Sun Java System Communications Services 6 2005Q4 Delegated Administrator 指南

附錄 A 服務提供者管理員和服務提供者組織

Delegated Administrator 主控台提供新的管理員角色 (服務提供者管理員 [SPA]),以及可以在目錄中建立的新類型組織。

本附錄說明以下主題:

本附錄說明服務提供者管理員角色和新的組織類型,並說明如何在 Delegated Administrator 中建立它們。

服務提供者管理員

Delegated Administrator 主控台可讓您將管理作業委託給新的角色 (服務提供者管理員 [SPA]),該角色可以建立和管理新類型的從屬組織。

SPA 的權限範圍介於頂層管理員 (TLA) 和組織管理員 (OA) 的權限之間。

使用 SPA,您可以建立三階式管理階層,如第 1 章, Delegated Administrator 簡介中的三階式階層所述。

此第二層級的委託可使對大型 LDAP 目錄支援的大型用戶基底的管理變得容易。例如,ISP 可以為數以百計或數以千計的小型企業提供服務,其中的每個企業都需要其自己的組織。每天都有許多新的組織應增加至目錄中。

如果您使用兩階式階層,則 TLA 應建立所有這些新組織。現在,TLA 可以將這些作業委託給 SPA。

SPA 可以為新用戶建立從屬組織,並指定 OA 來管理這些組織中的使用者。

圖 A–1 顯示了三階式組織階層範例的邏輯視圖。

圖 A–1 使用服務提供者管理員的目錄:邏輯視圖

使用服務提供者管理員的目錄:邏輯視圖。

圖 A–1 中的範例顯示了一個提供者組織。然而,目錄可以包含多個提供者組織。

在此範例中,按如下方式委託管理作業:

如需提供者和從屬組織的定義,請參閱服務提供者管理員管理的組織

服務提供者管理員角色

SPA 可執行以下作業:


備註 –

TLA 可修改或刪除任何現有的共用組織或完整組織。TLA 還可以管理這些組織中的使用者。

TLA 可以透過主控台移除使用者的 SPA 角色,但無法指定 SPA 角色。如需此發行版本的 Delegated Administrator 中的限制清單,請參閱此發行版本的注意事項


如需有關 TLA 執行的管理作業的完整說明,請參閱第 1 章, Delegated Administrator 簡介中的管理員角色和目錄階層

將 SPA 角色指定給使用者

必須將 SPA 角色指定給符合以下條件的組織中的使用者:為 SPA 而指定,且從屬於 SPA 將管理的提供者組織。

圖 A–1 所示的範例中,假設您需要為名為 VIS 的提供者組織建立 SPA。您可以將 SPA 角色指定給 DEF 組織中的使用者1

SPA 必須在從屬組織中,因為提供者組織節點不包含任何使用者。

因此,必須先在提供者組織下至少建立一個組織,然後 SPA 才可對其進行管理。應該指定此組織來保留被指定 SPA 角色的使用者。如需更多資訊,請參閱建立提供者組織和服務提供者管理員

此發行版本的注意事項

在此發行版本的 Delegated Administrator 中,您無法使用 Delegated Administrator 主控台或公用程式建立 SPA 或提供者組織。

若要建立 SPA 或提供者組織,您必須手動修改自訂服務提供者範本 da.provider.skeleton.ldif

如需有關使用自訂服務提供者範本執行這些作業的說明,請參閱本附錄後面部分的建立提供者組織和服務提供者管理員

服務提供者管理員管理的組織

SPA 可以建立、修改和刪除從屬於 SPA 的提供者組織的以下類型組織:

接下來的各小節中說明了提供者組織、完整組織和共用組織。

提供者組織

提供者組織是 LDAP 目錄中的節點,邏輯上包含完整組織和共用組織 。提供者組織節點的屬性可讓 SPA 管理從屬組織。

在 LDAP 目錄中,提供者組織必須在郵件網域之下。如需範例,請參閱本附錄後面部分的服務提供者組織資料範例

提供者組織不能包含使用者項目。然而,可以在提供者組織下建立的組織中佈建使用者。

提供者組織儲存有關在其下建立的組織的目錄資訊。例如:

完整組織

完整組織具有以下特徵:

共用組織

共用組織具有以下特徵:

建立提供者組織和服務提供者管理員

發行版本的 Delegated Administrator 中,您必須使用 Delegated Administrator 提供的自訂服務提供者範本 (da.provider.skeleton.ldif) 來建立您自己的提供者組織和 SPA。


備註 –

您也可以在執行 Delegated Administrator 配置程式時,在目錄中安裝提供者組織 (帶有從屬組織) 範例和 SPA 範例。您可以透過選擇配置程式中的 [載入組織範例] 來執行此作業。

但是,組織範本範例 (da.sample.data.ldif) 僅用做範例,而非建立自己的提供者組織的範本。如需有關此範例的詳細資訊,請參閱本附錄後面部分的服務提供者組織資料範例


建立提供者組織和 SPA 後,SPA 即可登入 Delegated Administrator 主控台、建立和管理從屬組織以及將 SPA 角色指定給 SPA 組織中的其他使用者。但是,這些 SPA 只能管理同一提供者組織。

若要建立其他提供者組織和管理該組織的 SPA,您應再次使用自訂服務提供者範本。

本小節包含以下主題:

範本建立的項目

在目錄中安裝已編輯的自訂服務提供者範本時,將建立以下項目:

圖 A–2 顯示了透過安裝範本建立的項目範例。其為組織的目錄資訊樹狀結構 (DIT) 視圖。

圖 A–2 只是一個範例。您的組織名稱、SPA 使用者名稱和 DIT 結構應該特定於您自己的安裝。

圖 A–2 自訂服務提供者範本:目錄資訊樹狀結構視圖

自訂服務提供者範本:目錄資訊樹狀結構視圖。

已安裝的自訂服務提供者範本範例中的節點

圖 A–2 所示範例中的節點如下:

建立提供者組織、從屬組織和 SPA 所需的資訊

若要建立提供者組織、從屬組織和 SPA,您需要使用您的安裝的特定資訊替代自訂服務提供者範本中的參數。

若要瞭解這些參數,可以查看自訂服務提供者範本中所示的 da.provider.skeleton.ldif 清單。或開啟實際 ldif 檔案,該檔案位於以下目錄中:

da_base/lib/config-templates

如需與這些參數相關之屬性的定義,請參閱「Sun Java System Communications Services Schema Reference」中的「Chapter 5: Communications Services Delegated Administrator Classes and Attributes (Schema 2)」和「Chapter 3: Messaging Server and Calendar Server Attributes」。

定義提供者組織和從屬組織的參數

若要建立提供者組織和從屬組織,請編輯以下參數:

定義 SPA 的參數

若要建立 SPA,請編輯以下參數:

如需有關如何在目錄中編輯自訂服務提供者範本和安裝資訊的說明,請參閱建立提供者組織和服務提供者管理員的步驟

建立提供者組織和服務提供者管理員的步驟

您可以使用 ldif 檔案 da.provider.skeleton.ldif 執行以下程序。

Procedure建立提供者組織和服務提供者管理員

步驟
  1. 在目錄中建立郵件網域。

    如果您尚未建立郵件網域,請在目錄中執行此作業。提供者組織及其從屬共用組織將使用此郵件網域。

  2. 複製並重新命名 da.provider.skeleton.ldif 檔案。

    安裝 Delegated Administrator 時,da.provider.skeleton.ldif 檔案會安裝在以下目錄中:

    da_base /lib/config-templates

  3. da.provider.skeleton.ldif 檔案副本中編輯以下參數。使用對於您的安裝正確的值替代這些參數。

    如需參數的定義,請參閱建立提供者組織、從屬組織和 SPA 所需的資訊

    某些參數在 ldif 檔案中使用多次。您必須搜尋並替代每個參數的所有實例。

    一些參數代表多值屬性的值。您可以複製和編輯這些參數及其關聯屬性名稱,以允許 ldif 檔案中存在這些屬性的多個實例。以下註明了多值參數。

    • <ugldapbasedn>

    • <maildomain_dn>

    • <maildomain_dn_str>

    • <providerorg>

    • <servicepackage> (多值)

    • <domain_name> (多值)

    • <provider_sub_org>

    • <preferredmailhost>

    • <available_domain_name> (多值)

    • <available_services> (多值)

    • <spa_uid>

    • <spa_password>

    • <spa_firstname>

    • <spa_lastname>

    • <spa_servicepackage>

    • <spa_mailaddress>

      如需與這些參數相關之屬性的定義,請參閱「Sun Java System Communications Services Schema Reference」中的「Chapter 5: Communications Services Delegated Administrator Classes and Attributes (Schema 2)」和「Chapter 3: Messaging Server and Calendar Server Attributes」。

  4. 使用 LDAP 目錄工具 ldapmodify 在目錄中安裝提供者組織和 SPA。

    例如,您可以執行以下指令:


    ldapmodify -D <directory manager> -w <password> \
    -f <da.provider.finished.ldif>

    其中,

    <directory manager> 是 Directory Server 管理員的名稱。

    <password> 是 Directory Service 管理員的密碼。

    <da.provider.finished.ldif> 是要做為新的提供者組織和 SPA 安裝在目錄中的已編輯 ldif 檔案的名稱。

自訂服務提供者範本

範本 (da.provider.skeleton.ldif) 包含您必須修改以建立新的提供者組織和 SPA 的參數。

下面的清單顯示 ldif 檔案中具有參數的區段。該清單未包含整個檔案。此處未包含支援 Access Manager 所需的項目和 ACI。

您應僅修改 ldif 檔案中的參數。請勿修改與 Access Manager 相關的檔案區段。

da.provider.skeleton.ldif 檔案 (相關區段)

#
# The following parameterized values must be replaced.
#
# <ugldapbasedn>          :: Root suffix for user/group data
# <maildomain_dn>         :: Complete dn of the mail domain underneath
#                            which the provider organization will be
#                            created.
# <maildomain_dn_str>     :: The maildomain dn with all ',' replaced
#									  by '_'. E.g.
#                            dn --\> o=siroe.com,o=SharedDomainsRoot,
#                            o=Business,dc=red,dc=iplanet,dc=com
#                            dn_str --> o=siroe.com_o=SharedDomainsRoot_
#                            o=Business_dc=red_dc=iplanet_dc=com
# <providerorg>            : Organization value for provider node.
# <servicepackage>        :: One for each service package to include.
#                            All service packages in the system 
#                            may be assigned by leaving this value empty.
# <domain_name>           :: One for each DNS name which may be assigned
#                            to a subordinate organization.
#                            These names form a proper subset (some or
#                            all) of the names listed in the <maildomain>
#                            organization's sunpreferreddomain
#                            and associateddomain attributes. 
# <provider_sub_org>      :: Organization value for the shared subordinate
#                            organization in which the Provider
#                            Administrator resides. 
# <preferredmailhost>     :: Name of the preferred mail host for the
#                            provider's subordinate organization.
# <available_domain_name> :: one for each DNS name that an organization
#                            allows an organization admin to use when
#                            creating a user's mail address.  This is
#                            a proper subset of the values given for
#                            <domain_name> (sunAssignableDomains attribute).
# <available_services>    :: One for each service packags available to an
#                            organization (sunAvailableServices attribute).
#                            These service packages form a proper subset
#                            of the ones assigned to a provider organization
#                            - <servicepackage> (sunIncludeServices 
#                            attribute).  Form is
#                            <service package name>:<count>  
#                            where count is an integer.  If count is absent
#                            then default is unlimited.
# <spa_uid>               :: The uid for the service provider administrator.
# <spa_password>          :: The password for the service provider 
#                            administrator. 
# <spa_firstname>         :: First name of the service provider 
#                            administrator.
# <spa_lastname>          :: Last name of the service provider 
#                            administrator.
# <spa_servicepackage>    :: Service package assigned to the service
#                            provider administrator.
# <spa_mailaddress>       :: The spa's mail address. The domain part of the
#                            mail address must be one of the values used for
#                            <available_domain_name>.
#


#
# Provider Organization
#
dn: o=<providerorg>,<maildomain_dn>
changetype: add
o: <providerorg>
objectClass: top
objectClass: sunismanagedorganization
objectClass: sunmanagedorganization
objectClass: organization
objectClass: sunManagedProvider
sunAllowBusinessOrgType: full
sunAllowBusinessOrgType: shared
sunBusinessOrgBase: o=<providerorg>domainsroot,<ugldapbasedn>
sunIncludeServices: <servicepackage>
sunAssignableDomains: <domain_name>
sunAllowMultipleDomains: true
sunAllowOutsideAdmins: false
sunProviderOrgDN: o=<provider_sub_org>,o=<providerorg>,<maildomain_dn>
# .
# .
# [Entries and ACIs required by Access Manager]
# .
# .

#
# Full Organizations node
#
dn: o=<providerorg>DomainsRoot,<ugldapbasedn>
changetype: add
o: <providerorg>DomainsRoot
objectClass: top
objectClass: organization
objectClass: sunmanagedorganization
# .
# .
# [Entries and ACIs required by Access Manager]
# .
# .

#
# Provider Admin Role shared organizations
#
dn: cn=Provider Admin Role,o=<providerorg>,<maildomain_dn>
changetype: add
cn: Provider Admin Role
objectClass: ldapsubentry
objectClass: nssimpleroledefinition
objectClass: nsroledefinition
objectClass: nsmanagedroledefinition
objectClass: iplanet-am-managed-role
objectClass: top
iplanet-am-role-description: Provider Admin

#
# Provider Admin Role full organizations
#
dn: cn=Provider Admin Role,o=<providerorg>DomainsRoot,<ugldapbasedn>
changetype: add
cn: Provider Admin Role
objectClass: ldapsubentry
objectClass: nssimpleroledefinition
objectClass: nsroledefinition
objectClass: nsmanagedroledefinition
objectClass: iplanet-am-managed-role
objectClass: top
iplanet-am-role-description: Provider Admin

#
# Shared Subordinate Organization. Includes 1 user who is 
# the Provider Administrator.
#
dn: o=<provider_sub_org>,=<providerorg>,<maildomain_dn>
changetype: add
preferredMailHost: <preferredmailhost>
sunNameSpaceUniqueAttrs: uid
o: <provider_sub_org>
objectClass: inetdomainauthinfo
objectClass: top
objectClass: sunismanagedorganization
objectClass: sunnamespace
objectClass: sunmanagedorganization
objectClass: organization
objectClass: sunDelegatedOrganization
objectClass: sunMailOrganization
sunAvailableDomainNames: <available_domain_name>
sunAvailableServices: <available_services>
sunOrgType: shared
sunMaxUsers: -1
sunNumUsers: 1
sunMaxGroups: -1
sunNumGroups: 0
sunEnableGAB: true
sunAllowMultipleServices: true
inetDomainStatus: active
sunRegisteredServiceName: GroupMailService
sunRegisteredServiceName: DomainMailService
sunRegisteredServiceName: UserMailService
sunRegisteredServiceName: iPlanetAMAuthService
sunRegisteredServiceName: UserCalendarService
sunRegisteredServiceName: iPlanetAMAuthLDAPService
sunRegisteredServiceName: DomainCalendarService
# .
# .
# [Entries and ACIs required by Access Manager]
# .
# .

dn: ou=People,o=<provider_sub_org>,o=<providerorg>,<maildomain_dn>
changetype: add
ou: People
objectClass: iplanet-am-managed-people-container
objectClass: organizationalUnit
objectClass: top

dn: ou=Groups,o=<provider_sub_org>,o=<providerorg>,<maildomain_dn>
changetype: add
ou: Groups
objectClass: iplanet-am-managed-group-container
objectClass: organizationalUnit
objectClass: top
# .
# .
# [Entries and ACIs required by Access Manager]
# .
# .

#
# User - provider administrator
#
dn: uid=<spa_uid>,ou=People,o=<provider_sub_org>,o=<providerorg>, \
        <maildomain_dn> 
changetype: add
sn: <spa_lastname>
givenname: <spa_firstname>
cn:  <spa_firstname> <spa_lastname>
uid: <spa_uid>
iplanet-am-modifiable-by: cn=Top-level Admin Role,<ugldapbasedn>
objectClass: inetAdmin
objectClass: top
objectClass: iplanet-am-managed-person
objectClass: iplanet-am-user-service
objectClass: iPlanetPreferences
objectClass: person
objectClass: organizationalPerson
objectClass: inetuser
objectClass: inetOrgPerson
objectClass: ipUser
objectClass: inetMailUser
objectClass: inetLocalMailRecipient
objectClass: inetSubscriber
objectClass: userPresenceProfile
objectClass: icsCalendarUser
mailhost: <preferredmailhost>
mail: <spa_mailaddress>
maildeliveryoption: mailbox
mailuserstatus: active
inetCos: <spa_servicepackage>
inetUserStatus: Active
nsroledn: cn=Provider Admin Role,o=<providerorg>,<maildomain_dn>
userPassword: <spa_password>

建立共用和完整從屬組織

建立提供者組織和 SPA 之後,SPA 即可建立和管理從屬於該提供者組織的共用組織和完整組織。SPA 使用 Delegated Administrator 主控台完成這些作業。

以下作業概述建立共用組織或完整組織的關鍵步驟。此作業未說明如何輸入使用 [建立新組織] 精靈建立組織時顯示的所有資訊。如需 [建立新組織] 精靈的詳細說明,請參閱 Delegated Administrator 主控台線上說明。

Procedure建立共用或完整從屬組織

步驟
  1. 啟動 Delegated Administrator 主控台。

    請至以下 URL:

    http://host: port/da/DA/Login

    其中,

    host 是 Web 容器主機電腦

    port 是 Web 容器連接埠

    例如:

    http://siroe.com:8080/da/DA/Login

    螢幕上將顯示 Delegated Administrator 主控台登入視窗。

  2. 使用 SPA 登入 ID 和密碼登入 Delegated Administrator 主控台。

    前面的小節建立提供者組織和服務提供者管理員說明了如何建立 SPA。

    螢幕上將顯示 [服務提供者管理員] 頁面。依預設,選取 [組織] 標籤。此頁面顯示從屬於 SPA 的提供者組織的組織。

  3. 按一下 [新建組織]。

    螢幕上將顯示 [建立新組織] 精靈。如需有關在 [建立新組織] 精靈中輸入和選取資訊的詳細資訊,請參閱 Delegated Administrator 主控台線上說明。

  4. 在 [組織資訊] 面板中輸入資訊,然後按 [下一步]。

    螢幕上將顯示 [聯絡人資訊] 面板。

  5. 在 [聯絡人資訊] 面板中輸入資訊,然後按 [下一步]。

    螢幕上將顯示 [帳號資訊] 面板。

  6. 選擇建立共用組織還是完整組織。

    在 [帳號資訊] 面板中,您可以確定新組織是共用組織還是完整組織。

    共用組織使用與其他組織共用的現有網域。

    完整組織具有其自己的唯一網域。

    • 若要建立共用組織,請按一下 [從可用網域中選取] 單選按鈕。

      從下拉式清單中選擇網域。


      備註 –

      建立共用組織時,會從現有父系網域繼承行事曆服務詳細資訊。因此,您不必為新組織輸入行事曆服務資訊。[行事曆服務詳細資訊] 面板將不會顯示在 [建立新組織] 精靈中。而且建立共用組織之後,[行事曆服務詳細資訊] 不會顯示在組織的 [特性] 頁面中。


    • 若要建立完整組織,請按一下 [新建網域] 單選按鈕。

      在文字方塊中,輸入新的郵件網域名稱。例如:siroe.com

      如果願意,您可以在 [新網域的別名] 文字方塊中為新網域輸入別名。

  7. 在 [建立新組織] 精靈的剩餘面板中輸入資訊。

    如需有關這些面板的詳細資訊,請參閱 Delegated Administrator 主控台線上說明。

服務提供者組織資料範例

執行 Delegated Administrator 配置程式 config-commda 時,您可以選擇在目錄中安裝組織資料 (在 ldif 檔案中定義) 範例。(執行配置程式時,選取 [服務套裝軟體和組織範例] 面板中的 [載入組織範例]。)配置程式將 da.sample.data.ldif 檔案增加至 LDAP 目錄樹狀結構中。

此 ldif 檔案僅用做範例,而非建立您自己的提供者組織的範本。若要建立新的提供者組織,請參閱建立提供者組織、從屬組織和 SPA 所需的資訊

資料範例提供的組織

圖 A–1 顯示了 ldif 檔案範例提供的組織結構的邏輯視圖。(圖 A–1 增加了檔案中不存在的共用組織 HIJ。)

ldif 檔案範例在根字尾節點下包含以下組織:

ldif 檔案為這些組織定義以下管理員角色:

邏輯階層和目錄資訊樹狀結構

在三階式目錄階層中,目錄資訊樹狀結構 (DIT) 與圖 A–1 中所示的邏輯視圖不完全一樣。組織在稍微不同的階層的 DIT 中實作。

例如,在 DIT 中,完整網域必須直接在根字尾之下。因此,網域節點會增加至根字尾下,以儲存共用網域 (由共用組織使用) 和完整組織 (具有其自己的網域) 的 LDAP 資訊。

組織資料範例:目錄資訊樹狀結構視圖

圖 A–3 顯示了組織資料範例的目錄資訊樹狀結構 (DIT) 視圖。

圖 A–1 中所示的邏輯視圖一樣,圖 A–3 中所示的範例包含以下組織:

圖 A–3 組織資料範例:目錄資訊樹狀結構視圖

組織資料範例:目錄資訊樹狀結構視圖。

目錄資訊樹狀結構範例中的節點

組織檔案範例 (da.sample.data.ldif) 中的節點如下:

目錄資訊樹狀結構範例中的使用者 DN

圖 A–3 所示的組織檔案範例中的某些使用者 DN 如下: