Serwer proxy

Edycja w trybie z połączeniem

Serwer proxy jest specjalnym typem serwera Directory Server, który udostępnia routing żądań, równoważenie obciążenia, przełączanie awaryjne, rozproszone uwierzytelnianie i obsługę grup rozproszonych i partycjonujących i partycjonowanie kontenerów. Większość z tych funkcji znajduje się w nowym zapleczu, zapleczu proxy. Serwer IBM® Security Directory Proxy Server nie ma zaplecza RDBM i nie może brać udziału w replikacji.

Serwer proxy katalogów znajduje się na froncie w katalogu rozproszonym i zapewnia efektywne kierowanie żądań użytkowników, zwiększając wydajność w określonych sytuacjach i udostępniając klientowi ujednolicony widok katalogu. Może być również używany na froncie klastra serwerów w celu zapewnienia przełączania awaryjnego i równoważenia obciążenia.

Serwer proxy kieruje żądania odczytu i zapisu w różny sposób w zależności od konfiguracji. Żądania zapisu dla pojedynczej partycji są kierowane do pojedynczego podstawowego serwera zapisu. Serwery równorzędne nie są używane do unikania konfliktów. Żądania odczytu są kierowane w trybie round robin, aby zrównoważyć obciążenie. Jeśli jednak wysoka spójność jest włączona, żądania odczytu są kierowane do podstawowego serwera zapisu.

Serwer proxy udostępnia również obsługę listy ACL, która ma być zdefiniowana w oparciu o grupy zdefiniowane na innej partycji, a także obsługę partycjonowania płaskich przestrzeni nazw. Serwer proxy może być również używany jako system równoważenia obciążenia z użyciem protokołu LDAP.

Serwer proxy jest skonfigurowany z informacjami o połączeniu, aby połączyć się z każdym z serwerów zaplecza, dla których jest on proxy. Informacje o połączeniu składają się z adresu hosta, numeru portu, nazwy wyróżniającej powiązania, informacji autoryzacyjnych i wielkości puli połączeń. Każdy z serwerów zaplecza jest skonfigurowany z użyciem nazwy wyróżniającej i informacji autoryzacyjnych, z których korzysta serwer proxy w celu połączenia się z nim. Nazwa wyróżniająca musi należeć do globalnej grupy administracyjnej, lokalnej grupy administracyjnej z uprawnieniem dirData lub podstawowego administratora.

Przed wdrożeniem serwera proxy należy sprawdzić, czy wszystkie operacje wymagane w danym środowisku są obsługiwane. Więcej informacji na ten temat zawiera sekcja Identyfikatory OID dla obsługiwanych i włączonych możliwości , Identyfikatory OID dla operacji rozszerzonych i Identyfikatory OID dla elementów sterujących .
Uwaga: Jeśli użytkownik określi kontrolę administracyjną dla dowolnej operacji na serwerze proxy, serwer proxy będzie propagował kontrolę administracyjną do serwera zaplecza.
Serwer proxy kieruje nowe żądania skierowane do serwera zaplecza tylko za pośrednictwem bezpłatnego połączenia z serwerem zaplecza. Jeśli nie ma dostępnych wolnych połączeń zaplecza, serwer proxy tymczasowo zawiesi żądania odczytu od klientów. Serwer proxy wznawia czytanie od klientów tylko wtedy, gdy połączenie z zapleczem staje się wolne. Ponadto, jeśli istnieją oczekujące żądania od klienta do zaplecza, wszystkie nowe żądania od klienta będą kierowane przez to samo połączenie zaplecza, które jest używane przez wcześniejsze żądania.
Uwaga: Atrybut ibm-slapdProxyMaxPendingOpsPerClient zawarty w klasie obiektów ibm-slapdProxyBackendServer może być używany do konfigurowania limitu progowego dla oczekujących żądań z połączenia klienckiego w połączeniu zaplecza. Po osiągnięciu tego limitu progu żądania z połączenia klienta nie będą odczytyane do momentu, gdy oczekujące żądania w połączeniu zaplecza zmniejszą się do wartości poniżej określonego limitu progu. Jeśli ten atrybut nie zostanie określony, maksymalna liczba oczekujących operacji klienta zostanie użyta domyślnie w 5.
Na koniec, serwer proxy jest skonfigurowany z własnym schematem. Należy upewnić się, że serwer proxy jest skonfigurowany z tym samym schematem co serwery zaplecza, dla których jest on proxy. Serwer proxy musi być również skonfigurowany z informacjami na temat partycji.
Uwaga: Serwer korzysta z tego samego domyślnego pliku konfiguracyjnego, niezależnie od tego, czy jest on skonfigurowany jako serwer katalogów, czy serwer proxy. Jeśli jednak serwer jest skonfigurowany jako serwer proxy, ustawienia konfiguracyjne dla funkcji, które nie są obsługiwane przez serwer proxy, są ignorowane. Poniżej znajduje się lista wpisów w pliku konfiguracyjnym, które są ignorowane przez serwer proxy:
  • cn = Powiadomienie o zdarzeniach, cn = Konfiguracja
  • cn = Wyszukiwanie trwałe, cn = Konfiguracja
  • cn = RDBM Backends, cn=IBM Directory, cn = Schemas, cn = Configuration
  • cn = Replikacja, cn=konfiguracja
  • cn = Bulkload, cn = Log Management, cn = Configuration
  • cn=DB2CLI, cn = Log Management, cn = Configuration
Dla pozycji "cn=Front End, cn=configuration", zmienne środowiskowe ustawione pod tym wpisem będą obsługiwane przez serwer proxy. Do zmiennych środowiskowych obsługiwanych przez serwer proxy należą następujące zmienne:
Tabela 1. Zmienne środowiskowe obsługiwane przez serwer proxy
Zmienna Opis
PROXY_CACHE_GAG_PW Określa, czy buforowanie hasła jest włączone, czy wyłączone. Serwer proxy ma możliwość lokalnej pamięci podręcznej haseł globalnych administratorów. Jeśli strategia haseł jest włączona, buforowane hasła członków grupy administratorów globalnych są wyłączone. Jeśli strategia haseł jest wyłączona, buforowanie członków globalnej grupy administratorów jest włączone. Zmienna środowiskowa PROXY_CACHE_GAG_PW może przesłonić to zachowanie domyślne. Opcja PROXY_CACHE_GAG_PW ustawiona na wartość TAK spowoduje włączenie buforowania hasła. Wartość PROXY_CACHE_GAG_PW ustawiona na dowolną inną wartość spowoduje wyłączenie buforowania haseł. Jeśli zmienna środowiskowa jest nieustawiona, domyślne zachowanie jest zarządzane przez ustawienie strategii haseł.
PROXY_GLOBAL_GROUP_PERIOD Określa odstęp czasu, po upływie którego wątek interwału proxy się obudzi. Wartością domyślną tej zmiennej jest 30 sekund.
PROXY_USE_SINGLE_SENDER Określa, czy dla operacji jest używany pojedynczy wątek nadawcy. Domyślnie jest to wartość false.
PROXY_RECONNECT_TIME Określa odstęp czasu, po upływie którego serwer proxy próbuje ponownie połączyć się z serwerem zaplecza, który przeszedł w dół. Domyślnie jest to 5 sekund.
LDAP_LIB_WRITE_TIMEOUT Określa czas (w sekundach) oczekiwania na gotowość gniazda do zapisu
CZAS_SLEDZEŃ_PRZEPŁYWU_PRZEPŁYWU_PRACY W przypadku sterowania przepływem, gdy nie ma dostępnych wolnych połączeń zaplecza, serwer proxy tymczasowo zawiesza odczyt z gniazda. Następnie okresowo sprawdza, czy istnieje wolne połączenie zaplecza, które stało się dostępne. Częstotliwość, z jaką to sprawdzenie jest wykonywane, jest określana przez zmienną środowiskową CZAS_SLEDZEŃ_PRZEPŁYWU_PRZEPŁYWU_PRACY. Musi to być wartość całkowita i podana w milisekundach częstotliwość, z jaką sprawdzanie jest wykonywane przez serwer proxy. Jeśli zmienna środowiskowa nie jest ustawiona, domyślnie ustawiona jest wartość 5.
Serwer proxy obsługuje niektóre funkcje serwera Directory Server, a jednocześnie istnieją pewne funkcje, które nie są obsługiwane przez serwer proxy. Poniżej znajduje się lista funkcji obsługiwanych przez serwer proxy:
  • Rozszerzone operacje dostępu do dziennika.
  • Dynamiczna konfiguracja obsługiwanych atrybutów
  • Zatrzymanie uruchamiania serwera
  • TLS
  • Anulowanie powiązania powiązanej nazwy wyróżniającej
  • Śledzenie dynamiczne
  • Rozszerzona operacja typu atrybutu
  • Rozszerzona operacja typu użytkownika
  • Kontrola kodu źródłowego kontroli IP
  • Element sterujący administrowania serwerem
  • Suma kontrolna pozycji
  • Identyfikator UUID pozycji
  • Filtruj listy ACL
  • Delegowanie grupy administratorów
  • Zabezpieczenie przed odmową usługi
  • Kontrola serwera administracyjnego
  • Grupy dynamiczne
  • Liczniki operacji monitora
  • Liczniki rejestrowania monitora
  • Aktywni pracownicy monitora połączeń
  • Śledzenie monitora
  • Tryb Fips SSL
  • Zmień nazwę dn tak długo, jak długo zmiana nazwy pozycji nie powoduje przeniesienia pozycji między partycjami.
  • Wiele instancji
  • Szyfrowanie hasła AES
  • Strategia haseł administratora
  • Rozszerzona operacja znalezienia pozycji
  • Wznowienie operacji rozszerzonej roli
  • Pobieranie pliku LDAP
  • Ogranicz liczbę wartości atrybutów
  • Kontrola wydajności-kontrola wydajności jest obsługiwana dla proxy. Następujące pola informacji o wydajności dla każdego rekordu kontroli są poprawne dla proxy. Czas oczekiwania na blokadę RDBM zawsze będzie równy 0 dla serwera proxy:
    • Czas odpowiedzi operacji
    • Czas spędzony na pracy Q
    • Czas we/wy klienta
  • Streszczanie powiązań MD-5
  • Role administracyjne
  • Wtyczki do przedoperacji
  • Globalna grupa administracyjna
  • Wyszukiwania w stronicowaniu i sortowaniu
  • Wyszukiwanie ibm-allmembers
  • Transakcje
    Uwaga: Transakcje są obsługiwane, ale tylko wtedy, gdy wszystkie pozycje, które są częścią żądania transakcji, znajdują się na pojedynczym serwerze katalogów.
Lista funkcji nieobsługiwanych przez serwer proxy jest podana poniżej:
  • powiadamianie o zdarzeniach
  • Rozszerzone operacje zarządzania replikacją
  • Rozszerzona operacja wartościowania grupy
  • Rozszerzona operacja statusu konta
  • Usuwanie poddrzewa
  • Element sterujący autoryzacji proxy
  • Element sterujący autoryzacji grupy
  • Pomiń spójność referencyjną grupy
  • Unikalne atrybuty
  • Efektywna strategia haseł
  • Rozszerzona operacja tworzenia kopii zapasowej otwartej bazy danych
  • Rozszerzona operacja prewiązania hasła
  • Operacja rozszerzona po powiązaniu hasła
  • Wtyczki operacji po operacji
  • Wyszukiwanie oparte na wartości NULL