设置安全性域结构 (SDI) 密钥

Novell(R) Single Sign-on 需要有一个安全性域结构 (SDI) 密钥才能正确工作。 SDI 密钥使单个 NDS(R) 树内的服务器之间能安全进行密钥传输。

继续安装 Single Sign-on 之前,请参阅下面的部分,以正确设置 SDI 密钥。

注意:  对 Solaris* 和 Linux 服务器而言,安装过程中,SDI 会自动被设置。 因此,这一部分可能不适用于运行 NDS eDirectoryTM 8.5 或 NDS 企业版 8.5 的 Solaris 和 Linux 服务器。

  1. 必要时可创建并填充安全性树枝。

    1. 通过 ConsoleOneTM 验证在 NDS 树的 [Root] 位置存在一个安全性树枝。

      验证安全性树枝含有一个 KAP 树枝对象,同时在 KAP 树枝对象内含有一个 WO 对象。

      2.

    2. 如果其中没有安全性树枝,可在 [Root] 位置创建一个。

      对象类为 SAS: 安全性树枝。 将树枝对象命名为 "Security."。

      3.

    3. 如果其中没有 KAP 树枝对象,可在安全性树枝内创建一个。

      对象类为 NDSPKI: SD 密钥访问分区。 将对象命名为 "KAP"。

      4.

    4. 如果其中没有 WO 对象,可在 KAP 对象内创建一个。

      对象类为 NDSPKI: SD 密钥列表。 将对象命名为 "W0"("0" 为零)。

      5.

  2. 指定一个 SDI 密钥参照服务器。

    1. 在 W0.KAP 对象中,选择“属性”>“其它”。

      2.

    2. 单击“特性”>“添加”。

      3.

    3. 选择“NDSPKI:SD 密钥服务器 DN 属性”> 单击“确定”。

      4.

    4. 输入密钥文件所在服务器的判别名。

      5.

  3. 检查已存在的 SDI 密钥。

    • 在 NetWare(R) 中,查访:

      SYS:\SYSTEM\NICI\NICISDI.KEY

      •

    • 在 Windows* NT* 中,查访:

      %SYSTEMROOT%\SYSTEM32\NOVELL\NICI\NICISIDI.KEY

    4.

  4. 如必要,可创建 SDI 密钥。

    重要:  当您想重初始化树时,应当仅创建一个新的 SDI 密钥。 如果在已有一个 SDI 密钥时创建一个新的 SDI 密钥,会禁用服务器上现有的安全性服务。

    • 在 NetWare 中,输入:

      LOAD INITSDI.NLM -NEW NICISDI.LOG NICISDI.ERR

      •

    • 在 Windows NT 中,输入:

      INITSDI -NEW NICISDI.LOG NICISDI.ERR

      •

    如果程序正确执行,将创建 NICISDI.LOG 文件。 如果出现问题,将创建 NICISDI.ERR 文件,且其中含有所出现问题的错误代码。

    5.

  5. 创建密钥后,关闭 NDS 服务,然后重新启动。

    6.

  6. 在非树密钥服务器上制作树密钥的一个拷贝。

    利用下列命令,可以将当前定义的 SDI 密钥复制到不含密钥的服务器上:

    • 在 NetWare 中,输入:

      LOAD INITSDI.NLM -GET NICISDI.LOG NICISDI.ERR server_distinguished_name

      •

    • 在 Windows NT 中,输入:

      INITSDI -GET C:\NICISDI.LOG C:\NICISDI.ERR server_distinguished_name tree_name

      INITSDI.EXE 文件位于 Novell Single Sign-on 光盘上的 SERVER\NICI_1.5\TREEKEY4NT 目录中。

    注意:  NDS 服务器名称可从位于 ConsoleOneTM 的 W0 对象属性页中的当前 SDI 参照服务器获得。

    如果程序正确执行,将创建 NICISDI.LOG 文件。 如果出现问题,将创建 NICISDI.ERR 文件,且其中含有所出现问题的错误代码。

    7.

  7. 在非树密钥服务器上制作树密钥的一个拷贝后,关闭 NDS 服务,然后重新启动。

    8.