Sun Java 徽标     上一页      目录      索引      下一页     

Sun 徽标
Sun Java System Communications Services 6 2005Q1 Delegated Administrator 指南 

第 1 章
Delegated Administrator 概述

Communications Services Delegated Administrator 实用程序和控制台允许您在 Communications Services 应用程序(如 Messaging Server)使用的 LDAP 目录中置备用户、组、域和资源。

本章介绍了以下主题:


简介

通过 Delegated Administrator,可以将置备任务分发给级别较低的管理员,这些管理员具有管理 LDAP 目录中指定组织的权限。委托用户管理这一功能具有以下优点:

Delegated Administrator 提供了两个用于在目录中置备用户和组织的界面:

以下部分对这两个界面进行了概括介绍。

Delegated Administrator 实用程序

Delegated Administrator 实用程序是一组命令行工具,用于置备 Messaging Server 和 Calendar Server 用户。(在早期版本中,Delegated Administrator 实用程序称为 User Management 实用程序。)

通过 Delegated Administrator 实用程序,可以置备组织、用户、组和日历资源。


Delegated Administrator 实用程序提供了命令行功能,这些功能同样存在于早期版本的 Communications Services 产品(Messaging Server 6 2004Q2 和 Calendar Server 6 2004Q2)中。Delegated Administrator 实用程序未提供用于创建服务提供商角色和组织(如本书中所述)的命令。要创建和管理这些新的角色和组织,必须使用 Delegated Administrator 控制台。


可以使用 commadmin 命令调用该实用程序。

有关 commadmin 实用程序的语法和选项的信息,请参见第 5 章“命令行实用程序”

Delegated Administrator 控制台

Delegated Administrator 控制台是用于置备 Messaging Server 用户和组织的图形用户界面 (Graphical User Interface, GUI)。

要置备组和日历资源,请使用 Delegated Administrator 实用程序。不要使用 Delegated Administrator 控制台。在此版本的 Delegated Administrator 中,不能使用控制台来置备组和日历资源。

有关如何使用控制台的信息,请参见 Delegated Administrator 控制台联机帮助。

Delegated Administrator 和 LDAP 目录

Delegated Administrator 允许您通过修改 LDAP 目录来置备用户。您不必直接修改该目录。但是,如果能了解添加到目录中的用户条目和较高层节点的 Delegated Administrator 属性,可能会非常有用。

有关支持 Delegated Administrator 的 LDAP Schema 对象类和属性的信息,请参见《Sun Java System Communications Services Schema Reference》中的第 5 章 "Classes and Attributes Used by Communications Services Delegated Administrator (Schema 2)"。


置备用户的方案

根据业务需求,可以创建由单个管理员管理的简单目录结构,也可以创建将置备和管理任务委托给较低级别管理员的多层目录结构。

本部分概括介绍了三种复杂程度依次递增的方案。然后介绍了 Delegated Administrator 为支持这些方案的要求而提供的管理员角色和目录结构。

单层结构

在此方案中,公司或组织可能支持数百或数千名员工或用户。所有用户均属于一个组织。单个管理员角色可以查看和管理整个组。不对管理任务进行委托。

图 1-1 显示了单个组织、单层结构中的管理员角色示例。

图 1-1

单层结构中的管理员角色

单层结构中的管理员角色

在此单层结构中,管理员称为顶级管理员 (Top-Level Administrator, TLA)。

图 1-1 所示的示例中,TLA 直接管理和置备用户(User1、User2,直到 Usern)

如果目录中只有一个组织,则 TLA 是唯一需要的管理员。

有关详细信息,请参见以下部分:

双层结构

在此方案中,Internet 服务提供商 (Internet Service Provider, ISP) 之类的大型公司为企业提供服务。每个企业均拥有属于自身的唯一域,其中可能包含数千或数万个用户。

此方案支持将任务委托给级别较低的管理员,而不是依赖单个顶级管理员 (TLA) 来管理和置备所有域。

在双层结构中,目录包含多个组织。将为每个托管域创建单独的组织。

将每个组织分配给组织管理员 (Organization Administrator, OA)。OA 负责该组织中的用户。OA 无法查看或修改自己组织之外的目录信息。

图 1-2 显示了双层结构中的管理员角色示例。

图 1-2

双层结构中的管理员角色

双层结构中的管理员角色

图 1-2 所示的示例中,TLA 创建和管理 OA1、OA2,直到 OAn。每个 OA 都管理一个组织中的用户。

如果您的目录中需要有多个组织,则应创建 TLA 和 OA 来管理这些组织及其用户。

有关详细信息,请参见以下部分:

三层结构

在此方案中,ISP 之类的公司要为数百或数千家小型企业提供服务,其中每家企业都要求拥有自身的组织。

ISP 可以支持数百万个需要邮件服务的最终用户。而且,ISP 还可以与管理最终用户业务的第三方转售商合作。

每天都可能会有许多组织添加到该目录中。

在双层结构中,TLA 必须创建所有这些新组织。

在三层结构中,可以将管理任务委托给第二级管理员。第二级委托可以简化对大型 LDAP 目录所支持的大客户群的管理。

为了支持此分层结构,Delegated Administrator 引入了新的角色,即服务提供商管理员 (Service Provider Administrator, SPA)。

SPA 的权限范围介于顶级管理员 (TLA) 和组织管理员 (OA) 之间。

图 1-3 显示了三层结构中的管理员角色示例。

图 1-3

三层结构中的管理员角色

三层结构中的管理员角色

在三层结构中,TLA 可以将管理权限委托给服务提供商管理员 (SPA)。SPA 可以为新客户创建业务组织,并指定组织管理员 (OA) 来管理这些业务组织中的用户。

如果您需要将自身划分为子组或组织的多个组织,则可以使用实现 TLA、SPA 和 OA 角色的三层结构。

有关 SPA 角色的信息,请参见附录 A“服务提供商管理员和服务提供商组织”


管理员角色和目录分层结构

本部分介绍了实现单层结构和双层结构的目录信息树样例。然后介绍了顶级管理员和组织管理员可以执行的任务。

支持单层结构的目录结构

通过运行配置程序 config-commda 配置 Delegated Administrator 时,将会创建顶级管理员 (TLA) 和默认组织。

单层结构:默认组织位于根后缀下

默认情况下,配置程序会将默认组织放在根后缀下。

目录信息树类似于图 1-4 所示的示例。

图 1-4 显示了以单层结构组织的目录信息树样例(默认配置)。

图 1-4

单层结构:目录信息树样例

单层结构:目录信息树样例(默认)

单层结构:默认组织位于根后缀处

运行配置程序 (config-commda) 时,可以选择在根后缀处(而不是在其下)创建默认组织。有关配置的详细信息,请参见第 3 章“配置 Delegated Administrator”中的步骤 6组织标识名 (DN)

在这种情况下,目录信息树类似于图 1-5 所示的示例。

但是,如果您在根后缀处创建默认组织,此种配置的 LDAP 目录将无法支持多个托管域。要支持多个托管域,默认组织必须位于根后缀下。

图 1-5 显示了在根后缀处创建默认组织的单层结构示例。

图 1-5

单层结构:默认组织位于根后缀处

单层结构:默认组织位于根后缀处

支持双层结构的目录结构

使用 config-commda 程序配置了 Delegated Administrator 之后,TLA 可以创建其他组织,如图 1-6 所示。

图 1-6 显示了以双层结构组织的目录信息树样例。

图 1-6

双层结构:目录信息树样例

双层结构:目录信息树样例

顶级管理员角色

TLA 具有执行以下任务的权限:

TLA 可以通过使用 Delegated Administrator 控制台或执行 Delegated Administrator 实用程序 (commadmin) 命令来执行上述任务。

有关 commadmin 命令的描述,请参见第 5 章“命令行实用程序”中的表 5-1Delegated Administrator 命令行界面

组织管理员角色

OA 具有执行以下任务的权限:

OA 可以通过使用 Delegated Administrator 控制台或执行 Delegated Administrator 实用程序 (commadmin) 命令来执行上述任务。

有关 OA 可以使用的 commadmin 命令的描述,请参见第 5 章“命令行实用程序”中的表 5-1Delegated Administrator 命令行界面


对于以前的 iPlanet Delegated Administrator 用户

Communications Services Delegated Administrator 用于在 LDAP Schema 2 目录中置备用户。

具有 LDAP Schema 1 目录的 Messaging Server 早期版本用户可能使用过一个过时的工具:iPlanet Delegated Administrator。如果您仍具有 Schema 1 目录,则应使用 iPlanet Delegated Administrator 来置备用户。

iPlanet Delegated Administrator 使用的管理员角色术语与 Communications Service Delegated Administrator 当前使用的术语稍有不同。

表 1-1 列出并定义了每个 Delegated Administrator 版本中的管理员角色。

表 1-1 iPlanet Delegated Administrator 和 Communications Services Delegated Administrator 中的管理员角色

iPlanet Delegated Administrator

 

 

Communications Services Delegated Administrator 实用程序

 

Communications Services Delegated Administrator 控制台

定义

 

 

 

站点管理员

顶级管理员 (TLA)

顶级管理员 (TLA)

管理 Delegated Administrator 支持的整个目录,包括组织和用户*。

(无)

(在此版本中未提供)

服务提供商管理员 (SPA)

管理提供商组织、提供商组织下的共享及完整业务组织,以及这些业务组织中的用户。

域管理员

组织管理员 (OA)

组织管理员 (OA)

管理一个组织及该组织中的用户。

* 在此版本的 Delegated Administrator 中,TLA 无法在提供商组织下创建提供商组织或业务组织。


服务软件包

服务软件包由 LDAP 目录中的服务等级机制实现。此机制允许您为预定义属性(这些属性是在配置 Delegated Administrator 时安装到目录中的)设置值。服务软件包会将服务的特征添加到用户条目中。

在 Delegated Administrator 控制台中,可以执行以下服务软件包任务:

在为用户分配服务软件包时,服务软件包中的所有属性和值均会自动分配给该用户。

服务等级定义

此版本为 Messaging Server 用户提供了一个服务等级定义。表 1-2 显示了为邮件用户定义的 LDAP 属性:

表 1-2 可在服务软件包中使用的邮件服务属性

属性

定义

mailMsgMaxBlocks

可向用户或组发送的邮件大小的最大值(单位为 MTA 块)。

mailAllowedServiceAccess

用于指定哪些客户端可以访问指定服务的过滤器。例如:+imap:ALL$+pop:ALL$+smtp:ALL$+http:ALL

mailMsgQuota

允许用户使用的最大邮件数(包括所有用户文件夹)。

mailQuota

允许用户邮箱使用的磁盘空间(单位为字节)。

有关这些属性的更多信息,请参见《Sun Java System Communications Services Schema Reference》中的第 3 章 "Attributes"。

在称为 standardMail 的服务等级定义中定义了这些邮件服务属性。配置 Delegated Administrator 时,将在目录中安装 standardMail 定义。

standardMail 服务等级定义如下:

dn: cn=standardMail,<ugldapbasedn>

changetype: add

objectclass: top

objectclass: LDAPsubentry

objectclass: extensibleObject

objectclass: cosSuperDefinition

objectclass: cosClassicDefinition

cosTemplateDn: o=cosTemplates,<ugldapbasedn>

cosSpecifier: inetCos

cosAttribute: mailAllowedServiceAccess

cosAttribute: mailMsgMaxBlocks

cosAttribute: mailquota

cosAttribute: mailmsgquota

daServiceType: mail user

注:Delegated Administrator 配置程序在目录中安装 standardMail 定义时,上面显示的变 量 <ugldapbasedn> 将被根后缀(如 o=usergroup)替换。

除了邮件属性之外,standardMail 定义还在属性 daServiceType 中将服务类型定义为邮件用户。

查看扩展服务软件包方面的限制

可以通过将任何属性添加到定义条目来扩展 Delegated Administrator 服务软件包定义。

但是,在此版本的 Delegated Administrator 中,使用控制台只能查看配置 Delegated Administrator 时提供的预定义属性。Delegated Administrator 控制台不显示添加到服务软件包定义中的任何属性。

在此版本中,您也不能从 Delegated Administrator 提供的 standardMail 服务等级定义中删除预定义的属性定义。

服务等级模板

根据服务等级定义中的属性,您可以创建自己的服务软件包,以便为不同用户定义不同的服务级别。

默认的服务等级模板

默认情况下,Delegated Administrator 配置程序 (config-commda) 将在目录中安装 ldif 文件 cos.default.ldif。此 ldif 文件提供了称为 defaultmail 的通用服务等级模板。

cos.default.ldif 文件中包括以下服务等级模板:

dn: cn=defaultmail,o=cosTemplates,<ugldapbasedn>

changetype: add

objectclass: top

objectclass: LDAPsubentry

objectclass: extensibleobject

objectclass: cosTemplate

mailquota: -2

cn: defaultmail

注:Delegated Administrator 配置程序在目录中安装 defaultmail 模板时,上面显示的变 量 <ugldapbasedn> 将被根后缀(如 o=usergroup)替换。

在默认服务等级模板 (defaultmail) 中,仅定义了一个邮件服务属性 mailquota。其值为 -2,表示此服务的邮件配额为系统默认值。

服务等级模板样例

运行 Delegated Administrator 配置程序 config-commda 时,可以选择加载其他服务软件包样例。(运行配置程序时,请在服务软件包和组织样例 (Service Package and Organization Samples) 面板中选择加载样例服务软件包 (Load sample service packages)。)配置程序将 cos.sample.ldif 文件添加到 LDAP 目录树中。

cos.sample.ldif 文件包括以下样例服务等级模板:

每个模板均包含服务等级定义中所列的一个或多个属性的特定值。这些模板是服务软件包的原型示例。

例如,cos.sample.ldif 文件中包含 Platinum 服务等级模板:

dn: cn=platinum,o=cosTemplates,$rootSuffix

objectclass: top

objectclass: LDAPsubentry

objectclass: extensibleobject

objectclass: cosTemplate

cn: platinum

mailMsgMaxBlocks: 800

mailQuota: 4000000000

mailMsgQuota: 6000

mailAllowedServiceAccess: +imap:ALL$+pop:ALL$+smtp:ALL$+http:ALL

注:Delegated Administrator 配置程序在目录中安装样例服务等级模板时,上面显示的变量 $rootSuffix 将被根后缀(如 o=usergroup)替换。

有关所有样例服务等级模板的邮件服务值的列表,请参见本章末尾的样例服务等级模板中的邮件服务级别

创建您自己的服务软件包

本章中介绍的服务等级模板只是一些示例。您很可能需要使用特定的属性值(适用于您的安装中的用户)来创建自己的服务软件包。

要创建您自己的服务软件包,可以使用 da.cos.skeleton.ldif 文件中存储的服务等级模板。此文件是专门作为编写服务软件包的模板而创建的。配置 Delegated Administrator 时,未在 LDAP 目录中安装该文件。

可以复制和编辑 da.cos.skeleton.ldif 文件,并使用 ldapmodify 之类的 LDAP 目录工具在目录中安装服务软件包。

有关使用 da.cos.skeleton.ldif 文件配置您自己的服务软件包的说明,请参见第 3 章“配置 Delegated Administrator”中的创建服务软件包

分配给 LDAP 用户条目的样例服务软件包

使用 Delegated Administrator 将服务软件包分配给用户时,会将单个属性 (inetCOS) 添加到 LDAP 目录中的用户条目。inetCOS 属性的值可将整个服务软件包分配给用户。(inetCOS 是多值属性。)

例如,假设您将 Platinum 软件包分配给某个用户。以下属性将添加到用户条目中:

Platinum 软件包包含邮件服务属性的以下值。因此,分配 Platinum 软件包与将这些属性添加到用户条目具有相同的效果:

服务等级定义和软件包的位置

在 LDAP 目录信息树 (Directory Information Tree, DIT) 中,服务等级定义位于根后缀正下方的节点中。由于它存储在 DIT 的顶部,因此可将服务软件包分配给目录中的所有用户条目。

图 1-7 显示了服务定义和软件包在 DIT 中的位置。此处有两个示例软件包:Gold 软件包和 Silver 软件包。

图 1-7

服务等级定义和模板在 LDAP 目录树中的位置

服务等级定义和软件包在目录树中的位置

Delegated Administrator 使用典型的服务等级定义。

有关服务等级机制的更多信息,请参见 Sun Java System Directory Server 管理指南。特别是第 5 章“管理标识和角色”中的“定义服务等级 (CoS)”。

Directory Server 管理指南还介绍了一些相关主题,例如,如果在分配给用户的服务软件包中定义的属性已存在于该单个用户条目中,如何确定哪个服务属性值优先。

样例服务等级模板中的邮件服务级别

本部分列出了样例服务等级模板提供的邮件服务级别。这些模板中的属性值只是一些示例,并非源自于实际的安装。

Platinum

mailMsgMaxBlocks: 800
mailquota: 10000000
mailmsgquota: 6000
mailAllowedServiceAccess: +imap:ALL$+pop:ALL$+smtp:ALL$+http:ALL

Gold

mailMsgMaxBlocks: 700
mailquota: 8000000
mailmsgquota: 3000
mailAllowedServiceAccess: +imap:ALL$+pop:ALL$+smtp:ALL$+http:ALL

Silver

mailMsgMaxBlocks: 300
mailquota: 6291456
mailmsgquota: 2000
mailAllowedServiceAccess: +pop:ALL$+imap:ALL$+smtp:ALL$+http:ALL

Bronze

mailMsgMaxBlocks: 700
mailquota: 5242288
mailmsgquota: 3000
mailAllowedServiceAccess: +pop:ALL$+imap:ALL$+smtp:ALL$+http:ALL

Ruby

mailMsgMaxBlocks: 600
mailquota: 1048576
mailmsgquota: 2000
mailAllowedServiceAccess: +pop:ALL$+smtp:ALL$+http:ALL

Emerald

mailMsgMaxBlocks: 600
mailquota: 2097152
mailmsgquota: 2000
mailAllowedServiceAccess: +pop:ALL$+smtp:ALL$+http:ALL

Diamond

mailMsgMaxBlocks: 5000
mailquota: 3145728
mailmsgquota: 3000
mailAllowedServiceAccess: +imap:ALL$+smtp:ALL$+http:ALL

Topaz

mailMsgMaxBlocks: 3000
mailquota: 4194304
mailmsgquota: 2000
mailAllowedServiceAccess: +imap:ALL$+smtp:ALL$+http:ALL



上一页      目录      索引      下一页     


文件号码:819-1103。  版权所有 2005 Sun Microsystems, Inc. 保留所有权利。