9.3 配置 eDirectory

9.3.1 在 eDirectory 中创建索引

要改进 User Application 的性能,eDirectory 管理员应为 manager、ismanager 和 srvprvUUID 属性创建索引。如果这些属性没有索引,User Application 用户可能会遇到不良性能,尤其是在群集环境中。

如果选择 User Application 配置面板的高级选项卡上的创建 eDirectory 索引,这些索引可在安装过程中自动创建(如表 A-2中所述),或请参考《Novell eDirectory 管理指南》http://www.novell.com/documentation获取有关使用引擎管理器创建索引的说明。

9.3.2 安装和配置 SAML 鉴定方法

仅在希望使用 SAML 鉴定方法且不同时使用访问管理器时,才需要此配置。如果使用访问管理器,eDirectory 树中将已包含此方法。此过程包括:

  • 在 eDirectory 树中安装 SAML 方法

  • 使用 iManager 编辑 eDirectory 属性

在 eDirectory 树中安装 SAML 方法

  1. 查找 nmassaml.zip 文件,然后解压缩。

  2. 将 SAML 方法安装到 eDirectory 树中。

    1. 扩展在 authsaml.sch 中储存的纲要

      以下示例显示了在 Linux 上执行此操作的方式:

      ndssch -h <edir_ip> <edir_admin> authsaml.sch

    2. 安装 SAML 方法。

      以下示例显示了在 Linux 上执行此操作的方式:

      nmasinst   -addmethod <edir_admin> <tree> ./config.txt

编辑 eDirectory 属性

  1. 打开 iManager,然后转至角色和任务 > 目录管理 > 创建对象

  2. 选择显示所有对象类

  3. 创建类 authsamlAffiliate 的一个新对象。

  4. 选择 authsamlAffiliate,然后单击确定。(您可以为此对象指定任意有效的名称。)

  5. 要指定环境,选择树中的 SAML Assertion.Authorized Login Methods.Security 容器对象,然后单击确定

  6. 必须将属性添加到类对象 authsamlAffiliate 中。

    1. 转至 iManager 查看对象 > 浏览选项卡,然后在 SAML Assertion.Authorized Login Methods.Security 容器中查找新的附属对象。

    2. 选择新的附属对象,然后选择修改对象

    3. authsamlProviderID 属性添加到新的附属对象。此属性用于与其附属匹配声明。此属性的内容必须与 SAML 声明发送的 Issuer 属性完全匹配。

    4. 单击确定

    5. authsamlValidBeforeauthsamlValidAfter 属性添加到附属对象。当认为某声明有效时,这些属性围绕该声明中的 IssueInstant 定义以秒为单位的时间段。通常默认值为 180 秒。

    6. 单击“确定”

  7. 选择安全性容器,然后选择创建对象,以在安全性容器中创建可信根容器

  8. 在可信根容器中创建可信根对象。

    1. 返回到角色和任务 > 目录管理,然后选择创建对象

    2. 再次选择显示所有对象类

    3. 为附属将用于对声明签名的证书创建可信根对象。必须具有证书的 DER 编码的副本才能执行此操作。

    4. 在到根 CA 证书的签名证书链中为每个证书创建新的可信根对象。

    5. 将“环境”设置为先前创建的“可信根容器”,然后单击确定

  9. 返回到对象查看器。

  10. 向您所属对象添加 authsamlTrustedCertDN 属性,然后单击确定

    此属性应指向先前步骤中所创建签名证书的“可信根对象”。(该附属的所有声明必须通过此属性指向的证书进行签名,否则它们将被拒绝。)

  11. 向您所属对象添加 authsamlCertContainerDN 属性,然后单击确定

    此属性应指向您之前创建的“可信根容器”。(此属性用于校验签名证书的证书链。)