Sun ONE Calendar Server 6.0 管理員指南 |
第 8 章
使用託管網域Sun ONE Calendar Server 6.0 支援託管 (或虛擬) 網域。在託管網域安裝中,各個網域共用同一 Calendar Server 實例,該實例允許多個網域存在於單台伺服器上。每個網域定義一個名稱空間,該名稱空間內所有使用者、群組和資源都是唯一的。每個網域還擁有您特別設定的一組性質和偏好設定。
本章描述以下主題:
託管網域總覽本節提供託管網域總覽,包括:
LDAP 目錄的組織結構
透過託管網域安裝,LDAP 目錄組織為各個不同的非交叉區段,每個區段代表網域名稱系統 (DNS) 中的一個網域。每個網域包含特有的使用者、群組和資源。識別名稱 (DN) 描述每個網域的根。
Calendar Server 6.0 (或更高版本) 支援用於託管網域的以下 LDAP 目錄綱目版本:
- Sun ONE LDAP 綱目 v.2 (相容或原生模式)
Sun ONE LDAP 綱目 v.2
圖 8-1 顯示使用 Sun ONE LDAP 綱目 v.2 的託管網域安裝之 LDAP 目錄組織結構。
圖 8-1 使用 LDAP 綱目 v.2 的 LDAP 目錄組織結構
LDAP 綱目 v.2 使用平面 LDAP 目錄組織結構。對於託管網域安裝,第一層項目 (圖中的 varriusDomain、sestaDomain 與 siroeDomain) 在目錄組織結構中必須平行。這些項目不可被嵌套。
如果要使用 Sun ONE Identity Server 功能,例如 commadmin 公用程式或單一登入 (SSO),則需要 LDAP 綱目 v.2。
Sun ONE LDAP 綱目 v.1
圖 8-2 顯示使用 Sun ONE LDAP 綱目 v.1 的託管網域安裝之 LDAP 目錄組織結構。該組織結構包含用於網域管理的兩個樹 (或節點):
DC 樹 (節點) 與 DNS 類似,DNS 可確定提供網域名稱的網域項目。inetdomainbasedn LDAP 性質指向基準 DN,基準 DN 是 OSI 樹 (節點) 中網域的使用者、資源和群組之根。在每個網域內,Calendar Server 使用者、資源和群組的識別碼都必須是唯一的。
在使用 LDAP 綱目 v.1 的託管網域安裝中,目錄搜尋需要以下兩個步驟來尋找項目:
Calendar Server 登入
對於託管網域安裝,在一個網域中每位使用者都必須有唯一的使用者 ID (uid)。請使用以下格式登入 Calendar Server:
userid[@domain-name]
如果省略 domain-name,Calendar Server 會使用 ics.conf 檔案中 service.defaultdomain 參數指定的網域名稱。因此,如果使用者要登入預設網域,僅需要 userid。
對於其目錄沒有遵循圖 8-2 所示結構的安裝,則無需 domain-name。如果指定網域名稱,則其會被忽略。
當新的使用者首次登入 Calendar Server 時,如果 local.autoprovision 設定為 "yes" (預設) 並且網域已被指定行事曆服務,則 Calendar Server 會自動佈建該使用者。登入許可權以 icsStatus 或 icsAllowedServiceAccess 性質為基礎。如需更多資訊,請參見表格 11-17。
交叉網域搜尋
依預設,使用者僅可在自己的網域內搜尋使用者與群組,以邀請其參與事件。但是,只要滿足以下需求,交叉網域搜尋就允許一個網域中的使用者在其他網域中搜尋使用者和群組:
- 每個網域可在 icsExtendedDomainPrefs 性質的 domainAccess 特性中指定存取控制清單 (ACL),以允許或拒絕從其他網域進行交叉網域搜尋。因此,網域可以允許或不允許特定網域或所有網域對其進行搜尋。如需有關 domainAccess 的說明,請參見表格 11-16。如需有關 ACL 的一般資訊,請參閱存取控制清單 (ACL)。
- 每個網域可以指定其使用者可以搜尋的外部網域。icsDomainNames LDAP 性質指定某個網域的使用者查找使用者和群組時可以搜尋的外部網域 (只要用於外部網域的 ACL 允許進行這種搜尋)。例如,如果 various.org 網域的 icsDomainNames 列出 sesta.com 和 siroe.com,various.org 中的使用者就可在 sesta.com 和 siroe.com 中執行交叉網域搜尋。如需有關 icsDomainNames 的說明,請參見表格 11-17。
若要設定 icsDomainNames 和 icsExtendedDomainPrefs LDAP 性質,請使用 Calendar Server csdomain 公用程式。如果您使用 csdomain (或其他公用程式,如 commadmin 或 ldapmodify) 新增或更新網域 LDAP 性質,請重新啟動 Calendar Server 以使新值生效。
支援 Calendar Server 老舊安裝
Calendar Server 6.0 支援現有或老舊 Calendar Server 5.x 安裝。在這種情況下,ics.conf 檔案中的以下參數必須設定為 "no":
service.virtualdomain.support = "no"
但是,您需要執行 cs5migrate 公用程式將 Calendar Server 5.x 移轉至 6.0。如需遷移資訊,請參閱「Sun ONE Calendar Server 6.0 安裝指南 (適用於 Solaris 作業系統)」。
如果決定移轉 Calendar Server 5.x 安裝以使用託管網域,您還必須執行 csvdmig 公用程式,請參閱移轉至託管網域環境,以取得更多資訊。
託管網域的建立與管理本節提供有關建立和管理託管網域的以下資訊:
執行 Directory Server 設定程序檔
Directory Server 設定 (comm_dssetup.pl) 程序檔可為 Calendar Server 6.0 (與 Messaging Server 6.0) 配置 Sun ONE Directory Server 5.x。使用 Sun Java Enterprise System 安裝程式安裝 Calendar Server 6.0 之後,在執行 Calendar Server 配置程式 (csconfigurator.sh) 之前請執行 comm_dssetup.pl。
comm_dssetup.pl 程序檔允許您選取以下選項:
- 您要用於 Calendar Server 6.0 (和 Messaging Server 6.0) 的 Directory Server 5.x 安裝目錄路徑和實例。
- 目錄管理者識別名稱 (DN)。
- 是否要將 Directory Server 5.x 用於使用者和群組。如果是,還必須為您的組織樹指定 DC 樹基準字尾以及使用者和群組基準字尾。
- 是否使用 Sun ONE LDAP 綱目 v.1 或 v.2 (相容模式或原生模式)。請參閱 LDAP 目錄的組織結構,以取得有關這些綱目的資訊。
- 根據您選取的版本來更新綱目。
- 新增 Directory Server 索引以提昇目錄搜尋的效率。
如需有關 comm_dssetup.pl 的資訊,請參閱「Sun ONE Calendar Server 6.0 安裝指南 (適用於 Solaris 作業系統)」。
建立新網域
若要建立新網域,請使用以下公用程式之一:
- Sun ONE Identity Server commadmin 公用程式 – 當您要使用 LDAP 綱目 v.2 時,用於建立與管理託管網域。如需有關 commadmin 公用程式的資訊,請參閱「Sun ONE Messaging and Collaboration 1.0 User Management Utility Installation and Reference Guide」。
- Calendar Server csdomain 公用程式 – 當您要使用 LDAP 綱目 v.1 或 LDAP 綱目 v.2 時,用於在 LDAP 目錄中建立與管理新託管網域。此公用程式允許您在 LDAP 目錄中為特定網域新增、刪除與列出 icsCalendarDomain 物件類別中的 Calendar Server 性質及其相關值。
註
僅當您不想使用 Identity Server commadmin 公用程式來管理網域時,才能使用 csdomain 建立網域。
對於 LDAP 綱目 v.1,DC 樹與 OSI 樹 (即網域指向的節點) 都必須已儲存於 LDAP 目錄伺服器中,如圖 8-2 所示。csdomain 公用程式不建立這些樹。
Calendar Server 不支援使用 Identity Server 主控台建立網域。
使用由 Messaging Server 建立的網域
如果 Sun ONE Messaging Server 已建立一個託管網域,Calendar Server 可以佈建該網域中的使用者。若要使用由 Sun ONE Messaging Server 建立的網域,請執行以下步驟:
- 新增 icsCalendarDomain 物件類別至目錄伺服器中的 o=internet 網域項目,並在您的 Calendar Server 使用者各自的網域中設定網域項目。此外,設定 icsStatus 為「active」,設定 domainAccess 為您要用於存取控制的 ACL。如需範例,請參見程式碼範例 8-1。
若要修改 LDAP 目錄,請使用 Directory Server ldapmodify 工具。如需有關使用 ldapmodify 的資訊,請參閱「Sun ONE Directory Server Resource Kit 5.2 Tools Reference」。
- 如果要從 Calendar Server 5.x 移轉,請執行以下公用程式 (如果您尚未執行它們):
如需有關執行遷移公用程式的資訊,請參閱「 Sun ONE Calendar Server 6.0 安裝指南 (適用於 Solaris 作業系統)」。
設定網域特定性質與偏好設定
每個網域都有一組您可以使用 csdomain 公用程式或 commadmin 公用程式來設定的性質與偏好設定。這些性質是 icsCalendarDomain 物件類別的一部分。這些性質包括偏好設定,例如存取權、存取控制清單 (ACL)、網域搜尋、網域搜尋存取權、使用者狀態以及代理登入。如需完整清單,請參見 csdomain 公用程式說明下的各表格:
佈建新的 Calendar Server 使用者
當新的使用者首次登入 Calendar Server 時,如果滿足 Calendar Server 登入所述的特定需求,系統會自動佈建該使用者。新的使用者必須具有 LDAP 使用者 ID 與密碼以進行登入。
若要在某個網域中佈建新的 Calendar Server 使用者,請使用以下公用程式之一:
- Calendar Server csuser 公用程式。
- Identity Server commadmin 公用程式。如需有關 commadmin 公用程式的資訊,請參閱「Sun ONE Messaging and Collaboration 1.0 User Management Utility Installation and Reference Guide」。
使用 Calendar Server 公用程式管理網域
請使用以下 Calendar Server 指令行公用程式管理託管網域安裝中的網域。每個公用程式都允許您納入 -d domain 選項,以對特定目標網域進行運作。
- 當您使用 LDAP 綱目 v.1 或 v.2 時,csdomain 可在 LDAP 目錄中為網域管理 Calendar Server LDAP 性質。您可以在 LDAP 目錄中建立新網域,還可以在 LDAP 目錄中為網域新增、刪除以及列出 LDAP 性質。如需更多資訊,請參閱建立新網域。
- csuser 可管理網域中的 Calendar Server 使用者。
- csresource 可管理網域中的 Calendar Server 資源行事曆。
- cscal 可管理網域中的行事曆及其特性。
- csattribute 可在 LDAP 伺服器中為網域管理 Calendar Server LDAP 性質。
託管網域配置參數表格 8-1 描述 ics.conf 檔案中用於託管網域支援的配置參數。如果以下任一參數不在 ics.conf 檔案中,請新增該參數及其相關值至檔案,然後重新啟動 Calendar Server 以使這些值生效。
表格 8-1 用於託管網域支援的配置參數
參數
說明
service.virtualdomain.support
啟用 ("y") 或停用 ("n") 對託管 (虛擬) 網域模式的支援。預設為 "n"。
local.schemaversion
指定 LDAP 綱目的版本:
- "1" = Sun ONE LDAP 綱目 v.1. 另請參見 service.dcroot。
- "2" = Sun ONE LDAP 綱目 v.2. 另請參見 service.schema2root。
預設為 "1"。
service.dcroot
在 LDAP 目錄中指定 DC 樹的根字尾 (如果 local.schemaversion = "1")。
例如:"o=internet"。
在託管 (虛擬) 網域模式中,Calendar Server 使用 service.dcroot 參數而非 local.ugldapbasedn 與 local.authldapbasedn 參數。
相反,在非託管 (虛擬) 網域模式中,Calendar Server 使用 local.ugldapbasedn 與 local.authldapbasedn 參數而非 service.dcroot 參數。
service.schema2root
指定所有網域所在的根字尾 (如果 local.schemaversion = "2")。
例如:"o=sesta.com"。
service.defaultdomain
指定該 Calendar Server 實例的預設網域。登入期間未提供網域名稱時使用。
例如:"sesta.com"。
service.loginseparator
指定 Calendar Server 剖析 "userid[login-separator]domain" 時用於 login-separator 的分隔字元字串。Calendar Server 會依次嘗試每個分隔字元。
預設為 "@+"。
service.siteadmin.userid
指定網域管理員的使用者 ID。
例如:DomainAdmin@sesta.com。
service.virtualdomain.scope = "select"
控制交叉網域搜尋:
預設為 "select"。
local.domain.language
指定網域語言。預設為 "en" (英文)。
使用 WCAP 指令如果您的站台被配置為用於託管網域,則必須在所有 WCAP 指令中使用網域名稱完全限定每個行事曆 ID (calid) 和使用者 ID。例如:jsmith@sesta.com。
遷移至託管網域環境若要移轉站台以使用託管網域,請使用 csvdmig 公用程式。此公用程式可透過指定網域名稱給每個行事曆 ID (calid) 來修改行事曆資料庫和 LDAP 目錄。
小心 執行 csvdmig 之前,請先洽詢您的 Sun Microsystems 技術支援人員或銷售客戶代表,以確保您使用的為最新版本的公用程式。
Calendar Server 6.0 不支援同一伺服器上 Calendar Server 的多個實例。
如果您的站台目前被配置用於 Calendar Server 的多個實例或有限虛擬網域模式,請聯絡您的 Sun Microsystems 銷售客戶代表,以取得對您遷移需求的評估。
csvdmig 遷移公用程式執行以下變更:
如需有關執行 csvdmig 的資訊,請參閱「Sun ONE Calendar Server 6.0 安裝指南 (適用於 Solaris 作業系統)」。
除了遷移之外,您還必須執行以下工作:
- 在 ics.conf 檔案中將 service.virtualdomain.support 設定為 "yes"。
- 根據您使用的綱目設定目錄伺服器組織。請參閱 LDAP 目錄的組織結構。
- 在目錄伺服器中新增 icsCalendarDomain 物件類別至 o=internet 網域項目。請參閱使用由 Messaging Server 建立的網域。
- 在 Calendar Server 使用者各自的網域中設定網域項目。然後,設定 icsStatus 為「active」,設定 domainAccess 為您要用於存取控制的 ACL。
如需最新資訊,請參閱以下說明文件網站上的版本說明:
http://docs.sun.com/coll/S1_CalendarServer_60