使用 Active Directory 应用程序模式 (ADAM) 目录服务创建 LDAP 数据存储

  • 项目

更新时间: 2007年6月

 

上一次修改主题: 2015-03-09

在某些情况下,Active Directory 目录服务可能不可用(例如,在基于 Linux 的网络中)或者组织选择不使用其网络操作系统 Active Directory 对 Project Server 用户进行身份验证。在此类情况下,可使用外部目录服务来创建轻型目录访问协议 (LDAP) 数据存储,以供用户进行身份验证。

Active Directory 应用程序模式 (ADAM) 是一种目录服务,用于满足那些不能仅依赖 Active Directory 来为启用目录的应用程序提供目录服务的组织或那些无法使用 Active Directory 的组织的需求。虽然 Active Directory 可在管理网络基础结构方面提供许多优势,但组织通常需要一种更灵活的目录服务以支持启用目录的应用程序。ADAM 是一种专门用于启用目录的应用程序(如 Microsoft Office Project Server 2007)的 LDAP 目录服务。ADAM 以用户服务(而不是系统服务)运行。ADAM 可在运行 Windows Server 2003 系列(Windows Server 2003 Web Edition 除外)操作系统的服务器和域控制器以及运行 Windows XP Professional 的计算机上运行。

在以下情况下,ADAM 可作为目录服务供 Office Project Server 2007 用户使用:

  • 某家公司希望其业务合作伙伴或合约工作人员能够通过 Project Web Access (PWA) 访问一组特定的公司资源。由于该公司不希望这些用户未经授权即可访问公司资源,因此公司政策禁止将他们添加到公司 Active Directory 结构,以便这些用户使用 Windows 身份验证登录到 PWA。可以使用 ADAM 创建单独的目录,以便在这些用户通过 Project Web Access 登录到 Extranet 网站时,在其中对这些用户进行身份验证。

  • 某家公司曾使用 Microsoft Office Project Server 2003,通过 Project Server 身份验证对 Intranet 和 Extranet 用户进行身份验证。根据 Project Server 2003 数据库中的目录对用户进行身份验证。该公司现已升级到 Office Project Server 2007,而该版本不支持 Project Server 身份验证。该公司使用 ADAM 创建新目录并向其添加迁移的 Project Server 2003 帐户,然后分别为 Intranet 和 Extranet 用户创建 PWA 网站,这两类用户都访问相同的内容。现在,这些用户可以访问 Office Project Server 2007 并通过由 ADAM 实例创建的目录进行身份验证。

  • 某家公司选择只将其网络操作系统 (NOS) Active Directory 用于 NOS 身份验证和授权。该公司不希望增加额外的开销来维护该目录以进行应用程序身份验证。ADAM 用于为访问 Office Project Server 2007 的用户创建单独的目录。

  • 有关 ADAM 的详细信息,请参阅 ADAM 分步指南(https://go.microsoft.com/fwlink/?linkid=92703\&clcid=0x804)。

下载并安装 ADAM

您可以从 Microsoft 下载中心下载 ADAM。此外,ADAM 还是 Microsoft Windows Server 2003 R2 的一部分,可通过可选组件管理器进行安装。

下面的过程说明了如何在计算机上下载并安装 ADAM。请查看位于下列 ADAM 下载页上的系统要求。

下载并安装 ADAM

  1. 在 Web 浏览器中,转到 Active Directory 应用程序模式 (ADAM) 下载页 (https://go.microsoft.com/fwlink/?linkid=92704\&clcid=0x804)。

  2. 找到名为“ADAMSP1_x86_CHS.exe”的文件,然后单击“下载”。

  3. 在“文件下载 — 安全警告”页中,单击“运行”。

  4. 在初始“软件更新安装向导”页中,单击“下一步”。

  5. 在“许可协议”页中,选择“我同意”,再单击“下一步”。

  6. 安装完成之后,单击“完成”。

创建新的 ADAM 实例

在计算机上安装 ADAM 之后,可以配置新的 ADAM 实例以创建目录结构。通过以下过程,您可以选择目录的访问端口,创建应用程序目录分区,并导入 LDIF 文件以便为 Active Directory 提供模板。

创建新的 ADAM 实例

  1. 依次单击“开始”和“所有程序”,然后在“ADAM”程序组中单击“创建 ADAM 实例”。

  2. 在“欢迎使用 Active Directory 应用程序模式安装向导”页中,单击“下一步”。

  3. 在“安装选项”页中,选择“一个唯一实例”。单击“下一步”。

  4. 在“实例名”页的“实例名”框中键入实例的唯一名称。请注意,服务名称将是您键入的名称,并在前面插入“ADAM_”。例如,如果键入“Instance1”,则服务名称为“ADAM_Instance1”。

  5. 单击“下一步”。

  6. 在“端口”页的“LDAP 端口号”框中,输入可用端口号(例如,键入 50000)。在“SSL 端口号”框中,输入另一可用端口号(例如,键入 50001)。单击“下一步”。如果不输入端口号,将选择 LDAP 和 SSL 的默认端口。

  7. 在“应用程序目录分区”页中,选择“是,创建一个应用程序目录分区”。

  8. 当您在安装过程中创建新的应用程序目录分区时,必须为分区指定唯一的可分辨名称。ADAM 支持为顶级目录分区指定 DNS 和 X.500 样式名,包括下表中的可分辨名称组件:

    属性 说明

    C=

    国家/地区

    CN=

    公用名

    DC=

    域组件

    L=

    位置

    O=

    组织

    OU=

    部门

    在“分区名”框中,根据需要输入该应用程序目录分区的可分辨名称。用逗号分隔每个组件。例如,OU=Contoso,O=Marketing,C=US

  9. 在“文件位置”页中,键入 ADAM 数据和数据恢复文件的存储位置。您可以使用“数据文件”和“数据恢复文件”框中的默认位置。单击“下一步”。

  10. 在“服务帐户选择”页中,输入要在其下运行此 ADAM 实例的帐户。您可以使用服务器的 Network Service 帐户,或指定一个用户帐户以运行该服务。单击“下一步”。

  11. 在“ADAM 管理”页中,分配对该 ADAM 实例具有管理权限的用户或用户组。您可以选择“当前登录的用户”以指定当前用户帐户,也可以选择“本帐户”并指定一个本地或域用户或者用户组。单击“下一步”。

  12. 在“导入 LDIF 文件”页中,指定要选择的 LDAP 数据交换格式 (LDIF) 文件。这些文件包含多个用户类架构定义,以及用于 Windows 授权管理器的对象,可将这些对象导入新 ADAM 实例的架构中。

    下表说明了可供导入的每个可选 LDIF 文件:

    LDIF 文件 用户类别 在以下情况下导入此文件

    MS-Users.LDF

    • Person

    • Organizational-Person

    • User

    希望在 ADAM 目录中创建用户对象,但不希望创建 InetOrgPerson 类的用户(如 RFC 2798 所定义)

    MS-InetOrgPerson.LDF

    • Person

    • Organizational-Person

    • Users

    • InetOrgPerson

    希望在 ADAM 目录中创建用户对象,并且希望创建 InetOrgPerson 类的用户(如 RFC 2798 所定义)

    MS-UserProxy.LDF

    • User-Proxy

    希望在 ADAM 中创建代理对象以用于绑定重定向。

    MS-ASMan.LDF

    不适用

    希望将授权管理器和 ADAM 一起使用。

  13. 选择“为此实例的 ADAM 导入所选的 LDIF 文件”,从“可用文件”列表中选择 LDIF 文件,然后单击“添加”将文件移到“选择 LDIF 文件”列表中。如果不希望将 LDIF 文件用作模板,请单击“不要为此实例的 ADAM 导入 LDIF 文件”。单击“下一步”。

    提示

    您可以选择稍后使用 LDIF 目录交换 (LDIFDE) 命令行工具来导入 LDIF 文件。

  14. 在“准备安装”页中,查看所做选择,然后单击“下一步”开始安装实例。

  15. 安装完实例后,单击“完成”。

配置 ADAM 实例

您可以使用 ADAM ADSI 编辑工具配置 ADAM 实例。ADAM ASDI 编辑工具随 ADAM 一起安装,并且可从“ADAM”程序组中打开。

配置 ADAM 实例

  1. 依次单击“开始”和“所有程序”,然后在“ADAM”程序组中单击“ADAM ADSI 编辑”。

  2. 在 ADAM ADSI 编辑工具的“操作”菜单上,选择“连接到”。

  3. 在“连接设置”页的“连接名”框中,键入唯一的名称。

  4. 在“端口”框中,输入在创建 LDAP 实例时指定为 LDAP 端口的端口号。

  5. 在“连接到以下节点”部分,选择“可分辨名称(DN)或命名上下文”。在该框中,输入在创建 LDAP 实例时输入的分区名称。例如,OU=Contoso,o=Marketing,C=US

  6. 在“用这些凭据连接”部分中,如果当前用户是该 ADAM 实例的管理员,请选择“当前登录用户的帐户”。如果希望指定其他帐户,请选择“本帐户”。单击“确定”。

允许服务器场管理员访问目录

验证服务器场管理员的 Windows SharePoint Services 帐户是否可以访问该目录。可以使用以下过程将用户帐户添加到 Readers 角色中,以允许对该用户帐户进行访问。

添加帐户以访问目录

  1. 在 ADAM ADSI 编辑工具中,您的 ADAM 实例应显示在左侧窗格中。展开实例名称,然后展开命名上下文以查看已创建的其他容器。

  2. 在左侧窗格中,单击“CN=Roles”。在右侧窗格中,右键单击“CN=Readers”,再单击“属性”。在“CN=Readers 属性”页的“属性”列表中,选择“成员”,然后单击“编辑”。

  3. 在“具有安全主体的多值可分辨名称编辑器”页中,单击“添加 Windows 帐户”。

  4. 在“选择用户、计算机或组”页中,输入要添加的 Windows 帐户的名称,然后单击“确定”。

  5. 在“属性”页中,单击“确定”。

向目录添加用户

现在您可以通过以下过程向目录添加用户。您还可以在目录中为用户创建容器。例如,您可能要为“Support”用户和“Marketing”用户创建不同的容器。以下过程可为所有用户创建单个容器。

向目录添加用户

  1. 在左侧窗格中,右键单击命名上下文,单击“新建”,再单击“对象”。在“创建对象”页的“选择类别”列表中,选择“容器”。单击“下一步”。

  2. 在“创建对象”页的“值”框中,输入将添加用户的容器的唯一名称(例如“Users”或“Support”)。单击“下一步”,然后单击“完成”。

  3. 在左侧窗格中,右键单击刚才创建的用户容器对象,单击“新建”,再单击“对象”。

  4. 在“创建对象”页的“选择类别”列表中,选择“用户”。单击“下一步”。

  5. 在添加用户名的页的“值”框中,键入用户的姓名。单击“下一步”。

  6. 在可设置用户属性的页中,单击“完成”。

  7. 在 ADAM ADSI 编辑工具中,右键单击右侧窗格中的新用户,再单击“重设密码”。

  8. 在“重设密码”页的“新密码”框中键入新密码。在“确认密码”框中重新键入密码。单击“确定”。

    提示

    当您为用户键入新密码时,ADAM 将强制执行服务器上的任何密码策略。

  9. 根据需要重复步骤 3 至步骤 8,将其他用户添加到用户容器对象中。

另请参阅

其他资源

何为 Active Directory 应用程序模式?(https://go.microsoft.com/fwlink/?linkid=92963&clcid=0x804)(该链接可能指向英文页面)