简介

此章中该信息描述系统或数据库管理员如何将 CA ControlMinder 企业管理配置为使用 CA Directory 与多个 LDAP 服务器一起使用。通过与多个 LDAP 服务器一起使用，管理员可以将多个 LDAP 用户存储集成到单个企业范围的用户存储。

如何配置多个 LDAP 服务器

CA Directory 支持将 LDAP 服务器集成到分布式目录主干。

CA Directory 提供名为 DXlink 的实用程序，该实用程序在多个 LDAP 目录服务器上启用搜索。

下图说明如何使用 CA Directory 为多个 LDAP 服务器配置 CA ControlMinder 企业管理：

下图说明如何为多个服务器配置 CA Directory：

您执行下列步骤，使用 CA Directory 为多个 LDAP 服务器配置企业管理服务器：

安装 CA Directory
配置 CA Directory 路由器
自定义 CA Directory 路由器定义
为数据库填充实体，创建 DIT
启动 CA Directory
安装企业管理服务器，以 Active Directory 作为用户存储
重要说明！ 当您安装企业管理服务器时，请指定以下内容：
- 主机名－指定 CA Directory 主机名
- 端口号 -- 指定 25389
- 基本 DN－指定环境中所有 Active Directory 服务器所共有的 DN。如不适用，请将该字段保留为空。
- (Linux) 搜索根－指定环境中所有 Active Directory 服务器所共有的 DN。如不适用，请将该字段保留为空。
- 管理帐户－指定 Active Directory 域之一的管理帐户。

注意：登录到 CA ControlMinder 企业管理时，请验证您是否指定正在使用的管理帐户是成员的域名。

配置 CA Directory 路由器

CA Directory 将请求路由到相当于后缀的 Active Directory，该后缀在客户端请求中定义为 CA ControlMinder 使用的 Active Directory。 CA Directory 使用 DXlink 实用程序路由请求。

在您完成该程序之前，您已安装两个 Active Directory 用户存储，例如：acdir1 以及 acdir2 以及名为“dsarouter”的 CA Directory。

遵循这些步骤:

从 CA Directory 服务器，打开命令提示符窗口
运行以下命令：
```
dxnewdsa -s 1 cadirhost-adrouter 25389
```
-s 1

指定 1 MB 的数据库大小

cadirhost -adrouter

定义路由的名称。

25389

指定路由器端口
使用以下命令停止路由器：
```
dxserver stop cadirhost-adrouter
```
使用以下命令安装路由器：
```
dxserver install cadirhost-adrouter
```
导航到下列目录，其中 DXHOME 是该目录（安装路由器）的名称：
```
DXHOME/config/knowledge
```

复制 cadirhost-router.dxc 文件，如下所示：

将一个文件重命名为 acdir1-dxlink.dxc
将第二个文件重命名为 acdir2-dxlink.dxc

编辑 acdir1-dxlink.dxc 文件，如下所示：

set dsa "acdir1-dxlink" =
{
    prefix            = <dc "acdir1"><dc "com">
    dsa-name          = <cn "acdir1-dxlink">
    dsa-password      = "secret"
    ldap-dsa-name     = <dc "acdir1"><dc "com"><cn "users"><cn "Administrator">
    ldap-dsa-password = "{CADIR}yKW2cVbG"
    address           = tcp "acdir1" port 389
    auth-levels       = clear-password
    trust-flags       = allow-check-password, no-server-credentials
    link-flags        = dsp-ldap, ms-ad
};

ldap-dsa-name: 指定用于绑定到 Active Directory 的可分辨名称 (DN)
ldap-dsa-password: 为 DN 定义加密密码

注意：使用 dxpassword 实用程序加密密码。例如：dxpassword -P CADIR <password>。

address: 指定 Active Directory 域控制器地址

编辑 acdir2-dxlink.dxc，如下所示：

set dsa "aclabcail-dxlink" =
{
    prefix            = <dc "acdir2"><dc "com">
    dsa-name          = <cn "acdir2-dxlink">
    dsa-password      = "secret"
    ldap-dsa-name     = <dc "acl"><dc "aclab"><cn "users"><cn "Administrator">
    ldap-dsa-password = "{CADIR}yKW2cVbG"
    address           = tcp "acdir2" port 389
    auth-levels       = clear-password
    trust-flags       = allow-check-password, no-server-credentials
    link-flags        = dsp-ldap, ms-ad
};

您已配置 CA Directory 路由器。

自定义 CA Directory 路由器定义

在配置 CA Directory 路由器之后，您需要自定义 CA Directory 路由器定义。

遵循这些步骤:

导航到以下目录，其中 DXHOME 是安装 CA Directory 的目录：
```
DXHOME/config/limits
```
请执行以下操作：
1. 创建 default.dxc 文件的副本，并将原始文件重命名为 dsarouter-adrouter.dxc
2. 从文件中删除 ReadOnly 标志
3. 打开 dsarouter-adrouter.dxc 文件并修改以下字段：
```
# 大小限制
set max-users = 255;
set max-local-ops = 100;
set max-op-size = 0;

# 时间限制
set max-bind-time = none;
set bind-idle-time = 3600;
set max-op-time = 600;
```
  保存并关闭文件。
导航至以下目录：
```
DXHOME/config/settings
```

请执行以下操作：

创建 default.dxc 文件的副本，并将原始文件重命名为 dsarouter-adrouter.dxc
从文件中删除 ReadOnly 标志

打开 dsarouter-adrouter.dxc 文件并修改以下字段：

# 目录信息库
set alias-integrity = true;
# 分配控件
set multi-casting = true;
set always-chain-down = false;
# 安全控件
set min-auth = clear-password;
set allow-binds = true;
set ssl-auth-bypass-entry-check = false;
# 常规控件
set op-attrs = true;
set transparent-routing = true;

保存并关闭文件

导航至以下目录：
```
DXHOME/config/knowledge
```
打开或创建 dsarouter-adrouter.dxc 文件并删除 auth 级字符串值“anonymous”以只启用清除密码登录。例如：
```
set dsa "cadirhost-adrouter" =
{
```
```
    prefix        = <>
    dsa-name      = <cn "cadirhost-adrouter">
    dsa-password  = "secret"
    address       = tcp "cadirhost" port 25389
    disp-psap     = DISP
    snmp-port     = 25389
    console-port  = 25390
```
```
 auth-levels   = clear-password
```
保存并关闭文件。

重要说明！ 如果您在定义 IPv4 和 IPv6 地址的服务器上安装 CA Directory，则在 tcp 值中指定 IPv6 和 IPv4 地址类型。例如：address = tcp "fe80::20d:56ff:fed4:8300%5" port 19389, tcp "192.168.1.1" port 19389

创建名为 adrouter.dxa 的文件并添加下列行，然后保存并关闭文件：

source "dsarouter-adrouter.dxc";
source "acdir1-dxlink.dxc";
source "acdir2-dxlink.dxc";

导航至以下目录：
```
DXHOME/config/logging
```
请执行以下操作：
1. 创建 default.dxc 文件副本
2. 将原始文件重命名为 dsarouter-adrouter.dxc
3. 删除该 ReadOnly 标志
导航至以下目录：
```
DXHOME/config/servers
```

请执行以下操作：

编辑 cadirhost-adrouter.dxi，如下所示修改下列行，然后保存并关闭文件：

#
# 由 DXnewdsa 写入的初始化文件
#
# 记录和跟踪
source "../logging/cadirhost-adrouter.dxc";
# 架构
clear schema;
source "../schema/default.dxg";
# 知识
clear dsas;
source "../knowledge/adrouter.dxg";
# 操作设置
source "../settings/cadirhost-adrouter.dxc";
# 服务限制
source "../limits/cadirhost-adrouter.dxc";
# 访问控制
clear access;
source "../access/default.dxc";
# ssl
source "../ssld/default.dxc";
# 复制协议（很少使用）
# source "../replication/";
# 多次写入 DISP 恢复
set multi-write-disp-recovery = false;
# 网格配置
set dxgrid-db-location = "data";
set dxgrid-db-size = 1;
set cache-index = all-attributes;
set lookup-cache = true;

注意：将 cadirhost 替换成 CA Directory 主机名。

您已自定义 CA Directory 路由器定义。

填充 CA Directory 数据库创建 DIT

您可以选择使用实体填充 CA Directory 数据库，以创建目录信息树 (DIT)。通过 DIT 您可以从上而下浏览组织的分层结构。

遵循这些步骤:

在托管 CA Directory 路由器的服务器上，创建文件名为 input.ldif 的文件，输入以下实体，例如：

dn: dc=com
objectClass: domain
objectClass: top
dc: com

dn: dc=company,dc=com
objectClass: domain
objectClass: top
dc: company

dn: dc=demo
objectClass: domain
objectClass: top
dc: demo

保存并关闭文件。
打开命令提示符窗口并运行以下命令：
```
dxloaddb cadirhost-adrouter input.ldif
```
运行以下命令以启动 CA Directory 路由器：
```
dxserver start cadirhost-adrouter
```
注意：将 cadirhost 替换成 CA Directory 主机名。

您已经以实体填充了 CA Directory 数据库，创建 DIT。