ここでは、Calendar Server 配備でのドメインを管理するうえでの概念情報を提供し、その手順について説明します。
ここでは、複数のドメインの管理に関する次の項目について説明します。
Calendar Server ドメインを管理するには 2 通りの方法があります。
次のいずれかのツールセットを使用します。
Schema バージョン 2 環境の場合は、Delegated Administrator コンソールまたはユーティリティー。
Delegated Administrator は、Java Enterprise System インストーラで個別にインストール可能なコンポーネントです。このユーティリティーについては、『Sun Java System Communications Services 6 2005Q4 Delegated Administrator Guide』を参照してください。コンソールについては、Delegated Administrator コンソールのオンラインヘルプを参照してください。
Calendar Server ユーティリティー。Schema バージョン 1 環境の場合は、csdomain および csattribute 。
Calendar Server にインストールされています。csdomain で属性を追加または削除できますが、modify コマンドはありません。既存の属性の値を変更するには、csattribute を使用します。また、csdomain で作成したドメインのオブジェクトクラスに追加や削除を行う必要がある場合には、ldapmodify を使用します。
csdomain および csattribute については、付録 D 「Calendar Server のコマンド行ユーティリティーのリファレンス」を参照してください。
特定のオブジェクトクラスおよび属性については、『Sun Java System Communications Services 6 2005Q4 Schema Reference』を参照してください。
複数ドメインの概要や、その他の入門的な内容については、第 10 章「Calendar Server 6.3 の複数ドメイン環境の設定」を参照してください。
Calendar Server は、Access Manager コンソールを使用してのドメイン管理はサポートしていません。
ここでは、Calendar Server 配備でのドメインを追加するうえでの概念情報を提供し、その手順について説明します。複数ドメインでは、いずれかのスキーマを使用できます。ただし、選択できる場合は、Schema バージョン 2 の卓越したツールセットを活用してください。
ここでは、次の内容について説明します。
Calendar Server ソフトウェアには、デフォルトで複数ドメインが有効になっています。次の ics.conf パラメータの値を変更しないでください。 service.virtualdomain.support="yes"
第 10 章「Calendar Server 6.3 の複数ドメイン環境の設定」で解説されている準備作業が完了すると、新規ドメインを追加できます。
各ドメインには、設定可能な属性とユーザー設定があります。これらの属性は、icsCalendarDomain オブジェクトクラスに属しています。属性には、アクセス権、アクセス制御リスト (ACL)、ドメイン検索、ドメイン検索のアクセス権、ユーザーの状態、プロキシログインなどのユーザー設定が含まれます。
ここでは、Schema バージョン 2 モードにドメインを追加する方法について説明します。
Delegated Administrator コンソールまたはユーティリティーのいずれかを使用できます。
コンソール: 「組織」一覧ページの「新しい組織を作成」ウィザードを使用します。
詳細は、Delegated Administrator コンソールのオンラインヘルプを参照してください。
ユーティリティー: commadmin domain create コマンドを使用します。
たとえば、ドメイン sesta.com を作成するには、次のコマンドを実行します。
commadmin domain create -D calmaster -d sesta.com -w calmasterpassword -S cal -B backend.sesta.com
Delegated Administrator ユーティリティーについては、『Sun Java System Communications Services 6 2005Q4 Delegated Administrator Guide』を参照してください。
ここでは、csdomain ユーティリティーを使用するための簡易的なサンプル例を示します。
Schema バージョン 1 でドメインを作成するには、csdomain create を使用します。たとえば、west.sesta.com を作成するには、次のコマンドを使用します。
csdomain create west.sesta.com
複数ドメインを設定する方法については、第 10 章「Calendar Server 6.3 の複数ドメイン環境の設定」を参照してください。
ドメイン間検索を有効にする方法について説明します。
ここでは、ドメイン間の検索を有効にするために必要な 2 つの作業について説明します。
このドメインの検索を許可する各ドメインの LDAP エントリに 「13.3.1 このドメインの検索を許可するドメインの名前を追加する」。
このドメイン内のユーザーが予定への出席依頼を送信する場合の 「13.3.2 このドメインによって検索されるドメインの名前を追加する」。
これを実行するには、次のいずれかのツールを使用できます。ldapmodify (Schema バージョン 1 および 2)、または Delegated Administrator コンソールまたはユーティリティー (Schema バージョン 2 の場合)
各ドメインの LDAP エントリは、icsExtendedDomainPrefs 属性の domainAccess パラメータで定義されている ACE のアクセス権を指定します。外部ドメインにこのドメインの検索を許可する方法には、次の 2 種類があります。
ACI の構造について詳しくは、「1.8 Calendar Server バージョン 6.3 のアクセス制御」を参照してください。
これを実行する方法には次の 3 つがあります。
ldapmodify を使用して、icsExtendedDomainPrefs の domainAccess 設定に次の ACE 文字列を作成します。
@domain_being_allowed ^a^lsfr^g
このドメインの検索を許可するドメインを指定し、そのあとに検索を許可するための十分な権限を指定して ACE を構成します。
domainAccess プロパティーのインスタンスは 1 つしか許可されていません。ldapmodify を使用して値を変更する場合は、このプロパティーの複製を誤って作成してしまわないように注意する必要があります。
システムが ics.conf ファイルを連続して読み取り、LDAP エントリに対して最後に見つかった属性の値を使用するのとは異なり、システムは最初に見つけたインスタンスを使用します。LDAP 検索メカニズムは、エントリの内容が特定の順序で使用されることは保証していないため、古いバージョンのプロパティーが最初に取得され、Calendar Server ソフトウェアはそれ以降は確認しないこともあります。
Delegated Administrator ユーティリティーのコマンド commadmin domain modify を使用して、icsExtendedDomainPrefs 属性の domainAccess 設定を指定する ACE 文字列を追加します。
たとえば、Schema バージョン 2 環境では、次のようにして sesta.com により siroe.com からの検索が許可されます。
commadmin domain modify -D admin -w adminpassword -X hostmachine_1 -d sesta.com -A +icsextendeddomainprefs:"domainAccess=@@d^a^slfrwd^g; @siroe.com^a^lsfrwd^g;anonymous^a^r^g;@^a^s^g"
Delegated Administrator コンソールを使用すると、組織のプロパティーを作成または編集するときに、ドメインに「次の組織内のユーザーからの招待を許可する」リストを追加できます。
これにより、icsExtendedDomainPrefs 属性の domainAccess 設定が更新されます。
上に挙げた最初の 2 つの方法ではドメインに与える正確なアクセス権を指定できますが、最後の Delegated Administrator コンソールを使用する方法の場合は、管理者に同様の権限が許可されません。アクセス権の一覧が事前に設定されています。許可されているアクセス権は、空き/予定ありアクセスと、予定スケジュールアクセスです。カレンダの所有者がすべてのユーザーに対して読み取りアクセス権を設定しないかぎり、ユーザーは予定の詳細を参照できません。
すべての外部ドメインにこのドメインの検索を許可するには、次の 3 つの方法があります。
ldapmodify を使用して、icsExtendedDomainPrefs の domainAccess 設定に次の ACE 文字列を作成します。
@^a^slfr^g
すべてのドメインが検索を実行するのに十分なアクセス権を持つように指定して、ACE を構成します。
Delegated Administrator ユーティリティーのコマンド commadmin domain modify を使用して、icsExtendedDomainPrefs 属性の domainAccess 設定を指定する ACE 文字列を追加します。
たとえば、Schema バージョン 2 環境では、次のようにして sesta.com によりすべてのドメインからの検索が許可されます。
commadmin domain modify -D admin -w adminpassword -X hostmachine_1 -d sesta.com -A +icsextendeddomainprefs:"domainAccess=@@d^a^slfrwd^g; anonymous^a^r^g;@^a^slfr^g"
文字 @@d は、一次所有者のドメインを表します。
Delegated Administrator コンソールを使用すると、組織のプロパティーを作成または編集するときに、ドメインに「次の組織内のユーザーからの招待を許可する」リストを追加できます。
これにより、icsExtendedDomainPrefs 属性の domainAccess 設定が更新されます。
上に挙げた最初の 2 つの方法ではドメインに与える正確なアクセス権を指定できますが、最後の Delegated Administrator コンソールを使用する方法の場合は、管理者に同様の権限が許可されません。アクセス権の一覧が事前に設定されています。許可されているアクセス権は、空き/予定ありアクセスと、予定スケジュールアクセスです。カレンダの所有者がすべてのユーザーに対して読み取りアクセス権を設定しないかぎり、ユーザーは予定の詳細を参照できません。
ここでは、検索対象のドメイン名を追加する方法について説明します。
このドメインによって検索される外部ドメインを追加するには、次の 3 つの方法があります。
ldapmodify を使用して、このドメイン内のユーザーが検索することのできる外部ドメインごとに 1 つの icsDomainNames インスタンスを追加します。
たとえば、ドメイン間の検索を行う場合、sesta.com は siroe.com と example.com の両方を検索します。ldapmodify (Schema バージョン 1 または Schema バージョン 2 用) を使用して、次の LDIF を作成します。
dn: dc=sesta, dc=com, o=internet changetype: modify add: icsDomainNames icsDomainNames:siroe.com icsDomainNames:example.com
Delegated Administrator ユーティリティーのコマンド commadmin domain modify を使用して、検索対象ドメインの名前を追加するためのオプション -A を指定します。
次に例を示します。
commadmin domain modify -D admin -w adminpassword -X hostmachine_1 -d sesta.com -A +icsDomainNames:siroe.com -A +icsDomainNames:example.com
Delegated Administrator コンソールを使用すると、組織のプロパティーを作成または編集するときに、ドメインに 「カレンダを招待する組織」 リストを追加できます。
これにより、ドメインの LDAP エントリに icsDomainNames 属性が追加されます。このドメイン内のユーザーが予定への出席依頼を送信する場合は、検索対象の外部ドメインごとに 1 つの属性を追加します。
詳細は、Delegated Administrator コンソールのオンラインヘルプを参照してください。