JES zápisník

Obsah

Úvod

Postupně sem dopisuji tipy a triky kolem JESu.

Příklady

Logy web serveru

/opt/SUNwbsr/https-domena/logs

Konfigurační soubor Identity serveru

/opt/SUNWam/lib/AMConfig.properties

Přepisovací pravidla Portal serveru

/opt/SUNWps/export/rewriter_rule/*

Uninstall JESu

/var/sadm/prod/entsys/uninstall

Podařilo se mi v Solarisu jednou instalaci JESu rozbít natolik, že nešla odinstalace ani přeinstalace SW. Nakonec jsem musel smazat balíčky z databáze v Solarisu /var/sadm/pkg/*. Podorbnější popis odinstalace JESu je zde.

Povolení přístup na anonymní portál přes Gateway

Identity server / Service Configuration / Gateway / Non-authenticated-URLs

Tuning JESu

Využít skript /opt/SUNWps/bin/perftune

Změna rychlosti reakce portálu na změny konfigurace

Při změnách desktopu portálu administrátorem (například při přidání záložky skupině uživatelů), když je nutné překlad servletů (nejedná se o změny obsahu), je nutné počkat určitou dobu než portál tuto změnu zjistí a provede změnu i do uživatelského desktopu. Zbytečné čekání na update je při implementaci nežádoucí, délku časové prodlevy lze nastavit v souboru:
/etc/opt/SUNWps/desktop/desktopconfig.properties změnou proměnné templateScanInterval=3600

Start-stop skript

#!/bin/bash
case  "$1" in
'start')
        /var/opt/mps/serverroot/slapd-portal/start-slapd;
        /opt/SUNWwbsvr/https-portal.ami.cz/start &
        /opt/SUNWmsgsr/sbin/start-msg &
        /opt/SUNWics5/cal/sbin/start-cal &
;;
'stop')
       /opt/SUNWmsgsr/sbin/stop-msg &
       /opt/SUNWics5/cal/sbin/stop-cal &
       /opt/SUNWwbsvr/https-portal.ami.cz/stop
       /var/opt/mps/serverroot/slapd-portal/stop-slapd
;;
'restart')
       $0 stop
       $0 start
;;
*)
       echo "Usage: $0 { start | stop }"
;;
esac
exit 0

Jměna portu webmailu u messagingu

/opt/SUNWmsgsr/sbin/configutil -o service.http.port -v 81

Spuštění tlusté administrační konzole pro Directory server

/var/opt/mps/serverroot/startconsole

/etc/opt/SUNWam/config/AMConfig.properties hodnota: com.iplanet.service.debug.level=message

/etc/opt/SUNWps/desktop/desktopconfig.properties hodnota: debugLevel=message

Vyhledání a výpis užívatele v LDAPu

Vyhledání uživatele admin, který je v tomto případě správcem top level domény:

/var/opt/mps/serverroot/shared/bin/ldapsearch -D "cn=directory manager" -w heslo -b "dc=iforce,dc=cz" -L 'uid=admin'

návratový výpis:

dn: uid=admin, ou=People, o=ami.cz,dc=ami,dc=cz
objectClass: top
objectClass: person
objectClass: inetorgperson
objectClass: iplanet-am-managed-person
objectClass: organizationalPerson
objectClass: inetUser
objectClass: iplanet-am-user-service
objectClass: inetAdmin
objectClass: iPlanetPreferences
cn: Top Level Admin
sn: Top Level Admin
uid: admin
userPassword: {SSHA}pXXF0tB*******************==
initials: TLA
inetUserStatus: active
iplanet-am-user-login-status: Active

Smazání uživatele LDAPu

ldapdelete -D "cn=Direcotory manager" -w heslo*** "uid=uzivatel,ou=People,dc=ami,dc=cz"

Optimalizace výkonu LDAPu

K ladění výkonosti Directory serveru slouží skript idstune, který je samozřejmě třeba využívat s rozumem. Tento skript doporučuje nastavení, která jsou vhodná pro DS, ale již se nehodí třeba pro webové aplikace atd.

Doporučené nastavení pro Solaris 9: 

#SYN
ndd -set /dev/tcp tcp_conn_req_max_q 1024
LDAP se klasicky chová stylem krátký dotaz a delší čekání na odpověď. Proto je vhodné potvrzovat přijetí žádosti na úrovni TCP/IP ještě dříve než je tato žádost zpracována na aplikační vrstvě (ldapsearch,ldapomovify apod.). 
#ACK sníženo z 200ms na 2ms, aby bylo zajištěno potvrzení obdržení, i když dotaz ještě nebyl DS zpracován
root@server# ndd /dev/tcp tcp_deferred_acks_max 2
LDAP vyřizuje velké množství krátkých dotazů, proto není nutné držet konexe dlouho. 
#snížit držení konexe na 10min
The tcp_keepalive_interval is set to 7200000 milliseconds (120 minutes).
ndd -set /dev/tcp tcp_keepalive_interval 600000

Adresáře aplikací

Seznam std. adresářů po instalaci:

Změna vlastníka web serveru

Pro vyšší bezpečnost se doporučuje provozovat webserver pod jiným uživatelem než pod rootem. Pro přechod na jiného uživatele je třeva změnit nastavení v souboru /opt/SUNWwbsvr/https-portal.ami.cz/config/mangnus.conf položku User webservd. Potom je třeba:

Změna vlastníka directory server

Je potřeba změnit:

Kodovací klíč k Identity

V souboru AMConfig.properties parametr am.encryption.pwd= obsahuje klíč určení pro šifrování a dešifrování hesel.

Změna hesla uživatele amldapuser

Uživatel amldapuser je využíván Access Manažerem (bývalý Identity) pro bindování a vyhledávání v LDAPu a také pro pro Policy Configuration service v AM.
Změna hesla se provádí naříkad ve webové konzoli v AM: Service Configuration/Policy Configuration/LDAP Bind Password: nebo přes amadmin tool v textové konzoli.

Výpis uživatele v LDAPu: 

ldapsearch -D "cn=Directory Manager" -w heslo -b "dc=iforce,dc=cz" -L "cn=aml*"
dn: cn=amldapuser,ou=DSAME Users,dc=iforce,dc=cz
objectClass: inetuser
objectClass: organizationalperson
objectClass: person
objectClass: top
cn: amldapuser
sn: amldapuser
userPassword: {SSHA}**********==

Deploy web aplikace do web containeru

Příklad nahrání JSP aplikace portal do aplikačního servru:

root@sun # /opt/SUNWappserver7/bin/asadmin deploy -u admin -w heslo -p 4848 -H sun.example.cz --instance server1 --name portal --contextroot /portal --type web /var/opt/SUNWps/tmp/deploy/portal.war Deployed the WAR module : portal

Smazání "cache" portálu

Na smazání zkompilovaných jsp není nutný restart webserveru. 

cd /var/opt/sun/portal/https-book.iforce.cz/portal/tmp/
rm -rf *

Zdroje

Informační zdroje, ze kterých jsem čerpal:

Autor

07-11/2004 Lukáš Cirkva