手把手教您配置Liunx目录服务器(下)

<p>我们已经配置完成Liunx OpenLDAP目录服务器、客户端，下面着重介绍一下目录服务器的管理技巧。 </p><p><strong><font color=\"#0000ff\">一、监控OpenLDAP服务器</font></strong></p><p><strong><font color=\"#0000ff\"></font><font color=\"#ff0000\"> </font></strong><font color=\"#ff0000\">1.使用uptime命令</font></p><p><font color=\"#ff0000\"> </font>使用uptime命令可以查看系统负载，系统平均负载被定义为在特定时间间隔内运行队列中的平均进程数目。如果一个进程满足以下条件则其就会位于运行队列中：没有在等待I/O操作的结果、它没有主动进入等待状态(也就是没有被调用、没有被停止。</p><p> # uptime<br/> 9:51pm up 3 days, 4:43, 4 users, load average:6.02, 5.90, 3.94</p><p> 上面命令显示示最近1 分钟内系统的平均负载是6.02，在最近5分钟内系统的平均负载是5.90，在最近的15 分钟内系统的平均负载是3.94。一共四个用户。通常来说只要每个CPU的当前活动进程数不大于3那么系统的性能就是良好的，如果每个CPU的任务数大于5，那幺就表示这台机器的性能有严重问题。对于上面的例子来说，由于笔者系统使用是双CPU，那幺其每个CPU的当前任务数为：6.02/2=3.01。这表示该服务器的性能是可以接受的。</p><p><font color=\"#ff0000\"> 2.使用cron命令进行定时监测系统负载：</font></p><p><font color=\"#ff0000\"> </font>cron是一个守护进程，它提供定时器的功能，让用户在特定时间执行命令，首先使用命令：“chkconfig －list|grep crond”查看该服务是否启动，然后使用命令：<br/> # crontab －e<br/> 此时打开一个vi编辑器：输入以下内容：<br/> #30 * * * * * uptime<br/> 存盘退出，这样每隔十五分钟就记载其平均负载，这样累计一天，我们就可以得到最近一天的平均负载。</p><p><font color=\"#ff0000\"> 3. OpenLDAP进程的监控</font></p><p><font color=\"#ff0000\"> </font>Linux系统提供了ps、top等察看进程信息的系统调用，通过结合使用这些系统调用，我们可以清晰地了解进程的运行状态以及存活情况，从而采取相应的措施，来确保Linux系统的性能。它们是目前在Linux下最常见的进程状况查看工具，是随 Linux版本发行的，安装好系统之后，用户就可以使用。 这里以ps命令为例，ps命令是最基本同时也是非常强大的进程查看命令。利用它可以确定有哪些进程正在运行及运行的状态、进程是否结束、进程有没有僵死、哪些进程占用了过多的资源等。ps命令可以监控后台进程的工作情况，因为后台进程是不和屏幕键盘这些标准输入/输出设备进行通信的，图5是ps －ef|grep ldap命令输出的例子。说明其中PID为3653是主进程。<br/></p><p><table align=\"center\"><tbody><tr><td><img alt=\"\" src=\"http://www.cnfan.net/Files/BeyondPic/2006-2/12/584266.JPG\" border=\"1\" twffan=\"done\" style=\"CURSOR: pointer;\"/></td></tr><tr><td align=\"center\">图5 OpenLDAP服务器的进程</td></tr></tbody></table></p><p><br/><font color=\"#ff0000\"> 4.端口的监控</font></p><p><font color=\"#ff0000\"> </font>轻型目录访问协议默认使用389端口。可以使用命令：<br/> # netstat -an | grep 389 <br/> tcp 0 0 0.0.0.0:389 0.0.0.0:* LISTEN <br/></p><p><strong><font color=\"#0000ff\">二、OpenLDAP服务器自动启动和安全设定</font></strong></p><p><strong><font color=\"#0000ff\"> </font></strong><font color=\"#ff0000\">1.自动启动OpenLDAP服务器</font></p><p><font color=\"#ff0000\"> </font>如果希望ldap每次启动都能自动运行，可以用ntsysv设置。以root权限运行命令：<br/> ＃ntsysv<br/></p><p><table align=\"center\"><tbody><tr><td><img alt=\"\" src=\"http://www.cnfan.net/Files/BeyondPic/2006-2/12/584268.JPG\" border=\"1\" twffan=\"done\" style=\"CURSOR: pointer;\"/></td></tr><tr><td align=\"center\">图6启动OpenLDAP提供网络服务</td></tr></tbody></table></p><p><br/> 打开如图6 所示的窗口，在ldap服务选项加上*（用空格键），然后重新启动系统，这样系统会启动ldap目录服务。</p><p><font color=\"#ff0000\"> 2.使用访问控制(Access Control)实现用户认证</font></p><p><font color=\"#ff0000\"> </font>修改OpenLDAP的配置文件，增加控制模块方法如下：<br/> # vi /usr/local/etc/OpenLDAP/slapd.conf<br/> access to attr=userPassword<br/>　　　　by anonymous auth<br/>　　　　by self write<br/>　　　　by * none <br/> access to *<br/>　　　　by self write<br/>　　　　by users read</p><p> 这里访问控制用于禁止匿名查询，而认证用户可以修改自己的所有属性，除了userPassword属性，允许查询它人的信息条目。上面的每一行都是必须的，如果没有“by anonymous auth”，需要认证的用户不能完成认证，因为它查询不到密码。所以“auth”在这里的作用就是允许匿名用户可以读到密码，但只能用于验证，而不能用于其它的用途，这就保证了密码属性的安全。 </p>