第 4 章 Instant Messaging ポリシーおよびプレゼンスポリシーの管理

Sun ONE Instant Messaging Server は、チャット、会議、調査、プレゼンスアクセスなど、さまざまな機能を提供します。ポリシーには、これらの機能に関する一連のアクセス制御権限を記述できます。一方、エンドユーザーおよびグループには、組織の要求に応じて特定のポリシーを割り当てることができます。

この章では、ポリシーを定義および使用することにより、Sun ONE Instant Messaging Server の機能と権限情報に対するエンドユーザーと管理者のアクセス権限を管理する方法について説明します。

エンドユーザーと管理者の権限を制御する方法

Instant Messaging サービスに対する各種アクセス権限を、エンドユーザーに対して許可または制限することに関する要件は、Sun ONE Instant Messaging Server を使用するサイトごとにそれぞれ異なります。エンドユーザーと管理者の、Sun ONE Instant Messaging Server 機能と権限情報へのアクセスを制御する処理は、ポリシー管理と呼ばれます。ポリシーを管理するための方法は、2 つあります。アクセス制御ファイルを使う方法と、Sun ONE Identity Server を使う方法です。

アクセス制御ファイルによるポリシー管理の概要

アクセス制御ファイルによるポリシー管理では、ニュースチャネル管理、会議室管理、「ユーザー設定」ダイアログにおける設定変更、アラート送信の各領域における、エンドユーザーの権限を調整することができます。また、特定のエンドユーザーをシステム管理者として割り当てることもできます。

Sun ONE Identity Server によるポリシー管理の概要

Sun ONE Identity Server によるポリシー管理では、アクセス制御ファイルを使う方法と同じ権限を制御できますが、この方法ではさらに、アラートの受信、調査の送受信など、機能の制御をよりきめ細かく行えます。完全な一覧については、表 4-4 を参照してください。さらに、Sun ONE Identity Server によるポリシー管理では、権限の制御も、よりきめ細かく行えます。

ポリシーには、Instant Messaging ポリシーとプレゼンスポリシーの 2 種類があります。Instant Messaging ポリシーは、アラートの送受信、公開会議室やニュースチャネルの管理、ファイルの送信といった、一般的な Instant Messaging 機能に対する権限を制御します。プレゼンスポリシーは、エンドユーザーが自身のオンラインステータスを変更する権限や、他人がオンライン情報またはプレゼンス情報を表示するのを許可または拒否する権限を制御します。

ポリシー管理 : 使用する方法の選択

使用するポリシー管理方法を選択する際には、ポリシー情報の格納場所も同時に選択する必要があります。ポリシーの管理方法を選択するには、iim.conf ファイルを編集し、iim.policy.modules パラメータを設定します。Sun ONE Identity Server を使う方法の場合は identity を、アクセス制御ファイルを使う方法の場合は iim_ldap を、それぞれ設定します。なお、後者の方法は、デフォルトの方法でもあります。

LDAP 単独配備を使用する場合、つまり、Sun ONE Identity Server を使用しない場合は、アクセス制御ファイルによる方法を選択する必要があります。Sun ONE Identity Server と Sun ONE Instant Messaging Server を併用し、かつ Instant Messaging サービスおよびプレゼンスサービスのコンポーネントがインストールされている場合、いずれかのポリシー管理方法を選択できます。ただし、Sun ONE Identity Server によるポリシー管理のほうが、より包括的な方法です。この方法の利点の 1 つは、すべてのエンドユーザー情報をディレクトリ内に格納できる点です。

使用するポリシー管理方法を設定する際の具体的な手順を、以下に示します。

ポリシー設定パラメータ

表 4-1 は、Instant Messaging 配備において Sun ONE Identity Server が果たす役割の拡大に伴い、iim.conf ファイル内で新たに利用可能になったパラメータの一覧とその説明です。

表 4-1 iim.conf ファイルにおけるアイデンティティサーバー関連の新しいパラメータ
パラメータ名	使用法	値
iim.policy.modules	ポリシーをIdentity Serverに格納するかどうかを示す	iim_ldap (デフォルト) identity
iim.userprops.store	ユーザープロパティをユーザープロパティファイル、LDAP のいずれに格納するかを示す	file (デフォルト) ldap


注	現時点では、iim.userprops.store パラメータが重要になるのは、プレゼンスサービスと Instant Messaging サービスのサービス定義がインストールされた場合だけです。

アクセス制御ファイルによるポリシー管理

アクセス制御ファイルを編集することで、次のエンドユーザー権限を制御できます。

デフォルトでは、ほかのエンドユーザーのプレゼンスステータスにアクセスする権限、エンドユーザーにアラートを送信する権限、およびプロパティをサーバー上に保存する権限が、エンドユーザーに与えられます。ほとんどの配備では、このデフォルト値を変更する必要はありません。


注	管理者は、特定の権限をグローバルに設定できますが、それらの権限に対する例外を定義することも可能です。たとえば、管理者は、選択されたエンドユーザーまたはグループに対して、特定のデフォルト権限を拒否することができます。

表 4-2 は、Sun ONE Instant Messaging のグローバルアクセス制御ファイルとそれらのファイルがエンドユーザーに付与する権限を、一覧にまとめたものです。

表 4-2 アクセス制御ファイル
アクセス制御ファイル	権限
sysSaveUserSettings.acl	自身の設定を変更できる (できない) ユーザーを定義する
sysTopicsAdd.acl	ニュースチャネルを作成できる (できない) ユーザーを定義する
sysRoomsAdd.acl	会議室を作成できる (できない) ユーザーを定義する
sysSendAlerts.acl	アラートを送信できる (できない) ユーザーを定義する
sysWatch.acl	ほかのエンドユーザーの変更を監視できる (できない) ユーザーを定義する。この権限を持たないエンドユーザーに対しては、Sun ONE Instant Messenger ウィンドウが表示されない
sysAdmin.acl	管理者専用のファイル。このファイルでは、Sun ONE Instant Messaging のすべての機能、すべてのエンドユーザーに対する管理権限を設定する。この権限はほかのすべての権限よりも優先される。また、この権限は、すべての会議室およびニュースチャネルに対する MANAGE アクセス権に加え、すべてのエンドユーザーのプレゼンス情報、設定、およびプロパティに対する MANAGE アクセス権を、管理者に与える

アクセス制御ファイルの形式

アクセス制御ファイルには、権限を定義する一連のエントリが含まれます。各エントリは、次のいずれかのタグで始まります。


注	d: タグで始まるエントリは、アクセス制御ファイルの最後のエントリでなければなりません。d: タグで始まるエントリのあとに存在するエントリは、すべて無視されます。d: タグの値が true の場合、その他の行はすべて無視されます。アクセス制御ファイル内で d: タグを true に設定した場合、特定のエンドユーザーがその権限を持つことを選択的に拒否することはできません。

タグのあとにはコロン (:) を付けます。デフォルトタグでは、そのあとに true、false のいずれかを指定します。

エンドユーザータグ、グループタグでは、その後にエンドユーザー名、グループ名をそれぞれ指定します。

複数のエンドユーザーまたはグループを指定するには、それらの各エンドユーザー (u)、各グループ (g) をそれぞれ別々の行に記述します。

デフォルトエントリに true が設定された場合、ファイル内のその他のすべてのエントリは無視されます。デフォルトエントリに false が設定された場合、ファイル内に指定されたエンドユーザーとグループのみが、その特定の権限を持つことになります。

以下に示すのは、新規インストール時の、ACL ファイル内の d: タグ (デフォルトタグ) エントリです。

アクセス制御ファイルのサンプル


注	すべてのアクセス制御ファイルの形式、さらにはその存在自体が、今後の製品リリースで変更される可能性があります。

この節では、権限が設定されたアクセス制御ファイル (sysTopicsAdd.acl ファイル) のサンプルを示します。会議室レベルおよびニュースチャネルレベルのアクセス制御ファイル (つまり、roomname.acl および newschannel.acl) については、「会議室とニュースチャネルのアクセス制御」を参照してください。

sysTopicsAdd.acl ファイル

以下のサンプルでは、sysTopicsAdd.acl ファイルの d: タグ (デフォルトタグ) エントリは、false になっています。このため、ニュースチャネルを追加および削除する権限は、そのデフォルトよりも前に記述されたエンドユーザーとグループ、すなわち、user1、user2、および sales グループに対して付与されます。

エンドユーザーの権限の変更

エンドユーザーの権限を変更するには、次の手順を実行します。

Sun ONE Identity Server によるポリシー管理

Sun ONE Identity Server の Instant Messaging サービスとプレゼンスサービスを使うと、エンドユーザーと管理者の権限を別の方法で制御できます。各サービスに備わる属性には、動的、ユーザー、ポリシーの 3 種類があります。ポリシー属性は、権限を設定するための属性です。

アイデンティティサーバー内に作成された特定のポリシーに、ほかのユーザーから調査メッセージを受信する権限など、Instant Messaging のさまざまな機能に対する権限を、管理者およびエンドユーザーに許可または拒否する規則を追加する際に、ポリシー属性はそれらの規則の一部となります。

Sun ONE Instant Messaging Server を Sun ONE Identity Server とともにインストールすると、サンプルのポリシーとロールがいくつか作成されます。ポリシーとロールの詳細については、『Sun ONE Identity Server Getting Started Guide』と『Sun ONE Identity Server 6.1 管理ガイド』を参照してください。

さらに、サンプルのポリシーに満足できなかった場合、新しいポリシーを作成し、それらをサイトの要求に応じて特定のロール、グループ、組織、またはエンドユーザーに割り当てることも可能です。

Instant Messaging サービスまたはプレゼンスサービスがエンドユーザーに割り当てられると、それらのエンドユーザーは、関連する動的属性とユーザー属性を取得します。動的属性は、Sun ONE Identity Server で設定された特定のロールまたは組織に割り当てることができます。

特定のロールをエンドユーザーに割り当てたり、組織内でエンドユーザーを作成したりすると、関連する動的属性がそのエンドユーザーの特性の一部となります。ユーザー属性は、各エンドユーザーに直接割り当てます。ユーザー属性は、ロールや組織から継承されるわけではないため、通常はエンドユーザーごとに異なります。

エンドユーザーはログオン時に、該当するすべての属性を取得します。なお、取得される属性は、そのユーザーに割り当てられているロールの種類やポリシーの適用方法に応じて異なります。

動的、ユーザー、ポリシーの各属性がエンドユーザーに関連付けられるのは、プレゼンスサービスと Instant Messaging サービスがそれらのエンドユーザーに割り当てられた後です。

Instant Messaging サービス属性

表 4-3 は、各サービスに含まれるポリシー属性、動的属性、ユーザー属性を一覧にまとめたものです。

表 4-3 Sun ONE Instant Messaging 用の Sun ONE Identity Server 属性
サービス	ポリシー属性	動的属性	ユーザー属性
sunIM	sunIMAllowChat sunIMAllowChatInvite sunIMAllowForumAccess sunIMAllowForumManage sunIMAllowForumModerate sunIMAllowAlertsAccess sunIMAllowAlertsSend sunIMAllowNewsAccess sunIMAllowNewsManage sunIMAllowFileTransfer sunIMAllowContactListManage sunIMAllowUserSettings sunIMAllowPollingAccess sunIMAllowPollingSend	sunIMProperties sunIMRoster sunIMConferenceRoster sunIMNewsRoster	sunIMUserProperties sunIMUserRoster sunIMUserConferenceRoster sunIMUserNewsRoster
sunPresence	sunPresenceAllowAccess sunPresenceAllowPublish sunPresenceAllowManage	sunPresenceDefaultAcess sunPresenceAccessDenied sunPresenceAccessPermitted sunPresenceDevices	sunPresenceEntityDefaultAccess sunPresenceEntityAccessDenied sunPresenceEntityAccessPermitted sunPresenceEntityDevices

アイデンティティサーバー管理コンソールでは、上表の各属性に対応するラベルが表示されます。以下の 2 つの表は、属性、対応するラベル、簡単な説明を一覧にまとめたものです。表 4-4 はポリシー属性の一覧とその説明、表 4-5 は動的属性およびユーザー属性の一覧とその説明です。

表 4-4 Identity Server のポリシー属性 (Instant Messaging 用)
ポリシー属性	管理コンソールのラベル	属性の説明
sunIMAllowChat	チャット	エンドユーザーは、チャットルームへの参加依頼を受信できるほか、通常のチャット機能にアクセスできる
sunIMAllowChatInvite	チャットに参加依頼	エンドユーザーは、チャットへの参加依頼をほかのユーザーに送信できる
sunIMAllowForumAccess	会議室に参加	Sun ONE Instant Messenger に「会議室」タブが表示され、エンドユーザーは会議室に参加できるようになる
sunIMAllowForumManage	会議室の管理	エンドユーザーは、会議室の作成、削除、および管理を行える
sunIMAllowForumModerate	会議室のモデレート	エンドユーザーは会議のモデレータになれる
sunIMAllowAlertsAccess	アラートの受信	エンドユーザーは、ほかのユーザーからのアラートを受信できる
sunIMAllowAlertsSend	アラートの送信	エンドユーザーは、ほかのユーザーにアラートを送信できる
sunIMAllowNewsAccess	ニュースに加入	Sun ONE Instant Messenger に「ニュース」ボタンが表示される。このボタンを使うと、エンドユーザーは、ニュースメッセージを送受信するためにニュースチャネルを一覧表示できる
sunIMAllowNewsManage	ニュースチャネルの管理	エンドユーザーはニュースチャネルを管理できる (ニュースチャネルの作成、削除、権限割り当てを行える)
sunIMAllowFileTransfer	ファイルの交換	エンドユーザーは、アラート、チャット、ニュースの各メッセージに添付ファイルを追加できる
sunIMAllowContactListManage	連絡先の管理	エンドユーザーは自身の連絡先一覧を管理できる (ユーザーまたはグループの一覧への追加、一覧からの削除、一覧内のフォルダ名の変更を行える)
sunIMAllowUserSettings	Messenger 設定	Sun ONE Instant Messenger に「設定」ボタンが表示される。このボタンを使うと、エンドユーザーは、自身の Sun ONE Instant Messenger 設定を変更できる
sunIMAllowPollingAccess	調査の受信	エンドユーザーは、ほかのユーザーから調査メッセージを受信し、それらの調査に回答できる
sunIMAllowPollingSend	調査の送信	Sun ONE Instant Messenger に「調査」ボタンが表示される。このボタンを使うと、エンドユーザーは、調査メッセージをほかのユーザーに送信し、その回答を受信できる
sunPresenceAllowAccess	他人の Presence にアクセス	エンドユーザーは、ほかのユーザーのプレゼンスステータスを監視できる。連絡先一覧には、連絡先が表示されるだけでなく、それらの連絡先のプレゼンスステータスの変更が反映される (ステータスアイコンが変化する)
sunPresenceAllowPublish	Presence の公開	エンドユーザーは、他人が監視する自分のステータス (オンライン、オフライン、取り込み中など) をクリックして選択できる
sunPresenceAllowManage	Presence アクセスの管理	Sun ONE Instant Messenger の「設定」に「アクセス権」タブが表示される。エンドユーザーは、自身のデフォルトプレゼンスアクセス、プレゼンス許可リスト、プレゼンス拒否リストを設定できる

属性の直接変更

エンドユーザーは、Sun ONE Identity Server の管理コンソールにログインし、Instant Messaging サービスとプレゼンスサービスの各属性値を参照できます。属性が変更可能として定義されていた場合、エンドユーザーはそれらの属性を変更できます。ただし、デフォルトでは、Instant Messaging サービス内の属性はすべて変更不可能になっており、エンドユーザーにそれらの変更を許可することも、あまりお勧めできません。とはいえ、システム管理の観点から、属性の直接操作が有用である場合もあります。

たとえば、「参加する会議室」など、いくつかのシステム属性ではロールの影響は存在しないため、システム管理者は、それらの属性の値を変更する際に、ほかのエンドユーザー (の会議名簿など) からそれらの属性をコピーしたり、それらの属性を直接変更したりします。これらの属性の一覧を、表 4-5 に示します。

表 4-5 を見ると、ユーザー属性は、エンドユーザーが Sun ONE Identity Server 管理コンソールを使って設定できます。動的属性は、管理者によって設定されます。動的属性に設定された値は、対応するユーザー属性の値を上書きするか、その値とマージされます。

対応する動的属性とユーザー属性の性質により、競合もしくは補完し合う情報がどのように解決されるかが決まります。たとえば、「参加する会議室」の 2 つのソース (動的属性およびユーザー属性) は互いに補完し合う関係にあるため、両者の情報はマージされます。いずれの属性も他方を上書きしません。

表 4-5 Identity Server のユーザー属性と動的属性 (Instant Messaging 用)
管理コンソールのラベル	ユーザー属性	動的属性	属性の説明	競合の解決
Messenger 設定	sunIMUser Properties	sunIMProperties	Sun ONE Instant Messenger のすべてのプロパティが含まれる。ファイルベースのユーザープロパティ機構における user.properties ファイルに対応している	マージ - ただし、あるプロパティの値がユーザー属性、動的属性の両方に存在していた場合、動的属性の値が使用される
加入	sunIMUserRoster	sunIMRoster	加入情報が含まれる (現時点では未使用)	動的属性の情報が使用される
参加する会議室	sunIMUser ConferenceRoster	sunIMConference Roster	会議室の参加情報が含まれる	マージ - 動的属性とユーザー属性の参加情報がマージされる
ニュースチャネルへ加入	sunIMNewsRoster	sunIMUserNews Roster	ニュースチャネルの加入情報が含まれる	マージ - 動的属性とユーザー属性の加入情報がマージされる
デフォルト Presence 表示	sunPresenceEntity DefaultAccess	sunPresenceDefaultAccess	Sun ONE Instant Messenger におけるアクセス設定に対応している。これをチェックした場合、プレゼンスステータスがすべてのユーザーから参照可能になる。チェックしなかった場合、プレゼンスステータスはどのユーザーからも参照できなくなる	動的属性の情報が使用される
Presence を許可しない	sunPresenceEntity AccessDenied	sunPresenceAccess Denied	管理コンソール内の「デフォルト Presence 表示」ラベル (この表の 1 つ前のエントリを参照) がチェックされている場合 (すべてのユーザーから参照可能である場合)、エンドユーザーは、このリストに特定のユーザーを入力することで、それらのユーザーがプレゼンスステータスにアクセスするのを拒否できる	動的属性の情報が使用される
Presence を許可する	sunPresenceEntity AccessPermitted	sunPresenceAccess Permitted	管理コンソール内の「デフォルト Presence 表示」ラベル (この表の 2 つ前のエントリを参照) がチェックされていない場合 (どのユーザーからも参照不可能である場合)、エンドユーザーは、このリストに特定のユーザーを入力することで、それらのユーザーがプレゼンスステータスにアクセスするのを許可できる	動的属性の情報が使用される
Presence エージェント	sunPresenceEntity Devices	sunPresenceDevices	このリリースでは未使用 (将来使用予定)	動的属性の情報が使用される

Instant Messaging ポリシーとプレゼンスポリシーの事前定義サンプル

表 4-6 は、Instant Messaging サービスコンポーネントのインストール時に Sun ONE Identity Server 内に作成される、7 つのサンプルポリシーと 7 つのサンプルロール、およびその説明を一覧にまとめたものです。各エンドユーザーには、付与すべきアクセス権限に応じたロールを追加できます。

典型的なサイトでは、ロール「IM Regular User」(デフォルトの Instant Messaging アクセス権とプレゼンスアクセス権を取得するロール) を、Instant Messaging ポリシー管理の責務を負わない、Instant Messengerを単に使用するだけのエンドユーザーに割り当てます。また、その同じサイトで、ロール「IM Administrator」 (Instant Messaging サービスとプレゼンスサービスの管理権限が関連付けられたロール) を、Instant Messaging ポリシー管理に対して完全な責務を負うエンドユーザーに割り当てます。表 4-7 は、ポリシー属性のデフォルトの権限割り当て一覧です。あるアクションがある規則内で選択されていない場合、この表の値「許可」や「許可しない」は意味を持ちません。というのも、そのポリシーはその属性に影響しないからです。

表 4-6 アイデンティティサーバーのデフォルトのポリシーとロール
ポリシー	このポリシーが適用されるロール	このポリシーが適用されるサービス	ポリシーの説明
Default Instant Messaging and presence access	IM Regular User	sunIM、sunPresence	一般的な Instant Messaging エンドユーザーがデフォルトで備えるべきアクセス権
Ability to administer Instant Messaging and Presence Service	IM Administrator	sunIM、sunPresence	Instant Messaging 管理者が備えるアクセス権。Instant Messaging のすべての機能にアクセスできる
Ability to manage Instant Messaging news channels	IM News Administrator	sunIM	エンドユーザーは、ニュースチャネルの管理 (作成や削除) を行える
Ability to manage Instant Messaging conference rooms	Im Conference Rooms Administrator	sunIM	エンドユーザーは、会議室の管理 (作成や削除) を行える
Ability to change own Instant Messaging user settings	IM Allow User Settings Role	sunIM	エンドユーザーは、Sun ONE Instant Messenger の「設定」ボタンをクリックして設定を編集できる
Ability to send Instant Messaging alerts	IM Allow Send Alerts Role	sunIM	エンドユーザーは、Sun ONE Instant Messenger でアラートを送信できる
Ability to watch changes on other Instant Messaging end users	IM Allow Watch Changes Role	sunIM	エンドユーザーは、ほかの Instant Messaging エンドユーザーのプレゼンスステータスにアクセスできる

表 4-7 デフォルトポリシーの割り当て
	ポリシー
属性	Default Instant Messaging and presence access	Ability to administer Instant Messaging and Presence Service	Ability to manage Instant Messaging news channels	Ability to manage Instant Messaging conference rooms	Ability to change own Instant Messaging end-user settings	Ability to send Instant Messaging alerts	Ability to watch changes on other Instant Messaging end-users
sunIMAllowChat	許可	許可
sunIMAllowChatInvite	許可	許可
sunIMAllowForumAccess	許可	許可		許可
sunIMAllowForumManage	許可しない	許可		許可
sunIMAllowForumModerate	許可しない	許可		許可
sunIMAllowAlertsAccess	許可	許可				許可
sunIMAllowAlertsSend	許可	許可				許可
sunIMAllowNewsAccess	許可	許可	許可
sunIMAllowNewsManage	許可しない	許可	許可
sunIMAllowFileTransfer	許可	許可
sunIMAllowContactListManage	許可	許可
sunIMAllowUserSettings	許可	許可			許可
sunIMAllowPollingAccess	許可	許可
sunIMAllowPollingSend	許可	許可
sunPresenceAllowManage	許可	許可
sunPresenceAllowAccess	許可	許可					許可
sunPresenceAllowPublish	許可	許可

新しい Instant Messaging ポリシーの作成

サイトの特定の要求に応じて、新しいポリシーを作成できます。

新しいポリシーを作成するには、次の手順を実行します。

Sun ONE Identity Server の管理コンソール (http://hostname:port/amconsole、たとえば http://imserver.company22.example.com:80/amconsole) にログオンします。

「アイデンティティ管理」タブが選択された状態で、ナビゲーション区画 (左下のフレーム) にある「表示」ドロップダウンリストから「ポリシー」を選択します。

「新規」をクリックします。データ区画 (右下のフレーム) に「新規ポリシー」ページが表示されます。

「ポリシータイプ」で「標準」を選択します。

「名前」フィールドにポリシーの説明 (「Ability to Perform IM Task」など) を入力します。

「作成」をクリックします。ナビゲーション区画のポリシー一覧に新しいポリシーの名前が表示され、データ区画のページが、新しいポリシーに対する「編集」ページに変わります。

「編集」ページの「表示」ドロップダウンリストから「ルール」を選択します。「編集」ページ内に「ルール名、サービス、リソース」パネルが表示されます。

「追加」をクリックします。「ルールを追加」ページが表示されます。

適用するサービス (「Instant Messaging サービス」、「Presence サービス」のいずれか) を選択します。

各サービスでは、エンドユーザーが特定のアクションを実行するのを許可または拒否できます。たとえば、「チャット」は Instant Messaging サービスに固有のアクションであり、「他人の Presence にアクセス」はプレゼンスサービスに固有のアクションです。

「ルール名」フィールドに規則の説明 (「Rule 1」など) を入力します。

「リソース名」に適切な値 (IMResource、PresenceResource のいずれか) を入力します。

Instant Messaging サービスの場合は IMResource

プレゼンスサービスの場合は PresenceResource

「アクション」で適用するアクションを選択します。

「値」で各アクションの値 (「許可」、「許可しない」のいずれか) を選択します。

「作成」をクリックします。この規則案が、そのポリシーの保存規則一覧に表示されます。

「保存」をクリックします。この規則案が保存規則になります。

そのポリシーに適用するすべての規則を作成し終えるまで、手順 8 ～ 15 を繰り返します。新しい規則を作成するたびに、「保存」をクリックして変更内容をポリシーに保存してください。

ロール、グループ、組織、ユーザーへのポリシーの割り当て

ロール、グループ、組織、またはユーザーには、ポリシー (デフォルトの Instant Messaging ポリシーまたは Instant Messaging のインストール後に作成された Instant Messaging ポリシー) を割り当てることができます。

特定のポリシーを割り当てるには、次の手順を実行します。

Sun ONE Identity Server の管理コンソール (http://hostname:port/amconsole、たとえば http://imserver.company22.example.com:80/amconsole) にログオンします。

割り当てるポリシーの名前の横にある矢印をクリックします。そのポリシーに対する「編集」ページが、データ区画 (右下のフレーム) に表示されます。

「編集」ページの「表示」ドロップダウンリストから「サブジェクト」を選択します。

「追加」をクリックします。「サブジェクトを追加」ページが表示されます。このページには、次の利用可能なサブジェクトタイプが一覧表示されます。

Identity Server ロール

LDAP グループ

LDAP ロール

LDAP ユーザー

組織

このポリシーに合うサブジェクトタイプ (「組織」など) を選択します。

「次へ」をクリックします。

「名前」フィールドで、サブジェクトの説明を入力します。

必要であれば、「排他的」チェックボックスをオンにします。

「排他的」チェックボックスは、デフォルトでオフになっています。これは、このサブジェクトのすべてのメンバーにポリシーが適用されることを意味しています。

「排他的」チェックボックスをオンにすると、このサブジェクトのメンバー以外のすべてのユーザーにポリシーが適用されます。

「利用可能」フィールドで、このサブジェクトに追加するエントリを検索します。

探したいエントリの検索条件を入力します。デフォルトの検索条件は「*」です。この場合、そのサブジェクトタイプのすべてのサブジェクトが表示されます。

「検索」をクリックします。

「利用可能」テキストボックス内で、「選択」テキストボックスに追加したいエントリを強調表示します。

「追加」、「すべて追加」のいずれか適切なほうをクリックします。

必要なすべての名前を「選択」テキストボックスに追加し終わるまで、手順 a ～ d を繰り返します。

「作成」をクリックします。このサブジェクト案が、そのポリシーの保存サブジェクト一覧に表示されます。

「保存」をクリックします。このサブジェクト案が保存サブジェクトになります。

このポリシーに追加するすべてのサブジェクトを作成し終えるまで、手順 5 ～ 12 を繰り返します。新しいサブジェクトを作成するたびに、「保存」をクリックして変更内容をポリシーに保存してください。

アイデンティティサーバーによる新しいサブ組織の作成

Sun ONE Identity Server のサブ組織作成機能を使うと、組織的に独立した複数のユーザー群を、Sun ONE Instant Messaging Server 内に作成することができます。各サブ組織は、個別の DNS ドメインにマッピングすることが可能です。サブ組織内のエンドユーザーは、ほかのサブ組織内のエンドユーザーから完全に隔離されます。Instant Messaging の新しいサブ組織を作成するための最小限の手順を、以下に示します。

新しいサブ組織を作成するには、次の手順を実行します。

Sun ONE Identity Server の管理コンソール (http://hostname:port/amconsole、たとえば http://imserver.company22.example.com:80/amconsole) にログオンします。

新しい組織を作成します。

「アイデンティティ管理」タブが選択された状態で、ナビゲーション区画 (左下のフレーム) にある「表示」ドロップダウンリストから「組織」を選択します。

「新規」をクリックします。データ区画 (右下のフレーム) に「新規組織」ページが表示されます。

次の情報を適切なフィールドに入力します。

サブ組織名 (sub1 など)

ドメイン名 (sub1.company22.example.com など)

「作成」をクリックします。

新しく作成されたサブ組織のサービスを登録します。

ナビゲーション区画で、新しいサブ組織の名前 (sub1 など) をクリックします (ここでクリックするのは名前であり、その右側にあるプロパティ矢印ではありません)。

ナビゲーション区画の「表示」ドロップダウンリストから「サービス」を選択します。

「登録」をクリックします。「サービスを登録」ページがデータ区画に表示されます。

次のサービスを選択します。

「認証」見出しの下

コア

LDAP

「Instant Messaging サービス」見出しの下

Instant Messaging サービス

Presence サービス

「登録」をクリックします。このサブ組織用に新しく選択されたサービスが、ナビゲーション区画に表示されます。

新しく選択されたサービスのサービステンプレートを作成します。

ナビゲーション区画で、特定のサービスのプロパティ矢印をクリックします。まずは、「コア」サービスから始めます。

データ区画に「サービステンプレートの作成」ページが表示されます。.

データ区画で「作成」をクリックします。すると、「サービステンプレートの作成」ページに代わって、選択したサービスのテンプレートオプションを含むページが表示されます。

テンプレートオプションを変更しない場合でも、個々のサービスごとに「作成」をクリックする必要があります。

以下の手順に従って、各サービスのサービステンプレートのオプションを変更します。

コア : 通常の場合、オプションを変更する必要はありません。そのまま手順 d に進んでください。

LDAP : 手順 d に進む前に、次の手順を実行します。

新しいサブ組織のプレフィックスを、「ユーザー検索の開始 DN」フィールドに追加します。プレフィックス追加後の最終的な DN の形式は、次のようになります。

o=sub1,dc=company22,dc=example,dc=com

「root ユーザーバインドパスワード」、「root ユーザーバインドパスワード (確認)」の各フィールドに、LDAP パスワードを入力します。

Instant Messaging サービス : 通常の場合、オプションを変更する必要はありません。そのまま手順 d に進んでください。

Presence サービス : エンドユーザーのプレゼンス情報をほかのユーザーがデフォルトで利用できるようにしたい場合 (そのようにしたいサイトが多い)、「デフォルト Presence　表示」チェックボックスをオンにしたあとで、手順 d に進みます。

「保存」をクリックします。

すべてのサービスのサービステンプレートを作成し終わるまで、手順 a ～ d を繰り返します。

追加したエンドユーザーへのロールの割り当て

サブ組織内に新しいエンドユーザーを作成し終わったら、次にそれらのエンドユーザーにロールを割り当てる必要があります。ロールは親組織から継承できます。その方法を以下で説明します。

追加したエンドユーザーへロールを割り当てるには、次の手順を実行します。

Sun ONE Instant Messaging 6.0 サーバーの Instant Messaging サービスからの移行

移行しない場合

ユーザーのサイトで、Sun ONE Instant Messaging 6.0 サーバーと Sun ONE Identity Server 5.1 ソフトウェアを併用して Instant Messaging サービスが配備されていた場合、Sun ONE Instant Messaging 6.1 ソフトウェアはそれらの古い属性を尊重します。sunIMAllowFileTransfer や sunIMEnableModerator などといった Sun ONE Instant Messaging 6.0 サーバーのポリシー属性は、Sun ONE Instant Messaging 6.1 サーバーで設定された同じポリシー属性を上書きします。

移行する場合

ただし、2 つの Instant Messaging サービス間の相違点をより好ましいかたちで解決するには、Sun ONE Instant Messaging 6.0 ソフトウェアの Instant Messaging サービスから移行し、Sun ONE Instant Messaging 6.1 ソフトウェアの Instant Messaging サービスとプレゼンスサービスを使用する Sun ONE Identity Server ポリシーを、変更または作成する必要があります。新しいポリシーを定義する際には、古いポリシーと同等のアクセス制御をサイトに対して提供できるように配慮する必要があります。

たとえば、「Default Instant Messaging and presence access」ポリシー内の特定の規則を変更して各ポリシー属性の動作 (「許可」、「許可しない」のいずれか) を設定することで、そのポリシーの動作が、Sun ONE Instant Messaging 6.0 サーバーの場合と同じになるようにします。または、以前と同じ動作を実現する規則を含んだ、新しいポリシーを作成します。

アクセス制御ファイルの移行

ユーザーのサイトで、以前のバージョン (6.0 以前) の Sun ONE Instant Messaging Server が使用されており、かつ Instant Messaging サービスが使われていなかった場合、つまり、エンドユーザーの権限が、Sun ONE Identity Server によるポリシー管理を通じて設定されておらず、アクセス制御ファイルを編集することで設定されていた場合、アクセス制御ファイル内に設定されたポリシー情報に基づいて Sun ONE Identity Server ポリシーを作成できますが、それには次の 2 つの方法があります。

アクセス制御ファイル情報の手動移行

アクセス制御ファイル情報の自動移行

アクセス制御ファイル内の情報を手作業で移し替える代わりに、それらの情報をコマンドを使って一括移行することもできます。

このコマンドを実行すると、グローバルアクセス制御ファイル内の情報が、対応するポリシーとその関連サブジェクトへと転送されます。グローバルアクセス制御ファイルとポリシー間のマッピング一覧については、表 4-8 を参照してください。

Sun ONE Instant Messenger 設定の移行

表 4-8 アクセス制御ファイルとポリシー間のマッピング
アクセス制御ファイル	ポリシー
sysSaveUserSettings.acl	Ability to change own Instant Messaging user settings
sysTopicsAdd.acl	Ability to manage Instant Messaging news channels
sysRoomsAdd.acl	Ability to manage Instant Messaging conference rooms
sysSendAlerts.acl	Ability to send Instant Messaging alerts
sysWatch.acl	Ability to watch changes on other Instant Messaging end users
sysAdmin.acl	Ability to administer Instant Messaging and Presence Service

Sun ONE Instant Messaging 6.1 サーバーでは、iim.conf ファイルのパラメータ iim.userprops.store が ldap に設定されていると、Sun ONE Instant Messenger のエンドユーザー設定が、sunIMUserProperties ユーザー属性に格納されます。

ユーザーのサイト上で、以前のバージョンの Sun ONE Instant Messaging Server が使用されており、かつ Sun ONE Instant Messenger 設定が user.properties ファイルに格納されていた場合、Sun ONE Instant Messaging 6.1 サーバーのインストール完了後、エンドユーザーがサーバーにログオンする際に、その古い設定が sunIMUserProperties ユーザー属性へと自動的に移行されます。ただし、そうした処理が実行されるのは、iim.conf ファイル内の iim.userprops.store パラメータが ldap に設定されている場合だけです。

あるエンドユーザーが初めて Sun ONE Instant Messaging 6.1 サーバーにログオンする際、サーバーは、sunIMUserProperties ユーザー属性が存在するかどうか、存在している場合はそのエンドユーザーの設定が格納されているかを確認します。そのエンドユーザーの設定がそこに見つからなかった場合、サーバーは、そのエンドユーザーに対する user.properties ファイルが存在するかどうかを確認します。そのような user.properties ファイルが存在する場合、サーバーは、そのファイル内の情報を sunIMUserProperties ユーザー属性へと転送します。一方、そのような user.properties ファイルが存在しない場合は、デフォルトの Sun ONE Instant Messenger 設定が、そのエンドユーザーの sunIMUserProperties ユーザー属性値として設定されます。