03.04 安裝IBM Security Directory Suite

前段時間發佈了一個安裝IBM Security Directory Server的文章，不敢說是教程。有人評論說在Windows下安裝不好，應該用AD，讓發佈個Linux下安裝的。

我考慮再三，結合IBM的產品組合，就再發佈一個安裝的IBM Security Directory Suite的文章，這個產品組包含了IBM Security Directory Server。下面看一下官方的介紹：

您可以使用 IBM® Security Directory Suite 提供用於認證的可信身份數據基礎結構。

IBM Security Directory Suite 提供下列功能部件：

• 強大而權威的企業目錄基礎結構，它是企業安全性的關鍵促成因素。
• 虛擬設備，用於縮短總體價值生成時間 (TTV)，並大幅減少產品部署時間。
• 服務器，用於通過 DB2® 數據庫存儲目錄信息。
• 客戶機和服務器實用程序以及圖形用戶界面 (GUI)，用於管理服務器。

IBM Security Directory Suite V8.0.1.x 包含以下組件：

• Directory Server
• Web 管理工具
• Federated Directory Server，目標為 Directory Server
• Federated Directory Server，目標為 SCIM
• 跨域身份管理系統（SCIM）服務
• Virtual Directory

虛擬設備概述

虛擬設備是預配置的虛擬桌面環境。 IBM Security Directory Suite 虛擬設備是基於網絡設備的目錄服務解決方案，包含安裝於虛擬機的軟件。

IBM Security Directory Suite V8.0.1.x 虛擬設備中包含以下功能部件：

• 用於查看系統狀態的儀表板，例如系統通知、集群狀態、組件和應用程序狀態、部署統計信息和磁盤使用情況。
• 分析和診斷工具，例如內存統計信息、CPU 使用情況、IBM Security Directory Suite 的性能指標和服務統計信息。
• 控制系統設置，例如主機名、日期或時間以及網絡設置。
• 圖形管理界面，用於配置大多數功能部件。
• 集中式管理 IBM Security Directory Suite 配置設置和日誌文件。
• 應用程序服務器證書的管理。
• Appliance Dashboard 上的“定製文件管理”功能，用於在虛擬設備上上載、下載或更新文件。
• Appliance Dashboard 上的“更新屬性”功能，用於更新 Directory Server、Federated Directory Server 和 SCIM 屬性。

下面我們開始安裝，在VMware環境下。準備一個Linux虛擬機，掛載ISO安裝文件。

需要三塊網卡，希望不要有人評論說網卡用多了

開始安裝，需要等待一會，在檢測硬件是否符合標準。

下面選擇語言，然後繼續：

稍等一會，安裝程序自動安裝相關操作，無需干預。

下面其實我們可以思考一下這個自動化過程，從簽名、分區、分區、輔助分區到自動安裝程序，可以說是傻瓜式的安裝過程。我們國內某些專業的應用軟件也應該做成這個樣子，讓用戶安裝部署的時候儘可能簡單。而且，這個是採用的定製Linux，裡面禁用了幾乎所有的Linux命令，只能使用該系統自帶的命令。同時，系統自動識別KVM、VMware、XenServer虛擬機並安裝插件。也不導致了在很多雲上是部署不了的，因為現在多數的雲虛擬化是自己搞的，需要強制在虛擬機裡安裝自己的插件以實現對虛擬機的監控和重置超級管理員密碼。

好了，重啟服務器。

下面開始配置SDS，初始化過程需要稍等二三十秒：

默認用戶名和密碼是admin

繼續

輸入4

輸入1接受協議

這裡不啟用FIPS，直接輸入n

這裡可以修改默認密碼，也可以以後修改

我選擇了修改密碼

輸入n繼續

修改主機名稱

自行設置FQDN

繼續

配置網卡，選擇3

我這裡設置手動，選擇2

下面要設置時區

選擇3

選擇28

繼續

檢查配置沒有問題就接受配置

配置系統，稍等一會

完畢。可以登錄控制檯了。

通過網頁登錄控制檯https://fqdn

登錄成功之後：

下面可以激活許可證

激活企業版之後，可以看到控制面板的變化

配置裡面發生了變化

我們可在控制面板的鏈接裡面直接登錄LDAP管理，注意服務要啟動起來

其中Federated Directory Server的官方介紹如下：

Federated Directory Server控制檯 提供了從一個或多個源系統（例如 Active Directory 或 Sun Directory）到目標目錄的同步服務。 IBM® Security Directory Suite 目錄服務器是 Federated Directory Server 的缺省核心集中式存儲庫或目標存儲庫。

Federated Directory Server 控制檯 有下列優勢：

• 由於它是隨時可用的高質量應用程序，因此需要的實現時間和工作量比定製構建的解決方案少。
• 易於部署和使用。
• 支持各種數據源（例如，目錄、數據庫、舊數據和平面文件）之間的集成，且不影響現有系統。
• 通過單點訪問加快身份和訪問管理應用程序的部署速度。
• 速度更快、性能更強且安全性級別更高。

功能：

Federated Directory Server 提供了多項功能，可以幫助您輕鬆快捷地實現目錄集成解決方案。

• 可以進行目錄集成，不需要對現有的舊數據進行更改。
• 它自動將數據拉入到目錄服務器。
• 所有關係都可包含高級映射和數據轉換。
• 用戶和組均可集成。
• 可維持目錄層次結構，也可將其序列化。
• 可在跨多個源實施的 Federated Directory Server 中創建組（包括動態組）。
• 可從多個源的鏈接數據和擴充數據創建人員的補充數據。
• 可以配置 Federated Directory Server，從而用戶認證會直接進入現有的後端本地系統。 不需要進行密碼複製（被視為主要開銷）。
• 可對現有目錄和數據基礎結構中的所有內容進行搜索。
• 用戶可使用唯一屬性（例如電子郵件或員工標識）來登錄企業目錄。
• 可通過易於使用的界面來管理舊數據以及屬性的定製映射。
• 可以啟用回寫來更新原始源。

業務場景：

Federated Directory Server 是一種混合方法，用於滿足各種業務場景中目錄服務的安全性和協作需求。

以下示例是 Federated Directory Server 的功能可滿足的一些業務需求：

• 您希望啟用中央認證服務。 但是，您可能希望將密碼原樣保留在原始源目錄中。
• 您需要管理多個目錄內的組以支持諸如企業消息傳遞和訪問控制等服務。
• 您希望擴充您的身份信息，從而使中央 LDAP 目錄能夠支持應用程序和服務的特定需求。

缺省情況下，目錄服務器為集中式核心後端目錄服務器。 管理員可以選擇所需的服務級別，例如傳遞認證或回寫。 並且，有需要時，可以使用另一個系統作為中央身份存儲庫。

客戶的特定需求可分為圖中所示的下列場景。

遷移目錄或共存

可定義必須遷移的模式和信息量。 例如，可通過遷移到 Federated Directory Server 來使數據源更具伸縮性和靈活性，而不必擴展原始數據源中的模式。

合併多個數據源或目錄

遷移或合併來自不同數據源的數據時，關係中可能包含高級映射和數據轉換。 例如，您可以集成用戶和組，保持目錄結構或將其序列化，還可以在 Federated Directory Server 中創建跨多個數據源的動態組。

使用其他源中的數據進行增加或擴充

可以通過設置與端點的連接有選擇地從另一個數據源添加更多具有特定條件的數據。

選擇性地將更改寫回原始源

如果已在目標目錄服務器中修改信息，那麼可將其回寫到端點中。 但是，回寫具有選擇性，這是因為某些客戶可能想要一個屏障將原始數據保留在端點中。

將認證聯合回原始源

Federated Directory Server可以將認證請求傳回存儲了憑證的端點中，從而在端點中發生認證過程。 不需要將憑證存儲在 Federated Directory Server 中，除非您選擇這樣做。

例如，可合併 Federated Directory Server 的各種功能以創建特定於您的需求的定製解決方案。 假設您具有一個 Active Directory，您希望將其用於單點登錄。 您希望它更具可伸縮性以使其用途更廣泛（例如用於社交網絡），但不希望擴展模式。 您可以選擇性地遷移數據，例如，僅遷移用戶的電子郵件地址。 Federated Directory Server 還會從源目錄中拉取專有名稱 (DN)。 然後，您可使用 Federated Directory Server 的傳遞認證功能並在源目錄本身中保留密碼憑證，而不將其拉取至目標目錄中。 用戶可使用唯一屬性（在此例中為電子郵件地址）登錄目錄服務器。 目錄服務器將使用 DN 與用戶所來自於的 Active Directory 綁定。 如果返回了成功響應，那麼表示該用戶已經過認證。

功能概述：

瞭解 Federated Directory Server 的關鍵概念、組件和體系結構。

下圖說明 Federated Directory Server 的各種組件。

圖 1. Federated Directory Server 組件

目錄服務器 IBM® Security Directory Suite 目錄服務器，它是項目中所有流的目標。 端點 已配置的可提供流中數據的源系統。 當前可用的端點類型為 Active Directory、文件、JDBC、LDAP、目錄服務器和 Sun Directory。 流 定義端點和目標目錄服務器之間的關係的配置。 必須在配置目標目錄服務器連接設置並添加一個或多個端點之後，才可創建流。 屬性映射 一種映射，用於將源模式中的屬性轉換為目標模式中相應的屬性。 在 Federated Directory Server 中，您可以將其中一個隨時可用屬性映射或定製屬性映射應用於流操作。 連接 已配置的源系統，用於提供數據以擴充並增加源自端點的數據。 如果將流配置為指定與端點的連接，那麼會使用以下方法處理條目：

1. 從端點讀取一個條目。
2. 流在連接數據源中查詢條目。
3. 條目與來自端點的數據進行合併。
4. 合併數據已添加至目標目錄服務器。

傳遞認證 目錄服務器的功能部件，可通過將認證委派給不同的 LDAP 服務器在其中對用戶進行認證。 當為流啟用傳遞認證時，它會將目錄服務器配置為將存儲在端點中的憑證用於認證源自該流的用戶。

閱讀更多 深海淡水 的文章

關鍵字: Windows VMware 數據庫