Java ES System 2005Q4 Handbuch zur Installationsplanung

Entwickeln der Spezifikationen zur Benutzerverwaltung

Durch die Installation und Konfiguration von Java ES-Komponenten werden sowohl das LDAP-Schema als auch der LDAP-Verzeichnisbaum erstellt. In diesem Abschnitt wird beschrieben, wie das Verzeichnisschema und die Verzeichnisbaumstruktur durch die bei der Installation und Konfiguration einer Lösung eingegebenen Werte erstellt werden. Spezifikationen für Schema und Verzeichnisbaumstruktur müssen vor dem Beginn der Installation entwickelt worden sein. Außerdem müssen im Installationsplan Eingabewerte aufgeführt sein, die das angegebene Schema und die angegebene Verzeichnisbaumstruktur erstellen.

Die Verzeichnisbaumstruktur und das Schema müssen die Dienste unterstützen, die Ihre Lösung bereitstellt. Dieser Abschnitt bietet die grundlegenden Beschreibungen der verfügbaren Optionen sowie die Dienste, die von den einzelnen Optionen unterstützt werden. Der Hauptzweck dieses Abschnitts besteht jedoch in der Beschreibung der Auswahl von Eingabewerten für die Installations- und Konfigurations-Tools , um ein angegebenes Schema und eine angegebene Verzeichnisbaumstruktur zu erstellen.

Weitere Informationen zur Auswahl eines Schemas und zum Entwerfen eines Verzeichnisbaums finden Sie in der zusätzlichen Dokumentation, beispielsweise Sun Java System Directory Server 5 2005Q1 Deployment Plannning Guide und Sun Java System Access Manager 7 2005Q4 Deployment Planning Guide.

Angeben des LDAP-Schemas für eine Lösung

Java ES-Lösungen, die Directory Server verwenden, können jede von den beiden Versionen eines Standard-LDAP-Schemas verwenden, die als Schema 1 und Schema 2 bekannt sind. Die Benutzerverwaltungsspezifikation für eine Lösung gibt an, ob die Lösung Schema 1 oder Schema 2 verwendet. Die Konfigurationswerte im Installationsplan stellen sicher, dass der Installationsvorgang das richtige Schema erstellt.

Schema 2 unterstützt die Verwendung von Access Manager und der Single Sign-On-Funktion von Access Manager. Wenn eine Lösung Single Sign-On verwendet, muss Schema 2 verwendet werden.

Der Installationsvorgang konfiguriert das Verzeichnis für das angegebene Schema wie folgt:

Um ein Verzeichnis mit Schema 1 zu erstellen, installieren Sie einfach Directory Server. Schema 1 ist die standardmäßige Schemaversion.
Um ein Verzeichnis mit Schema 1 zu erstellen, installieren Sie Directory Server und Access Manager. Durch die Installation von Access Manager wird das Verzeichnis geändert und in ein Verzeichnis mit Schema 2 konvertiert.

Tipp –
Wenn Directory Server und Access Manager auf demselben Computer in derselben Sitzung des Installationsprogramms installiert werden, wird das Verzeichnis für Schema 2 konfiguriert.

Wenn die Lösung verteilt wird, wird zuerst Directory Server installiert, und zwar auf einem einzigen Computer. Anschließend wird Access Manager auf einem gesonderten Computer installiert. Die Eingabewerte des Installationsprogramms für die Access Manager-Installation geben das bestehende Verzeichnis an und das Schema des Verzeichnisses wird geändert.

Je nach Lösung können folgende Verfahren für die Erweiterung des Schemas erforderlich sein.

Wenn die Lösung Messaging Server und/oder Calendar Server verwendet, muss der Installationsvorgang mithilfe von Directory Preparation Tool einige zusätzliche Schemaerweiterungen zuweisen. Diese Erweiterungen werden vor der Installation von Messaging Server bzw. Calendar Server angewendet. Sie können auf Verzeichnisse mit Schema 1 oder Schema 2 angewendet werden. Weitere Informationen zum Hinzufügen von Anweisungen für die Ausführung von Directory Preparation Tool für einen Installationsplan finden Sie unter Messaging Server. Der Installationsplan beinhaltet Anweisungen zur Ausführung von Directory Preparation Tool.
Wenn die Lösung Schema 2 verwendet, muss der Installationsvorgang einige zusätzliche Schemaerwetierungen mit Delegated Administrator anwenden, um die Access Manager-Authentifizierung und Autorisierung für den Meldungs- und Kalenderdienst zu unterstützen. Ein Beispiel für die Befehle, die diese Schemaerweiterungen anwenden, finden Sie in Chapter 7, User Management for the Evaluation Solution, in Sun Java Enterprise System 2005Q1 Deployment Example Series: Evaluation Scenario. Zum Installationsplan gehören Anweisungen für diese Schemaerweiterungen. Diese Eweiterungen werden angewendet, nachdem Delegated Administrator installiert und konfiguriert wurde, jedoch bevor Delegated Administrator Benutzerdaten hinzufügt. Weitere Informationen zum Hinzufügen von Anweisungen für die Erweiterung des Schemas zu einem Installationsplan finden Sie unter Hinzufügen von Prozeduren für Delegated Administrator zu Ihrem Installationsplan.

Die LDAP-Schemaspezifikation identifiziert das in der Lösung verwendete Schema und alle von der Lösung benötigen Schemaerweiterungen. Der Installationsplan beinhaltet Verfahren, die das richtige Schema erstellen und alle angegebenen Schemaerweiterungen durchführen.

Angeben der Verzeichnisbaumstruktur für eine Lösung

Das LDAP-Verzeichnis für eine Java ES-Lösung kann je nach den Erfordernissen für das Organisieren der Benutzerdaten einfach oder komplex sein. LDAP-Verzeichnisse weisen von Natur aus eine flexible Struktur auf. Java ES schreibt keine Struktur für das Verzeichnis vor, doch der Installations- und Konfigurationsvorgang implementiert nicht die angegebene Struktur. Die Struktur muss angegeben werden, bevor der Installations- und Konfigurationsvorgang beginnt, und im Installationsplan müssen die Eingabewerte aufgeführt sein, die die angegebene Verzeichnisstruktur erstellen.

Der Installations- und Konfigurationsvorgang erstellt die Verzeichnisstruktur wie folgt:

Um das Installationsprogramm für die Installation von Directory Server ausführen zu können, ist ein Eingabewert für das Basissuffix des Verzeichnisses erforderlich (auch als Root-Suffix oder Root-DN bezeichnet). Das Java ES-Installationsprogramm erstellt mithilfe des Eingabewerts das Basissuffix des Verzeichnisses. Der Installationsplan beinhaltet den Namen des Basissuffix.

Tipp –
Lösungen mit einfachen Verzeichnisbäumen, die nicht Messaging Server oder Calendar Server verwenden, können Benuzter- und Gruppendaten direkt unter dem Basissuffix speichern.
Für die Ausführung des Messaging Server-Konfigurationsassistenten zum Erstellen einer Messaging Server-Instanz ist ein Eingabewert für einen LDAP-Organisations-DN erforderlich. Der Konfigurationsassistent unterteilt den Verzeichnisbaum in Zweige und erstellt eine LDAP-Organisation mithilfe des im Assistenten eingegebenen DN. Diese Organisation stellt die von der Messaging Server-Instanz verwaltete E-Mail-Domäne dar. Der Assistent konfiguriert außerdem die Messaging Server-Instanz für die Verwendung der E-Mail-Domänenorganisation für Benutzer- und Gruppendaten. Zum Installationsplan gehört der DN für die E-Mail-Domänenorganisation. Ein Beispiel für eine von diesem Prozess erstellte Verzeichnisbaumstruktur finden Sie in Abbildung 2–3. Im Beispiel lautet das vom Installationsprogramm erstellte Basissuffix o=examplecorp. Die vom Messaging Server-Konfigurationsassistenten erstellte E-Mail-Domänenorganisation lautet o=examplecorp.com,o=examplecorp.
Für die Konfigurationsassistenten für Calendar Server, Communications Express, Instant Messaging und Delegated Administrator ist ein Eingabewert für einen LDAP-DN erforderlich. (Die Namen, die in den Assistenten auftauchen sind unterschiedlich.) Wenn eine Lösung Single Sign-On verwendet, wird derselbe Wert in allen Konfigurationsassistenten eingegeben. Der Eingabewert ist die vom Messaging Server-Assistenten erstellte E-Mail-Domänenorganisation. Das Ergebnis dieser Konfiguration besteht darin, dass alle Komponenten Benutzerdaten in derselben LDAP-Organisation speichern und nachschlagen. Alle Informationen zu einem Benutzer können in einem einzelnen Verzeichniseintrag gespeichert werden und die Single Sign-On-Funktion von Access Manager kann verwendet werden.

Ein Beispiel für eine Verzeichnisbaumstruktur, die von diesem Prozess erstellt wurde, wird in Abbildung 2–3 dargestellt. In diesem Beispiel hat das Java ES-Installationsprogramm das Basissuffix o=examplecorp erstellt und der Messaging Server-Konfigurationsassistent hat die Organisation o=examplecorp.com,o=examplecorp hinzugefügt. Diese Organisation stellt die E-Mail-Domäne namens examplecorp.com dar. Die Benutzerdaten für die E-Mail-Domäne werden in ou=people,o=examplecorp.com,o=examplecorp gespeichert. Die anderen Java ES-Komponenten in der Lösung werden ebenfalls zum Nachschlagen von Benutzerdaten in ou=people,o=examplecorp.com,o=examplecorp konfiguriert.

Abbildung 2–3 LDAP-Beispielsverzeichnisbaum

Stellt den im Text beschriebenen LDAP-Baum dar.

Um den in Abbildung 2–3 abgebildeten Verzeichnisbaum zu erstellen, werden die Namen für das Basissuffix und die Organisation, die die E-Mail-Domäne darstellt, ausgewählt und zur Benutzerverwaltungsspezifikation hinzugefügt. Wenn der Installationsplan vorbereitet wurde, umfasst er Anweisungen für die Eingabe der angegebenen LDAP-Namen in die entsprechenden Felder des Installationsprogramms und des Konfigurationsassistenten. Informationen zum Hinzufügen der LDAP-Namen zu einem Installationsplan finden Sie unter Wählen von Konfigurationswerten für Directory Server, Wählen von Konfigurationswerten für Access Manager,Wählen von Konfigurationswerten für Messaging Server,Wählen von Konfigurationswerten für Calendar Server,Wählen von Konfigurationswerten für Communications Express,Wählen von Konfigurationswerten für Instant Messaging und Wählen von Konfigurationswerten für Delegated Administrator.

Der Beispielverzeichnisbaum enthält nur eine einzige Maildomäne. Bei vielen Lösungen sind komplexere Bäume zur Organisation von Benutzerdaten erforderlich. Mit demselben grundlegenden Verfahren für Installation und Konfiguration können auch komplexere Verzeichnisstrukturen erstellt werden. Beispielsweise kann ein Verzeichnis so konfiguriert werden, dass es mehrere E-Mail-Domänen unterstützt, wenn die jeweilige Situation dies erfordert.

Um mehrere E-Mail-Domänen zu erstellen, müssen Sie mehrere Instanzen von Messaging Server konfigurieren. Jede Instanz verwaltet eine E-Mail-Domäne.

Es können auch andere LDAP-Verzeichnisse in einer Java ES-Lösung verwendet werden, wenn die Lösung Access Manager für die Interaktion mit dem Verzeichnis verwendet. Beim Verzeichnisserver muss es sich um einen mit LDAP-Version 3 (LDAP v3) kompatiblen Verzeichnisserver handeln. Weitere Informationen zu der für eine solche Lösung erforderlichen Verzeichnisbaumstruktur finden Sie unter Sun Java System Access Manager 7 2005Q4 Technical Overview