在如下计算机上安装 Communications Express 时,应该将现有的目录信息树映射到双树名称空间,以检索用户/组条目:
未安装或配置 Messaging Server
单一树名称空间结构用于检索用户/组条目
以下部分介绍了 Communications Express 如何使用双 DIT 树机制,以及现有单一树名称空间结构如何映射到双树名称空间。
目录的名称空间应包含两个目录信息树 (Directory Information Trees, DIT)、一个组织树和一个域组件树(DC 树)。组织树包含用户和组条目。DC 树镜像本地 DNS 结构,系统使用它作为包含数据条目的组织树的索引。DC 树还包含域操作参数,如特定于服务的属性。
本部分介绍 Communications Express 如何使用双 DIT 机制。
当 Communications Express 搜索用户/组条目时,它先查看 DC 树中用户/组的域节点,并提取 inetDomainBaseDN 属性的值。该属性保存对组织子树(包含实际用户/组条目)的 DN 引用。
使用这种模型,Communications Express 可以支持在任何类型的目录树中存储的条目,条件是 DC 树中的域组件节点指向可以在其下面找到该域用户的组织树节点。
此双树机制提供了以下增强功能:
对特定于组织的访问控制进行数据分区。也就是说,每个组织可以在用户和组条目所在的 DIT 中具有单独的子树。只有此部分子树中的用户能够访问该数据。
子域可以具有不同的名称空间。例如,west.siroe.com 和 siroe.com 可以映射到不同的组织子树,从而允许在这两个子树中分别创建具有相同 UID 的用户条目。
假定组织树的根后缀为:o=isp
假定当前使用的组织 DN 为 o=siroe.com,o=isp,用户容器为 ou=People,o=siroe.com,o=isp
为 DC 树创建根后缀 o=internet。
可以使用 Directory Server 控制台来创建根后缀。
在此 DC 树的根后缀下创建一个域条目,其 DN 为
dc=siroe,dc=com,o=internet。
可使用 ldapmodify 命令和以下 LDIF 来创建域条目:
请更改 LDIF 文件中提到的“组织根”、“组织名称”、“组织 DN”、“对象类”和“属性”值,以反映部署详细信息。
root suffix Organization root suffix: o=isp Organization name: siroe DNS domain name: siroe.com Origanization DN: o=siroe.com,o=isp |
邮件服务使用以下对象类和属性:
ObjectClasses: mailDomain, nsManagedDomain Attributes: mailDomainStatus, preferredMailHost, mailDomainDiskQuota, mailDomainMsgQuota mailDomainReportAddress, nsMaxDomains, nsNumUsers, nsNumDomains, nsNumMailLists |
如果不想使用邮件服务对象类和属性,请将其从 LDIF 中删除。
确保将 LDIF 中 inetDomainBaseDN 属性的值分配给组织 DN。
LDIF 文件示例
使用 ldapmodify 命令可以将 LDIF 文件条目添加到 DC 树。
dn: dc=com,o=internet dc: com objectclass: top objectclass: domain |
dn: dc=com,o=internet dc: com objectclass: top objectclass: domain dn: dc=siroe,dc=com,o=internet objectClass: top objectClass: domain objectClass: inetDomain objectClass: mailDomain objectClass: nsManagedDomain dc: siroe aci: (targetattr="icsTimeZone||icsMandatorySubscribed||icsMandatoryView| |icsDefaultAccess||icsRecurrenceBound||icsRecurrenceDate| |icsAnonymousLogin||icsAnonymousAllowWrite||icsAnonymousCalendar| |icsAnonymousSet||icsAnonymousDefaultSet||icsSessionTimeout| |icsAllowRights||icsExtended||icsExtendedDomainPrefs") (targetfilter=(objectClass=icsCalendarDomain))(version 3.0; acl "Domain Adm calendar access - product=ims5.0, class=nda,num=16,version=1"; allow (all) groupdn="ldap:///cn=Domain Administrators,ou=Groups,o=siroe.com,o=isp"; description: DC node for siroe.com hosted domain inetDomainBaseDN: o=siroe.com,o=isp inetDomainStatus: active mailDomainStatus: active preferredMailHost: mailhost.siroe.com mailDomainDiskQuota: -1 mailDomainMsgQuota: -1 mailDomainReportAddress: postmaster@siroe.com nsMaxDomains: 1 nsNumUsers: 1 nsNumDomains: 1 nsNumMailLists: 0 |