この章では、Communications Express の設定の詳細について説明します。
Communications Express では、設定パラメータを次の各ファイルに保持しています。
uwcauth.properties ファイルには、認証、ユーザー/グループアクセス、およびシングルサインオン関連のパラメータが含まれています。uwcauth.properties ファイルは、次の場所にあります。uwc-deployed-path /WEB-INF/config/
uwcconfig.properties ファイルには、カレンダ、メール、およびアドレス帳関連の設定パラメータが含まれています。uwcconfig.properties ファイルは、次の場所にあります。uwc-deployed-path /WEB-INF/config/
db_config.properties ファイルは、アドレス帳ストア設定の詳細を定義するために使用されます。デフォルトでは、Communications Express は 2 つのタイプの db_config.properties ファイルを配備します。
個人アドレス帳ストア: 個人アドレス帳ストアの設定ファイルは、uwc-deployed-path/WEB-INF/config/ldappstore/db_config.properties にあります。
企業アドレス帳ストア: 企業アドレス帳ストアの設定ファイルは、uwc-deployed-path/WEB-INF/config/corp-dir/db_config.properties にあります。
すべての設定ファイルは ASCII テキストファイルで、各行にはパラメータとその関連する値が次の形式で定義されています。
パラメータ = 値
Communications Express の設定時にパラメータが初期化されます。インストールを終えると、テキストエディタを使用して、ファイルを編集できます。
編集権を持つユーザーでログインします。
.properties ファイルがあるディレクトリに移動します。
テキストエディタを使用してパラメータを編集します。
パラメータの表記規則は次のとおりです。
Web Server または Application Server を再起動して、新しい設定値を有効にします。
カレンダ、メール、およびアドレス帳の設定パラメータは、次の各表で説明するように変更できます。
「uwcconfig.properties ファイルでの Messenger Express のパラメータの設定」
「uwcauth.properties ファイルでの Sun Java System LDAP Schema v.1 用 Directory Server 関連のパラメータの設定」
「SSL (Secure Socket Layer) の設定」
メール、カレンダ、およびアドレス帳で設定可能なパラメータの詳細については、第 2 章「Communications Express の概要」を参照してください。
パラメータ |
デフォルト値 |
説明 |
---|---|---|
Messenger Express が配備されているかどうかを指定します。このパラメータは、設定ウィザードの実行時に設定されます。 Messenger Express が配備されると、この属性が「true」になります。 |
||
Messenger Express が配備されるマシンのホスト名を指定します。 Messenger Express のホスト名は、Web Server が配備されるマシンの名前に対応させます。 |
||
webmail.port |
Messenger Express HTTP Server が待機するポート番号を指定します。 |
認証 LDAP サーバーがユーザー/グループの LDAP と異なる場合は、表 3-2 に示すパラメータを編集できます。
表 4–2 LDAP Auth フィルタパラメータ
パラメータ |
デフォルト値 |
説明 |
---|---|---|
ldapauth.ldaphost |
LDAP ホスト値を指定します。 通常、ldapauth.ldaphost の値は ldapusersession の値と同じです。必要に応じて異なる値を設定できます。 |
|
ldapauth.ldapport |
LDAP ポート番号を指定します。 |
|
ldapauth.dcroot |
認証ツリーの DC ルートを指定します。 |
|
ldapauth.domainattr |
inetDomainBaseDN,inetDomainStatus,inetDomainSearchFilter,domainUidSeparator,preferredLanguage |
ユーザーが認証されるドメインエントリから取得する属性のリストを指定します。 |
ldapauth.domainfilter |
(|(objectclass=inetDomain)(objectclass=inetDomainAlias)) |
ドメインエントリを取得する基となるフィルタを指定します。 |
ldapauth.ldapbinddn |
認証 LDAP にバインドしているユーザーのユーザー DN を指定します。 |
|
ldapauth.ldapbindcred |
認証 LDAP にバインドしているユーザーのパスワードを指定します。 |
|
ldapauth.enablessl |
false |
認証を実行するディレクトリが SSL モードにあるかどうかを指定します。 セキュリティ保護された LDAP 接続を設定するには、デフォルト値を「true」に変更します。 |
表 4–3 LDAP ユーザーグループのパラメータ
パラメータ |
デフォルト値 |
説明 |
---|---|---|
ldapusersession.ldaphost |
ユーザー/グループの Directory Server のホスト名を指定します。 |
|
ldapusersession.ldapport |
ユーザー/グループの Directory Server のポート番号を指定します。 |
|
ldapusersession.ldapbinddn |
ユーザー/グループの Directory Server にバインドしている管理者のユーザー DN を指定します。 |
|
ldapusersession.ldapbindcred |
ユーザーツリーにバインドしている管理者のパスワードを指定します。 |
|
ldapusersession.dcroot |
Sun Java System LDAP Schema v.1 内のユーザーエントリを解決するために使用するユーザー/グループ LDAP 内のドメインコンポーネント (DC) ツリーを指定します。 |
パラメータ |
デフォルト値 |
説明 |
---|---|---|
uwcauth.identity.enabled |
Identity Server が使用可能かどうかを指定します。 Access Manager のシングルサインオンメカニズムを認証に使用する場合は、「true」を設定します。 |
|
uwcauth.identity.naming.url |
Access Manager のネーミング URL を指定します。 たとえば uwcauth.identity.naming.url= protocol://hostname:port Context URI |
|
uwcauth.identity.binddn |
amAdmin ユーザーの完全な識別名 (DN) を指定します。 例 uid=amadmin, ou=People, o=siroe.com |
|
uwcauth.identity.bindcred |
amAdmin のパスワードを指定します。 |
uwcauth.identity.enabled の値が “true” に設定されている場合は、uwcauth.identity.naming.url、uwcauth.identity.binddn、uwcauth.identity.bindcred を必ず設定する必要があります。
パラメータ |
デフォルト値 |
説明 |
---|---|---|
ldapusersession.defaultugfilter |
uid@domain |
ユーザーエントリを取得するときに使用するデフォルトフィルタの構文を指定します。 |
ldapusersession.ldappoolmin |
30 |
ユーザー/グループ LDAP 用に作成される LDAP ユーザー接続の最小数を指定します。 |
ldapusersession.ldappoolmax |
100 |
ユーザー/グループ LDAP 用に作成される LDAP ユーザー接続の最大数を指定します。 配備の要件に合った最適な値を入力します。 |
ldapusersession.lookthru_limit |
1000 |
検索の検索クエリの上限を指定します。 |
Sun Java™ System Calendar Server で、プロキシ認証と匿名アクセスが有効になっていることを確認してください。
プロキシ認証と匿名アクセスを有効にするには、カレンダ設定ファイル ics.config に次の各 Calendar Server パラメータを設定します。
service.http.allowadminproxy = ”yes”
service.http.admins = includes-the-value-specified-for- calendar.wcap.adminid-in-uwcconfig.properties.
service.admin.calmaster.userid = the-value-specified-for- calendar.wcap.adminid-in-uwcconfig.properties
service.admin.calmaster.cred = the-value-specified-for- calendar.wcap.passwd-in-uwcconfig.properties
service.wcap.anonymous.allowpubliccalendarwrite = "yes"
service.http.allowanonymouslogin = "yes"
service.calendarsearch.ldap = "no"
プロキシ認証を有効にする方法、および Calendar Server のパラメータを設定する方法については、『Sun Java System Calendar Server 管理ガイド』を参照してください。
パラメータ |
デフォルト値 |
説明 |
---|---|---|
true |
カレンダモジュールが配備されているかどうかを指定します。このパラメータは、設定ウィザードの実行時に設定されます。 カレンダが配備されている場合は、この属性を「true」に設定します。 |
|
WCAP サーバーのホスト名を指定します。 |
||
WCAP が待機するポート番号を指定します。 |
||
calendar.wcap.adminid |
WCAP サーバーの管理 ID を指定します。 |
|
WCAP サーバーの管理パスワードを指定します。 |
calendar.wcap.adminid に割り当てた Calendar Server 管理者のユーザー ID が、Calendar Server の ics.conf ファイルに指定されている service.admin.calmaster.userid 値と同じであることを確認してください。
Calendar Server の管理者ユーザー ID に対応するエントリが LDAP サーバー上に存在している必要があります。
表 3-7 は、db_config.properties ファイル内のデフォルトのアドレス帳個人ストア設定パラメータを一覧表示しています。
このファイルは次の場所にあります。
uwc-deployed-path/WEB-INF/config/ldappstore/
表 4–7 個人アドレス帳の個人ストアパラメータ
パラメータ |
デフォルト値 |
説明 |
---|---|---|
個人アドレス帳 (PAB) ストアの LDAP ホストを指定します。 |
||
ストアのポートを指定します。 |
||
個人アドレス帳ストアにバインドするために使用する DN を指定します。 ログインのタイプが「restricted」または「proxy」の場合は、この値を必ず入力する必要があります。 ログインのタイプが 「anonymous」(匿名) の場合は、このパラメータの値を入力する必要はありません。 |
||
個人アドレス帳ストアにバインドするために使用する DN のパスワードを指定します。 |
||
restricted |
LDAP ストアへの接続を保持するために使用する方法を指定します。 このパラメータには、次の 3 つのいずれかの値を割り当てることができます。 anon - 匿名ユーザーとして LDAP に接続します。 restricted - アドレス帳ストアに対する操作権限を持つユーザーとして接続します。 proxy - アドレス帳ストアを操作できるユーザーであると見せかけます。この値を指定すると、各操作で LDAP バインドをバイパスするため、パフォーマンスが向上します。 注: ここで見せかけるユーザーには、管理レベルの ACL を設定することをお勧めします。 |
|
4 |
個人アドレス帳ストア用に保持される LDAP クライアント接続の最小数を指定します。 |
|
12 |
個人アドレス帳ストア用に保持される LDAP クライアント接続の最大数を指定します。 |
|
10 |
LDAP 接続がタイムアウトするまでの秒数を指定します。大規模な検索結果に対応するには、この値を大きくします。 |
|
1000 |
検索の検索クエリの上限を指定します。 |
|
delete_perm |
true |
連絡先/グループエントリを削除用にマークするか、または完全に削除できるようにします。 連絡先/グループを削除用にマークするには、このパラメータを false に設定します。 連絡先/グループを完全に削除するには、このパラメータを true に設定します。 |
表 3-8 は、db_config.properties ファイル内のデフォルトの企業ディレクトリパラメータを一覧表示しています。デフォルトでは、すべての LDAP 関連情報は、ユーザー/グループディレクトリで説明した値を基に設定されています。
db_config.properties ファイルは次の場所にあります。
WEB-INF/config/corp-dir/
表 4–8 企業ディレクトリパラメータ
パラメータ |
デフォルト値 |
説明 |
---|---|---|
企業ディレクトリの LDAP ホストを指定します。 |
||
企業ディレクトリのポートを指定します。 |
||
企業ディレクトリにバインドするために使用する DN を指定します。 ログインのタイプが「restricted」または「proxy」の場合は、defaultserver.ldapbinddn に必ず値を割り当てる必要があります。 ログインのタイプが 「anonymous」(匿名) の場合は、このパラメータの値を入力する必要はありません。 |
||
バインドパスワードを指定します。 |
||
uid |
連絡先/グループエントリを特定するために使用する企業ディレクトリ内のキーを指定します。 entry_id には、UID か、または empid や主体 ID などの連絡先/グループ情報をフェッチするために使用するキーを設定できます。 xlate-inetorgperson.xml ファイルで、<entry entryID= “db:uid”\> の “uid” をここで指定した entry_id 値に置き換えます。 |
|
restricted |
LDAP ストアへの接続を保持するために使用する方法を指定します。 このパラメータには、次の 3 つのいずれかの値を割り当てることができます。 anon - 匿名ユーザーとして LDAP に接続します。 restricted - アドレス帳ストアに対する操作権限を持つユーザーとして接続します。 proxy - アドレス帳ストアを操作できるユーザーであると見せかけます。この値を指定すると、各操作で LDAP バインドをバイパスするため、パフォーマンスが向上します。 注: 見せかけるユーザーには、読み取り専用アクセス権が付与されます。 |
|
1 |
企業ディレクトリ用に維持される LDAP クライアント接続の最小数を指定します。 |
|
4 |
企業ディレクトリ用に維持される LDAP クライアント接続の最大数を指定します。 |
|
10 |
LDAP 接続がタイムアウトするまでの秒数を指定します。大規模な検索結果に対応するには、この値を大きくします。 |
|
1000 |
検索の検索クエリの上限を指定します。 |
企業ディレクトリには、xlate-objectclass-name.xml という形式の xlate ファイルが 2 つあります。
xlate-inetorgperson.xml - 連絡先用
xlate-groupofuniquemembers.xml - グループ用
xlate-objectclass-name.xml の場合、objectclass-name は LDAP エントリタイプを特定するオブジェクトクラスを表します。たとえば xlate-inetorgperson.xml は、連絡先を特定するために使用されるオブジェクトクラス、groupofuniquemembers は Sun Java System Directory Server 内のグループを特定するために使用されるオブジェクトクラスです。
xlate ファイルには、LDAP スキーマと、連絡先またはグループのアドレス帳 XML スキーマとの間のフィールドマッピングが含まれています。マッピングは XML ノードに関して定義されています。例
ab-xml-schema-keydb:LDAPField /ab-xml-schema-key
各表記の意味は次のとおりです。
ab-xml-schema-field は、コード内でアドレス帳が使用する値です。
LDAPField は、LDAP 内の対応するフィールド名です。
LDAPField には適切なフィールド名を指定する必要があります。LDAPField に割り当てられた値は、企業ディレクトリ LDAP スキーマ内に存在する LDAPField の値に対応していなければなりません。
コード例 3-1 は、xlate-inetorgperson.xml ファイルの例です。
<abperson uid="db:uid"\> <entry entryID="db:uid"\> <displayname\>db:cn</displayname\> <description\>db:multilineDescription</description\> <creationdate\>db:createtimestamp</creationdate\> <lastmodifieddate\>db:modifytimestamp</lastmodifieddate\> </entry\> <person\> <givenname\>db:givenname</givenname\> <surname\>db:sn</surname\> </person\> <organization\> <company\>db:company</company\> <organizationalunit\>db:ou</organizationalunit\> <location\> <building\>db:buildingnum</building\> <floor\>db:iplanetbuildinglev</floor\> <office\>db:roomNumber</office\> </location\> <title\>db:title</title\> <manager\>db:manager</manager\> <secretary\>db:secretary</secretary\> </organization\> <phone priority="1" type="work"\>db:telephoneNumber</phone\> <phone priority="2" type="fax"\>db:facsimileTelephoneNumber</phone\> <phone priority="3" type="mobile"\>db:mobile</phone\> <phone priority="4" type="home"\>db:homePhone</phone\> <phone priority="5" type="pager"\>db:pager</phone\> <email priority="1" type="work"\>db:mail</email\> <im priority="1" service="SunONE"\>db:uid</im\> <im priority="2" service="AIM"\>db:aimscreenname</im\> <im priority="3" service="ICQ"\>db:icqnumber</im\> <postaladdress type="home"\> <street\>db:homePostalAddress</street\> </postaladdress\> <postaladdress type="work"\> <street\>db:postaladdress</street\> </postaladdress\> <weburl priority="1"\> <urladdr\>db:labeleduri</urladdr\> <description\>URL</description\> </weburl\> <weburl priority="2"\> <urladdr\>db:homepage</urladdr\> <description\>Home URL</description\> </weburl\> <calendar type="calendar"\> <urladdr\>db:caluri</urladdr\> </calendar\> </abperson\> |
Communications Express が配備されている Web Server を SSL モードで設定できます。Communications Express が SSL モードで配備される Web Server を設定する方法については、Sun ONE Web Server Administrator’s Configuration File Referenceを参照してください。
uwc-deployed-path/WEB-INF/config/uwcauth.properties にある次の各設定パラメータを編集します。
Messenger Express の local.webmail.sso.uwcport パラメータ値に、Communications Express が配備される Web Server の SSL ポート番号を設定する必要があります。
例
local.webmail.sso.uwcport=Communications Express が配備される Web Server の SSL ポート番号
uwcauth.properties ファイルで、uwcauth.ssl.enabled を「false」に設定します。
uwcauth.https.port に、Communications Express が配備される Web Server の SSL ポート番号を設定します。
uwcauth.ssl.authonly を「true」に設定します。
2 つのパラメータ uwcauth.ssl.authonly と uwcauth.ssl.enabled は、互いに排他的なパラメータです。
SSL では、Messaging SSO はサポートされていません。
以前のリリースの Sun Java System Communications Express の場合、特定のドメインの個人用アドレス帳エントリは、db_config.properties ファイルに定義された defaultserver インスタンスで表現される LDAP の単一の場所に格納されていました。db_config.properties ファイルは、ドメインの personalstore.properties で示されるディレクトリ内に存在していました。たとえば、「uwc-install/WEB-INF/config/ldappstore」です。
この配備を、各個人用アドレス帳で多数のユーザーと連絡先をサポートするように拡張することはできませんでした。この制限を克服するために、Sun Java System Communications Express 6.2 では、管理者が psRoot 属性を使用して、各ユーザーの PAB データが LDAP の複数の場所に分散するようにユーザーをプロビジョニングできるようになりました。
たとえば、「ldap://mydir.com:389/piPStoreOwner=jsmith,o=siroe.com,o=PiServerDb」と指定できます。
図 3-1 は、アドレス帳サーバーの水平方向の拡張に使用されるアーキテクチャーの高レベルの概要を示しています。
アドレス帳の水平方向のスケーラビリティーアーキテクチャーの主要なコンポーネントは、次のとおりです。
個人ストア
DB
DBMap
個人ストアには、ユーザーのアドレス帳情報が保持されます。ユーザーが作成したすべてのアドレス帳の定義のほか、それらのアドレス帳内のすべてのエントリが含まれています。個人ストアは、それが格納されているディレクトリインスタンスと、その特定のディレクトリインスタンス内の DN を示す URL として表現されます。
DB には個人ストアの集合が含まれており、図 3-1 に示すように、アドレス帳サーバーは任意数の DB にアクセスできます。すべての DB は、その DB 用の接続パラメータを指定する DB ID で定義されます。各 DB のタイプは異なっていてもよく、また別の DB の場所を指すこともできます。
DBMap は、同じタイプの DB の集合です。各 DBMap には、その DBMap 用の設定情報を示す ID が割り当てられます。
psRoot は、ユーザーの LDAP 内の属性であり、ホスト、ディレクトリインスタンスのポート、およびユーザーのアドレス帳エントリがある DN を指定します。psRoot は次の形式になります。ldap://ldap_host:ldap_port/DN
psRoot 属性の値によって、DB のタイプと DB の場所が決定されます。
psRoot の例では、「ldap://mydir.com:389/piPStoreOwner=jsmith,o=siroe.com,o=PiServerDb」になっています。
「ldap://」は、ユーザーのアドレス帳個人ストアが LDAP DB プラグインを使用してアクセスされることを示しています。
「mydir.com:389」は、LDAP のホストとポートを指定しています。
「piPStoreOwner=jsmith,o=siroe.com,o=PiServerDb」は、個人ストアの DN を指定しています。
アドレス帳サーバーには、スケーラビリティーポリシーに従ってユーザーの psRoot 値を分散するためのユーティリティーは用意されていません。管理者は、組織にもっとも適した特定のポリシーを設定し、カスタムスクリプトでそのポリシー用の psRoot 値を設定する必要があります。
psRoot 属性は、ドメイン固有の personalstore.properties ファイル内にある db.UserPsRoot パラメータを使用して、有効または無効にすることができます。db_config.properties ファイル内の defaultserver パラメータを使用するには、このパラメータを “false” に設定します。ユーザーの psRoot 値を使用するには、このパラメータを「true」に設定します。psRoot で使用する各 Directory Server インスタンスには、「db_config.properties ファイルでのアドレス帳個人ストアパラメータの設定」に一覧表示されている個人ストアパラメータを指定する必要があります。実行時に、psRoot 属性の値は db-key.ldaphost と db-key.ldapport を使用して、ディレクトリインスタンスに解決されます。ここで、db-key は、各インスタンスを区別するための任意の文字列です。db-key.ldaphost と db-key.ldapport の一致がまったく発見されなかった場合は、defaultserver インスタンスが使用されます。
新規ユーザーがログインすると、ユーザーのエントリ内の psRoot 属性にデフォルト値が設定されます。
新規ユーザーの psRoot 値は、personalstore.properties ファイル内に定義されている psRoot パターンと、db_config.properties ファイル内の defaultserverhost および defaultserverPort 値を使用して作成されます。たとえば、デフォルトの psRoot パターンを使用すると、デフォルトの psRoot 値は次の形式になります。
ldap://defaultserver_host :defaultserver_port/piPStoreOwner=%U,o=%D,o=PiServerDb
各表記の意味は次のとおりです。
%U = ユーザーのログイン ID。 たとえば、「jsmith」。
%D = ユーザーのドメイン。 たとえば、「siroe.com」。