Sun Java System Communications Services 6 2005Q1 Delegated Administrator 指南 |
第 3 章
配置 Delegated AdministratorDelegated Administrator 配置程序 (config-commda) 可以根据您的特定要求创建新的配置。此初始运行时配置程序执行最小配置。
运行该程序后,可以按照配置后的任务中介绍的步骤来完成初始配置。
通过执行“自定义 Delegated Administrator”中介绍的任务,可以进一步自定义 Delegated Administrator 配置。
您可能还需要按 Sun Java System Messaging Server 管理指南中所述进行其他的配置。
本章介绍了以下主题:
软件自身的 DA 配置程序尚未本地化,为了便于理解,本章对涉及的界面词汇使用了双语形式。
选择要配置的组件配置程序中的第三个面板将询问您要配置哪些 Delegated Administrator 组件:
配置程序将根据所选组件显示不同的面板。
以下步骤对各配置选项进行了概括介绍。每个摘要步骤(如下)均链接到本章后面的某个部分,将在那里介绍实际的配置面板。
在这些面板中输入所需信息,以便开始进行配置。
这些面板紧跟在选择要配置的组件 (Select Components to Configure) 面板的后面。它们要求提供用于配置 Delegated Administrator 实用程序的信息。
Delegated Administrator 实用程序是必需的,所有安装了 Delegated Administrator 组件(服务器或控制台)的计算机上都必须配置该实用程序。
因此,必须始终在这些面板中输入需要的信息。
这些面板跟在用于配置实用程序的面板后面。
可以选择是否配置 Delegated Administrator 控制台。
- 如果在同一台计算机上部署 Delegated Administrator 控制台和服务器,应在选择要配置的组件 (Select Components to Configure) 面板中同时选择控制台和服务器。
- 此外,还可以在不同的计算机上部署 Delegated Administrator 控制台和服务器。
在部署控制台的计算机上,只需在选择要配置的组件 (Select Components to Configure) 面板中选择控制台。(应始终选择实用程序。)
在这种情况下,必须在部署服务器的计算机上再次运行配置程序。
如果在不同的计算机上部署控制台和服务器,则在两台计算机上均需配置实用程序。
配置程序将根据为控制台选择的 Web 容器来显示不同的面板。可以部署到以下 Web 容器之一:
- Sun Java System Web Server
- Sun Java System Application Server 7.x
- Sun Java System Application Server 8.x
如果在一台计算机上配置 Delegated Administrator 服务器和控制台,则需按上述说明操作两次(一次针对服务器,一次针对控制台)。
这些面板跟在用于配置控制台的面板后面。
可以选择是否在给定的计算机上配置 Delegated Administrator 服务器。
如果选择不在给定计算机上配置服务器,配置程序将警告您必须在另一台计算机上配置它。服务器组件对于运行实用程序和控制台是必需的。
部署服务器的所有其他注意事项均与部署控制台的注意事项相同(在配置 Delegated Administrator 控制台中进行了介绍)。
另外还要注意的是,服务器使用的 Web 容器与 Access Manager 相同。(配置程序将在要求提供 Access Manager 基本目录后再要求提供 Web 容器信息。)
在这些面板中输入所需信息,以完成配置。
运行配置程序本部分介绍的步骤将指导您配置 Delegated Administrator。
要运行配置程序,请作为(或成为)超级用户进行登录,并转到 /opt/SUNWcomm/sbin 目录。然后输入命令:
# ./config-commda
运行 config-commda 命令之后,将会启动配置程序。
以下部分将介绍配置面板:
开始配置
请执行以下步骤:
- 欢迎使用
配置程序中的第一个面板是版权页。可单击“下一步”(Next) 继续或单击“取消”(Cancel) 退出。
- 选择用于存储配置和数据文件的目录
选择用于存储 Delegated Administrator 配置和数据文件的目录。默认的配置目录为 /var/opt/SUNWcomm。此目录应与 da_base 目录 (/opt/SUNWcomm) 分开。
输入该目录的名称,或保留默认值,然后单击“下一步”(Next) 继续。
如果该目录不存在,则会显示一个对话框,询问是否要创建该目录或选择一个新目录。可单击“创建目录”(Create Directory) 来创建该目录,或单击“选择新目录”(Choose New) 来输入新的目录。
此时将显示一个对话框,指示正在加载组件。这可能需要几分钟的时间。
- 选择要配置的组件
在组件面板上选择要配置的一个或多个组件。
- Delegated Administrator 实用程序(客户端)- 使用 commadmin 调用的命令行界面。此组件为必需组件,并且在默认情况下将选择该组件。无法取消选择该组件。
- Delegated Administrator 服务器 - 运行 Delegated Administrator 控制台所需的 Delegated Administrator 服务器组件。
- Delegated Administrator 控制台 - Delegated Administrator 图形用户界面 (GUI)。
可单击“下一步”(Next) 继续、单击“上一步”(Back) 返回到上一个面板,或单击“取消”(Cancel) 退出。
有关如何选择组件的更多信息,请参见选择要配置的组件。
如果选择不配置 Delegated Administrator 服务器,则会出现一个对话框,警告您必须在另一台计算机上配置 Delegated Administrator 服务器。必须配置该服务器,才能使用 Delegated Administrator 实用程序和控制台。
配置 Delegated Administrator 实用程序
请执行以下步骤:
- Access Manager 主机名和端口号
输入 Access Manager(以前称为 Identity Server)的主机名和端口号。如果要安装 Delegated Administrator 服务器组件,则必须将其与 Access Manager 安装在同一台主机上。
可单击“下一步”(Next) 继续、单击“上一步”(Back) 返回到上一个面板,或单击“取消”(Cancel) 退出。
- 默认域
输入顶级管理员的默认域。在执行 commadmin 命令行实用程序时,如果未使用 -n 选项明确指定某个域,则使用此域。它也称为默认组织。如果指定的域在目录中不存在,则将创建该域。
可单击“下一步”(Next) 继续、单击“上一步”(Back) 返回到上一个面板,或单击“取消”(Cancel) 退出。
- 客户端的默认 SSL 端口
输入 Delegated Administrator 实用程序使用的默认 SSL 端口。
可单击“下一步”(Next) 继续、单击“上一步”(Back) 返回到上一个面板,或单击“取消”(Cancel) 退出。
- 如果选择仅配置 Delegated Administrator 实用程序,请转至
如果选择同时配置 Delegated Administrator 控制台和服务器,或者选择仅配置控制台,请转至
配置 Delegated Administrator 控制台
如果选择仅配置 Delegated Administrator 服务器(以及所需的 Delegated Administrator 实用程序),请转至
配置 Delegated Administrator 控制台
现在,配置程序将显示以下面板:
为 Delegated Administrator 选择 Web 容器 (Select a Web Container for Delegated Administrator)
选择用于部署 Delegated Administrator 控制台的 Web 容器。可以在以下组件上配置 Delegated Administrator
可单击“下一步”(Next) 继续、单击“上一步”(Back) 返回到上一个面板,或单击“取消”(Cancel) 退出。
此面板及其后面的面板用于收集有关 Delegated Administrator 控制台的 Web 容器的信息。请按照相应部分中的说明执行操作:
可以在两个不同的 Web 容器、Web 容器的两个不同实例或同一个 Web 容器上部署 Delegated Administrator 控制台和服务器。
如果选择在面板 3 中同时配置 Delegated Administrator 控制台和 Delegated Administrator 服务器,则另一系列的面板将询问服务器的 Web 容器信息。
因此,您将看到 Web 容器配置面板出现两次。请按照部署每个 Delegated Administrator 组件的相应说明执行操作。
在完成 Web 容器配置面板时:
Web 服务器配置
如果要在 Web 服务器上部署 Delegated Administrator 服务器或控制台,请执行以下步骤:
- Web 服务器配置详细信息
此面板中的文本将显示您是否正在为 Delegated Administrator 服务器或控制台提供 Web 服务器配置信息。
输入 Web 服务器根目录。可以通过浏览来选择该目录。
输入 Web 服务器实例标识符。这可以由 host.domain 名称指定,如 west.sesta.com。
输入虚拟服务器标识符。这可以由 https-host.domain 名称指定,如 https-west.sesta.com。
有关 Web 服务器实例标识符和虚拟服务器标识符的更多信息,请参见 Web 服务器文档。
Web 服务器实例的文件存储在 Web 服务器安装目录下的 https-host.domain 目录中,例如 /opt/SUNWwbsvr/https-west.sesta.com。
输入 Web 服务器的 HTTP 端口号。
可单击“下一步”(Next) 继续、单击“上一步”(Back) 返回到上一个面板,或单击“取消”(Cancel) 退出。
配置程序将检查您指定的值是否有效。如果目录或标识符无效或不存在,则会显示一个对话框,要求您选择新的值。
接下来,配置程序将检查 Web 服务器实例连接是否处于活动状态。如果未处于活动状态,则会显示一个对话框,警告您配置程序无法连接到指定实例,并且您的配置可能未完成。您可以接受指定的值,或选择新的 Web 服务器配置值。
- 默认域分隔符
只有在配置 Delegated Administrator 控制台时才会显示此面板。配置控制台时需要使用域分隔符;此信息与 Web 容器无关。
输入用于在用户登录时进行验证的默认域分隔符。例如 @。
域分隔符值包含在 daconfig.properties 文件中。可以在配置程序运行之后编辑此属性值。有关更多信息,请参见“自定义 Delegated Administrator”。
- 如果要配置 Delegated Administrator 控制台:
- 如果选择同时配置 Delegated Administrator 控制台和服务器,请转至
配置 Delegated Administrator 服务器
- 如果选择仅配置 Delegated Administrator 控制台(以及所需的 Delegated Administrator 实用程序),请转至
如果要配置 Delegated Administrator 服务器:
请转至
步骤 3,配置 Delegated Administrator 服务器中的 Directory (LDAP) Server。
Application Server 7.x 配置
如果要在 Application Server 7.x 上部署 Delegated Administrator 服务器或控制台,请执行以下步骤:
- Application Server 7.x 配置详细信息
此面板中的文本将显示您是否正在为 Delegated Administrator 服务器或控制台提供 Application Server 7.x 配置信息。
输入 Application Server 安装目录。默认情况下,此目录为 /opt/SUNWappserver7。
输入 Application Server 域目录。默认情况下,此目录为 /var/opt/SUNWappserver7/domains/domain1。
输入 Application Server 文档根目录。默认情况下,此目录为
/var/opt/SUNWappserver7/domains/domain1/server1/docroot。可以通过浏览来选择这些目录中的任何一个目录。
输入 Application Server 实例名称。例如 server1。
输入 Application Server 虚拟服务器标识符。例如 server1。
输入 Application Server 实例的 HTTP 端口号。
可单击“下一步”(Next) 继续、单击“上一步”(Back) 返回到上一个面板,或单击“取消”(Cancel) 退出。
配置程序将检查您指定的目录是否有效。如果目录无效或不存在,则会显示一个对话框,要求您选择新的目录。
接下来,配置程序将检查 Application Server 实例连接是否处于活动状态。如果未处于活动状态,则会显示一个对话框,警告您配置程序无法连接到指定实例,并且您的配置可能未完成。您可以接受指定的值,或选择新的 Application Server 配置值。
- Application Server 7.x:管理实例详细信息
输入 Administration Server 端口号。例如 4848
输入 Administration Server 管理员的用户 ID。例如 admin
输入管理员用户密码。
如果要使用安全的 Administration Server 实例,请选中安全的 Administration Server 实例 (Secure Administration Server Instance) 框。如果不使用此实例,请使该框保持未选中状态。
可单击“下一步”(Next) 继续、单击“上一步”(Back) 返回到上一个面板,或单击“取消”(Cancel) 退出。
- 默认域分隔符
只有在配置 Delegated Administrator 控制台时才会显示此面板。配置控制台时需要使用域分隔符;此信息与 Web 容器无关。
输入用于在用户登录时进行验证的默认域分隔符。例如 @。
- 如果要配置 Delegated Administrator 控制台:
- 如果选择同时配置 Delegated Administrator 控制台和服务器,请转至
配置 Delegated Administrator 服务器
- 如果选择仅配置 Delegated Administrator 控制台(以及所需的 Delegated Administrator 实用程序),请转至
如果要配置 Delegated Administrator 服务器:
请转至
步骤 3,配置 Delegated Administrator 服务器中的 Directory (LDAP) Server。
Application Server 8.x 配置
如果要在 Application Server 8.x 上部署 Delegated Administrator 服务器或控制台,请执行以下步骤:
- Application Server 8.x 配置详细信息
此面板中的文本将显示您是否正在为 Delegated Administrator 服务器或控制台提供 Application Server 8.x 配置信息。
输入 Application Server 安装目录。默认情况下,此目录为 /opt/SUNWappserver/appserver。
输入 Application Server 域目录。默认情况下,此目录为 /var/opt/SUNWappserver/domains/domain1。
输入 Application Server 文档根目录。默认情况下,此目录为
/var/opt/SUNWappserver/domains/domain1/docroot。可以通过浏览来选择这些目录中的任何一个目录。
输入 Application Server 目标名称。例如 server。
输入 Application Server 虚拟服务器标识符。例如 server。
输入 Application Server 的目标 HTTP 端口号。
可单击“下一步”(Next) 继续、单击“上一步”(Back) 返回到上一个面板,或单击“取消”(Cancel) 退出。
配置程序将检查您指定的目录是否有效。如果目录无效或不存在,则会显示一个对话框,要求您选择新的目录。
接下来,配置程序将检查 Application Server 目标连接是否处于活动状态。如果未处于活动状态,则会显示一个对话框,警告您配置程序无法连接到指定目标,并且您的配置可能未完成。您可以接受指定的值,或选择新的 Application Server 配置值。
- Application Server 8.x:管理实例详细信息
输入 Administration Server 端口号。例如 4849
输入 Administration Server 管理员的用户 ID。例如 admin
输入管理员的用户密码。
如果要使用安全的 Administration Server 实例,请选中安全的 Administration Server 实例 (Secure Administration Server Instance) 框。如果不使用此实例,请使该框保持未选中状态。
可单击“下一步”(Next) 继续、单击“上一步”(Back) 返回到上一个面板,或单击“取消”(Cancel) 退出。
- 默认域分隔符
只有在配置 Delegated Administrator 控制台时才会显示此面板。配置控制台时需要使用域分隔符;此信息与 Web 容器无关。
输入用于在用户登录时进行验证的默认域分隔符。例如 @。
- 如果要配置 Delegated Administrator 控制台:
- 如果选择同时配置 Delegated Administrator 控制台和服务器,请转至
配置 Delegated Administrator 服务器
- 如果选择仅配置 Delegated Administrator 控制台(以及所需的 Delegated Administrator 实用程序),请转至
如果要配置 Delegated Administrator 服务器:
请转至
步骤 3,配置 Delegated Administrator 服务器中的 Directory (LDAP) Server。
配置 Delegated Administrator 服务器
如果选择配置 Delegated Administrator 服务器,配置程序将显示以下面板。请输入所需信息:
- Access Manager 基本目录
输入 Access Manager 的基本目录。默认目录为 /opt/SUNWam。
可单击“下一步”(Next) 继续、单击“上一步”(Back) 返回到上一个面板,或单击“取消”(Cancel) 退出。
配置程序将检查是否指定了有效的 Access Manager 基本目录。如果未指定,则会显示一个对话框,指示必须选择现有的 Access Manager 基本目录。
- 接下来,将显示 Web 容器的配置详细信息 (Configuration Details) 面板。
如果选择配置控制台和服务器,则这是第二次出现 Web 容器的配置详细信息 (Configuration Details) 面板。
Delegated Administrator 服务器将被部署到与 Access Manager 相同的 Web 容器中。(不能为 Delegated Administrator 服务器选择 Web 容器。)
请按照相应部分中的说明执行操作:
- Directory (LDAP) Server
此面板要求提供有关连接到用户/组后缀的 LDAP Directory Server 的信息。
在文本框中输入用户和组的 Directory Server LDAP URL (LdapURL)、Directory Manager(绑定为 (Bind As))和密码。
Directory Manager 对 Directory Server 以及使用 Directory Server(例如 Delegated Administrator)的所有 Sun Java System Server 具有总体管理员权限,并对 Directory Server 中的所有条目具有完全管理访问权限。默认和推荐的标识名 (Distinguished Name, DN) 为 cn=Directory Manager。
可单击“下一步”(Next) 继续、单击“上一步”(Back) 返回到上一个面板,或单击“取消”(Cancel) 退出。
- Access Manager 顶级管理员
输入 Access Manager 顶级管理员的用户 ID 和密码。在安装 Access Manager 时将创建用户 ID 和密码。默认用户 ID 为 amadmin。
可单击“下一步”(Next) 继续、单击“上一步”(Back) 返回到上一个面板,或单击“取消”(Cancel) 退出。
- Access Manager 的内部 LDAP 验证密码
输入 Access Manager 内部 LDAP 验证用户的密码。
验证用户名被固定编码为 amldapuser。它由 Access Manager 安装程序创建,是 LDAP 服务的绑定 DN 用户。
可单击“下一步”(Next) 继续、单击“上一步”(Back) 返回到上一个面板,或单击“取消”(Cancel) 退出。
- 组织标识名 (DN)
输入默认域的组织 DN。例如,如果您的组织 DN 为 o=siroe.com,则该组织中的所有用户都将放在 LDAP DN "o=siroe.com, o=usergroup" 下,其中 o=usergroup 为您的根后缀。
默认情况下,配置程序将在 LDAP 目录中的根后缀下添加默认域。
如果要在根后缀处(不是在其下)创建默认域,请从组织标识名 (DN) (Organization Distinguished Name (DN)) 文本框中显示的 DN 中删除组织名称。
例如,如果您的组织 DN 为 o=siroe.com,根后缀为 o=usergroup,请从文本框中的 DN 中删除 "o=siroe.com";仅保留 o=usergroup。
如果选择在根后缀处创建默认域,则以后决定使用托管域时,可能很难迁移到托管域配置。config-commda 程序将显示以下警告信息:
“您选择的组织 DN 是用户/组后缀。尽管这是一个有效选项,但当您决定使用托管域时,将很难进行迁移。如果您一定要使用托管域,请在用户/组后缀的下一级指定 DN。”
(The Organization DN you chose is the User/Group Suffix. Although this is a valid choice, if you ever decide to use hosted domains, there will be difficult migration issues. If you do wish to use hosted domains, then specify a DN one level below the User/Group suffix.)有关更多信息,请参见第 1 章“Delegated Administrator 概述”中的支持单层结构的目录结构。
可单击“下一步”(Next) 继续、单击“上一步”(Back) 返回到上一个面板,或单击“取消”(Cancel) 退出。
- 默认组织的顶级管理员
输入要在默认域(组织)中创建的顶级管理员的用户 ID 和密码。
可单击“下一步”(Next) 继续、单击“上一步”(Back) 返回到上一个面板,或单击“取消”(Cancel) 退出。
- 服务软件包和组织样例
可以选择将样例服务软件包和样例组织添加到您的 LDAP 目录中。
加载样例服务软件包。如果您要使用或修改样例服务软件包模板来创建您自己的服务等级软件包,请选择此选项。(在 Delegated Administrator 中,必须至少将一个服务等级软件包分配给 LDAP 目录中的每个用户。)
加载样例组织。如果要在 LDAP 目录树中包含样例服务提供商组织节点和业务组织节点,请选择此选项。
您可以
- 同时选择样例服务软件包和样例组织
- 仅选择这些选项中的一项
- 不选择任何选项
样例的首选邮件主机。输入安装 Messaging Server 的计算机的名称。
例如 mymachine.siroe.com
如果选择将样例组织加载到您的 LDAP 目录中,则必须为这些样例输入首选邮件主机名。
有关服务软件包和组织的信息,请参见第 1 章“Delegated Administrator 概述”。
运行配置程序后,必须修改服务软件包模板,以创建您自己的服务等级软件包。有关此配置后任务的信息,请参见创建服务软件包。
完成配置
要完成配置,请执行以下步骤:
- 准备配置
验证面板会显示将要配置的项目。
可单击“立即配置”(Configure Now) 开始配置、单击“上一步”(Back) 返回到前面的任何一个面板以更改信息,或单击“取消”(Cancel) 退出。
- 任务顺序
“任务顺序”(Task Sequence) 面板上显示了任务的执行顺序。这是实际配置发生的时间。
当面板显示“所有任务已通过”(All Tasks Passed) 时,可单击“下一步”(Next) 继续,或单击“取消”(Cancel) 停止执行这些任务并退出。
此时将显示一个对话框,提醒您重新启动 Web 容器,以使配置更改生效。
- 安装摘要
“安装摘要”(Installation Summary) 面板显示了所安装的产品,以及用于显示有关此配置的更多信息的“详细信息...”(Details...) 按钮。
将在 /opt/SUNWcomm/install 目录中创建 config-commda 程序的日志文件。该日志文件的名称为 commda-config_YYYYMMDDHHMMSS.log,其中 YYYYMMDDHHMMSS 标识了配置的年(4 位数)、月、日、小时、分钟和秒。
单击“关闭”(Close) 以完成配置。
重新启动 Web 容器
完成 Delegated Administrator 配置后,必须重新启动部署 Delegated Administrator 的 Web 容器(以下组件之一):
config-commda 程序创建的配置和日志文件
配置文件
使用面板中提供的信息,config-commda 程序将为三个 Delegated Administrator 组件创建以下配置文件:
有关这些文件、它们所包含的属性以及如何编辑这些属性以自定义配置的信息,请参见“自定义 Delegated Administrator”。
日志文件
Delegated Administrator 控制台可创建运行时日志文件:
有关此日志文件以及其他 Delegated Administrator 日志文件的更多信息,请参见附录 C“调试 Delegated Administrator”。
执行无提示安装Delegated Administrator 实用程序初始运行时配置程序将自动创建无提示安装状态文件(称为 saveState)。此文件包含有关配置程序的内部信息,可用于运行无提示安装。
无提示安装 saveState 文件存储在 /opt/SUNWcomm/data/setup/commda-config_YYYYMMDDHHMMSS/ 目录中,其中 YYYYMMDDHHMMSS 标识了 saveState 文件的年(4 位数)、月、日、小时、分钟和秒。
例如,运行了一次 config-commda 程序之后,即可在无提示安装模式下运行该程序:
fullpath 变量是 saveState 文件所在位置的完整目录路径。
运行 Delegated Administrator 控制台和实用程序启动控制台
要启动 Delegated Administrator 控制台,请执行以下步骤:
- 转至以下 URL:
http://host:port/da/DA/Login
其中
host 为 Web 容器主机
port 为 Web 容器端口
例如:
http://siroe.com:8080/da/DA/Login
此时将显示 Delegated Administrator 控制台登录窗口。
- 登录到 Delegated Administrator 控制台。
可以使用 Delegated Administrator 配置程序中指定的顶级管理员 (Top-Level Administrator, TLA) 的用户 ID 和密码。在以下面板中要求提供此信息:
默认组织的顶级管理员 (Top-Level Administrator for the default organization)
运行命令行实用程序
要运行 Delegated Administrator 实用程序 (commadmin),请执行以下步骤:
配置后的任务运行 Delegated Administrator 配置程序后,应执行以下任务:
仅当在 Schema 2 兼容模式下使用 LDAP 目录时,才需执行以下任务:
将邮件和日历服务添加到默认域
config-commda 程序将创建默认域。
如果要在默认域中创建具有邮件服务或日历服务的用户,首先必须将邮件服务和日历服务添加到该域中。
要执行此任务,请将 commadmin domain modify 命令与 -S mail 和 -S cal 选项一起使用。
下面的示例显示了如何使用 commadmin domain modify 将邮件和日历服务添加到默认域中:
commadmin domain modify -D chris -w bolton -n sesta.com -d siroe.com
-S mail, cal -H test.siroe.com有关 commadmin 命令的语法和详细信息,请参见第 5 章“命令行实用程序”。
创建服务软件包
在 LDAP 目录中使用 Delegated Administrator 置备的每个用户都应具有服务软件包。一个用户可拥有多个服务软件包。
预定义的服务等级模板
在运行 Delegated Administrator 配置程序 (config-commda) 时,将在 LDAP 目录中安装默认的服务等级模板 (defaultmail)。还可以选择让 config-commda 程序在该目录中安装由 8 个样例服务等级模板组成的模板集。
有关样例服务等级模板以及服务软件包中的可用邮件属性的信息,请参见第 1 章“Delegated Administrator 概述”中的服务软件包。
可以将样例服务等级模板用作服务软件包。但是,这些模板只是一些示例。
创建自己的服务软件包
您很可能需要使用特定的属性值(适用于您的安装中的用户)来创建自己的服务软件包。
要创建您自己的服务软件包,请使用 da.cos.skeleton.ldif 文件中存储的服务等级模板。
此文件是专门作为编写服务软件包的模板而创建的。配置 Delegated Administrator 时,未在 LDAP 目录中安装该文件。
da.cos.skeleton.ldif 文件中的服务等级模板如下:
要创建您自己的服务软件包,请执行以下步骤:
- 复制并重命名 da.cos.skeleton.ldif 文件。
安装 Delegated Administrator 时,将在以下目录中安装 da.cos.skeleton.ldif 文件:
da_base/lib/config-templates
- 在 da.cos.skeleton.ldif 文件的副本中编辑以下条目:
- <rootSuffix>
将根后缀参数 <rootSuffix> 更改为您的根后缀(如 o=usergroup)。
<rootSuffix> 参数将显示在 DN 中。
- <service package name>
将 <service package name> 参数更改为您自己的服务软件包名称。
<service package name> 参数显示在 DN 和 cn 中。
- 邮件属性值:
<mailMsgMaxBlocksValue>
<mailQuotaValue>
<mailMsgQuotaValue>
<mailAllowedServiceAccessValue>按照您的规范编辑这些值。
例如,您可以为邮件属性输入以下值:
mailMsgMaxBlocks: 400
mailQuota: 400000000
mailMsgQuota: 5000
mailAllowedServiceAccess:+imap:ALL$+pop:ALL$+smtp:ALL$+http:ALL有关这些属性的定义和描述,请参见《Sun Java System Communications Services Schema Reference》中的第 3 章 "Attributes"。
不必在服务软件包中使用所有这四个邮件属性。可以从服务软件包中删除一个或多个属性。
- 使用 LDAP 目录工具 ldapmodify 将服务软件包安装在目录中。
例如,您可以运行以下命令:
ldapmodify -D <directory manager> -w <password>
-f <cos.finished.template.ldif>其中
<directory manager> 为 Directory Server 管理员的名称。
<password> 为 Directory Service 管理员的密码。
<cos.finished.template.ldif> 为编辑过的 ldif 文件的名称,该文件要作为服务软件包安装在目录中。
为 Schema 2 兼容模式添加 ACI
如果要在 Schema 2 兼容模式下使用 LDAP 目录,则必须将 ACI 手动添加到该目录中,以便 Delegated Administrator 在您的目录中执行置备任务。请执行以下步骤:
- 将下面两个 ACI 添加到 OSI 根。可以在位于 /opt/SUNWcomm/config 目录的 usergroup.ldif 文件中找到下面两个 ACI。
请确保使用您的 usergroup 后缀来替换 ugldapbasedn。将编辑过的 usergroup.ldif 添加到 LDAP 目录中。
#
# acis to limit Org Admin Role
#
########################################
# dn:<local.ugldapbasedn>
########################################
dn:<ugldapbasedn>
changetype:modify
add:aci
aci:(target="ldap:///($dn),<ugldapbasedn>")(targetattr="*")
(version 3.0; acl "Organization Admin Role access deny to org node"; deny (write,add,delete) roledn = "ldap:///cn=Organization Admin Role,($dn),<ugldapbasedn>";)dn:<ugldapbasedn>
changetype:modify
add:aci
aci:(target="ldap:///($dn),<ugldapbasedn>")(targetattr="*") (version 3.0; acl "Organization Admin Role access allow read to org node"; allow (read,search) roledn = "ldap:///cn=Organization Admin Role,($dn),<ugldapbasedn>";)- 将下面两个 ACI 添加到 DC 树根后缀中。可以在位于 /opt/SUNWcomm/config 目录的 dctree.ldif 文件中找到下面两个 ACI。
请确保使用您的 DC 树根后缀来替换 dctreebasedn,并使用您的 usergroup 后缀来替换 ugldapbasedn。将编辑过的 dctree.ldif 添加到 LDAP 目录中。
#
# acis to limit Org Admin Role
#
########################################
# dn:<dctreebasedn>
########################################
dn:<dctreebasedn>
changetype:modify
add:aci
aci:(target="ldap:///($dn),<dctreebasedn>")(targetattr="*")
(version 3.0; acl "Organization Admin Role access deny to dc node";
deny (write,add,delete) roledn = "ldap:///cn=Organization Admin Role,($dn),<ugldapbasedn>";)dn:<dctreebasedn>
changetype:modify
add:aci
aci:(target="ldap:///($dn),<dctreebasedn>")(targetattr="*")
(version 3.0; acl "Organization Admin Role access allow read to dc node"; allow (read,search) roledn = "ldap:///cn=Organization Admin Role,($dn),<ugldapbasedn>";)- 将下面的附加 ACI 添加到 DC 树根后缀中。(这些 ACI 不在 dctree.ldif 文件中。)
dn:<dctreebasedn>
changetype:modify
add:aci
aci:(target="ldap:///<dctreebasedn>")(targetattr="*")
(version 3.0; acl "S1IS Proxy user rights"; allow (proxy)
userdn = "ldap:///cn=puser,ou=DSAME Users,<ugldapbasedn>";)dn:<dctreebasedn>
changetype:modify
add:aci
aci:(target="ldap:///<dctreebasedn>")(targetattr="*")
(version 3.0; acl "S1IS special dsame user rights for all under the root suffix"; allow (all) userdn ="ldap:///cn=dsameuser,ou=DSAME Users,<ugldapbasedn>";)dn:<dctreebasedn>
changetype:modify
add:aci
aci:(target="ldap:///<dctreebasedn>")(targetattr="*")
(version 3.0; acl "S1IS Top-level admin rights";
allow (all) roledn = "ldap:///cn=Top-level Admin Role,<ugldapbasedn>";)- 将 AMConfig.properties 文件中的 com.iplanet.am.domaincomponent 属性设置为您的 DC 树根后缀。例如,请修改 <IS_base_directory>/lib/AMConfig.properties 文件中的以下行:
将
com.iplanet.am.domaincomponent=o=isp
修改为
com.iplanet.am.domaincomponent=o=internet- 启用 Access Manager(以前称为 Identity Server)以使用兼容模式。在 Access Manager Console 的“管理控制台服务”页中,选中(启用)启用域组件树复选框。
- 将 inetdomain 对象类添加到所有 DC 树节点(如 dc=com,o=internet)中,如下例所示:
/var/mps/serverroot/shared/bin 298% ./ldapmodify -D "cn=Directory Manager" -
w password
dn:dc=com,o=internet
changetype:modify
add:objectclass
objectclass:inetdomain- 重新启动 Web 容器。