w sekundach) po którym przeszukiwanie LDAP zostanie zakonczone przez serwer LDAP. Wartosc 0 (zero) oznacza brak limitu. |
extensionInfo |
Rozszerzenia obslugiwane przez serwer LDAP. |
filteredReplicaUsage |
Okresla czy przy przeszukiwaniu LDAP serwer ma korzystac z repliki filtrowanej. Dopuszczalne wartosci to 1 (uzywaj repliki filtrowanej) i 0 (nie uzywaj repliki filtrowanej). |
sslEnableMutualAuthentication |
Okresla czy na serwerze LDAP wlaczone jest wzajemne uwierzytelnianie oparte na SSL (uwierzytelnianie klienta na podstawie certyfikatów) |
Tabela 101 zawiera opis konfigurowalnych atrybutów grupy LDAP:
Tabela 101. Atrybuty grupy LDAP
| Atrybut grupy LDAP | Opis |
|---|---|
Lista serwerów LDAP |
Lista serwerów LDAP bedacych czlonkami tej grupy. |
Zezwalaj na nieszyfrowane hasla w LDAP |
Okresla czy serwer LDAP zezwala na przesylanie przez klienta hasel nieszyfrowanych (w formie czystego tekstu). Dopuszczalne wartosci to 0 (nie) i 1 (tak). |
Wykorzystanie odwolan LDAP |
Okresla w jaki sposób serwer LDAP obsluguje odwolania LDAP. Dopuszczalne wartosci to:
|
Aby przegladac wartosci atrybutów na liscie atrybutów:
Wprowadz nastepujace polecenie:
ldapconfig [-t nazwa_drzewa | -p nazwa_hosta[:port]] [-w haslo] [-a FDN_uzytkownika] -v "Zezwalaj na nieszyfrowane hasla w LDAP","searchTimeLimit"
Aby skonfigurowac numer portu TCP dla LDAP:
Wprowadz nastepujace polecenie:
ldapconfig [-t nazwa_drzewa | -p nazwa_hosta[:port]] [-w haslo] [-a FDN_administratora] -s "Port TCP dla LDAP=389","searchSizeLimit=1000"