作者:gnuhpc
出处:http://www.cnblogs.com/gnuhpc/
1.概念
IBM的Tivoli Directory Server是IBM对 Lightweight
Directory Access Protocol (LDAP)的实现,它可以跨平台的进行安装配置。TDS提供了一个使用DB2数据库对目录信息进行存储的服务器,一个将LDAP操作路由到其他服务器上的代理服务器,一个客户端,一个管理服务器的图形界面,一个管理用户的图形界面。
2.在Linux上的安装
1)首先确认机器上的 DB2版本是否与欲装的TDS版本匹配,你也可以使用db2_install程序安装TDS自带的DB2版本,在安装结束要求输入Keyword时,输入 ESE,安装完毕后你可以检查一下/tmp/db2_install_log.99999看看是否安装成功,99999是安装产生的随机数。
2)要安装proxy server或者full directory server
以root身份登录,安装如下两个包(32bit机器):
rpm -ihv idsldap-cltbase62-6.2.0-0.i386.rpm
rpm -ihv idsldap-clt32bit62-6.2.0-0.i386.rpm
若想安装proxy server,则安装以下四个包:
rpm -ihv idsldap-cltjava62-6.2.0-0.i386.rpm
rpm -ihv idsldap-srvbase32bit62-6.2.0-0.i386.rpm
rpm -ihv idsldap-srvproxy32bit62-6.2.0-0.i386.rpm
rpm -ihv idsldap-ent62-6.2.0-0.i386.rpm
若想安装full directory server,则安装以下四个包:
3)确认安装是否正确:
rpm -qa | grep idsldap
4)安装语言包:
英语:rpm -ihv idsldap-msg62-en-6.2.0-0.noarch.rpm
中文:rpm -ihv idsldap-msg62-zh_CN-6.2.0-0.noarch.rpm
5)安装client:
rpm -ihv idsldap-cltbase62-6.2.0-0.i386.rpm
rpm -ihv idsldap-clt32bit62-6.2.0-0.i386.rpm
6)安装Web Administration Tool
rpm -ihv idsldap-webadmin62-6.2.0-0.i386.rpm
2.创建和管理实例:
使用Instance Administration Tool,这个工具可以以图形界面的方式对目录服务器进行配置,Linux下它的路径是
/opt/ibm/ldap/V6.2/sbin/idsxinst
当然也可以使用命令行
1)建立默认实例:
首先要了解默认实例的属性,这些是你不能更改的:(6.1与此不同)
Name: dsrdbm01
Instance location: /home/dsrdbm01. (On Solaris systems, this directory is /export/home/dsrdbm01.)
Group name: dbsysadm
Administrator DN: cn=root
Database name: dsrdbm01
1>/opt/ibm/ldap/V6.2/sbin/idsxinst,打开管理工具。
2>创建->创建默认实例Create default instance
3>User password 中输入密码,然后确认,Encryption seed处填入一组字符串来产生AES加密键值。字符串符合下列规则:
ASCII characters with values in the range of 33 to 126, and must be a minimum of 12 and a maximum of 1016 characters in length.
4>输入Administrator DN密码,对于默认实例,管理DN就是root,在这你要指定一个密码。
5>Finish
2)创建一个实例(你自己指定设置)
0.首先创建一个用户,然后将其加入到idsldap组内。
adduser xxx
usermod -a -G root idsldap
1>/opt/ibm/ldap/V6.2/sbin/idsxinst,打开管理工具。
2>创建->Create a new directory server instance(要是你想让这个目录服务器实例作为代理服务器实例则勾选Set up as proxy)
3>User name中你若是想使用系统中的用户,则选择,否则就创建user(先在home下建立一个目录,然后创建一个组)。
注意千万不要使用任何用户名中带有大写字母的用户。
在primary中加入root
4>Instance location一般选择就在Home下你指定的用户目录中
5>Encryption seed string填写一个字符串
6>Use encryption salt value你若是想迁移并且希望目录服务器实例和你迁移的实例加密同步,或者与其他目录服务器实例加密同步,则勾选。Encryption salt string类比于Encryption seed string。
7>实例描述可填可不填
8>TCP/IP port可以使用默认
9>Administrator DN也可以选择默认
10>选择已有的数据库,在Database name填入1-8个字符。
11>选择字符集
12>Finished
命令行下创建实例:
创建实例myinst,端口389,安全端口636, 加密种子mysecretkey!, encryption salt为mysecretsalt, DB2实例为myinst。
0.首先创建一个用户,然后将其加入到idsldap组内。
adduser xxx
usermod -a -G root idsldap
1.idsicrt -I testtds –p 389 –s 636 –e mysecretkey! -g mysecretsalt -t dbinst
其中database是数据库实例,The instance name must be an existing user ID on the machine and must be no greater than 8 characters in length.
2.idsdnpw -I testtds -p 12345678
密码为12345678
3.idscfgdb -I testtds –a dbinst –w 12345678 –t TDS –l /home/dbinst
配置相连接的数据库。
3)开启或停止目录服务器或目录服务器实例
对于实例:
idsslapd -I instancename
idsslapd -I instancename -k
对于整个服务器:
idsdiradm -I instancename
idsdiradm -I instancename -k(只能进行本地操作)
ibmdirctl -D -w -h
-p admstop
(可以进行本地和远端操作)
4)修改TCP/IP设置:
主要使用idssethost这个命令,具体参照IBM Tivoli Directory Server Version 6.2 Command Reference
5)查看TDS实例的信息:
主要使用idsilist这个命令,具体参照IBM Tivoli Directory Server Version 6.2 Command Reference
6)删除一个TDS实例:
idsidrop -I instancename
若是想将其所关联的DB2数据库实例也销毁则用:
idsidrop -I instancename -r
7)取消一个TDS实例与一个DB2实例的关联idsucfgdb -n -I myinstance
8)图形化配置实例
IBM Tivoli Directory Server Configuration Tool
启动命令idsxcfg -I instancename
9)修改数据库拥有者的密码
idscfgdb -I testtds -w newpasswrd
10)备份数据:
对于a full directory server:使用idsdbback
idsdbback -I testtds -k /backupdir
对于代理服务器,使用migbkup,这个命令是不备份数据的。
migbkup /home/idsinst/idsldap-testtds/ /home/tdsbkup
这是因为代理服务器没有数据库相连接,不需要也无法备份数据。
对于a full directory server:
idsdbrestore -I ldapdb2 -k /backupdir
对于代理服务器:
idsdbrestore –I –k –x -n
11)打开、关闭更改日志:
idscfgchglg命令
12)设置自动加载:
在inittab文件中加入:
srv1:2345:once:/opt/ibm/ldap/V6.2/sbin/ibmslapd -I server_name > /dev/null 2>&1
格式是id:runlevels:action:process
其中ID是1-4位的UID,runlevel是系统启动级别,action是动作,process是相关进程。
13.修改主要管理员的DN和密码:
idsdnpw -u -p
14.监测服务器状态
idsldapsearch -h -p -b cn=monitor -s base objectclass=*
15.查看系统容量信息
一个Root DSE入口包含了一个LDAP服务器实例的是新,这些信息通过一次root DSE搜索可以查询到。
列出root DSE的属性和值,OIDS支持和使能的容量,OIDS支持的扩展和控制方式:
idsldapsearch -s base -b "" objectclass=*
列出系统现在支持容量:
idsldapsearch -s base -b "" objectclass=* ibm-supportedcapabilities
列出系统现在可用容量:
idsldapsearch -s base -b "" objectclass=* ibm-enabledcapabilities
16.检查服务器连接状态:
查看连接状态:
idsldapsearch -D -w -h -p
-b cn=connections,cn=monitor -s base objectclass=*
结束一个连接事件:
指定DN:idsldapexop -D -w -op unbind -dn cn=john
指定IP:idsldapexop -D -w -op unbind -ip 9.182.173.43
在指定的IP上结束一个指定DN:
idsldapexop -D -w -op unbind -dn cn=john -ip 9.182.173.43
结束所有连接:
idsldapexop -D -w -op unbind -all
17.管理连接性质
这个功能使管理员通过关闭客户端连接以防止锁死服务器,它还可以使管理员在后端繁忙处理任务的时候还总是可以登录服务器。
idsldapmodify -b -r -i /tmp/entrymods
其中的filename是一个文件,一般建立在tmp下边,不过随便的。其中包含的内容举例如下:
dn: cn=Modify Me, o=University of Higher Learning, c=US
changetype: modify
replace: mail
mail: modme@student.of.life.edu
-
add: title
title: Grand Poobah
-
add: jpegPhoto
jpegPhoto: /tmp/modme.jpeg
-
delete: description
-
这个配置文件会Modify Me取得mail的属性改为:modme@student.of.life.edu
并且加一个标题:Grand Poobah
加一项jpegPhoto,内容为 /tmp/modme.jpeg
彻底删除description