第 6 章管理 Instant Messaging 與線上狀態策略

Instant Messaging 提供不同用處的功能，例如聊天、會議、輪詢、線上狀態存取等等。一種策略說明與這些功能相關的存取控制特權集。一般使用者與群組可以根據組織需要依序指派至策略中。

本章說明如何定義與使用策略，以管理一般使用者與管理員必須存取的 Instant Messaging 伺服器功能與特權：

隱私權、安全性與站台策略摘要

Instant Messaging 提供控制存取 Instant Messaging 功能，並保護一般使用者隱私權的能力。

站台策略

站台策略會指定一般使用者存取特定的 Instant Messaging 功能。其指定：

Instant Messaging 管理員可存取所有 Instant Messaging 功能。管理員擁有所有會議室與新聞通道的管理存取權限，可以檢視所有一般使用者的線上狀態並可以檢視與修改屬性，例如一般使用者的「聯絡人清單」與 Instant Messenger 設定。站台策略設定不會影響管理員的特權。

依預設，會提供一般使用者存取其他一般使用者線上狀態、傳送警示給一般使用者，與儲存屬性至伺服器的權限。在大部分部署中，不會變更預設值。在 Instant Messaging 專門用於快顯功能時需要變更這些預設值。

當 Instant Messaging 專門用於快顯功能時，不會提供一般使用者對於線上狀態資訊、聊天與新聞功能的存取權限。

會議室與新聞通道存取控制。

一般使用者對於「會議室」與「新聞通道」具有以下存取權限：


備註	儘管某些權限可以全域設定，管理員也可以定義這些權限的例外。例如，管理員可以拒絕某些預設權限以選取一般使用者、角色或群組。

具有管理權限的一般使用者可以設定所有其他一般使用者的預設權限層級。這些一般使用者也可以定義例外規則，以便將不同於預設存取層級的存取層級授與特定的一般使用者或群組。

使用者隱私權

一般使用者可以指定其他一般使用者是否可以查看他們的線上狀態。依預設，所有一般使用者可以存取另一個一般使用者的線上狀態資訊。一般使用者也可以對某些一般使用者與群組設定拒絕此存取的例外情況。

若一般使用者已拒絕其他一般使用者存取其線上狀態，則在其他人聯絡人清單中此一般使用者的可用狀態會出現為離線狀態。若一般使用者線上狀態為離線，則不能傳送警示或聊天邀請。

使用者私密性可以在 Instant Messenger 的「使用者設定」視窗中加以配置。有關配置使用者隱私權的詳細資訊，請參閱「Instant Messenger 線上說明」。


備註	設定寫入權限，授與一般使用者讀取權限。

控制一般使用者與管理員特權的方法

不同站台使用 Instant Messaging 伺服器在啟用與限制存取一般使用者類型有不同的需求，必須使用 Instant Messaging 服務。控制一般使用者與管理員 Instant Messaging 伺服器功能與特權的程序被稱為策略管理。有兩種可用的策略管理方法：透過存取控制檔案或透過 Sun Java System Access Manager。

使用存取控制檔案管理策略的介紹

管理策略的存取控制檔案方法可讓您在以下區域調整一般使用者特權：新聞通道管理、會議室管理，變更「使用者設定」對話喜好設定的功能，與傳送警示的功能。也允許特定一般使用者被指派為系統管理員。

使用 Sun Java System Access Manager 管理策略的介紹

藉由 Sun Java System Access Manager 管理策略可以讓您控制可用於存取控制檔案方法的相同特權，然而，也允許微調更多不同的功能，例如：接收警示、傳送輪詢、接收輪詢的功能等等。對於完成清單而言，請參閱表 6-4 表格。此外，使用 Sun Java System Access Manager 管理策略可提供對於權限的微調控制。

有兩種策略類型：Instant Messaging 策略與線上狀態策略。Instant Messaging 策略管理一般 Instant Messaging 功能，例如傳送或接收警示的功能；管理公用會議與新聞通道的功能；以及傳送檔案的功能。線上狀態策略管理控制一般使用者變更線上狀態，並允許與避免其他人看見其線上或線上狀態資訊。

管理策略：使用方法

選擇使用何種管理策略方法時，也需要選擇儲存的地方。選取管理策略的方法是編輯 iim.conf 檔案並將 iim.policy.modules 參數設定為 identity (Access Manager 方法)，或 iim_ldap (存取控制檔案方法)，此方法亦為預設方法。

若您將僅 LDAP 部署，因此您將不會使用 Sun Java System Access Manager，則您必須使用存取控制檔案方法。若您將 Sun Java System Access Manager 與 Instant Messaging 伺服器搭配使用，而且已經安裝 Instant Messaging 與「線上狀態」服務元件，您就可以使用策略管理方法。使用 Sun Java System Access Manager 管理策略是較為全面的方法。這個方法的其中一項優點是允許您儲存目錄中所有一般使用者的資訊。

策略配置參數

表 6-1 列出並說明可用於 iim.conf 檔案中與可扮演於 Instant Messaging 部署中的 Sun Java System Access Manager 已增加角色相關的參數：

表 6-1 iim.conf 中與 Access Manager 相關的參數
參數名稱	用法	值
iim.policy.modules	指明 Sun Java System Access Manager 是否用於策略存儲	iim_ldap (預設) identity
iim.userprops.store	指明使用者屬性位於使用者屬性檔還是來自 LDAP	file (預設) ladp


備註	當安裝「線上狀態」的服務定義與 Instant Messaging 服務時，目前 iim.userprops.store 參數是唯一有意義的。

使用存取控制檔案管理策略

依預設，會提供一般使用者存取其他一般使用者線上狀態、傳送警示給一般使用者，與儲存屬性至伺服器的特權。在多數的部署中，不需要變更預設值。


備註	儘管某些權限可以全域設定，管理員也可以定義這些權限的例外。例如，管理員可以拒絕某些預設特權以選取一般使用者或群組。

存取控制檔案的位置是 im_cfg_base/acls。其中 im_cfg_base 是配置目錄。如需關於配置目錄的預設位置資訊，請參閱表 3-1。

表 6-2 列出 Instant Messaging 的全域存取控制檔案與這些檔案提供給一般使用者的特權。

表 6-2 存取控制檔案
ACL 檔案	特權
sysSaveUserSettings.acl	定義可以與不可以便更其本身喜好設定的使用者。不具此特權的使用者無法新增聯絡人、建立會議等等。
sysTopicsAdd.acl	定義可以與不可以建立新聞通道的使用者。
sysRoomsAdd.acl	定義可以與不可以建立會議室的使用者。
sysSendAlerts.acl	定義可以與不可以傳送警示的使用者。
sysWatch.acl	定義誰可以與不可以看到其他一般使用者的變更。Instant Messenger 視窗為不具此特權的一般使用者而顯示，僅允許「會議與新聞通道訂閱與非訂閱」。
sysAdmin.acl	僅為管理員保留。這個檔案會設定管理特權為所有一般使用者的所有 Instant Messaging 功能。這個特權會覆寫所有其他特權，並給管理員「管理」存取所有會議室、新聞通道與一般使用者線上狀態資訊、設定與屬性的特權。

存取控制檔案格式

存取控制檔案包含一系列定義特權的項目。每個項目以下列標籤開始：


備註	d: 標籤必須為存取控制檔案的最後項目。伺服器會忽略所有 d: 標籤之後的項目。若 d: 標籤為 true，則忽略所有其他行。您不可以設定存取控制檔案中的 d:tag 為 true，並選擇性的拒絕一般使用者使用該特權。

這個標籤後面跟隨一個冒號 (:)。如果是預設標籤，則後面會跟隨 true 或 false。

指定多個一般使用者與群組的方法是讓多個一般使用者 (u) 與群組 (g) 在行中。

若預設值設定為 true，則所有檔案中的項目會作為備用。若預設值設定為 false，則只有指定於該檔案中的一般使用者與群組會擁有特定特權。

存取控制檔案範例


備註	所有存取控制檔案的格式與存在可能會在將來產品版本中變更。

本節說明顯示設定特權的範例存取檔案，sysTopicsAdd.acl 檔案。

sysTopicsAdd.acl 檔案

在下列範例中，sysTopicsAdd.acl 檔案的預設 d: 標籤項目為 false。如此， [新增] 與 [刪除] 新聞通道特權可用於出現於預設之前的一般使用者與特權，即是 user1, user2，與 sales 群組。

變更一般使用者特權

若要變更一般使用者特權

使用 Sun Java System Access Manager 管理策略

Instant Messaging 與 Sun Java System Access Manager 的線上狀態服務提供了另一種方法來控制一般使用者與管理員特權。每個服務擁有三種屬性類型：動態、使用者與策略。策略屬性是用於設定特權的屬性類型。

當新增規則至建立於 Access Manager 的策略時，策略屬性成為規則的一部份，以允許或拒絕管理員與一般使用者使用不同的 Instant Messaging 功能，例如從其他人接收輪詢訊息。

當 Instant Messaging 伺服器安裝 Sun Java System Access Manager 時，會建立數個範例策略與角色。請參閱「Sun Java System Access Manager Getting Started Guide」與「Sun Java System Access Manager 管理指南」以取得有關策略與角色的相關資訊。

此外，若範例策略不足夠，您可以依需要建立新策略與指派那些策略為角色、群組、組織或一般使用者以符合站台需求。

當 Instant Messaging 服務或「線上狀態」服務被指派至一般使用者，他們會接收到適用的動態與使用者屬性。動態屬性可以指定至 Sun Java System Access Manager 已配置的角色或組織。

當角色被指派至一般使用者或於組織中建立一般使用者時，動態屬性則會變為一般使用者的特性。這些使用者屬性直接指定至每位一般使用者。它們不是繼承自角色或組織，且一般而言對於每個一般使用者都不同。

當一般使用者登入時，將根據指派至其的角色與如何套用策略以取得適用的所有屬性。

在指派「線上狀態」與 Instant Messaging 服務至那些一般使用者之後，動態、使用者或策略屬性會與一般使用者相關。

Instant Messaging 服務屬性

表 6-3 Instant Messaging 的 Access Manager 屬性
服務	策略屬性	動態屬性	使用者屬性
sunIM	sunIMAllowChat sunIMAllowChatInvite sunIMAllowForumAccess sunIMAllowForumManage sunIMAllowForumModerate sunIMAllowAlertsAccess sunIMAllowAlertsSend sunIMAllowNewsAccess sunIMAllowNewsManage sunIMAllowFileTransfer sunIMAllowContactListManage sunIMAllowUserSettings sunIMAllowPollingAccess sunIMAllowPollingSend	sunIMProperties sunIMRoster sunIMConferenceRoster sunIMNewsRoster sunIMPrivateSettings	sunIMUserProperties sunIMUserRoster sunIMUserConferenceRoster sunIMUserNewsRoster sunIMUserPrivateSettings
sunPresence	sunPresenceAllowAccess sunPresenceAllowPublish sunPresenceAllowManage	sunPresenceDevices sunPresencePrivacy	sunPresenceEntityDevices sunPresenceUserPrivacy

對於每個前述表格中的每個屬性，對應的標籤會出現於 Access Manager 管理主控台中。以下兩個表格會列出每個屬性與其對應標籤與簡短說明。表 6-4 會列出與說明策略屬性，表 6-5 會列出與說明動態與使用者屬性。

表 6-4 Access Manager 策略屬性 Instant Messaging
策略屬性	管理主控台標籤	屬性說明
sunIMAllowChat	聊天的功能	一般使用者可以被邀請加入聊天室並存取一般聊天功能
sunIMAllowChatInvite	邀請其他人聊天的功能	一般使用者可以邀請其他人聊天
sunIMAllowForumAccess	加入會議室的功能	會議標籤會顯示於 Instant Messenger 中，以允許一般使用者加入會議室
sunIMAllowForumManage	管理會議室的功能	一般使用者可以建立、刪除與管理會議室
sunIMAllowForumModerate	主持會議室的功能	一般使用者可以是會議主持人
sunIMAllowAlertsAccess	接收警示的功能	一般使用者可以從其他人接收警示
sunIMAllowAlertsSend	傳送警示的功能	一般使用者可以傳送警示給其他人
sunIMAllowNewsAccess	讀取新聞的功能	[新聞] 按鈕會顯示於 Instant Messenger，可以讓一般使用者列出新聞通道以接收與傳送新聞訊息
sunIMAllowNewsManage	管理新聞通道的功能	一般使用者可以管理新聞通道並建立、刪除與指派特權給新聞通道
sunIMAllowFileTransfer	交換檔案的功能	一般使用者可以在警示、聊天與新聞訊息中新增附件
sunIMAllowContactListManage	管理某人聯絡人清單的功能	一般使用者可以管理自己的聯絡人清單；他們可以從清單新增與刪除使用者與群組；他們可以在聯絡人清單中重新命名資料夾
sunIMAllowUserSettings	管理 Messenger 的功能	[設定] 按鈕會顯示於 Instant Messenger，其可讓一般使用者變更自己的 Instant Messenger 設定
sunIMAllowPollingAccess	接收輪詢的功能	一般使用者可以從其他人接收輪詢訊息，也可以回應輪詢
sunIMAllowPollingSend	傳送輪詢的功能	[輪詢] 按鈕顯示於 Instant Messenger，其可讓一般使用者傳送輪詢訊息給其他人並接收回應
sunPresenceAllowAccess	存取其他人的線上狀態的功能	一般使用者可以查看其他人的線上狀態。除了顯示聯絡人以外，聯絡人清單還可透過變更狀態圖示來反映聯絡人的線上狀態變更
sunPresenceAllowPublish	發佈線上狀態的功能	一般使用者可以按一下以選取其狀態 (線上、離線、忙碌等等) 以供其他人查看
sunPresenceAllowManage	管理線上狀態存取的功能	[存取] 標籤會顯示於 Instant Messenger 設定中；一般使用者可以設定自己的預設線上狀態存取、線上狀態允許或線上狀態拒絕清單

直接修改屬性

一般使用者可以登入 Sun Java System Access Manager 管理主控台，並檢視 Instant Messaging 中的屬性值與線上狀態服務屬性。若屬性已定義為可修改，則一般使用者可以警示該屬性。然而根據預設值，在 Instant Messaging 服務中沒有屬性是可修改的，也不建議允許一般使用者將其修改。然而，從系統管理的標準點，直接操控屬性是相當有用的。

例如，因為角色不會影響某些系統屬性，例如設定會議訂閱、系統管理員可能會希望修改這些屬性值，方法是從其他一般使用者將之複製 (例如從會議值勤人) 或直接將之修改。這些屬性會列於表 6-5 中。

參照表格表 6-5，使用者屬性可以由一般使用者經由 Sun Java System Access Manager 管理主控台設定。動態屬性由管理員設定。為動態屬性設定的值會覆寫或合併對應的使用者屬性值。

對應動態本質與使用者屬性會影響解決衝突與補充資訊的方式。例如，兩個資源的「會議訂閱」(動態與使用者) 會互相補充，因此訂閱會被合併。屬性不會互相覆寫。

表 6-5 Access Manager 使用者與 Instant Messaging 動態屬性
管理主控台標籤	使用者屬性	動態屬性	屬性說明	衝突解決方案
Messenger 設定	sunIMUserProperties	sunIMProperties	包含所有 Instant Messenger 屬性並對應至以檔案為基礎的使用者屬性儲存中的 user.properties 檔案	合併－然而若特定的屬性擁有同時來自使用者與動態屬性的值，則動態屬性會覆寫。
訂閱	sunIMUserRoster	sunIMRoster	包含訂閱資訊 (使用者聯絡人清單值勤人)	合併－若 Jabber (閒談) 識別碼同時存在於使用者與動態屬性，則會將暱稱從使用者屬性中移出，群組將是使用者與動態屬性之所有群組的聯合，訂閱值將是使用者與動態值的最高值。
會議訂閱	sunIMUserConferenceRoster	sunIMConferenceRoster	包含會議室訂閱資訊	合併－將動態與使用者訂閱合併，並移除重複的項目。
新聞通道訂閱	sunIMUserNewsRoster	sunIMNewsRoster	包含新聞通道訂閱資訊	合併－將動態與使用者訂閱合併，並移除重複的項目。
線上狀態代理	sunPresenceEntityDevices	sunPresenceDevices	未用於這個版本 (供將來使用)	使用動態資訊。
隱私權	sunPresenceUserPrivacy	sunPresencePrivacy	對應 Instant Messenger 中的隱私權設定	合併－若有衝突則移出動態值。
Instant Messenger 喜好設定	sunIMUserPrivateSettings	sunIMPrivateSettings	將未在 Messenger 設定中儲存的隱私喜好設定儲存於此。	合併

預定義的 Instant Messaging 範例與線上狀態策略

當安裝 Instant Messaging 服務元件時，表 6-6 會列出並說明建立於 Sun Java System Access Manager 的七個範例策略與角色。您可以根據要給予其的存取控制，新增一般使用者至不同角色。

典型站台可能希望將角色 IM 一般使用者 (接收預設 Instant Messaging 與線上狀態存取) 指派為只使用 Instant Messenger 的一般使用者，但不負責管理 Instant Messaging 策略。相同站台可能將 IM 管理員角色 (與具備管理 Instant Messaging 和線上狀態服務能力有關的角色) 指派為含有完全管理 Instant Messaging 策略責任的特定一般使用者。表 6-7 列出策略屬性中的特權預設指派。若未在規則中選擇動作，則允許與拒絕值與策略無關且不會影響該屬性。

表 6-6 Sun Java System Access Manager 的預設策略與角色
策略	適用策略的角色	適用策略的服務	策略說明
預設 Instant Messaging 與線上狀態存取	IM 一般使用者	sunIM，sunPresence	正常的 Instant Messaging 一般使用者應擁有的預設存取。
管理員 Instant Messaging 與線上狀態服務的功能	IM 管理員	sunIM，sunPresence	Instant Messaging 管理員擁有的存取特權，該特權可以存取所有 Instant Messaging 功能。
管理 Instant Messaging 新聞通道的功能	IM 新聞管理員	sunIM	一般使用者可以藉由建立、刪除等方法管理新聞通道
管理 Instant Messaging 會議室的功能	IM 會議室管理員	sunIM	一般使用者可以藉由建立、刪除等方法管理會議室
變更本身 Instant Messaging 使用者設定的功能	IM 允許使用者設定角色	sunIM	一般使用者可以藉由按一下 Instant Messenger 中的 [設定] 按鈕編輯設定。
傳送 Instant Messaging 警示的功能	IM 允許傳送警示角色	sunIM	一般使用者可以在 Instant Messenger 中傳送警示。
查看其他 Instant Messaging 一般使用者變更的功能	IM 允許查看變更角色	sunIM	一般使用者可以存取其他 Instant Messaging 一般使用者的線上狀態。

表 6-7 預設策略指派
	策略
屬性	預設存取	可以管理 Instant Messaging 與喜好設定服務	可以管理新聞通道	可以管理會議室	可以變更一般使用者本身的設定	可以傳送警示	可以查看其他使用者的變更
sunIMAllowChat	允許	允許
sunIMAllowChatInvite	允許	允許
sunIMAllowForumAccess	允許	允許		允許
sunIMAllowForumManage	拒絕	允許		允許
sunIMAllowForumModerate	拒絕	允許		允許
sunIMAllowAlertsAccess	允許	允許				允許
sunIMAllowAlertsSend	允許	允許				允許
sunIMAllowNewsAccess	允許	允許	允許
sunIMAllowNewsManage	拒絕	允許	允許
sunIMAllowFileTransfer	允許	允許
sunIMAllowContactListManage	允許	允許
sunIMAllowUserSettings	允許	允許			允許
sunIMAllowPollingAccess	允許	允許
sunIMAllowPollingSend	允許	允許
sunPresenceAllowManage	允許	允許
sunPresenceAllowAccess	允許	允許					允許
sunPresenceAllowPublish	允許	允許

建立新 Instant Messaging 策略

若要建立新策略

登入 Access Manager 管理主控台，網址為 http://hostname:port/amconsole，例如 http://imserver.company22.example.com:80/amconsole

在選取 [識別管理] 標籤的情況下，選取導覽窗格 (左下框架) 中 [檢視] 下拉清單的 [策略]。

按一下 [新增] 以顯示資料窗格中的 [新策略] 頁面 (右下窗格)。

選取策略類型為 [一般]。

在 [名稱] 欄位中輸入策略說明，例如 [執行 IM 任務的功能]。

按一下 [建立] 使新策略名稱出現在瀏覽窗格的策略清單中，並使資料窗格中的頁面變更為新策略的 [編輯] 頁面。

在 [編輯] 頁面中，在 [檢視] 下拉清單中選取 [規則] 以顯示 [編輯] 頁面中的 [規則名稱服務資源] 窗格。

按一下 [新增] 以顯示 [新增規則] 頁面。

選取適用的 [服務]，可以是 Instant Messaging 服務或線上狀態服務。

每個服務可以讓您允許或拒絕一般使用者執行特定動作的能力。例如，當存取其他線上狀態功能的動作指定於線上狀態服務時，聊天功能是一個 Instant Messaging 服務特定的動作。

在 [規則名稱] 欄位中輸入規則說明，例如規則 1。

輸入適當的 [資源名稱] (IMResource 或 PresenceResource)：

Instant Messaging 服務的 IMResource

線上狀態服務的 PresenceResource

請選取您要套用的動作。

選取每個動作的值：允許或拒絕。

按一下 [建立] 以在該策略已儲存規則的清單中顯示這個提議的規則。

按一下 [儲存] 以使這個提議的規則成為已儲存的規則。

在您要套用至該策略任何其他規則中重複步驟 8-15。對於每個新規則，按一下 [儲存] 將變更儲存至策略。

將策略指派至角色、組織或使用者

您可以指派策略－ Instant Messaging 的預設策略，或可能在安裝 Instant Messaging 之後建立的 Instant Messaging 策略－至角色、群組、組織或使用者。

若要指派策略

登入 Access Manager 管理主控台，網址為 http://hostname:port/amconsole，例如 http://imserver.company22.example.com:80/amconsole

在選取 [識別管理] 標籤的情況下，選取導覽窗格 (左下框架) 中 [檢視] 下拉清單的 [策略]。

按一下您要指派的策略名稱旁的箭頭，以顯示資訊窗格 (右下框架) 中該策略的 [編輯] 頁面。

在 [編輯] 頁中，選取 [檢視] 下拉式清單中的 [主旨]。

按一下 [新增] 以顯示 [新增主旨] 頁面，其列出可能的主旨類型：

Access Manager 角色

LDAP 群組

LDAP 角色

LDAP 使用者

組織

選取符合策略的主旨類型，例如 [組織]。

按一下 [下一步]。

在 [名稱] 欄位中，輸入主旨說明。

若需要，請選取 [專用] 核取方塊。

[專用] 核取方塊不會被選取為預設設定，這意味著策略適用於所有主旨成員。

選取適用於不是主旨成員的每個人的策略 [專用] 核取方塊。

在 [可用] 欄位中，搜尋要新增至主旨的項目。

鍵入您要搜尋的項目搜尋。預設搜尋為 *，其顯示該主旨類型的所有主旨。

按一下 [搜尋]。

反白顯示要新增至 [已選取] 文字方塊中 [可用] 文字方塊的項目。

按一下適用的 [新增] 或 [新增全部]。

重複步驟 a-d 直到要新增至 [已選取] 文字方塊的全部名稱完成新增為止。

按一下 [建立] 以在該策略已儲存主旨的清單中顯示這個提議的主旨。

按一下 [儲存] 以使這個提議的主旨成為已儲存的主旨。

在您要新增至該策略任何其他的主旨中重複步驟 5-12。對於每個新主旨，按一下 [儲存] 將變更儲存至策略。

使用 Access Manager 建立新子組織

使用 Sun Java System Access Manager 建立子組織的能力可依組織分隔要在 Instant Messaging 伺服器中區分的總量。每個子組織可以被對映至不同的 DNS 網域。子組織中的一般使用者與其他子組織中的一般使用者是完全隔離的。以下說明建立新 Instant Messaging 子組織的最少步驟。

若要建立新子組織

登入 Access Manager 管理主控台，網址是 http://hostname:port/amconsole，例如 http://imserver.company22.example.com:80/amconsole

建立新組織：

在選取 [識別管理] 標籤的情況下，選取導覽窗格 (左下框架) 中 [檢視] 下拉清單的 [組織]。

按一下 [新增] 以顯示資料窗格中的 [新組織] 頁面 (右下窗格)。

在適當的欄位輸入以下資料：

子組織名稱，例如 sub1

網域名稱，例如 sub1.company22.example.com

按一下 [建立]。

新建立子組織的註冊服務。

按一下新子組織的名稱，例如 sub1，在瀏覽窗格中 (確認按下的是名稱，而非右側的屬性箭頭)。

在導覽窗格 [檢視] 下拉式清單中選取 [服務]。

按一下 [註冊] 以顯示資料窗格中的 [註冊服務] 頁面。

在 [認證] 標題底下選取下列服務：

核心

LDAP

在 Instant Messaging 配置標題底下選取下列服務：

Instant Messaging 服務

線上狀態服務

按一下 [註冊] 以顯示瀏覽窗格中此子組織新選取的服務。

建立新選服務的服務範本：

在瀏覽窗格中，按一下服務 (從 [核心] 服務開始) 的屬性箭頭。

[建立服務範本] 頁面出現在資料窗格中。

在資料窗格中按一下 [建立]，如此會將已選取服務的範本選項頁面取代 [建立服務範本] 頁面。

即使您不希望修改範本選項，您還是應該在每個服務中按一下 [建立]。

依如下所述修改每個服務的服務範本選項：

核心：一般而言，不需修改任何選項；請轉至步驟 d。

LDAP：將新子組織的前置新增至啟動使用者搜尋的 DN 欄位。新增前置之後，最後 DN 應為此格式：

o=sub1,dc=company22,dc=example,dc=com

在超級使用者 (root) 連結的密碼與超級使用者 (root) 連結的密碼 (確認) 欄位中輸入 LDAP 密碼。

繼續步驟 d：

Instant Messaging 服務：一般而言，不需修改任何選項；請轉至步驟 d。

按一下 [儲存]。

重複步驟 a 到 d 直到建立每個服務的服務範本。

新增一般使用者至新子組織

在需要指派角色的子組織中建立新一般使用者之後。可由父項組織繼承角色，如下節所述。