前段时间发布了一个安装IBM Security Directory Server的文章,不敢说是教程。有人评论说在Windows下安装不好,应该用AD,让发布个Linux下安装的。
我考虑再三,结合IBM的产品组合,就再发布一个安装的IBM Security Directory Suite的文章,这个产品组包含了IBM Security Directory Server。下面看一下官方的介绍:
您可以使用 IBM® Security Directory Suite 提供用于认证的可信身份数据基础结构。
IBM Security Directory Suite 提供下列功能部件:
- 强大而权威的企业目录基础结构,它是企业安全性的关键促成因素。
- 虚拟设备,用于缩短总体价值生成时间 (TTV),并大幅减少产品部署时间。
- 服务器,用于通过 DB2® 数据库存储目录信息。
- 客户机和服务器实用程序以及图形用户界面 (GUI),用于管理服务器。
IBM Security Directory Suite V8.0.1.x 包含以下组件:
- Directory Server
- Web 管理工具
- Federated Directory Server,目标为 Directory Server
- Federated Directory Server,目标为 SCIM
- 跨域身份管理系统(SCIM)服务
- Virtual Directory
虚拟设备概述
虚拟设备是预配置的虚拟桌面环境。 IBM Security Directory Suite 虚拟设备是基于网络设备的目录服务解决方案,包含安装于虚拟机的软件。
IBM Security Directory Suite V8.0.1.x 虚拟设备中包含以下功能部件:
- 用于查看系统状态的仪表板,例如系统通知、集群状态、组件和应用程序状态、部署统计信息和磁盘使用情况。
- 分析和诊断工具,例如内存统计信息、CPU 使用情况、IBM Security Directory Suite 的性能指标和服务统计信息。
- 控制系统设置,例如主机名、日期或时间以及网络设置。
- 图形管理界面,用于配置大多数功能部件。
- 集中式管理 IBM Security Directory Suite 配置设置和日志文件。
- 应用程序服务器证书的管理。
- Appliance Dashboard 上的“定制文件管理”功能,用于在虚拟设备上上载、下载或更新文件。
- Appliance Dashboard 上的“更新属性”功能,用于更新 Directory Server、Federated Directory Server 和 SCIM 属性。
下面我们开始安装,在VMware环境下。准备一个Linux虚拟机,挂载ISO安装文件。
需要三块网卡,希望不要有人评论说网卡用多了
开始安装,需要等待一会,在检测硬件是否符合标准。
下面选择语言,然后继续:
稍等一会,安装程序自动安装相关操作,无需干预。
下面其实我们可以思考一下这个自动化过程,从签名、分区、分区、辅助分区到自动安装程序,可以说是傻瓜式的安装过程。我们国内某些专业的应用软件也应该做成这个样子,让用户安装部署的时候尽可能简单。而且,这个是采用的定制Linux,里面禁用了几乎所有的Linux命令,只能使用该系统自带的命令。同时,系统自动识别KVM、VMware、XenServer虚拟机并安装插件。也不导致了在很多云上是部署不了的,因为现在多数的云虚拟化是自己搞的,需要强制在虚拟机里安装自己的插件以实现对虚拟机的监控和重置超级管理员密码。
好了,重启服务器。
下面开始配置SDS,初始化过程需要稍等二三十秒:
默认用户名和密码是admin
继续
输入4
输入1接受协议
这里不启用FIPS,直接输入n
这里可以修改默认密码,也可以以后修改
我选择了修改密码
输入n继续
修改主机名称
自行设置FQDN
继续
配置网卡,选择3
我这里设置手动,选择2
下面要设置时区
选择3
选择28
继续
检查配置没有问题就接受配置
配置系统,稍等一会
完毕。可以登录控制台了。
通过网页登录控制台https://fqdn
登录成功之后:
下面可以激活许可证
激活企业版之后,可以看到控制面板的变化
配置里面发生了变化
我们可在控制面板的链接里面直接登录LDAP管理,注意服务要启动起来
其中Federated Directory Server的官方介绍如下:
Federated Directory Server控制台 提供了从一个或多个源系统(例如 Active Directory 或 Sun Directory)到目标目录的同步服务。 IBM® Security Directory Suite 目录服务器是 Federated Directory Server 的缺省核心集中式存储库或目标存储库。
Federated Directory Server 控制台 有下列优势:
- 由于它是随时可用的高质量应用程序,因此需要的实现时间和工作量比定制构建的解决方案少。
- 易于部署和使用。
- 支持各种数据源(例如,目录、数据库、旧数据和平面文件)之间的集成,且不影响现有系统。
- 通过单点访问加快身份和访问管理应用程序的部署速度。
- 速度更快、性能更强且安全性级别更高。
功能:
Federated Directory Server 提供了多项功能,可以帮助您轻松快捷地实现目录集成解决方案。
- 可以进行目录集成,不需要对现有的旧数据进行更改。
- 它自动将数据拉入到目录服务器。
- 所有关系都可包含高级映射和数据转换。
- 用户和组均可集成。
- 可维持目录层次结构,也可将其序列化。
- 可在跨多个源实施的 Federated Directory Server 中创建组(包括动态组)。
- 可从多个源的链接数据和扩充数据创建人员的补充数据。
- 可以配置 Federated Directory Server,从而用户认证会直接进入现有的后端本地系统。 不需要进行密码复制(被视为主要开销)。
- 可对现有目录和数据基础结构中的所有内容进行搜索。
- 用户可使用唯一属性(例如电子邮件或员工标识)来登录企业目录。
- 可通过易于使用的界面来管理旧数据以及属性的定制映射。
- 可以启用回写来更新原始源。
业务场景:
Federated Directory Server 是一种混合方法,用于满足各种业务场景中目录服务的安全性和协作需求。
以下示例是 Federated Directory Server 的功能可满足的一些业务需求:
- 您希望启用中央认证服务。 但是,您可能希望将密码原样保留在原始源目录中。
- 您需要管理多个目录内的组以支持诸如企业消息传递和访问控制等服务。
- 您希望扩充您的身份信息,从而使中央 LDAP 目录能够支持应用程序和服务的特定需求。
缺省情况下,目录服务器为集中式核心后端目录服务器。 管理员可以选择所需的服务级别,例如传递认证或回写。 并且,有需要时,可以使用另一个系统作为中央身份存储库。
客户的特定需求可分为图中所示的下列场景。
迁移目录或共存
可定义必须迁移的模式和信息量。 例如,可通过迁移到 Federated Directory Server 来使数据源更具伸缩性和灵活性,而不必扩展原始数据源中的模式。
合并多个数据源或目录
迁移或合并来自不同数据源的数据时,关系中可能包含高级映射和数据转换。 例如,您可以集成用户和组,保持目录结构或将其序列化,还可以在 Federated Directory Server 中创建跨多个数据源的动态组。
使用其他源中的数据进行增加或扩充
可以通过设置与端点的连接有选择地从另一个数据源添加更多具有特定条件的数据。
选择性地将更改写回原始源
如果已在目标目录服务器中修改信息,那么可将其回写到端点中。 但是,回写具有选择性,这是因为某些客户可能想要一个屏障将原始数据保留在端点中。
将认证联合回原始源
Federated Directory Server可以将认证请求传回存储了凭证的端点中,从而在端点中发生认证过程。 不需要将凭证存储在 Federated Directory Server 中,除非您选择这样做。
例如,可合并 Federated Directory Server 的各种功能以创建特定于您的需求的定制解决方案。 假设您具有一个 Active Directory,您希望将其用于单点登录。 您希望它更具可伸缩性以使其用途更广泛(例如用于社交网络),但不希望扩展模式。 您可以选择性地迁移数据,例如,仅迁移用户的电子邮件地址。 Federated Directory Server 还会从源目录中拉取专有名称 (DN)。 然后,您可使用 Federated Directory Server 的传递认证功能并在源目录本身中保留密码凭证,而不将其拉取至目标目录中。 用户可使用唯一属性(在此例中为电子邮件地址)登录目录服务器。 目录服务器将使用 DN 与用户所来自于的 Active Directory 绑定。 如果返回了成功响应,那么表示该用户已经过认证。
功能概述:
了解 Federated Directory Server 的关键概念、组件和体系结构。
下图说明 Federated Directory Server 的各种组件。
图 1. Federated Directory Server 组件
目录服务器 IBM® Security Directory Suite 目录服务器,它是项目中所有流的目标。 端点 已配置的可提供流中数据的源系统。 当前可用的端点类型为 Active Directory、文件、JDBC、LDAP、目录服务器和 Sun Directory。 流 定义端点和目标目录服务器之间的关系的配置。 必须在配置目标目录服务器连接设置并添加一个或多个端点之后,才可创建流。 属性映射 一种映射,用于将源模式中的属性转换为目标模式中相应的属性。 在 Federated Directory Server 中,您可以将其中一个随时可用属性映射或定制属性映射应用于流操作。 连接 已配置的源系统,用于提供数据以扩充并增加源自端点的数据。 如果将流配置为指定与端点的连接,那么会使用以下方法处理条目:
- 从端点读取一个条目。
- 流在连接数据源中查询条目。
- 条目与来自端点的数据进行合并。
- 合并数据已添加至目标目录服务器。
传递认证 目录服务器的功能部件,可通过将认证委派给不同的 LDAP 服务器在其中对用户进行认证。 当为流启用传递认证时,它会将目录服务器配置为将存储在端点中的凭证用于认证源自该流的用户。
閱讀更多 深海淡水 的文章
