ドメイン間検索を有効にする方法について説明します。
ここでは、ドメイン間の検索を有効にするために必要な 2 つの作業について説明します。
このドメインの検索を許可する各ドメインの LDAP エントリに 「13.3.1 このドメインの検索を許可するドメインの名前を追加する」。
このドメイン内のユーザーが予定への出席依頼を送信する場合の 「13.3.2 このドメインによって検索されるドメインの名前を追加する」。
これを実行するには、次のいずれかのツールを使用できます。ldapmodify (Schema バージョン 1 および 2)、または Delegated Administrator コンソールまたはユーティリティー (Schema バージョン 2 の場合)
各ドメインの LDAP エントリは、icsExtendedDomainPrefs 属性の domainAccess パラメータで定義されている ACE のアクセス権を指定します。外部ドメインにこのドメインの検索を許可する方法には、次の 2 種類があります。
ACI の構造について詳しくは、「1.8 Calendar Server バージョン 6.3 のアクセス制御」を参照してください。
これを実行する方法には次の 3 つがあります。
ldapmodify を使用して、icsExtendedDomainPrefs の domainAccess 設定に次の ACE 文字列を作成します。
@domain_being_allowed ^a^lsfr^g
このドメインの検索を許可するドメインを指定し、そのあとに検索を許可するための十分な権限を指定して ACE を構成します。
domainAccess プロパティーのインスタンスは 1 つしか許可されていません。ldapmodify を使用して値を変更する場合は、このプロパティーの複製を誤って作成してしまわないように注意する必要があります。
システムが ics.conf ファイルを連続して読み取り、LDAP エントリに対して最後に見つかった属性の値を使用するのとは異なり、システムは最初に見つけたインスタンスを使用します。LDAP 検索メカニズムは、エントリの内容が特定の順序で使用されることは保証していないため、古いバージョンのプロパティーが最初に取得され、Calendar Server ソフトウェアはそれ以降は確認しないこともあります。
Delegated Administrator ユーティリティーのコマンド commadmin domain modify を使用して、icsExtendedDomainPrefs 属性の domainAccess 設定を指定する ACE 文字列を追加します。
たとえば、Schema バージョン 2 環境では、次のようにして sesta.com により siroe.com からの検索が許可されます。
commadmin domain modify -D admin -w adminpassword -X hostmachine_1 -d sesta.com -A +icsextendeddomainprefs:"domainAccess=@@d^a^slfrwd^g; @siroe.com^a^lsfrwd^g;anonymous^a^r^g;@^a^s^g"
Delegated Administrator コンソールを使用すると、組織のプロパティーを作成または編集するときに、ドメインに「次の組織内のユーザーからの招待を許可する」リストを追加できます。
これにより、icsExtendedDomainPrefs 属性の domainAccess 設定が更新されます。
上に挙げた最初の 2 つの方法ではドメインに与える正確なアクセス権を指定できますが、最後の Delegated Administrator コンソールを使用する方法の場合は、管理者に同様の権限が許可されません。アクセス権の一覧が事前に設定されています。許可されているアクセス権は、空き/予定ありアクセスと、予定スケジュールアクセスです。カレンダの所有者がすべてのユーザーに対して読み取りアクセス権を設定しないかぎり、ユーザーは予定の詳細を参照できません。
すべての外部ドメインにこのドメインの検索を許可するには、次の 3 つの方法があります。
ldapmodify を使用して、icsExtendedDomainPrefs の domainAccess 設定に次の ACE 文字列を作成します。
@^a^slfr^g
すべてのドメインが検索を実行するのに十分なアクセス権を持つように指定して、ACE を構成します。
Delegated Administrator ユーティリティーのコマンド commadmin domain modify を使用して、icsExtendedDomainPrefs 属性の domainAccess 設定を指定する ACE 文字列を追加します。
たとえば、Schema バージョン 2 環境では、次のようにして sesta.com によりすべてのドメインからの検索が許可されます。
commadmin domain modify -D admin -w adminpassword -X hostmachine_1 -d sesta.com -A +icsextendeddomainprefs:"domainAccess=@@d^a^slfrwd^g; anonymous^a^r^g;@^a^slfr^g"
文字 @@d は、一次所有者のドメインを表します。
Delegated Administrator コンソールを使用すると、組織のプロパティーを作成または編集するときに、ドメインに「次の組織内のユーザーからの招待を許可する」リストを追加できます。
これにより、icsExtendedDomainPrefs 属性の domainAccess 設定が更新されます。
上に挙げた最初の 2 つの方法ではドメインに与える正確なアクセス権を指定できますが、最後の Delegated Administrator コンソールを使用する方法の場合は、管理者に同様の権限が許可されません。アクセス権の一覧が事前に設定されています。許可されているアクセス権は、空き/予定ありアクセスと、予定スケジュールアクセスです。カレンダの所有者がすべてのユーザーに対して読み取りアクセス権を設定しないかぎり、ユーザーは予定の詳細を参照できません。
ここでは、検索対象のドメイン名を追加する方法について説明します。
このドメインによって検索される外部ドメインを追加するには、次の 3 つの方法があります。
ldapmodify を使用して、このドメイン内のユーザーが検索することのできる外部ドメインごとに 1 つの icsDomainNames インスタンスを追加します。
たとえば、ドメイン間の検索を行う場合、sesta.com は siroe.com と example.com の両方を検索します。ldapmodify (Schema バージョン 1 または Schema バージョン 2 用) を使用して、次の LDIF を作成します。
dn: dc=sesta, dc=com, o=internet changetype: modify add: icsDomainNames icsDomainNames:siroe.com icsDomainNames:example.com
Delegated Administrator ユーティリティーのコマンド commadmin domain modify を使用して、検索対象ドメインの名前を追加するためのオプション -A を指定します。
次に例を示します。
commadmin domain modify -D admin -w adminpassword -X hostmachine_1 -d sesta.com -A +icsDomainNames:siroe.com -A +icsDomainNames:example.com
Delegated Administrator コンソールを使用すると、組織のプロパティーを作成または編集するときに、ドメインに 「カレンダを招待する組織」 リストを追加できます。
これにより、ドメインの LDAP エントリに icsDomainNames 属性が追加されます。このドメイン内のユーザーが予定への出席依頼を送信する場合は、検索対象の外部ドメインごとに 1 つの属性を追加します。
詳細は、Delegated Administrator コンソールのオンラインヘルプを参照してください。