Sun ONE Calendar Server 6.0 管理者ガイド |
第 8 章
ホストしているドメインの使用Sun ONE Calendar Server 6.0 はホストしている (または仮想) ドメインをサポートしています。ホストしているドメインのインストールでは、各ドメインが Calendar Server の同じインスタンスを共有するため、1 つのサーバーに複数のドメインが存在できます。各ドメインはネームスペースを定義し、1 つのネームスペースではすべてのユーザー、グループ、リソースが一意です。各ドメインには、変更可能な属性とユーザー設定もあります。
この章で説明する内容は次のとおりです。
ホストしているドメインの概要ここでは、ホストしているドメインの概要について、次の項目を説明します。
LDAP ディレクトリの構造
ホストしているドメインのインストールでは、LDAP ディレクトリは完全に区別され、部分的な交差もありません。それぞれの LDAP ディレクトリが DNS (ドメイン名システム) 内のドメインを表わします。各ドメインには、一意のユーザー、グループ、リソースが含まれます。識別名 (DN) は、各ドメインのルートを表わします。
Calendar Server 6.0 以降 は、ホストしているドメインで次の両方の LDAP ディレクトリスキーマバージョンをサポートしています。
- Sun ONE LDAP Schema v.2 (互換モードまたはネイティブモード)
注
Directory Server セットアップスクリプト (comm_dssetup.pl) を実行するときに、LDAP Schema v.1 または LDAP Schema v.2 のいずれかを選択できます。次の点に注意してください。
Sun ONE LDAP Schema v.2
図 8-1 は、Sun ONE LDAP Schema v.2 を使用する、ホストしているドメインのインストールでの LDAP ディレクトリの構造を示しています。
図 8-1 LDAP Schema v.2 を使用する場合の LDAP ディレクトリの構造
LDAP Schema v.2 の LDAP ディレクトリの構造はフラットです。ホストしているドメインのインストールでは、最初のレベルのエントリ (この図では varriusDomain、sestaDomain、siroeDomain) がディレクトリ構造内で平行である必要があります。これらのエントリを入れ子にすることはできません。
commadmin ユーティリティやシングルサインオン (SSO) など、Sun ONE Identity Server の機能を利用する場合は、LDAP Schema v.2 が必要です。
Sun ONE LDAP Schema v.1
図 8-2 は、Sun ONE LDAP Schema v.1 を使用する、ホストしているドメインのインストールでの LDAP ディレクトリ構造を示しています。この構造には、ドメイン管理のために次の 2 つのツリー (またはノード) が含まれます。
DC ツリー (ノード) は、指定したドメイン名からドメインエントリを決定する DNS に似ています。LDAP 属性 inetdomainbasedn は、ベース DN をポイントします。ベース DN は、OSI ツリー (ノード) 内のドメインのユーザー、リソース、グループのルートです。各ドメインでは、Calendar Server のユーザー、リソース、グループの ID は一意である必要があります。
LDAP Schema v.1 を使用する、ホストしているドメインのインストールでは、ディレクトリ検索でエントリを特定するために次の 2 つの手順が必要です。
Calendar Server へのログイン
ホストしているドメインのインストールでは、各ユーザーはそのドメイン内で一意のユーザー ID (uid) を持つ必要があります。Calendar Server へのログインは、次の形式で行います。
userid[@domain-name]
domain-name を省略すると、ics.conf ファイルの service.defaultdomain パラメータに設定されているドメイン名が適用されます。このため、ユーザーは userid を指定するだけでデフォルトドメインにログインできます。
図 8-2 に示すようなディレクトリ構造ではないインストールでは、domain-name は必要ありません。ドメイン名を指定しても無視されます。
local.autoprovision が yes (デフォルト) に設定され、ドメインにカレンダーサービスが割り当てられている場合は、新規ユーザーが Calendar Server に初めてログインするときに、デフォルトの新規カレンダーが Calendar Server によって自動的にプロビジョニングされます。ログインの許可は、icsStatus 属性または icsAllowedServiceAccess 属性に基づいています。詳細については、表 11-17 を参照してください。
ドメイン間の検索
デフォルトでは、ユーザーが検索し、イベントに招待できるユーザーやグループは、各自のドメイン内のユーザーとグループに限定されています。ドメイン間の検索機能を利用することで、あるドメインのユーザーが他のドメインのユーザーやグループを検索することができます。ただし、次の要件を満たしている必要があります。
- 各ドメインは、他のドメインからのドメイン間検索を許可または拒否するアクセス制御リスト (ACL) を icsExtendedDomainPrefs 属性の domainAccess プロパティに指定することができます。このためドメインは、そのドメイン内の検索を特定のドメイン、またはすべてのドメインを対象に許可または拒否することができます。domainAccess については、表 11-16 を参照してください。ACL の一般的な説明については、「アクセス制御リスト (ACL)」を参照してください。
- 各ドメインは、そのドメインのユーザーが検索できる外部ドメインを指定できます。ユーザーやグループを探すためにユーザーが検索する外部ドメインは、LDAP 属性 icsDomainNames によって決定されます (外部ドメインの ACL が検索を許可している必要があります)。たとえば、various.org ドメインの icsDomainNames に sesta.com と siroe.com が含まれる場合、various.org のユーザーは sesta.com と siroe.com に対するドメイン間検索を実行できます。icsDomainNames については、表 11-17 を参照してください。
LDAP 属性 icsDomainNames および icsExtendedDomainPrefs を設定するには、Calendar Server の csdomain ユーティリティを使用します。ドメインの LDAP 属性を csdomain (または commadmin や ldapmodify などのユーティリティ) で追加または変更したときは、新しい値が適用されるように Calendar Server を再起動します。
Calendar Server の古いインストールのサポート
Calendar Server 6.0 は、既存の、または古い Calendar Server 5.x のインストールをサポートしています。この場合、ics.conf ファイルで次のパラメータを no に設定します。
service.virtualdomain.support = "no"
ただし、cs5migrate ユーティリティを実行して Calendar Server 5.x を 6.0 に移行する必要があります。移行については、『Sun ONE Calendar Server 6.0 インストールガイド (Solaris 版)』を参照してください。
ホストしているドメインを使用するために Calendar Server 5.x のインストールを移行する場合は、csvdmig ユーティリティも実行する必要があります。詳細については、「ホストしているドメイン環境への移行」を参照してください。
ホストしているドメインの作成と管理ここでは、ホストしているドメインの作成と管理について、次の項目を説明します。
Directory Server セットアップスクリプトの実行
Directory Server セットアップスクリプト (comm_dssetup.pl) は、Calendar Server 6.0 (および Messaging Server 6.0) 用に Sun ONE Directory Server 5.x を設定します。comm_dssetup.pl は、Sun Java Enterprise System インストーラを使用して Calendar Server 6.0 をインストールした後で、Calendar Server 設定プログラム (csconfigurator.sh) を実行する前に実行します。
comm_dssetup.pl では、次のオプションを選択できます。
- Directory Server 5.x のインストールディレクトリパスと、Calendar Server 6.0 (および Messaging Server 6.0) 用に使用するインスタンス
- ディレクトリマネージャの識別名 (DN)
- ユーザーとグループ用に Directory Server 5.x を使用するかどうか。yes を選択した場合は、DC ツリーベースのサフィックスと、組織ツリー用のユーザーおよびグループベースのサフィックスも指定する必要がある
- Sun ONE LDAP Schema v.1 と v.2 (互換モードまたはネイティブモード) のどちらを使用するか。これらのスキーマについては、「LDAP ディレクトリの構造」を参照
- 選択したバージョンに応じてスキーマを更新するかどうか
- ディレクトリ検索の効率を高めるために Directory Server インデックスを追加するかどうか
comm_dssetup.pl については、『Sun ONE Calendar Server 6.0 インストールガイド (Solaris 版)』を参照してください。
新規ドメインの作成
新しいドメインを作成するには、次のいずれかのユーティリティを使用します。
- Sun ONE Identity Server の commadmin ユーティリティ : LDAP Schema v.2 を使用する、ホストしたドメインを作成、管理する。commadmin ユーティリティについては、『Sun ONE Messaging and Collaboration 1.0 ユーザー管理ユーティリティインストールリファレンスガイド』を参照
- Calendar Server の csdomain ユーティリティ : LDAP Schema v.1 または LDAP Schema v.2 を使用する、ホストしたドメインを作成、管理する。このユーティリティを使用して、指定したドメインの icsCalendarDomain オブジェクトクラスの Calendar Server 属性と、それに関連する LDAP ディレクトリ内の値をリスト表示することができる
注
ドメインの管理に Identity Server の commadmin ユーティリティを使用しない場合にだけドメインの作成に csdomain を使用します。
図 8-2 に示されるように、LDAP Schema v.1 では、DC ツリーと OSI ツリー (ドメインがポイントするノード) の両方が LDAP ディレクトリサーバーにすでに存在している必要があります。csdomain ユーティリティはこれらのツリーを作成しません。
Calendar Server は、Identity Server コンソールによるドメインの作成をサポートしていません。
Messaging Server を利用して作成したドメインの使用
ホストしているドメインが Sun ONE Messaging Server によってすでに作成されている場合、Calendar Server はそのドメインにユーザーをプロビジョニングできます。Sun ONE Messaging Server を使用して作成したドメインを使用するには、次の手順を実行します。
- ディレクトリサーバー内の o=internet ドメインのエントリに icsCalendarDomain オブジェクトクラスを追加し、対応するドメインのエントリに Calendar Server ユーザーを設定します。また、icsStatus を active に設定し、domainAccess にアクセス制御に使用する ACL を設定します。設定例については、コード例 8-1 を参照してください。
LDAP ディレクトリを変更するときは、Directory Server の ldapmodify ツールを使用します。ldapmodify については、『Sun ONE Directory Server Resource Kit 5.2 Tools Reference』を参照してください。
- Calendar Server 5.x から移行する場合は、次のユーティリティを実行します (まだ実行していない場合)。
移行ユーティリティの実行については、『Sun ONE Calendar Server 6.0 インストールガイド (Solaris 版)』を参照してください。
ドメイン固有の属性とユーザー設定の設定
各ドメインには、csdomain ユーティリティまたは commadmin ユーティリティを使用して設定できる属性とユーザー設定があります。これらの属性は、icsCalendarDomain オブジェクトクラスに属しています。属性には、アクセス権、アクセス制御リスト (ACL)、ドメイン検索、ドメイン検索のアクセス権、ユーザーの状態、プロキシログインなどのユーザー設定が含まれます。完全なリストについては、次に示す csdomain ユーティリティの説明に続いて記載されている表を参照してください。
Calendar Server の新規ユーザーのプロビジョニング
新規ユーザーが Calendar Server に初めてログインすると、「Calendar Server へのログイン」で説明した要件が満たされていれば、そのユーザーは自動的にプロビジョニングされます。新規ユーザーがログインするには、LDAP ユーザー ID とパスワードが必要です。
Calendar Server の新規ユーザーをドメインにプロビジョニングするには、次のいずれかのユーティリティを使用します。
- Calendar Server の csuser ユーティリティ
- Identity Server の commadmin ユーティリティ。commadmin ユーティリティについては、『Sun ONE Messaging and Collaboration 1.0 ユーザー管理ユーティリティインストールリファレンスガイド』を参照
Calendar Server のユーティリティによるドメインの管理
ホストしているドメインのインストールでドメインを管理するには、Calendar Server の次のコマンド行ユーティリティを使用します。各ユーティリティは、-d domain オプションを指定することで、特定のターゲットドメインを対象に実行することができます。
- csdomain は、LDAP Schema v.1 または v.2 を使用する環境で、ドメインの LDAP ディレクトリに格納される Calendar Server の LDAP 属性を管理する。新規ドメインの作成、ドメインの LDAP ディレクトリ内の LDAP 属性の追加、削除、リスト表示を実行できる。詳細については、「新規ドメインの作成」を参照
- csuser は、ドメイン内の Calendar Server ユーザーを管理する
- csresource は、ドメイン内の Calendar Server リソースカレンダーを管理する
- cscal は、ドメイン内のカレンダーとそのプロパティを管理する
- csattribute は、ドメインの LDAP サーバー内の Calendar Server LDAP 属性を管理する
ホストしているドメインの設定パラメータ表 8-1 は、ホストしているドメインのサポートに使用される、ics.conf ファイルの設定パラメータを示しています。いずれかのパラメータが ics.conf ファイルに含まれていない場合は、パラメータと値をファイルに追加し、変更を適用するために Calendar Server を再起動します。
表 8-1 ホストしているドメインをサポートするための設定パラメータ
パラメータ
説明
service.virtualdomain.support
ホストしている (仮想) ドメインモードのサポートを有効化 (y) または無効化 (n) する。デフォルトは n
local.schemaversion
LDAP スキーマのバージョンを指定する
- "1" = Sun ONE LDAP Schema v.1。service.dcroot も参照
- "2" = Sun ONE LDAP Schema v.2。service.schema2root も参照
デフォルトは 1
service.dcroot
local.schemaversion = 1 の場合に、LDAP ディレクトリの DC ツリーのルートサフィックスを指定する
例 : o=internet
ホストしている (仮想) ドメインモードでは、Calendar Server は service.dcroot パラメータを使用し、local.ugldapbasedn、local.authldapbasedn パラメータは使用されない
反対に、ホストしていない (仮想) ドメインモードでは、Calendar Server は local.ugldapbasedn、local.authldapbasedn パラメータを使用し、service.dcroot パラメータは使用されない
service.schema2root
local.schemaversion = 2 の場合に、下にすべてのドメインが属するルートサフィックスを指定する
例 : o=sesta.com
service.defaultdomain
Calendar Server のこのインスタンスのデフォルトドメインを指定する。ログイン時にドメイン名が指定されない場合は、このドメイン名が適用される
例 : sesta.com
service.loginseparator
Calendar Server が userid[login-separator]domain をパースするときに login-separator で使用される区切り文字を指定する。Calendar Server は各区切り文字を順に使用する
デフォルトは @+
service.siteadmin.userid
ドメイン管理者のユーザー ID を指定する
例 : DomainAdmin@sesta.com
service.virtualdomain.scope = "select"
ドメイン間検索を制御する
デフォルトは select
local.domain.language
ドメインの言語を指定する。デフォルトは en (英語)
WCAP コマンドの使用ホストしているドメイン用にサイトが設定されている場合は、すべての WCAP コマンドで、カレンダー ID (calid) とユーザー ID をドメイン名で完全修飾する必要があります。例 : jsmith@sesta.com
ホストしているドメイン環境への移行ホストしているドメインを使用できるようにサイトを移行するときは、csvdmig ユーティリティを使用します。このユーティリティは各カレンダー ID (calid) にドメイン名を割り当て、カレンダーデータベースと LDAP ディレクトリを更新します。
警告
csvdmig を実行する前に、必ずご購入先のテクニカルサポートまたは顧客サービスの担当者に問い合わせ、ユーティリティのバージョンが最新であることを確認してください。
Calendar Server 6.0 は、同一サーバー上の複数の Calendar Server インスタンスをサポートしていません。
現在のサイトに複数の Calendar Server インスタンスが設定されていたり、限定的な仮想ドメインモードが設定されている場合は、移行要件の評価について購入先の顧客サービスの担当者に問い合わせてください。
csvdmig 移行ユーティリティを実行すると、次の情報が変更されます。
csvdmig の実行については、『Sun ONE Calendar Server 6.0 インストールガイド (Solaris 版)』を参照してください。
移行以外にも、次の作業を行う必要があります。
- ics.conf ファイルの service.virtualdomain.support を yes に設定する
- 使用するスキーマに合わせてディレクトリサーバーの構造を設定する。「LDAP ディレクトリの構造」を参照
- ディレクトリサーバーの o=internet ドメインエントリに icsCalendarDomain オブジェクトクラスを追加する。「Messaging Server を利用して作成したドメインの使用」を参照
- Calendar Server ユーザーのそれぞれのドメインで、ドメインエントリにユーザーを設定する。次に、icsStatus を active に設定し、domainAccess にアクセス制御に使用する ACL を設定する
最新の情報については、次のマニュアル用 Web サイトで入手できるリリースノートを参照してください。
http://docs.sun.com/coll/S1_CalendarServer_60