配置后任务
运行 Delegated Administrator 配置程序之后,应执行以下任务:
仅当在 Schema 2 兼容性模式下使用 LDAP 目录时,才需执行以下任务:
向默认域添加邮件服务和日历服务
如果要在该默认域中创建具有邮件服务或日历服务的用户,首先必须向该域添加邮件服务和日历服务。
要执行此任务,请使用带有 -S mail 和 -S cal 选项的 commadmin domain modify 命令。
以下示例显示了如何使用 commadmin domain modify 来向默认域添加邮件服务和日历服务:
commadmin domain modify -D chris -w bolton -n sesta.com -d siroe.com -S mail,cal -H test.siroe.com
有关 commadmin 命令的语法和详细信息,请参见第 5 章,命令行实用程序。
创建服务包
使用 Delegated Administrator 在 LDAP 目录中置备的每个用户和组都应具有服务包。一个用户或组可以具有多个服务包。
预定义的服务等级模板
在运行 Delegated Administrator 配置程序 (config-commda) 时,可以选择让 config-commda 程序在目录中安装服务等级模板样例。
有关服务等级模板样例以及服务包中的可用邮件属性的信息,请参见第 1 章,Delegated Administrator 概述中的服务包。
您可以使用服务等级模板样例来创建和分配服务包;但是这些模板样例只是一些示例。
创建您自己的服务包
您很可能会需要根据自定义的服务等级模板来创建自己的服务包,使属性值适用于您的安装中的用户和组。
要创建您自己的服务包,可使用存储在 da.cos.skeleton.ldif 文件中的服务等级模板。
此文件是专门作为编写自定义服务等级模板时所用的模板而创建的。配置 Delegated Administrator 时,未在 LDAP 目录中安装此文件。
da.cos.skeleton.ldif 文件包含四个参数化模板,每个模板对应于 Delegated Administrator 所提供的一个服务等级定义。
-
standardUserMail
-
standardUserCalendar
-
standardUserMailCalendar
-
standardGroupMail
您可以通过使用 da.cos.skeleton.ldif 文件中的一个或多个参数化模板来创建自己的服务等级模板。
da.cos.skeleton.ldif 文件中的服务等级模板如下:
# Templates for creating COS templates for service packages.
#
# There are four COS definitions :
# standardUserMail
# standardUserCalendar
# standardUserMailCalendar
# standardGroupMail
#
# Each definition can have zero or more COS templates which
# define specific values for the attributes listed in the
# COS definition.
#
# Each COS definition points to a corresponding subdirectory
# in which COS templates for that definition (and no other
# definition) are found. The templates directory structure
# is as follows:
# standardUserMail => o=mailuser,o=costemplates,<ugldapbasedn>
# standardUserCalendar => o=calendaruser,o=costemplates,
# <ugldapbasedn>
# standardUserMailCalendar => o=mailcalendaruser,o=costemplates,
# <ugldapbasedn>
# standardGroupMail => o=mailgroup,o=costemplates,
# <ugldapbasedn>
#
# Thus, all COS templates for the user mail service are found in the
# o=mailuser,o=costemplates,<ugldapbasedn> directory, etc.
#
# It is not necessary to have any templates for a given definition.
# In that case default values are assumed for those attributes defined
# in the COS definition.
#
# If a template is created for a definition there should be at least
# one attribute with a defined value.
#
# Consult documentation for values for the attributes.
# Documentation includes units and default values.
#
# The finished COS derived from this skeleton is added to the
# directory with the following command:
#
# ldapmodify -D <directory manager> -w <password>
# -f <cos.finished.template.ldif>
#
#
############################################################
#
# standardMailUser COS template
#
############################################################
# There must be a least one of the following attributes:
# - mailMsgMaxBlocks
# - mailQuota
# - mailMsgQuota
# - mailAllowedServiceAccess
#
dn: cn=<service package name>,o=mailuser,o=cosTemplates,<rootSuffix>
changetype: add
objectclass: top
objectclass: LDAPsubentry
objectclass: extensibleobject
objectclass: cosTemplate
cn: <service package name>
mailMsgMaxBlocks: <mailMsgMaxBlocksValue>
mailQuota: <ma:ilQuotaValue>
mailMsgQuota: <mailMsgQuotaValue>
mailAllowedServiceAccess: <mailAllowedServiceAccessValue>
#
#
############################################################
#
# standardCalendarUser COS template
#
############################################################
# There must be a least one of the following attributes:
# - icsPreferredHost
# - icsDWPHost
# - icsFirstDay
#
dn: cn=<service package name>,o=calendaruser,o=cosTemplates,
<ugldapbasedn>
changetype: add
objectclass: top
objectclass: LDAPsubentry
objectclass: extensibleobject
objectclass: cosTemplate
cn: <service package name>
icsPreferredHost: <preferredHostValue>
icsDWPHost: <dwpHostValue>
icsFirstDay: <firstDayValue>
daServiceType: calendar user
#
#
############################################################
#
# standardMailCalendarUser COS template
#
############################################################
# There must be a least one of the following attributes:
# - mailMsgMaxBlocks
# - mailQuota
# - mailMsgQuota
# - mailAllowedServiceAccess
#
dn: cn=<service package name>,o=mailcalendaruser,o=cosTemplates,
<ugldapbasedn>
changetype: add
objectclass: top
objectclass: LDAPsubentry
objectclass: extensibleobject
objectclass: cosTemplate
cn: <service package name>
mailMsgMaxBlocks: <mailMsgMaxBlocksValue>
mailquota: <mailQuotaValue>
mailmsgquota: <mailMsgQuotaValue>
mailAllowedServiceAccess: <mailAllowedServiceAccessValue>
daServiceType: calendar user
daServiceType: mail user
#
#
############################################################
#
# standardMailGroup COS template
#
############################################################
# There must be a least one of the following attributes:
# - mailMsgMaxBlocks
#
#
dn: cn=<service package name>,o=mailgroup,o=cosTemplates,
<ugldapbasedn>
changetype: add
objectclass: top
objectclass: LDAPsubentry
objectclass: extensibleobject
objectclass: cosTemplate
cn: <service package name>
mailMsgMaxBlocks: <mailMsgMaxBlocksValue>
daServiceType: mail group
|
创建您自己的服务包的步骤
步骤
-
复制并重命名 da.cos.skeleton.ldif 文件中的某一个参数化模板。
安装了 Delegated Administrator 后,da.cos.skeleton.ldif 文件将被安装在以下目录中:
da_base/lib/config-templates
选择 da.cos.skeleton.ldif 文件中的以下模板之一来进行复制和重命名:
standardUserMail standardUserCalendar standardUserMailCalendar standardGroupMail
-
在模板副本中编辑以下参数:
-
<ugldapbasedn>
将根后缀参数 <rootSuffix> 更改为您的根后缀(例如 o=usergroup)。
<ugldapbasedn> 参数将显示在 DN 中。
-
<service package name>
将 <service package name> 参数更改为您自己的服务包名称。
<service package name> 参数将显示在 DN 和 cn 中。
-
邮件属性值:
<mailMsgMaxBlocksValue> <mailQuotaValue> <mailMsgQuotaValue> <mailAllowedServiceAccessValue>
编辑这些值使其符合您的特定要求。
例如,可以为邮件属性输入以下值:
mailMsgMaxBlocks: 400 mailQuota: 400000000 mailMsgQuota: 5000 mailAllowedServiceAccess: imap:ALL$+pop:ALL$+smtp:ALL$+http:ALL
-
日历属性值:
<preferredHostValue> <dwpHostValue> <firstDayValue>
这些参数代表 LDAP 属性 icsPreferredHost、icsDWPHost 和 icsFirstDay 的值。
编辑这些值使其符合您的特定要求。
有关这些属性的定义和说明,请参见 Sun Java System Communications Services Schema Reference 中的第 3 章 "Messaging Server and Calendar Server Attributes"。
在自定义的服务等级模板中,必须至少使用一个属性;但不必在自定义模板中使用全部四个邮件属性。可以从服务包中删除一个或多个属性。
-
-
使用 LDAP 目录工具 ldapmodify 将服务包安装到目录中。
例如,可以运行以下命令:
ldapmodify -D <directory manager> -w <password> -f <cos.finished.template.ldif>
其中
<directory manager> 是 Directory Server 管理员的用户名。
<password> 是 Directory Server 管理员的密码。
<cos.finished.template.ldif> 是编辑过的 ldif 文件的名称,该文件要作为服务包安装在目录中。
为 Schema 2 兼容性模式添加 ACI
如果要在 Schema 2 兼容性模式下使用 LDAP 目录,则必须手动向该目录中添加 ACI,以便 Delegated Administrator 能够在您的目录中进行置备。请执行以下步骤:
为 Schema 2 兼容性模式添加 ACI
步骤
-
将以下两个 ACI 添加到 OSI 根目录。可以在位于 /opt/SUNWcomm/config 目录中的 usergroup.ldif 文件中找到以下两个 ACI。
请确保用您的用户组后缀来替换 ugldapbasedn。将编辑后的 usergroup.ldif 文件添加到 LDAP 目录中。
# # acis to limit Org Admin Role # ######################################## # dn: <local.ugldapbasedn> ######################################## dn: <ugldapbasedn> changetype: modify add: aci aci: (target="ldap:///($dn),<ugldapbasedn>")(targetattr="*") (version 3.0; acl "Organization Admin Role access deny to org node"; deny (write,add,delete) roledn = "ldap:///cn=Organization Admin Role,($dn),<ugldapbasedn>";)
dn: <ugldapbasedn> changetype: modify add: aci aci: (target="ldap:///($dn),<ugldapbasedn>")(targetattr="*") (version 3.0; acl "Organization Admin Role access allow read to org node"; allow (read,search) roledn = "ldap:///cn=Organization Admin Role,($dn),<ugldapbasedn>";)
-
将以下两个 ACI 添加到 DC 树根后缀。可以在位于 /opt/SUNWcomm/config 目录中的 dctree.ldif 文件中找到以下两个 ACI。
请确保用您的 DC 树根后缀来替换 dctreebasedn,用您的用户组后缀来替换 ugldapbasedn。将编辑后的 dctree.ldif 文件添加到 LDAP 目录中。
# # acis to limit Org Admin Role # ######################################## # dn: <dctreebasedn> ######################################## dn: <dctreebasedn> changetype: modify add: aci aci: (target="ldap:///($dn),<dctreebasedn>")(targetattr="*") (version 3.0; acl "Organization Admin Role access deny to dc node"; deny (write,add,delete) roledn = "ldap:///cn=Organization Admin Role,($dn),<ugldapbasedn>";)
dn: <dctreebasedn> changetype: modify add: aci aci: (target="ldap:///($dn),<dctreebasedn>")(targetattr="*") (version 3.0; acl "Organization Admin Role access allow read to dc node"; allow (read,search) roledn = "ldap:///cn=Organization Admin Role,($dn),<ugldapbasedn>";)
-
将以下附加 ACI 添加到 DC 树根后缀。(这些 ACI 不在 dctree.ldif 文件中。)
dn:<dctreebasedn> changetype:modify add:aci aci: (target="ldap:///<dctreebasedn>")(targetattr="*") (version 3.0; acl "S1IS Proxy user rights"; allow (proxy) userdn = "ldap:///cn=puser,ou=DSAME Users,<ugldapbasedn>";)
dn:<dctreebasedn> changetype:modify add:aci aci: (target="ldap:///<dctreebasedn>")(targetattr="*") (version 3.0; acl "S1IS special dsame user rights for all under the root suffix"; allow (all) userdn ="ldap:///cn=dsameuser,ou=DSAME Users,<ugldapbasedn>";)
dn:<dctreebasedn> changetype:modify add:aci aci: (target="ldap:///<dctreebasedn>")(targetattr="*") (version 3.0; acl "S1IS Top-level admin rights"; allow (all) roledn = "ldap:///cn=Top-level Admin Role,<ugldapbasedn>";)
-
将 AMConfig.properties 文件中的 com.iplanet.am.domaincomponent 属性设置为您的 DC 树根后缀。
例如,修改 <AM_base_directory>/lib/AMConfig.properties 文件中的以下行:
from
com.iplanet.am.domaincomponent=o=isp
改为
com.iplanet.am.domaincomponent=o=internet
-
启用 Access Manager(以前称为 Identity Server)以使用兼容性模式。
在 Access Manager 控制台中,选中(启用)“管理控制台服务”页中的启用域组件树复选框。
-
将 inetdomain 对象类添加到所有 DC 树节点(例如 dc=com,o=internet),如以下示例所示:
/var/mps/serverroot/shared/bin 298% ./ldapmodify -D "cn=Directory Manager" -w password dn: dc=com,o=internet changetype: modify add: objectclass objectclass: inetdomain
-
重新启动 Web 容器。
- © 2010, Oracle Corporation and/or its affiliates