上一頁      目錄      索引      下一頁
Sun Java System Communications Services 6 2005Q1 Delegated Administrator 指南

第 1 章
Delegated Administrator 簡介

Communications Services Delegated Administrator 公用程式和主控台，可讓您在 Communications Services 應用程式 (如 Messaging Server) 所使用的 LDAP 目錄中佈建使用者、群組、網域和資源。

本章描述下列主題：

簡介
佈建使用者的分析藍本
管理員角色和目錄階層
若原為 iplanet Delegated Administrator 的使用者
服務套裝軟體

---

簡介

透過 Delegated Administrator，您可以將佈建作業分配給較低層、有管理 LDAP 目錄中特定社團組織權限的管理員。委託使用者管理的權限可提供下列優點：

將潛在的費時作業分配給許多的管理員，以佈建大型的目錄。數十個或數百個管理員可以在包含數千個或百萬個使用者的目錄中管理社團組織。
可讓您在目錄結構中建立社團組織，而這些社團組織可以做為明確的 (或唯一的) 單位來管理或佈建。這些社團組織包含了屬於客戶商務、公司部門或其他群組的使用者。

Delegated Administrator 對於在目錄中佈建使用者和社團組織，提供了兩種介面。

Delegated Administrator 公用程式
Delegated Administrator 主控台

我們將在之後的章節中提供這些介面的摘要。

Delegated Administrator 公用程式

Delegated Administrator 公用程式是一組佈建 Messaging Server 和 Calendar Server 使用者的指令行工具。(在之前的版本中，Delegated Administrator 公用程式稱為「使用者管理公用程式」。)

您可以使用 Delegated Administrator 公用程式來佈建社團組織、使用者、群組和行事曆資源。

備註	Delegated Administrator 公用程式提供了在 Communications Services 產品 (Messaging Server 6 2004Q2 和 Calendar Server 6 2004Q2) 之前的發行版本中所能使用的指令行功能。Delegated Administrator 公用程式並不提供相關指令來建立本指南中所描述的服務提供者角色和社團組織。若要建立並管理這些新角色和社團組織，您必須使用 Delegated Administrator 主控台。

使用 commadmin 指令呼叫此公用程式。

如需 commadmin 公用程式可用的語法和選項等相關資訊，請參閱第 5 章「指令行公用程式」。

Delegated Administrator 主控台

Delegated Administrator 主控台是一種圖形化使用者介面 (GUI)，用於佈建 Messaging Server 使用者和社團組織。

若要佈建群組和行事曆資源，請使用 Delegated Administrator 公用程式。請勿使用 Delegated Administrator 主控台。在此 Delegated Administrator 的發行版本中，您無法使用主控台來佈建群組和行事曆資源。

關於如何使用主控台的資訊，請參閱 Delegated Administrator 主控台線上說明。

Delegated Administrator 和 LDAP 目錄

Delegated Administrator 可讓您修改 LDAP 目錄以佈建使用者。您不需要直接修改目錄。然而，如果您能瞭解新增至使用者項目的 Delegated Administrator 屬性和目錄中較高層的節點，將會很有幫助。

有關 LDAP Schema 物件類別和支援 Delegated Administrator 的屬性等資訊，請參閱「Sun Java System Communications Services Schema Reference」中的第 5 章「Classes and Attributes Used by Communications Services Delegated Administrator (Schema 2)」。

---

佈建使用者的分析藍本

視您的業務需要而定，您可以建立一個由單一管理員所管理的簡易目錄結構，或者是委託較低層管理員進行佈建和管理作業的多層次目錄階層。

本節將針對三個遞增複雜性的分析藍本進行摘要。並進一步分析 Delegated Administrator 為支援這些分析藍本需求而提供的管理員角色和目錄結構。

單層次階層

在此分析藍本中，一個公司或社團組織可能會支援數百個或數千個員工或使用者。所有的使用者都會在單一社團組織中分組。單一管理員角色會檢視並管理整個群組。這裡並沒有委託的管理作業。

圖 1-1 顯示單層次階層之單一社團組織中的管理員角色範例。

圖 1-1

單層次階層中的管理員角色

此單層次階層中的管理員稱為「頂層管理員」(TLA)。

在圖 1-1 所顯示的範例中，TLA 會直接管理並佈建使用者 (使用者 1、使用者 2，一直到使用者 n)。

如果您在目錄中擁有一個社團組織，TLA 是您唯一需要的管理員。

如需更多資訊，請參閱以下各節：

支援單層次階層的目錄結構
頂層管理員角色

雙層次階層

在此分析藍本中，如網際網路服務提供者 (ISP) 之類的大型公司會將服務提供給各個企業。每個企業都有專屬於自己的網域，其中可能包含數千或數萬個使用者。

相對於依賴「單一頂層管理員」(TLA) 管理並佈建所有的網域，此分析藍本可支援將作業委託給較低層的管理員。

在雙層次階層中，目錄會包含多個社團組織。系統會為每個託管網域建立一個個別的社團組織。

每個社團組織都會被指定給一個「社團組織管理員」(OA)。OA 將對該社團組織中的使用者負責。OA 無法檢視或修改自己社團組織之外的目錄資訊。

圖 1-2 顯示雙層次階層中的管理員角色範例。

圖 1-2

雙層次階層中的管理員角色

在圖 1-2 所顯示的範例中，TLA 會建立並管理 OA1、OA2，一直到 OAn。每個 OA 都會管理一個社團組織中的使用者。

如果您在目錄中需要多個社團組織，您必須建立一個 TLA 和多個 OA 來管理社團組織和其中的使用者。

如需更多資訊，請參閱以下各節：

支援雙層次階層的目錄結構
頂層管理員角色
社團組織管理員角色

三層次階層

在此分析藍本中，如 ISP 之類的公司會將服務提供給數百個或數千個小型企業，每個企業都需要專屬的社團組織。

ISP 可能會支援數百萬個需要郵件服務的一般使用者。此外，ISP 可能會與管理一般企業使用者的第三方轉售商合作。

每一天可能都會有許多的新社團組織新增至目錄中。

在雙層次階層中，TLA 必須建立許多新的社團組織。

在三層次階層中，管理作業會委託給第二層級的管理員。在委託給第二層級後，可減輕由大型 LDAP 目錄所支援的大型客戶基底的管理作業。

為了要支援此階層，Delegated Administrator 引進了「服務提供者管理員」(SPA) 的新角色。

SPA 的權限範圍介於頂層管理員 (TLA) 和社團組織管理員 (OA) 之間。

圖 1-3 顯示三層次階層中的管理員角色範例。

圖 1-3

三層次階層中的管理員角色

在三層次階層中，TLA 會將管理權限委託給「服務提供者管理員」(SPA)。SPA 會為新的客戶建立企業社團組織，並指定「社團組織管理員」(OA) 來管理這些企業社團組織中的使用者。

如果您需要多個社團組織能自行分配至子群組或社團組織中，您可以使用實作 TLA、SPA 和 OA 角色的三層次階層。

如需 SPA 角色的資訊，請參閱附錄 A「服務提供者管理員及服務提供者社團組織」。

---

管理員角色和目錄階層

本節顯示實作單層次和雙層次階層的「目錄資訊樹」範例。並進一步說明可由頂層管理員和社團組織管理員所執行的作業。

支援單層次階層的目錄結構

當您執行配置程式 config-commda 來配置 Delegated Administrator 時，也同時建立了頂層管理員 (TLA) 和預設社團組織。

單層次階層：根尾碼之下的預設社團組織

配置程式會依預設將預設社團組織放置在根尾碼之下。

目錄資訊樹看起來會和圖 1-4 中所顯示的相似。

圖 1-4 顯示在單層次階層 (預設配置) 中所組織的範例目錄資訊樹。

圖 1-4

單層次階層：目錄資訊樹範例 (預設)

單層次階層：根尾碼上的預設社團組織

當您執行配置程式 (config-commda) 時，您可以選擇將預設社團組織建立在根尾碼上，而不是它的下方。關於配置的詳細資訊，請參閱第 3 章「配置 Delegated Administrator」 中的步驟 6，社團組織辨別名稱 (DN)。

在此情況下，目錄資訊樹看起來會和圖 1-5 中所顯示的相似。

然而，如果您將預設社團組織建立在根尾碼上，這個 LDAP 目錄的配置將無法支援多個託管網域。若要支援託管網域，預設社團組織必須在根尾碼之下。

圖 1-5 顯示一個單層次階層範例，其中的預設社團組織建立在根尾碼上。

圖 1-5

單層次階層：根尾碼上的預設社團組織

支援雙層次階層的目錄結構

在使用 config-commda 程式設置 Delegated Administrator 之後，TLA 可以建立額外的社團組織，如圖 1-6 所示。

圖 1-6 顯示在雙層次階層中所組織的目錄資訊樹範例。

圖 1-6

雙層次階層：目錄資訊樹範例

頂層管理員角色

TLA 擁有執行以下作業的權限：

建立、刪除和修改社團組織。

在圖 1-6 所顯示的範例中，TLA 可修改或刪除 siroe.com 或 sesta.com，並可建立額外的社團組織。

注意，在此範例中兩個社團組織也是唯一的 (託管) 網域。

建立、刪除和修改使用者。
將 OA 角色指定給使用者。例如，TLA 可將一個 OA 指定給 siroe.com 社團組織中的使用者 johna。

TLA 也可以移除使用者的 OA 角色。

將 TLA 角色指定給其他使用者。TLA 也可以移除使用者的 TLA 角色。
將服務套裝軟體指定給社團組織。

有關服務套裝軟體的資訊，請參閱本簡介後面的「服務套裝軟體」。

TLA 可將特定種類的服務套裝軟體指定給社團組織，並確定每個套裝軟體可在社團組織中使用的最大數目。

例如，TLA 可指定下列服務套裝軟體：

在 siroe.com 社團組織中：

1,000 個 Gold 套裝軟體
   500 個 Platinum 套裝軟體

在 sesta.com 社團組織中：

2,000 個 Silver 套裝軟體
1,500 個 Gold 套裝軟體
   100 個 Platinum 套裝軟體

TLA 可使用 Delegated Administrator 主控台或執行 Delegated Administrator 公用程式 (commadmin) 指令來執行上述作業。

有關 commadmin 指令的描述，請參閱第 5 章「指令行公用程式」中的表 5-1，Delegated Administrator 指令行介面。

社團組織管理員角色

OA 擁有執行以下作業的權限：

建立、刪除和修改 OA 社團組織中的使用者

在圖 1-6 所顯示的範例中，如果使用者 johna 已指定為 siroe.com 社團組織中的 OA 角色，則 johna 可以管理 siroe.com 中的使用者。

將 OA 角色指定給 OA 社團組織中的其他使用者。
OA 無法管理或無法將 OA 角色指定給在 OA 社團組織之外的使用者。

例如，johna 無法管理 sesta.com 中的使用者或為其指定 OA 角色。

指定和移除 OA 社團組織中使用者的服務套裝軟體。

OA 可使用 Delegated Administrator 主控台或執行 Delegated Administrator 公用程式 (commadmin) 指令來執行上述作業。

有關 commadmin 指令的描述，請參閱第 5 章「指令行公用程式」中的表 5-1，Delegated Administrator 指令行介面。

---

若原為 iplanet Delegated Administrator 的使用者

Communications Services Delegated Administrator 是為了佈建 LDAP Schema 2 目錄中的使用者而設計的。

擁有 LDAP Schema 1 目錄的上一版本 Messaging Server 使用者，可能已使用過 iPlanet Delegated Administrator 這個不建議再使用的工具。如果您仍擁有 Schema 1 目錄，您應該使用 iPlanet Delegated Administrator 來佈建使用者。

針對管理員角色，iPlanet Delegated Administrator 所使用的專有名詞與目前 Communications Service Delegated Administrator 所使用的有些微的不同。

表 1-1 列出並定義 Delegated Administrator 每個版本中的管理員角色。

表 1-1 iPlanet Delegated Administrator 和 Communications Services Delegated Administrator 中的管理員角色

iPlanet Delegated Administrator	Communications Services Delegated Administrator 公用程式	Communications Services Delegated Administrator 主控台	定義
站台管理員	頂層管理員 (TLA)	頂層管理員 (TLA)	管理 Delegated Administrator 所支援的整個目錄，包含社團組織和使用者*。
(無)	(此發行版本不提供)	服務提供者管理員 (SPA)	管理提供者社團組織、提供者社團組織之下的共用及完整企業社團組織，以及這些企業社團組織中的使用者。
網域管理員	社團組織管理員 (OA)	社團組織管理員 (OA)	管理一個社團組織以及該組織中的使用者。
* 在此 Delegated Administrator 的發行版本中，TLA 無法建立提供者社團組織，或在提供者社團組織之下建立企業社團組織。

---

服務套裝軟體

服務套裝軟體是由 LDAP 目錄中的服務等級機制所實作的。此機制可讓您設定預先定義的屬性的值，在您配置 Delegated Administrator 時，這些屬性已安裝在目錄中。服務套裝軟體在使用者項目中新增了一些服務特性。

在 Delegated Administrator 主控台中，您執行以下的服務套裝軟體作業：

將服務套裝軟體配置給社團組織。在將一些 (或全部) 的套裝軟體配置給社團組織之後，社團組織中的使用者就能夠使用這些套裝軟體。您將針對每個套裝軟體配置特定數量的套裝軟體。

例如，您可能會為 ABC 社團組織配置 5,000 個 Gold 套裝軟體和 10,000 個 Silver 套裝軟體。

將服務套裝軟體指定給使用者。

針對您在 LDAP 目錄中佈建的每位使用者，您至少要配置一個服務。您可以將多個服務套裝軟體指定給一個使用者。

當您將服務套裝軟體指定給一個使用者時，服務套裝軟體中的所有屬性和值都會自動指定給該使用者。

服務等級定義

此發行版本會將一個服務等級定義提供給 Messaging Server 使用者。表 1-2 顯示為郵件使用者所定義的 LDAP 屬性：

表 1-2 可在服務套裝軟體中使用的郵件服務屬性

屬性	定義
mailMsgMaxBlocks	可傳送至使用者或群組的最大訊息大小 (以 MTA 區段為單位)。
mailAllowedServiceAccess	指定可用於存取指定服務的用戶端的篩選。例如：+imap:ALL$+pop:ALL$+smtp:ALL$+http:ALL
mailMsgQuota	使用者可使用的訊息之最大數量 (包含所有使用者資料夾)。
mailQuota	使用者電子信箱可用的磁碟空間 (以位元組為單位)。

如需這些屬性的詳細資訊，請參閱「Sun Java System Communications Services Schema Reference」中的第 3 章「Attributes」。

這些郵件服務屬性已在稱為 standardMail 的服務等級定義中完成定義。當您配置 Delegated Administrator 時，standardMail 定義已安裝在目錄中。

standardMail 服務等級定義列示如下：

dn: cn=standardMail,<ugldapbasedn> changetype: add objectclass: top objectclass: LDAPsubentry objectclass: extensibleObject objectclass: cosSuperDefinition objectclass: cosClassicDefinition cosTemplateDn: o=cosTemplates,<ugldapbasedn> cosSpecifier: inetCos cosAttribute: mailAllowedServiceAccess cosAttribute: mailMsgMaxBlocks cosAttribute: mailquota cosAttribute: mailmsgquota daServiceType: mail user 備註：當 Delegated Administrator 配置程式將 standardMail 定義安裝在目錄 中時，上方所顯示的 <ugldapbasedn> 變數會由根尾碼 (例如 o=usergroup) 所取 代。

除了郵件屬性以外，standardMail 定義會將服務類型定義為 daServiceType 屬性中的郵件使用者。

檢視延伸式服務套裝軟體的限制

您可以在定義項目中新增任何的屬性，以延伸 Delegated Administrator 服務套裝軟體的定義。

然而，在此 Delegated Administrator 的發行版本中，主控台只允許您檢視在配置 Delegated Administrator 時所提供的預先定義的屬性。Delegated Administrator 主控台不會顯示您在服務套裝軟體定義中新增的任何屬性。

針對此發行版本，在由 Delegated Administrator 提供的 standardMail 服務等級定義中，您不應該移除預先定義的屬性定義。

服務等級範本

根據服務等級定義中可用的屬性，您可以建立自己的服務套裝軟體，為不同的使用者定義不同的服務層級。

預設服務等級範本

依預設，Delegated Administrator 配置程式 (config-commda) 可在目錄中安裝一個 ldif 檔案 cos.default.ldif。此 ldif 檔案提供一個稱為 defaultmail 的通用服務等級範本。

以下的服務等級範本已包含在 cos.default.ldif 檔案中：

dn: cn=defaultmail,o=cosTemplates,<ugldapbasedn> changetype: add objectclass: top objectclass: LDAPsubentry objectclass: extensibleobject objectclass: cosTemplate mailquota: -2 cn: defaultmail 備註：當 Delegated Administrator 配置程式將 defaultmail 範本安裝在目錄中 時，上方所顯示的 <ugldapbasedn> 變數會由根尾碼 (例如 o=usergroup) 所取代。

在預設的服務等級範本 (defaultmail) 中，只定義了一個郵件服務屬性，即 mailquota。它的值為 -2，表示此服務的郵件配額為系統所預設。

服務等級範本的範例

當您執行 Delegated Administrator 配置程式 config-commda 時，可以選擇載入額外的服務套裝軟體範例。(當您執行配置程式時，請在 [服務套裝軟體和社團組織範例] 面板中選取 [載入服務套裝軟體範例]。)配置程式會將 cos.sample.ldif 檔案新增至 LDAP 目錄樹中。

cos.sample.ldif 檔案包含了下列服務等級範本的範例：

Platinum
Gold
Silver
Bronze
Ruby
Topaz
Diamond
Emerald

每個範本都包含了服務等級定義中所列出的一個或多個屬性的特定值。這些範本為服務套裝軟體的原型範例。

例如，Platinum 的服務等級範本已包含在 cos.sample.ldif 檔案中：

dn: cn=platinum,o=cosTemplates,$rootSuffix objectclass: top objectclass: LDAPsubentry objectclass: extensibleobject objectclass: cosTemplate cn: platinum mailMsgMaxBlocks: 800 mailQuota: 4000000000 mailMsgQuota: 6000 mailAllowedServiceAccess: +imap:ALL$+pop:ALL$+smtp:ALL$+http:ALL 備註：當 Delegated Administrator 配置程式將服務等級範例範本安裝在目錄中 時，上方所顯示的 $rootSuffix 變數會由根尾碼 (例如 o=usergroup) 所取代。

如需所有服務等級範本範例的郵件服務值清單，請參閱位於本章結尾的「服務等級範本範例中的郵件服務層級」。

建立您自己的服務套裝軟體

在本章中所描述的服務等級範本旨在作為範例參考。您可能必須藉由在安裝過程中使用者所適用的屬性值，來建立您自己的服務套裝軟體。

若要建立您自己的服務套裝軟體，可以使用儲存在 da.cos.skeleton.ldif 檔案中的服務等級範本。建立該檔案的目的就是要做為寫入服務套裝軟體的範本。當配置 Delegated Administrator 時，該檔案並沒有安裝在 LDAP 目錄中。

您可以複製及編輯 da.cos.skeleton.ldif 檔案，並使用如 ldapmodify 的 LDAP 目錄工具，在目錄中安裝您的服務套裝軟體。

有關使用 da.cos.skeleton.ldif 檔案以配置您自己的服務套裝軟體的說明，請參閱第 3 章「配置 Delegated Administrator」中的「建立服務套裝軟體」。

指定至 LDAP 使用者項目的服務套裝軟體範例

當您使用 Delegated Administrator 將服務套裝軟體指定給使用者時，LDAP 目錄中的使用者項目會新增一個單一屬性 (inetCOS)。inetCOS 屬性的值會將整個服務套裝軟體指定給使用者。(inetCOS 是一個多重值屬性。)

例如，假設您將 Platinum 套裝軟體指定給使用者。以下的屬性會新增至使用者項目：

inetCOS:platinum

Platinum 套裝軟體包含了以下郵件服務屬性的值。因此，在您指定 Platinum 套裝軟體的同時，也會將這些屬性新增至使用者項目中。

mailMsgMaxBlocks: 800
mailQuota: 4000000000
mailMsgQuota: 6000
mailAllowedServiceAccess:+imap:ALL$+pop:ALL$+smtp:ALL$+http:ALL

服務等級定義和套裝軟體的位置

在 LDAP 目錄資訊樹 (DIT) 中，服務等級定義位於根尾碼正下方的節點中。由於它就儲存在 DIT 的最上方，因此服務套裝軟體可以指定給目錄中所有的使用者項目。

圖 1-7 顯示 DIT 中服務定義和套裝軟體的位置。此處顯示兩個套裝軟體範例，Gold 和 Silver。

圖 1-7

目錄樹中服務等級定義和套裝軟體的位置

Delegated Administrator 使用典型的服務等級定義。

如需服務等級機制的詳細資訊，請參閱「Sun Java System Directory Server 管理指南」。特別是位於第 5 章「管理識別和角色」中的「定義服務等級 (CoS)」。

「Directory Server 管理指南」也描述了相關的主題。例如，如果在指定給使用者的服務套裝軟體中已定義的屬性，已存在於個別的使用者項目時，您要決定哪個服務屬性值優先。

服務等級範本範例中的郵件服務層級

本節列出由服務等級範本的範例所提供之郵件服務層級。這些範本中的屬性值只做為範例之用，且不是源自於實際的安裝作業。

Platinum

mailMsgMaxBlocks: 800
mailquota: 10000000
mailmsgquota: 6000
mailAllowedServiceAccess:+imap:ALL$+pop:ALL$+smtp:ALL$+http:ALL

Gold

mailMsgMaxBlocks: 700
mailquota: 8000000
mailmsgquota: 3000
mailAllowedServiceAccess:+imap:ALL$+pop:ALL$+smtp:ALL$+http:ALL

Silver

mailMsgMaxBlocks: 300
mailquota: 6291456
mailmsgquota: 2000
mailAllowedServiceAccess:+pop:ALL$+imap:ALL$+smtp:ALL$+http:ALL

Bronze

mailMsgMaxBlocks: 700
mailquota: 5242288
mailmsgquota: 3000
mailAllowedServiceAccess:+pop:ALL$+imap:ALL$+smtp:ALL$+http:ALL

Ruby

mailMsgMaxBlocks: 600
mailquota: 1048576
mailmsgquota: 2000
mailAllowedServiceAccess:+pop:ALL$+smtp:ALL$+http:ALL

Emerald

mailMsgMaxBlocks: 600
mailquota: 2097152
mailmsgquota: 2000
mailAllowedServiceAccess:+pop:ALL$+smtp:ALL$+http:ALL

Diamond

mailMsgMaxBlocks: 5000
mailquota: 3145728
mailmsgquota: 3000
mailAllowedServiceAccess:+imap:ALL$+smtp:ALL$+http:ALL

Topaz

mailMsgMaxBlocks: 3000
mailquota: 4194304
mailmsgquota: 2000
mailAllowedServiceAccess:+imap:ALL$+smtp:ALL$+http:ALL

上一頁      目錄      索引      下一頁

---

文件號碼：819-1104。  Copyright 2005 Sun Microsystems, Inc. 版權所有。