test

Sun Java System Communications Services 6 2005Q4 Delegated Administrator 管理ガイド

ProcedureSchema 2 互換モードの ACI を追加する

手順

  1. OSI ルートに次の 2 つの ACI を追加します。/opt/SUNWcomm/config ディレクトリの usergroup.ldif ファイル内に次の 2 つの ACI が見つかります。

    ugldapbasedn をユーザーグループサフィックスに置き換えてください。編集した usergroup.ldif を LDAP ディレクトリに追加します。


    #
# acis to limit Org Admin Role
#
########################################
# dn: <local.ugldapbasedn>
########################################
dn: <ugldapbasedn>
changetype: modify
add: aci
aci: (target="ldap:///($dn),<ugldapbasedn>")(targetattr="*")
(version 3.0; acl "Organization Admin Role access deny to org node";
deny (write,add,delete) roledn = "ldap:///cn=Organization Admin 
Role,($dn),<ugldapbasedn>";)
    		 

    dn: <ugldapbasedn>
changetype: modify
add: aci
aci: (target="ldap:///($dn),<ugldapbasedn>")(targetattr="*")
(version 3.0; acl "Organization Admin Role access allow read 
to org node";
allow (read,search) roledn = "ldap:///cn=Organization Admin 
Role,($dn),<ugldapbasedn>";)

  2. 次の 2 つの ACI を DC ツリールートサフィックスに追加します。/opt/SUNWcomm/config ディレクトリの dctree.ldif ファイル内に次の 2 つの ACI が見つかります。

    dctreebasedn を DC ツリーのルートサフィックスで、また ugldapbasedn をユーザーグループサフィックスで必ず置き換えてください。編集した dctree.ldif を LDAP ディレクトリに追加します。


    #
# acis to limit Org Admin Role
#
########################################
# dn: <dctreebasedn>
########################################
dn: <dctreebasedn>
changetype: modify
add: aci
aci: (target="ldap:///($dn),<dctreebasedn>")(targetattr="*")
(version 3.0; acl "Organization Admin Role access deny to dc node"; 
deny (write,add,delete) roledn = "ldap:///cn=Organization Admin 
Role,($dn),<ugldapbasedn>";)
    		 

    dn: <dctreebasedn>
changetype: modify
add: aci
aci: (target="ldap:///($dn),<dctreebasedn>")(targetattr="*")
(version 3.0; acl "Organization Admin Role access allow read to dc 
node"; allow (read,search) roledn = "ldap:///cn=Organization Admin 
Role,($dn),<ugldapbasedn>";)

  3. DC ツリーのルートサフィックスに次の ACI を追加します。これらの ACI は dctree.ldif ファイルにはありません。


    dn:<dctreebasedn> 
changetype:modify
add:aci
aci: (target="ldap:///<dctreebasedn>")(targetattr="*")
(version 3.0; acl "S1IS Proxy user rights"; allow (proxy)
userdn = "ldap:///cn=puser,ou=DSAME Users,<ugldapbasedn>";)
    		 

    dn:<dctreebasedn>
changetype:modify
add:aci
aci: (target="ldap:///<dctreebasedn>")(targetattr="*")
(version 3.0; acl "S1IS special dsame user rights for all under the 
root suffix"; allow (all) userdn ="ldap:///cn=dsameuser,ou=DSAME 
Users,<ugldapbasedn>";)
    		 

    dn:<dctreebasedn>
changetype:modify
add:aci
aci: (target="ldap:///<dctreebasedn>")(targetattr="*")
(version 3.0; acl "S1IS Top-level admin rights"; 
allow (all) roledn = "ldap:///cn=Top-level Admin 
Role,<ugldapbasedn>";)

  4. AMConfig.properties ファイルの com.iplanet.am.domaincomponent プロパティーを DC ツリーのルートサフィックスに設定します。

    たとえば、< AM_base_directory>/lib/AMConfig.properties ファイルの次の行を編集します。

    編集前

    com.iplanet.am.domaincomponent=o=isp

    編集後

    com.iplanet.am.domaincomponent=o=internet

  5. Access Manager (以前の Identity Server) の互換モードを有効にします。

    Access Manager コンソールの「管理コンソールサービス」ページで、「ドメインコンポーネントツリーの有効」チェックボックスを選択して、有効にします。

  6. inetdomain オブジェクトクラスを DC ツリーのすべてのノード (dc=com,o=internet など) に追加します。次に例を示します。


    /var/mps/serverroot/shared/bin 298% ./ldapmodify 
-D "cn=Directory Manager" -w password
dn: dc=com,o=internet
changetype: modify
add: objectclass
objectclass: inetdomain

  7. Web コンテナを再起動します。