托管域概述

本节提供了托管域的概述，包括以下内容：

• LDAP 目录的结构

• 登录 Calendar Server

• 交叉域搜索

• 支持非托管域环境

LDAP 目录的结构

在托管域安装中，LDAP 目录被组织成各不相同、互不交叉的多个部分，每一部分都代表域名系统 (DNS) 中的一个域。用户、组和资源 uid 在每个域中都是唯一的。例如，每个域中只能有一个 uid 为 jdoe 的用户。每个标识名 (DN) 说明一个域的根。

Calendar Server 支持托管域的以下 LDAP 目录模式版本：

• Sun LDAP Schema 2（兼容或本机模式）

• Sun LDAP Schema 1

运行 Directory Server 设置脚本 (comm_dssetup.pl) 时，可以选择 LDAP Schema 1 或 LDAP Schema 2。请注意以下事项：

• 首次安装—如果是首次在站点上安装 Calendar Server 6 2005Q4，请使用 LDAP Schema 2。

• 升级—如果是从 Calendar Server 版本 5 升级，请根据下面的说明使用相应版本的模式：

  • 如果要使用 Access Manager 功能（例如单点登录 [SSO]），或者要使用 Delegated Administrator，请选择 LDAP Schema 2。

  • 如果没有托管域，不需要使用 Access Manager 功能，或者不需要使用 Delegated Administrator 来置备用户，则可以使用任一版本的模式。但是，如果需要，请使用 LDAP Schema 2。

Sun LDAP Schema 2

下图显示了使用 Sun LDAP Schema 2 的托管域安装的 LDAP 目录结构。

图 11–1 使用 LDAP Schema 2 的 LDAP 目录结构

LDAP Schema 2 使用平面的 LDAP 目录结构，即所有域均在同一级上，没有嵌套。对于托管域安装，第一级条目（如图中 varriusDomain、sestaDomain 和 siroeDomain 所示）在目录结构中必须平行。不能嵌套。

如果要使用 Access Manager 功能（如单点登录 [SSO]），或使用 Delegated Administrator 置备用户，则需要使用 Schema 2。然而存在使用两树模式（同时使用 DC 树和结构树）的混合情况，这与 Schema 1 非常类似，但使用的是 Schema 2 对象类和属性。这是 Schema 2 兼容模式，在配置程序 (csconfigurator.sh) 中称之为 Schema 1.5。

Sun LDAP Schema 1

下图显示了使用 Sun LDAP Schema 1 的托管域安装的 LDAP 目录结构示例。

此结构包含两个域管理树：DC 树和结构树 (OSI)

• DC 树

• 结构 (OSI) 树

图 11–2 使用 LDAP Schema 1 的 LDAP 目录结构

DC 树（节点）与 DNS 类似，它用于确定给定域名的域条目。LDAP 属性 inetdomainbasedn 指向基本 DN，基本 DN 是结构树（节点）中域用户、资源和组的根。在每个域中，Calendar Server 用户、资源和组的标识符必须唯一。

如果您的早期的 LDAP 配置中未包含 DC 树，为了使用 Schema 1 模式或 Schema 2 兼容模式，您必须按设置托管域环境中的说明自己创建 DC 树节点。

在使用 LDAP Schema 1 的托管域安装中，目录搜索需要完成以下两个步骤才能找到一个条目：

1. 在 DC 树中，搜索操作定位包含 DN 值的域条目，该条目指向结构树中域的基本 DN（inetDomainBaseDN 属性）。

2. 在结构树中，搜索操作定位域条目，然后在该条目的基本 DN 中搜索域中的用户、资源或组。

登录 Calendar Server

对于托管域安装，每个用户的用户 ID (uid ) 在该域中必须唯一。需要使用以下格式登录 Calendar Server：

userid[@domain-name]

如果省略 domain-name，Calendar Server 将使用由 ics.conf 文件中的 service.defaultdomain 参数指定的默认域名。因此，如果要登录默认域，只需提供 userid 即可。

对于非托管域环境的安装，则 domain-name 不是必需的元素。即使指定了域名，也将被系统忽略。

如果启用了自动置备，则用户首次登录时，Calendar Server 将为用户创建一个默认日历。有关日历创建的信息，请参见第 15 章，管理日历。

登录权限取决于 icsStatus 或 icsAllowedServiceAccess 属性。有关更多信息，请参见LDAP 属性和 property 名。

交叉域搜索

默认情况下，用户只能在自己所属的域中搜索用户和组，以邀请他们加入事件。但如果满足以下条件，也可以进行交叉域搜索，以搜索不同域中的用户和组：

• 可以在 icsExtendedDomainPrefs 属性的 domainAccess 属性中为每个域指定一个访问控制列表 (ACL)，以允许或拒绝从其他域中进行交叉搜索。这样，即可允许或拒绝从特定域或所有域中搜索某个域。

  有关 domainAccess 的说明，请参见LDAP 属性和 property 名。有关 ACL 的常规信息，请参见访问控制列表 (ACL)。

• 每个域都可以指定其用户可以搜索的外部域。LDAP 属性 icsDomainNames 用于指定域用户在搜索用户和组时可以搜索的外部域（只要该外部域的 ACL 允许搜索）。

  例如，如果 various.org 域的 icsDomainNames 列出了 sesta.com 和 siroe.com，那么 various.org 中的用户就可以在 sesta.com 和 siroe.com 中执行交叉域搜索。有关 icsDomainNames 的说明，请参见LDAP 属性和 property 名。

有关如何启用交叉域搜索的说明，请参见启用交叉搜索域。

支持非托管域环境

Calendar Server 仍支持在非托管域（即，只有单个域）环境中运行。例如，如果已安装了现有 Calendar Server 版本 5 或更早的版本，则通过将 ics.conf 参数 service.virtualdomain.support 设置为 "no"，您仍可以在单域环境中操作。另请参阅启用托管域。

但是，仍需要将旧版本的组件数据库迁移到当前版本中。有关迁移的信息，请参见第 4 章，数据库迁移实用程序。