1.概念
IBM的Tivoli Directory Server是IBM對 Lightweight
Directory Access Protocol (LDAP)的實現,它可以跨平臺的進行安裝配置。TDS提供了一個使用DB2數據庫對目錄信息進行存儲的服務器,一個將LDAP操作路由到其他服務器上的代理服務器,一個客戶端,一個管理服務器的圖形界面,一個管理用戶的圖形界面。
2.在Linux上的安裝
1)首先確認機器上的 DB2版本是否與欲裝的TDS版本匹配,你也可以使用db2_install程序安裝TDS自帶的DB2版本,在安裝結束要求輸入Keyword時,輸入 ESE,安裝完畢後你可以檢查一下/tmp/db2_install_log.99999看看是否安裝成功,99999是安裝產生的隨機數。
2)要安裝proxy server或者full directory server
以root身份登錄,安裝如下兩個包(32bit機器):
rpm -ihv idsldap-cltbase62-6.2.0-0.i386.rpm
rpm -ihv idsldap-clt32bit62-6.2.0-0.i386.rpm
若想安裝proxy server,則安裝以下四個包:
rpm -ihv idsldap-cltjava62-6.2.0-0.i386.rpm
rpm -ihv idsldap-srvbase32bit62-6.2.0-0.i386.rpm
rpm -ihv idsldap-srvproxy32bit62-6.2.0-0.i386.rpm
rpm -ihv idsldap-ent62-6.2.0-0.i386.rpm
若想安裝full directory server,則安裝以下四個包:
3)確認安裝是否正確:
rpm -qa | grep idsldap
4)安裝語言包:
英語:rpm -ihv idsldap-msg62-en-6.2.0-0.noarch.rpm
中文:rpm -ihv idsldap-msg62-zh_CN-6.2.0-0.noarch.rpm
5)安裝client:
rpm -ihv idsldap-cltbase62-6.2.0-0.i386.rpm
rpm -ihv idsldap-clt32bit62-6.2.0-0.i386.rpm
6)安裝Web Administration Tool
rpm -ihv idsldap-webadmin62-6.2.0-0.i386.rpm
2.創建和管理實例:
使用Instance Administration Tool,這個工具可以以圖形界面的方式對目錄服務器進行配置,Linux下它的路徑是
/opt/ibm/ldap/V6.2/sbin/idsxinst
當然也可以使用命令行
1)建立默認實例:
首先要了解默認實例的屬性,這些是你不能更改的:(6.1與此不同)
Name: dsrdbm01
Instance location: /home/dsrdbm01. (On Solaris systems, this directory is /export/home/dsrdbm01.)
Group name: dbsysadm
Administrator DN: cn=root
Database name: dsrdbm01
1>/opt/ibm/ldap/V6.2/sbin/idsxinst,打開管理工具。
2>創建->創建默認實例Create default instance
3>User password 中輸入密碼,然後確認,Encryption seed處填入一組字符串來產生AES加密鍵值。字符串符合下列規則:
ASCII characters with values in the range of 33 to 126, and must be a minimum of 12 and a maximum of 1016 characters in length.
4>輸入Administrator DN密碼,對於默認實例,管理DN就是root,在這你要指定一個密碼。
5>Finish
2)創建一個實例(你自己指定設置)
0.首先創建一個用戶,然後將其加入到idsldap組內。
adduser xxx
usermod -a -G root idsldap
1>/opt/ibm/ldap/V6.2/sbin/idsxinst,打開管理工具。
2>創建->Create a new directory server instance(要是你想讓這個目錄服務器實例作爲代理服務器實例則勾選Set up as proxy)
3>User name中你若是想使用系統中的用戶,則選擇,否則就創建user(先在home下建立一個目錄,然後創建一個組)。
注意千萬不要使用任何用戶名中帶有大寫字母的用戶。
在primary中加入root
4>Instance location一般選擇就在Home下你指定的用戶目錄中
5>Encryption seed string填寫一個字符串
6>Use encryption salt value你若是想遷移並且希望目錄服務器實例和你遷移的實例加密同步,或者與其他目錄服務器實例加密同步,則勾選。Encryption salt string類比於Encryption seed string。
7>實例描述可填可不填
8>TCP/IP port可以使用默認
9>Administrator DN也可以選擇默認
10>選擇已有的數據庫,在Database name填入1-8個字符。
11>選擇字符集
12>Finished
命令行下創建實例:
創建實例myinst,端口389,安全端口636, 加密種子mysecretkey!, encryption salt爲mysecretsalt, DB2實例爲myinst。
0.首先創建一個用戶,然後將其加入到idsldap組內。
adduser xxx
usermod -a -G root idsldap
1.idsicrt -I testtds –p 389 –s 636 –e mysecretkey! -g mysecretsalt -t dbinst
其中database是數據庫實例,The instance name must be an existing user ID on the machine and must be no greater than 8 characters in length.
2.idsdnpw -I testtds -p 12345678
密碼爲12345678
3.idscfgdb -I testtds –a dbinst –w 12345678 –t TDS –l /home/dbinst
配置相連接的數據庫。
3)開啓或停止目錄服務器或目錄服務器實例
對於實例:
idsslapd -I instancename
idsslapd -I instancename -k
對於整個服務器:
idsdiradm -I instancename
idsdiradm -I instancename -k(只能進行本地操作)
ibmdirctl -D -w -h
-p admstop
(可以進行本地和遠端操作)
4)修改TCP/IP設置:
主要使用idssethost這個命令,具體參照IBM Tivoli Directory Server Version 6.2 Command Reference
5)查看TDS實例的信息:
主要使用idsilist這個命令,具體參照IBM Tivoli Directory Server Version 6.2 Command Reference
6)刪除一個TDS實例:
idsidrop -I instancename
若是想將其所關聯的DB2數據庫實例也銷燬則用:
idsidrop -I instancename -r
7)取消一個TDS實例與一個DB2實例的關聯idsucfgdb -n -I myinstance
8)圖形化配置實例
IBM Tivoli Directory Server Configuration Tool
啓動命令idsxcfg -I instancename
9)修改數據庫擁有者的密碼
idscfgdb -I testtds -w newpasswrd
10)備份數據:
對於a full directory server:使用idsdbback
idsdbback -I testtds -k /backupdir
對於代理服務器,使用migbkup,這個命令是不備份數據的。
migbkup /home/idsinst/idsldap-testtds/ /home/tdsbkup
這是因爲代理服務器沒有數據庫相連接,不需要也無法備份數據。
對於a full directory server:
idsdbrestore -I ldapdb2 -k /backupdir
對於代理服務器:
idsdbrestore –I –k –x -n
11)打開、關閉更改日誌:
idscfgchglg命令
12)設置自動加載:
在inittab文件中加入:
srv1:2345:once:/opt/ibm/ldap/V6.2/sbin/ibmslapd -I server_name > /dev/null 2>&1
格式是id:runlevels:action:process
其中ID是1-4位的UID,runlevel是系統啓動級別,action是動作,process是相關進程。
13.修改主要管理員的DN和密碼:
idsdnpw -u -p
14.監測服務器狀態
idsldapsearch -h -p -b cn=monitor -s base objectclass=*
15.查看系統容量信息
一個Root DSE入口包含了一個LDAP服務器實例的是新,這些信息通過一次root DSE搜索可以查詢到。
列出root DSE的屬性和值,OIDS支持和使能的容量,OIDS支持的擴展和控制方式:
idsldapsearch -s base -b "" objectclass=*
列出系統現在支持容量:
idsldapsearch -s base -b "" objectclass=* ibm-supportedcapabilities
列出系統現在可用容量:
idsldapsearch -s base -b "" objectclass=* ibm-enabledcapabilities
16.檢查服務器連接狀態:
查看連接狀態:
idsldapsearch -D -w -h -p
-b cn=connections,cn=monitor -s base objectclass=*
結束一個連接事件:
指定DN:idsldapexop -D -w -op unbind -dn cn=john
指定IP:idsldapexop -D -w -op unbind -ip 9.182.173.43
在指定的IP上結束一個指定DN:
idsldapexop -D -w -op unbind -dn cn=john -ip 9.182.173.43
結束所有連接:
idsldapexop -D -w -op unbind -all
17.管理連接性質
這個功能使管理員通過關閉客戶端連接以防止鎖死服務器,它還可以使管理員在後端繁忙處理任務的時候還總是可以登錄服務器。
idsldapmodify -b -r -i /tmp/entrymods
其中的filename是一個文件,一般建立在tmp下邊,不過隨便的。其中包含的內容舉例如下:
dn: cn=Modify Me, o=University of Higher Learning, c=US
changetype: modify
replace: mail
mail: modme@student.of.life.edu
-
add: title
title: Grand Poobah
-
add: jpegPhoto
jpegPhoto: /tmp/modme.jpeg
-
delete: description
-
這個配置文件會Modify Me取得mail的屬性改爲:modme@student.of.life.edu
並且加一個標題:Grand Poobah
加一項jpegPhoto,內容爲 /tmp/modme.jpeg
徹底刪除description
IBM的Tivoli Directory Server是IBM對 Lightweight
Directory Access Protocol (LDAP)的實現,它可以跨平臺的進行安裝配置。TDS提供了一個使用DB2數據庫對目錄信息進行存儲的服務器,一個將LDAP操作路由到其他服務器上的代理服務器,一個客戶端,一個管理服務器的圖形界面,一個管理用戶的圖形界面。
2.在Linux上的安裝
1)首先確認機器上的 DB2版本是否與欲裝的TDS版本匹配,你也可以使用db2_install程序安裝TDS自帶的DB2版本,在安裝結束要求輸入Keyword時,輸入 ESE,安裝完畢後你可以檢查一下/tmp/db2_install_log.99999看看是否安裝成功,99999是安裝產生的隨機數。
2)要安裝proxy server或者full directory server
以root身份登錄,安裝如下兩個包(32bit機器):
rpm -ihv idsldap-cltbase62-6.2.0-0.i386.rpm
rpm -ihv idsldap-clt32bit62-6.2.0-0.i386.rpm
若想安裝proxy server,則安裝以下四個包:
rpm -ihv idsldap-cltjava62-6.2.0-0.i386.rpm
rpm -ihv idsldap-srvbase32bit62-6.2.0-0.i386.rpm
rpm -ihv idsldap-srvproxy32bit62-6.2.0-0.i386.rpm
rpm -ihv idsldap-ent62-6.2.0-0.i386.rpm
若想安裝full directory server,則安裝以下四個包:
3)確認安裝是否正確:
rpm -qa | grep idsldap
4)安裝語言包:
英語:rpm -ihv idsldap-msg62-en-6.2.0-0.noarch.rpm
中文:rpm -ihv idsldap-msg62-zh_CN-6.2.0-0.noarch.rpm
5)安裝client:
rpm -ihv idsldap-cltbase62-6.2.0-0.i386.rpm
rpm -ihv idsldap-clt32bit62-6.2.0-0.i386.rpm
6)安裝Web Administration Tool
rpm -ihv idsldap-webadmin62-6.2.0-0.i386.rpm
2.創建和管理實例:
使用Instance Administration Tool,這個工具可以以圖形界面的方式對目錄服務器進行配置,Linux下它的路徑是
/opt/ibm/ldap/V6.2/sbin/idsxinst
當然也可以使用命令行
1)建立默認實例:
首先要了解默認實例的屬性,這些是你不能更改的:(6.1與此不同)
Name: dsrdbm01
Instance location: /home/dsrdbm01. (On Solaris systems, this directory is /export/home/dsrdbm01.)
Group name: dbsysadm
Administrator DN: cn=root
Database name: dsrdbm01
1>/opt/ibm/ldap/V6.2/sbin/idsxinst,打開管理工具。
2>創建->創建默認實例Create default instance
3>User password 中輸入密碼,然後確認,Encryption seed處填入一組字符串來產生AES加密鍵值。字符串符合下列規則:
ASCII characters with values in the range of 33 to 126, and must be a minimum of 12 and a maximum of 1016 characters in length.
4>輸入Administrator DN密碼,對於默認實例,管理DN就是root,在這你要指定一個密碼。
5>Finish
2)創建一個實例(你自己指定設置)
0.首先創建一個用戶,然後將其加入到idsldap組內。
adduser xxx
usermod -a -G root idsldap
1>/opt/ibm/ldap/V6.2/sbin/idsxinst,打開管理工具。
2>創建->Create a new directory server instance(要是你想讓這個目錄服務器實例作爲代理服務器實例則勾選Set up as proxy)
3>User name中你若是想使用系統中的用戶,則選擇,否則就創建user(先在home下建立一個目錄,然後創建一個組)。
注意千萬不要使用任何用戶名中帶有大寫字母的用戶。
在primary中加入root
4>Instance location一般選擇就在Home下你指定的用戶目錄中
5>Encryption seed string填寫一個字符串
6>Use encryption salt value你若是想遷移並且希望目錄服務器實例和你遷移的實例加密同步,或者與其他目錄服務器實例加密同步,則勾選。Encryption salt string類比於Encryption seed string。
7>實例描述可填可不填
8>TCP/IP port可以使用默認
9>Administrator DN也可以選擇默認
10>選擇已有的數據庫,在Database name填入1-8個字符。
11>選擇字符集
12>Finished
命令行下創建實例:
創建實例myinst,端口389,安全端口636, 加密種子mysecretkey!, encryption salt爲mysecretsalt, DB2實例爲myinst。
0.首先創建一個用戶,然後將其加入到idsldap組內。
adduser xxx
usermod -a -G root idsldap
1.idsicrt -I testtds –p 389 –s 636 –e mysecretkey! -g mysecretsalt -t dbinst
其中database是數據庫實例,The instance name must be an existing user ID on the machine and must be no greater than 8 characters in length.
2.idsdnpw -I testtds -p 12345678
密碼爲12345678
3.idscfgdb -I testtds –a dbinst –w 12345678 –t TDS –l /home/dbinst
配置相連接的數據庫。
3)開啓或停止目錄服務器或目錄服務器實例
對於實例:
idsslapd -I instancename
idsslapd -I instancename -k
對於整個服務器:
idsdiradm -I instancename
idsdiradm -I instancename -k(只能進行本地操作)
ibmdirctl -D -w -h
-p admstop
(可以進行本地和遠端操作)
4)修改TCP/IP設置:
主要使用idssethost這個命令,具體參照IBM Tivoli Directory Server Version 6.2 Command Reference
5)查看TDS實例的信息:
主要使用idsilist這個命令,具體參照IBM Tivoli Directory Server Version 6.2 Command Reference
6)刪除一個TDS實例:
idsidrop -I instancename
若是想將其所關聯的DB2數據庫實例也銷燬則用:
idsidrop -I instancename -r
7)取消一個TDS實例與一個DB2實例的關聯idsucfgdb -n -I myinstance
8)圖形化配置實例
IBM Tivoli Directory Server Configuration Tool
啓動命令idsxcfg -I instancename
9)修改數據庫擁有者的密碼
idscfgdb -I testtds -w newpasswrd
10)備份數據:
對於a full directory server:使用idsdbback
idsdbback -I testtds -k /backupdir
對於代理服務器,使用migbkup,這個命令是不備份數據的。
migbkup /home/idsinst/idsldap-testtds/ /home/tdsbkup
這是因爲代理服務器沒有數據庫相連接,不需要也無法備份數據。
對於a full directory server:
idsdbrestore -I ldapdb2 -k /backupdir
對於代理服務器:
idsdbrestore –I –k –x -n
11)打開、關閉更改日誌:
idscfgchglg命令
12)設置自動加載:
在inittab文件中加入:
srv1:2345:on
格式是id:runlevels:act
其中ID是1-4位的UID,runlevel是系統啓動級別,act
13.修改主要管理員的DN和密碼:
idsdnpw -u -p
14.監測服務器狀態
idsldapsearch -h -p -b cn=monitor -s base objectclass=*
15.查看系統容量信息
一個Root DSE入口包含了一個LDAP服務器實例的是新,這些信息通過一次root DSE搜索可以查詢到。
列出root DSE的屬性和值,OIDS支持和使能的容量,OIDS支持的擴展和控制方式:
idsldapsearch -s base -b "" objectclass=*
列出系統現在支持容量:
idsldapsearch -s base -b "" objectclass=* ibm-supportedcapabilities
列出系統現在可用容量:
idsldapsearch -s base -b "" objectclass=* ibm-enabledcapabilities
16.檢查服務器連接狀態:
查看連接狀態:
idsldapsearch -D -w -h -p
-b cn=connections,cn=monitor -s base objectclass=*
結束一個連接事件:
指定DN:idsldapexop -D -w -op unbind -dn cn=john
指定IP:idsldapexop -D -w -op unbind -ip 9.182.173.43
在指定的IP上結束一個指定DN:
idsldapexop -D -w -op unbind -dn cn=john -ip 9.182.173.43
結束所有連接:
idsldapexop -D -w -op unbind -all
17.管理連接性質
這個功能使管理員通過關閉客戶端連接以防止鎖死服務器,它還可以使管理員在後端繁忙處理任務的時候還總是可以登錄服務器。
idsldapmodify -b -r -i /tmp/entrymods
其中的filename是一個文件,一般建立在tmp下邊,不過隨便的。其中包含的內容舉例如下:
dn: cn=Modify Me, o=University of Higher Learning, c=US
changetype: modify
replace: mail
mail: modme@student.of.life.edu
-
add: title
title: Grand Poobah
-
add: jpegPhoto
jpegPhoto: /tmp/modme.jpeg
-
delete: description
-
這個配置文件會Modify Me取得mail的屬性改爲:modme@student.of.life.edu
並且加一個標題:Grand Poobah
加一項jpegPhoto,內容爲 /tmp/modme.jpeg
徹底刪除description