9.3 Konfiguration von eDirectory

9.3.1 Erstellen von Indizes in eDirectory

Um die Leistung der Benutzeranwendung zu verbessern, sollte der Administrator von eDirectory Indizes für die Attribute „manager“, „ismanager“ und „srvprvUUID“ erstellen. Sind für diese Attribute keine Indizes vorhanden, kann dies insbesondere in einer Cluster-Umgebung eine eingeschränkte Leistung zur Folge haben.

Diese Indizes können automatisch während der Installation erstellt werden, wenn Sie Index für eDirectory erstellen auf der Registerkarte Erweitert des Teilfensters „Benutzeranwendung - Konfiguration“ auswählen (beschrieben in Tabelle A-2). Alternativ erhalten Sie im Novell eDirectory-Administrationshandbuch http://www.novell.com/documentation weitere Anweisungen zur Verwendung des Index-Managers zum Erstellen von Indizes.

9.3.2 Installieren und Konfigurieren der SAML-Beglaubigungsmethode

Diese Konfiguration ist nur dann erforderlich, wenn Sie die SAML-Beglaubigungsmethode verwenden möchten, jedoch nicht den Access Manager verwenden. Wenn Sie den Access Manager verwenden, enthält Ihre eDirectory-Baumstruktur bereits die Methode. Das Verfahren umfasst folgende Schritte:

  • Installieren der SAML-Methode in Ihrer eDirectory-Baumstruktur

  • Bearbeiten der eDirectory-Attribute mithilfe von iManager

Installieren der SAML-Methode in Ihrer eDirectory-Baumstruktur

  1. Dekomprimieren Sie die Datei nmassaml.zip.

  2. Installieren Sie die SAML-Methode in Ihre eDirectory-Baumstruktur.

    1. Erweitern Sie das in authsaml.sch gespeicherte Schema.

      Im folgenden Beispiel wird die Durchführung unter Linux gezeigt:

      ndssch -h <edir_ip> <edir_admin> authsaml.sch
      
    2. Installieren Sie die SAML-Methode.

      Im folgenden Beispiel wird die Durchführung unter Linux gezeigt:

      nmasinst   -addmethod <edir_admin> <tree> ./config.txt 
      

Bearbeiten der eDirectory-Attribute

  1. Öffnen Sie iManager und wechseln Sie zu Rollen und Aufgaben > Verzeichnisadministration > Objekt erstellen.

  2. Wählen Sie Alle Objektklassen anzeigen.

  3. Erstellen Sie ein neues Objekt der Klasse authsamlAffiliate.

  4. Wählen Sie authsamlAffiliate und klicken Sie auf OK. (Sie können diesem Objekt einen beliebigen gültigen Namen geben.)

  5. Wählen Sie das Containerobjekt SAML Assertion.Authorized Login Methods.Security in der Baumstruktur aus, um den Kontext anzugeben, und klicken Sie anschließend auf OK.

  6. Sie müssen Attribute zum Klassenobjekt authsamlAffiliate hinzufügen.

    1. Wechseln Sie zur iManager-Registerkarte Objekte anzeigen > Durchsuchen und suchen Sie Ihr neues affiliate-Objekt im Container „SAML Assertion.Authorized Login Methods.Security“.

    2. Wählen Sie das neue affiliate-Objekt und wählen Sie anschließend Objekt ändern aus.

    3. Fügen Sie ein authsamlProviderID-Attribut zum neuen affiliate-Objekt hinzu. Dieses Attribut dient der Übereinstimmung einer Assertion mit ihrem Partner. Der Inhalt dieses Attributs muss exakt mit dem Ausstellerattribut übereinstimmen, das von der SAML-Assertion gesendet wurde.

    4. Klicken Sie auf OK.

    5. Fügen Sie die Attribute authsamlValidBefore und authsamlValidAfter zum affiliate-Objekt hinzu. Diese Attribute definieren die Zeit in Sekunden um ein IssueInstant in einer Assertion, wenn die Assertion als gültig angesehen wird. Der übliche Standardwert ist 180 Sekunden.

    6. Klicken Sie auf OK.

  7. Wählen Sie den Sicherheitscontainer und anschließend Objekt erstellen aus, um einen Herkunftsverbürgungscontainer in Ihrem Sicherheitscontainer zu erstellen.

  8. Erstellen Sie ein Herkunftsverbürgungsobjekt im Herkunftsverbürgungscontainer.

    1. Kehren Sie zurück zu Rollen und Aufgaben > Verzeichnisadministration und wählen Sie anschließend Objekt erstellen.

    2. Wählen Sie erneut Alle Objektklassen anzeigen.

    3. So erstellen Sie ein Herkunftsverbürgungsobjekt für das Zertifikat, das Ihr Partner zum Signieren von Assertions verwendet. Sie benötigen hierzu eine verschlüsselte Kopie des Zertifikats.

    4. Erstellen Sie neue Herkunftsverbürgungsobjekte für jedes Zertifikat in der Kette der unterzeichnenden Zertifikate bis zum Stamm-CA-Zertifikat.

    5. Legen Sie den Kontext auf den zuvor erstellen Herkunftsverbürgungs-Container fest und klicken Sie anschließend auf OK.

  9. Kehren Sie zum Objekt-Viewer zurück.

  10. Fügen Sie ein authsamlTrustedCertDN-Attribut zum affiliate-Objekt hinzu und klicken Sie anschließend auf OK.

    Dieses Attribut sollte auf das „Herkunftsverbürgungsobjekt“ für das unterzeichnende Zertifikat zeigen, das Sie im vorherigen Schritt erstellt haben. (Alle Assertions für den Partner müssen von Zertifikaten unterzeichnet werden, auf die dieses Attribut zeigt, sonst werden sie abgewiesen.)

  11. Fügen Sie ein authsamlCertContainerDN-Attribut zum affiliate-Objekt hinzu und klicken Sie anschließend auf OK.

    Dieses Attribut sollte auf den „Herkunftsverbürgungscontainer“ zeigen, den Sie bereits erstellt haben. (Dieses Attribut dient zur Überprüfung der Zertifikatskette des unterzeichnenden Zertifikats.)