Sun Java System Communications Services 6 2005Q1 Delegated Administrator 指南 |
第 1 章
Delegated Administrator 概述Communications Services Delegated Administrator 实用程序和控制台允许您在 Communications Services 应用程序(如 Messaging Server)使用的 LDAP 目录中置备用户、组、域和资源。
本章介绍了以下主题:
简介通过 Delegated Administrator,可以将置备任务分发给级别较低的管理员,这些管理员具有管理 LDAP 目录中指定组织的权限。委托用户管理这一功能具有以下优点:
Delegated Administrator 提供了两个用于在目录中置备用户和组织的界面:
以下部分对这两个界面进行了概括介绍。
Delegated Administrator 实用程序
Delegated Administrator 实用程序是一组命令行工具,用于置备 Messaging Server 和 Calendar Server 用户。(在早期版本中,Delegated Administrator 实用程序称为 User Management 实用程序。)
通过 Delegated Administrator 实用程序,可以置备组织、用户、组和日历资源。
可以使用 commadmin 命令调用该实用程序。
有关 commadmin 实用程序的语法和选项的信息,请参见第 5 章“命令行实用程序”。
Delegated Administrator 控制台
Delegated Administrator 控制台是用于置备 Messaging Server 用户和组织的图形用户界面 (Graphical User Interface, GUI)。
要置备组和日历资源,请使用 Delegated Administrator 实用程序。不要使用 Delegated Administrator 控制台。在此版本的 Delegated Administrator 中,不能使用控制台来置备组和日历资源。
有关如何使用控制台的信息,请参见 Delegated Administrator 控制台联机帮助。
Delegated Administrator 和 LDAP 目录
Delegated Administrator 允许您通过修改 LDAP 目录来置备用户。您不必直接修改该目录。但是,如果能了解添加到目录中的用户条目和较高层节点的 Delegated Administrator 属性,可能会非常有用。
有关支持 Delegated Administrator 的 LDAP Schema 对象类和属性的信息,请参见《Sun Java System Communications Services Schema Reference》中的第 5 章 "Classes and Attributes Used by Communications Services Delegated Administrator (Schema 2)"。
置备用户的方案根据业务需求,可以创建由单个管理员管理的简单目录结构,也可以创建将置备和管理任务委托给较低级别管理员的多层目录结构。
本部分概括介绍了三种复杂程度依次递增的方案。然后介绍了 Delegated Administrator 为支持这些方案的要求而提供的管理员角色和目录结构。
单层结构
在此方案中,公司或组织可能支持数百或数千名员工或用户。所有用户均属于一个组织。单个管理员角色可以查看和管理整个组。不对管理任务进行委托。
图 1-1 显示了单个组织、单层结构中的管理员角色示例。
图 1-1
单层结构中的管理员角色
在此单层结构中,管理员称为顶级管理员 (Top-Level Administrator, TLA)。
在图 1-1 所示的示例中,TLA 直接管理和置备用户(User1、User2,直到 Usern)。
如果目录中只有一个组织,则 TLA 是唯一需要的管理员。
有关详细信息,请参见以下部分:
双层结构
在此方案中,Internet 服务提供商 (Internet Service Provider, ISP) 之类的大型公司为企业提供服务。每个企业均拥有属于自身的唯一域,其中可能包含数千或数万个用户。
此方案支持将任务委托给级别较低的管理员,而不是依赖单个顶级管理员 (TLA) 来管理和置备所有域。
在双层结构中,目录包含多个组织。将为每个托管域创建单独的组织。
将每个组织分配给组织管理员 (Organization Administrator, OA)。OA 负责该组织中的用户。OA 无法查看或修改自己组织之外的目录信息。
图 1-2 显示了双层结构中的管理员角色示例。
图 1-2
双层结构中的管理员角色
在图 1-2 所示的示例中,TLA 创建和管理 OA1、OA2,直到 OAn。每个 OA 都管理一个组织中的用户。
如果您的目录中需要有多个组织,则应创建 TLA 和 OA 来管理这些组织及其用户。
有关详细信息,请参见以下部分:
三层结构
在此方案中,ISP 之类的公司要为数百或数千家小型企业提供服务,其中每家企业都要求拥有自身的组织。
ISP 可以支持数百万个需要邮件服务的最终用户。而且,ISP 还可以与管理最终用户业务的第三方转售商合作。
每天都可能会有许多组织添加到该目录中。
在双层结构中,TLA 必须创建所有这些新组织。
在三层结构中,可以将管理任务委托给第二级管理员。第二级委托可以简化对大型 LDAP 目录所支持的大客户群的管理。
为了支持此分层结构,Delegated Administrator 引入了新的角色,即服务提供商管理员 (Service Provider Administrator, SPA)。
SPA 的权限范围介于顶级管理员 (TLA) 和组织管理员 (OA) 之间。
图 1-3 显示了三层结构中的管理员角色示例。
图 1-3
三层结构中的管理员角色
在三层结构中,TLA 可以将管理权限委托给服务提供商管理员 (SPA)。SPA 可以为新客户创建业务组织,并指定组织管理员 (OA) 来管理这些业务组织中的用户。
如果您需要将自身划分为子组或组织的多个组织,则可以使用实现 TLA、SPA 和 OA 角色的三层结构。
有关 SPA 角色的信息,请参见附录 A“服务提供商管理员和服务提供商组织”。
管理员角色和目录分层结构本部分介绍了实现单层结构和双层结构的目录信息树样例。然后介绍了顶级管理员和组织管理员可以执行的任务。
支持单层结构的目录结构
通过运行配置程序 config-commda 配置 Delegated Administrator 时,将会创建顶级管理员 (TLA) 和默认组织。
单层结构:默认组织位于根后缀下
默认情况下,配置程序会将默认组织放在根后缀下。
目录信息树类似于图 1-4 所示的示例。
图 1-4 显示了以单层结构组织的目录信息树样例(默认配置)。
图 1-4
单层结构:目录信息树样例(默认)
单层结构:默认组织位于根后缀处
运行配置程序 (config-commda) 时,可以选择在根后缀处(而不是在其下)创建默认组织。有关配置的详细信息,请参见第 3 章“配置 Delegated Administrator”中的步骤 6,组织标识名 (DN)。
在这种情况下,目录信息树类似于图 1-5 所示的示例。
但是,如果您在根后缀处创建默认组织,此种配置的 LDAP 目录将无法支持多个托管域。要支持多个托管域,默认组织必须位于根后缀下。
图 1-5 显示了在根后缀处创建默认组织的单层结构示例。
图 1-5
单层结构:默认组织位于根后缀处
支持双层结构的目录结构
使用 config-commda 程序配置了 Delegated Administrator 之后,TLA 可以创建其他组织,如图 1-6 所示。
图 1-6 显示了以双层结构组织的目录信息树样例。
图 1-6
双层结构:目录信息树样例
顶级管理员角色
TLA 具有执行以下任务的权限:
在图 1-6 所示的示例中,TLA 可以修改或删除 siroe.com 或 sesta.com,并且可以创建其他组织。
请注意,在此示例中,这两个组织也是唯一的(托管)域。
有关服务软件包的信息,请参见本概述后面的服务软件包。
TLA 可以将指定类型的服务软件包分配给组织,并确定可以在该组织中使用的每个软件包的最大数量。
例如,TLA 可分配以下服务软件包:
TLA 可以通过使用 Delegated Administrator 控制台或执行 Delegated Administrator 实用程序 (commadmin) 命令来执行上述任务。
有关 commadmin 命令的描述,请参见第 5 章“命令行实用程序”中的表 5-1,Delegated Administrator 命令行界面。
组织管理员角色
OA 具有执行以下任务的权限:
在图 1-6 所示的示例中,如果为 siroe.com 组织中的用户 johna 分配了 OA 角色,则 johna 可以管理 siroe.com 中的用户。
OA 可以通过使用 Delegated Administrator 控制台或执行 Delegated Administrator 实用程序 (commadmin) 命令来执行上述任务。
有关 OA 可以使用的 commadmin 命令的描述,请参见第 5 章“命令行实用程序”中的表 5-1,Delegated Administrator 命令行界面。
对于以前的 iPlanet Delegated Administrator 用户Communications Services Delegated Administrator 用于在 LDAP Schema 2 目录中置备用户。
具有 LDAP Schema 1 目录的 Messaging Server 早期版本用户可能使用过一个过时的工具:iPlanet Delegated Administrator。如果您仍具有 Schema 1 目录,则应使用 iPlanet Delegated Administrator 来置备用户。
iPlanet Delegated Administrator 使用的管理员角色术语与 Communications Service Delegated Administrator 当前使用的术语稍有不同。
表 1-1 列出并定义了每个 Delegated Administrator 版本中的管理员角色。
服务软件包服务软件包由 LDAP 目录中的服务等级机制实现。此机制允许您为预定义属性(这些属性是在配置 Delegated Administrator 时安装到目录中的)设置值。服务软件包会将服务的特征添加到用户条目中。
在 Delegated Administrator 控制台中,可以执行以下服务软件包任务:
在为用户分配服务软件包时,服务软件包中的所有属性和值均会自动分配给该用户。
服务等级定义
此版本为 Messaging Server 用户提供了一个服务等级定义。表 1-2 显示了为邮件用户定义的 LDAP 属性:
有关这些属性的更多信息,请参见《Sun Java System Communications Services Schema Reference》中的第 3 章 "Attributes"。
在称为 standardMail 的服务等级定义中定义了这些邮件服务属性。配置 Delegated Administrator 时,将在目录中安装 standardMail 定义。
standardMail 服务等级定义如下:
除了邮件属性之外,standardMail 定义还在属性 daServiceType 中将服务类型定义为邮件用户。
查看扩展服务软件包方面的限制
可以通过将任何属性添加到定义条目来扩展 Delegated Administrator 服务软件包定义。
但是,在此版本的 Delegated Administrator 中,使用控制台只能查看配置 Delegated Administrator 时提供的预定义属性。Delegated Administrator 控制台不显示添加到服务软件包定义中的任何属性。
在此版本中,您也不能从 Delegated Administrator 提供的 standardMail 服务等级定义中删除预定义的属性定义。
服务等级模板
根据服务等级定义中的属性,您可以创建自己的服务软件包,以便为不同用户定义不同的服务级别。
默认的服务等级模板
默认情况下,Delegated Administrator 配置程序 (config-commda) 将在目录中安装 ldif 文件 cos.default.ldif。此 ldif 文件提供了称为 defaultmail 的通用服务等级模板。
cos.default.ldif 文件中包括以下服务等级模板:
dn: cn=defaultmail,o=cosTemplates,<ugldapbasedn>
changetype: add
objectclass: top
objectclass: LDAPsubentry
objectclass: extensibleobject
objectclass: cosTemplate
mailquota: -2
cn: defaultmail
注:Delegated Administrator 配置程序在目录中安装 defaultmail 模板时,上面显示的变 量 <ugldapbasedn> 将被根后缀(如 o=usergroup)替换。
在默认服务等级模板 (defaultmail) 中,仅定义了一个邮件服务属性 mailquota。其值为 -2,表示此服务的邮件配额为系统默认值。
服务等级模板样例
运行 Delegated Administrator 配置程序 config-commda 时,可以选择加载其他服务软件包样例。(运行配置程序时,请在服务软件包和组织样例 (Service Package and Organization Samples) 面板中选择加载样例服务软件包 (Load sample service packages)。)配置程序将 cos.sample.ldif 文件添加到 LDAP 目录树中。
cos.sample.ldif 文件包括以下样例服务等级模板:
每个模板均包含服务等级定义中所列的一个或多个属性的特定值。这些模板是服务软件包的原型示例。
例如,cos.sample.ldif 文件中包含 Platinum 服务等级模板:
dn: cn=platinum,o=cosTemplates,$rootSuffix
objectclass: top
objectclass: LDAPsubentry
objectclass: extensibleobject
objectclass: cosTemplate
cn: platinum
mailMsgMaxBlocks: 800
mailQuota: 4000000000
mailMsgQuota: 6000
mailAllowedServiceAccess: +imap:ALL$+pop:ALL$+smtp:ALL$+http:ALL
注:Delegated Administrator 配置程序在目录中安装样例服务等级模板时,上面显示的变量 $rootSuffix 将被根后缀(如 o=usergroup)替换。
有关所有样例服务等级模板的邮件服务值的列表,请参见本章末尾的样例服务等级模板中的邮件服务级别。
创建您自己的服务软件包
本章中介绍的服务等级模板只是一些示例。您很可能需要使用特定的属性值(适用于您的安装中的用户)来创建自己的服务软件包。
要创建您自己的服务软件包,可以使用 da.cos.skeleton.ldif 文件中存储的服务等级模板。此文件是专门作为编写服务软件包的模板而创建的。配置 Delegated Administrator 时,未在 LDAP 目录中安装该文件。
可以复制和编辑 da.cos.skeleton.ldif 文件,并使用 ldapmodify 之类的 LDAP 目录工具在目录中安装服务软件包。
有关使用 da.cos.skeleton.ldif 文件配置您自己的服务软件包的说明,请参见第 3 章“配置 Delegated Administrator”中的创建服务软件包。
分配给 LDAP 用户条目的样例服务软件包
使用 Delegated Administrator 将服务软件包分配给用户时,会将单个属性 (inetCOS) 添加到 LDAP 目录中的用户条目。inetCOS 属性的值可将整个服务软件包分配给用户。(inetCOS 是多值属性。)
例如,假设您将 Platinum 软件包分配给某个用户。以下属性将添加到用户条目中:
Platinum 软件包包含邮件服务属性的以下值。因此,分配 Platinum 软件包与将这些属性添加到用户条目具有相同的效果:
服务等级定义和软件包的位置
在 LDAP 目录信息树 (Directory Information Tree, DIT) 中,服务等级定义位于根后缀正下方的节点中。由于它存储在 DIT 的顶部,因此可将服务软件包分配给目录中的所有用户条目。
图 1-7 显示了服务定义和软件包在 DIT 中的位置。此处有两个示例软件包:Gold 软件包和 Silver 软件包。
图 1-7
服务等级定义和软件包在目录树中的位置
Delegated Administrator 使用典型的服务等级定义。
有关服务等级机制的更多信息,请参见 Sun Java System Directory Server 管理指南。特别是第 5 章“管理标识和角色”中的“定义服务等级 (CoS)”。
Directory Server 管理指南还介绍了一些相关主题,例如,如果在分配给用户的服务软件包中定义的属性已存在于该单个用户条目中,如何确定哪个服务属性值优先。
样例服务等级模板中的邮件服务级别
本部分列出了样例服务等级模板提供的邮件服务级别。这些模板中的属性值只是一些示例,并非源自于实际的安装。
Platinum
mailMsgMaxBlocks: 800
mailquota: 10000000
mailmsgquota: 6000
mailAllowedServiceAccess: +imap:ALL$+pop:ALL$+smtp:ALL$+http:ALLGold
mailMsgMaxBlocks: 700
mailquota: 8000000
mailmsgquota: 3000
mailAllowedServiceAccess: +imap:ALL$+pop:ALL$+smtp:ALL$+http:ALLSilver
mailMsgMaxBlocks: 300
mailquota: 6291456
mailmsgquota: 2000
mailAllowedServiceAccess: +pop:ALL$+imap:ALL$+smtp:ALL$+http:ALLBronze
mailMsgMaxBlocks: 700
mailquota: 5242288
mailmsgquota: 3000
mailAllowedServiceAccess: +pop:ALL$+imap:ALL$+smtp:ALL$+http:ALLRuby
mailMsgMaxBlocks: 600
mailquota: 1048576
mailmsgquota: 2000
mailAllowedServiceAccess: +pop:ALL$+smtp:ALL$+http:ALLEmerald
mailMsgMaxBlocks: 600
mailquota: 2097152
mailmsgquota: 2000
mailAllowedServiceAccess: +pop:ALL$+smtp:ALL$+http:ALLDiamond
mailMsgMaxBlocks: 5000
mailquota: 3145728
mailmsgquota: 3000
mailAllowedServiceAccess: +imap:ALL$+smtp:ALL$+http:ALLTopaz
mailMsgMaxBlocks: 3000
mailquota: 4194304
mailmsgquota: 2000
mailAllowedServiceAccess: +imap:ALL$+smtp:ALL$+http:ALL