Communications Services Delegated Administrator 实用程序和控制台允许您在由 Communications Services 应用程序(例如 Messaging Server 和 Calendar Server)使用的 LDAP 目录中置备用户、组、域和资源。
本章将介绍以下主题:
使用 Delegated Administrator,您可以向有权管理 LDAP 目录中的指定组织的低级别管理员分配置备任务。委托用户进行管理这一功能具有以下优点:
使多个管理员共同分担可能较费时的置备大型目录的责任。对于包含成千上万个用户的目录,可以让数十或数百个管理员来管理其中的各个组织。
使您可以在目录结构中创建一些组织并将它们作为明确的(或独特的)单元来管理和置备。这些组织包含的用户可以是与客户业务有关的人员,也可以是公司各个部门或其他团体的成员。
Delegated Administrator 提供了两个界面,用于在目录中置备用户和组织:
下面几节对这两个界面进行了概括介绍。
Delegated Administrator 实用程序是一组用于置备 Messaging Server 和 Calendar Server 组织、用户、组和日历资源的命令行工具。
Delegated Administrator 实用程序提供的命令行功能在早期版本的 Communications Services 产品(Messaging Server 6 2005Q1 和 Calendar Server 6 2005Q1)中已提供。Delegated Administrator 实用程序没有提供命令来创建本书所介绍的服务提供商职责和组织。要创建和管理这些新的职责和组织,必须使用 Delegated Administrator 控制台。
可以使用 commadmin 命令来调用该实用程序。
有关 commadmin 实用程序中可用的语法和选项的信息,请参见第 5 章,命令行实用程序
Delegated Administrator 控制台是一个用于置备 Messaging Server 和 Calendar Server 组织、用户、组和日历资源的图形用户界面 (Graphical User Interface, GUI)。
有关如何使用该控制台的信息,请参见 Delegated Administrator 控制台联机帮助。
Delegated Administrator 使您能够通过修改 LDAP 目录来置备用户。您并不需要直接修改该目录。但是,理解添加到该目录中的用户条目和高级节点的 Delegated Administrator 属性将会有所帮助。
有关支持 Delegated Administrator 的 LDAP 模式对象类和属性的信息,请参见Sun Java System Communications Services Schema Reference 中的第 5 章 "Communications Services Delegated Administrator Classes and Attributes (Schema 2)"。
根据业务需要,您可以创建简单目录结构并由单个管理员进行管理,也可以创建多层目录结构并将置备和管理任务委托给低级别管理员。
本节将介绍复杂程度依次提高的三种方案,然后介绍 Delegated Administrator 提供的可满足这些方案的要求的管理员职责和目录结构。
在此方案中,公司或组织可包含数百或数千个员工或用户。所有用户都被分到单个组织中。由单个管理员查看和管理整个组。不存在管理任务委托情况。
图 1–1 显示了单个组织、单层结构中的管理员职责示例。
在单层结构中,管理员被称为顶级管理员 (Top-Level Administrator, TLA)。
在图 1–1 所示的示例中,TLA 直接管理和置备用户(User1、User2,一直到 Usern)。
如果您的目录中只有一个组织,则只需要 TLA 这一个管理员。
有关详细信息,请参见以下各节:
在此方案中,一个大公司(例如某个 Internet 服务提供商 [Internet Service Provider, ISP])为多项业务提供服务。每一项业务具有各自的独特域,其中可能包含数千或数万个用户。
此方案并不是靠单个顶级管理员 (Top-Level Administrator, TLA) 来管理和置备所有域,而是允许将任务委托给低级别管理员。
在两层结构中,目录中包含多个组织。针对每个托管域,会创建一个单独的组织。
每个组织被指派给一个组织管理员 (Organization Administrator, OA)。每个 OA 负责所辖组织中的用户。OA 不能查看或修改该 OA 所辖组织以外的目录信息。
图 1–2 显示了两层结构中的管理员职责示例。
在图 1–2 所示的示例中,TLA 可创建和管理 OA1、OA2,一直到 OAn。每个 OA 管理一个组织中的用户。
如果您的目录中需要多个组织,则应当创建 TLA 和 OA 来管理各个组织及其用户。
有关详细信息,请参见以下各节:
在此方案中,一个公司(例如某个 ISP)为数百或数千项小业务提供服务,每一项业务都需要具有各自的组织。
ISP 可支持数百万需要邮件服务的最终用户。此外,ISP 还可能与管理最终用户业务的第三方转售商合作。
目录中每天可能会增加许多新的组织。
在两层结构中,TLA 将必须一一创建所有这些新组织。
而在三层结构中,则可以将管理任务委托给二级管理员。这种二级委托可以使得对大型 LDAP 目录所支持的大型客户库的管理容易一些。
为支持此分层结构,Delegated Administrator 引入了一个新的职责,服务提供商管理员 (Service Provider Administrator, SPA)。
SPA 的权力范围介于顶级管理员 (Top-Level Administrator, TLA) 与组织管理员 (Organization Administrator, OA) 的权力范围之间。
图 1–3 显示了三层结构中的管理员职责示例。
在三层结构中,TLA 可将管理权委托给服务提供商管理员 (Service Provider Administrator, SPA)。SPA 可以针对新客户创建下属组织并指派组织管理员 (Organization Administrator, OA) 来管理这些组织中的用户。
如果您需要的多个组织自身划分为各个子组或组织,那么您可以使用三层结构,从而可以实现 TLA、SPA 和 OA 职责。
有关 SPA 职责的信息,请参见附录 A,服务提供商管理员和服务提供商组织。
本节将显示可实现单层和两层结构的示例目录信息树,然后介绍可以由顶级管理员和组织管理员执行的任务。
当您通过运行配置程序 config-commda 对 Delegated Administrator 进行了配置后,就创建了顶级管理员 (Top-Level Administrator, TLA) 和默认组织。
默认情况下,配置程序将默认组织放置在根后缀下。
目录信息树的外观将类似于图 1–4 中所示的示例。
图 1–4 显示了一个按单层结构(默认配置)组织的示例目录信息树。
当运行配置程序 config-commda 时,您可以选择在根后缀处而不是在根后缀之下创建默认组织。有关配置的详细信息,请参见第 3 章,配置 Delegated Administrator中的配置 Delegated Administrator 服务器。
在这种情况下,目录信息树的外观将类似于图 1–5 中所示的示例。
但是,如果您在根后缀处创建默认组织,这种 LDAP 目录配置不支持多个托管域。要支持托管域,默认组织必须位于根后缀下。
图 1–5 显示了一个单层结构示例,其中,默认组织创建在根后缀处。
使用 config-commda 程序对 Delegated Administrator 进行了配置后,TLA 就可以创建其他组织,如图 1–6 中所示。
图 1–6 显示了一个按两层结构组织的示例目录信息树。
创建、删除和修改组织。
在图 1–6 所示的示例中,TLA 可以修改或删除 siroe.com 或 sesta.com,并且可以创建其他组织。
请注意,在此例中,两个组织也是两个独特(托管)域。
创建、删除和修改用户。
创建、删除和修改组。
创建、删除和修改日历资源。
将 OA 职责指派给用户。例如,TLA 可以将 OA 职责指派给 siroe.com 组织中的用户 johna。
TLA 还可以撤消某个用户的 OA 职责。
将 TLA 职责指派给其他用户。TLA 还可以撤消某个用户的 TLA 职责。
将服务包指派给组织。
有关服务包的信息,请参见本概述后面的服务包。
TLA 可以将指定类型的服务包指派给一个组织,并且可以确定可用于该组织的每种服务包的最大数量。
例如,TLA 可以指派以下服务包:
在 siroe.com 组织中:
1,000 个 gold 包
500 个 platinum 包
在 sesta.com 组织中:
2,000 个 silver 包
1,500 个 gold 包
100 个 platinum 包
TLA 可以通过使用 Delegated Administrator 控制台或通过执行 Delegated Administrator 实用程序 (commadmin) 命令来执行上述任务。
有关 commadmin 命令的说明,请参见第 5 章,命令行实用程序中的表 5–1。
创建、删除和修改用户。
在图 1–6 所示的示例中,如果在 siroe.com 组织中将 OA 职责指派给用户 johna,则 johna 就可以管理 siroe.com 中的用户。
创建、删除和修改组。
创建、删除和修改日历资源。
将 OA 职责指派给其他用户。
为用户指派和撤消服务包。
OA 不能对其所辖组织以外的用户、组或资源执行这些任务中的任何一项。
例如,在图 1–6 中,如果 johna 是 siroe.com 的 OA,那么 johna 不能管理 sesta.com 中的用户、组或资源。
OA 可以通过使用 Delegated Administrator 控制台或通过执行 Delegated Administrator 实用程序 (commadmin) 命令来执行上述任务。
有关可供 OA 使用的 commadmin 命令的说明,请参见第 5 章,命令行实用程序中的表 5–1。
Communications Services Delegated Administrator 用于在 LDAP Schema 2 目录中置备用户。
早期版本的 Messaging Server(使用 LDAP Schema 1 目录)的用户可能使用过 iPlanet Delegated Administrator 这种已过时的工具。如果您仍使用 Schema 1 目录,则应使用 iPlanet Delegated Administrator 来置备用户。
iPlanet Delegated Administrator 用于管理员职责的术语与 Communications Service Delegated Administrator 当前所用的术语稍有不同。
表 1–1 列出并定义了每个 Delegated Administrator 版本中的管理员职责。
表 1–1 iPlanet Delegated Administrator 与 Communications Services Delegated Administrator 中的管理员职责
iPlanet Delegated Administrator
|
Communications Services Delegated Administrator 实用程序
|
Communications Services Delegated Administrator 控制台 |
定义
|
---|---|---|---|
站点管理员 |
顶级管理员 (Top-Level Administrator, TLA) |
顶级管理员 (Top-Level Administrator, TLA) |
管理 Delegated Administrator 所支持的整个目录,包括组织和用户*。 |
(无) |
(此版本中没有这一项) |
服务提供商管理员 (Service Provider Administrator, SPA) |
管理提供商组织、提供商组织下承担部分或全部业务的商业组织以及这些商业组织中的用户。 |
域管理员 |
组织管理员 (Organization Administrator, OA) |
组织管理员 (Organization Administrator, OA) |
管理一个组织及该组织中的用户。 |
* 在此版本的 Delegated Administrator 中,TLA 不能在提供商组织下创建提供商组织或业务组织。 |
服务包由 LDAP 目录中的服务级别机制实现。此机制使您可以在配置 Delegated Administrator 时为目录中安装的预定义属性设置值。服务包会将服务的特征添加到用户或组条目。
Delegated Administrator 提供了服务级别模板样例。
您也可以创建自己的服务包。
在 Delegated Administrator 控制台中,您可以将样例包和您自己的包指派给用户或组。
服务包包括以下组件:
Access Manager 服务
服务束(邮件服务和/或日历服务)
LDAP 对象(用户或组)
对于每一种服务定义,Delegated Administrator 都会自动提供 Access Manager 服务。当您将服务包指派给用户或组后,Delegated Administrator 会从服务定义中获取 Access Manager 对象类和属性,并将它们添加到 LDAP 条目。
请勿更改或删除任何服务包的 Access Manager 部分。
创建服务包后,您可以配置其服务束和 LDAP 对象。
Delegated Administrator 提供了两种服务:邮件服务和日历服务。
一个服务包可捆绑一项或多项服务,以及与该服务关联的一组属性。因此,单个服务包可以包含以下服务组合:
仅邮件服务
仅日历服务
邮件服务和日历服务
只有邮件服务的服务级别定义中才有 LDAP 属性。日历服务没有与此关联的属性。
服务包要么是为用户定义的,要么是为组定义的。您不能将同一个服务包同时指派给用户和组。
Delegated Administrator 提供的服务包包含以下服务束和 LDAP 对象:
用户邮件服务
用户日历服务
用户邮件服务和日历服务
组邮件服务
只能将邮件服务指派给组。在此版本的 Delegated Administrator 中,组不能使用日历服务。
在 Delegated Administrator 中,组是 LDAP 目录中的条目,它由一组用户组成。组的特征不会传递给该组的成员用户。例如,当您将服务包指派给某个组时,该组的成员用户不会继承服务包的属性。
将邮件服务包指派给某个组后,该组就成为一个由 Messaging Server 使用的邮递列表。
配置 Delegated Administrator 时,您可以选择安装一组预定义的服务级别模板样例。Delegated Administrator 控制台将显示这些模板。
(当您运行配置程序时,请选择服务包和组织样例面板中的装入服务包样例。)配置程序会将 cos.sample.ldif 文件添加到 LDAP 目录。
您可以使用模板样例向用户和组提供服务和邮件属性。有关模板及其属性值的列表,请参见服务级别模板样例。
图 1–7 显示了用户服务包模板。
图 1–8 显示了组服务包模板。
在 Delegated Administrator 控制台中,可执行以下服务包任务:
将服务包分配给组织。通过将部分(或全部)包分配给某个组织,将使这些包可供该组织中的用户或组使用。
对于每种包类型,可分配指定数量的包。
例如,可以为 ABC 组织分配 5000 个 gold 服务包、10000 个 venus 服务包和 500 个 atlantic 服务包。
将服务包指派给用户。
将服务包指派给组。
可以将多个服务包指派给一个用户或组。
将服务包指派给某个用户或组后,该服务包中的所有属性和值会自动被指派给该用户或组。
要仅将日历服务指派给用户,请使用 standardUserCalendar 服务包。日历服务不具有关联属性。
指派 standardUserCalendar 服务包等同于使用 commadmin user create 或 commadmin user modify 命令中的 -s cal 选项。
有关如何分配和指派服务包的说明,请参见 Delegated Administrator 控制台联机帮助。
本章中介绍的服务级别模板只是作为示例。您很可能会需要创建自己的服务包,以使其带有的属性值与您的安装中的用户和组相应。
要创建自己的服务包,您可以使用存储在 da.cos.skeleton.ldif 文件中的服务级别模板。此文件是专门为用作编写服务包时的模板而创建的。对 Delegated Administrator 进行配置后,它并不安装在 LDAP 目录中。
您可以复制和编辑 da.cos.skeleton.ldif 文件并使用一个 LDAP 目录工具(例如 ldapmodify)在目录中安装自定义的服务级别模板。
Delegated Administrator 控制台会将您的自定义模板与示例模板一起显示。在该控制台中,服务级别模板被称为服务包。当您可以将服务包指派给用户或组时,Delegated Administrator 会用完整的服务包(包括 Access Manager 服务)来填充该用户或组 LDAP 条目。
有关使用 da.cos.skeleton.ldif 文件来配置您自己的服务包的说明,请参见第 3 章,配置 Delegated Administrator中创建服务包。
您可以通过将任何属性添加到定义条目来扩展 Delegated Administrator 服务包的定义。
但是,在此版本的 Delegated Administrator 中,控制台仅允许您查看 Delegated Administrator 配置好后所提供的预定义属性。Delegated Administrator 控制台不会显示您添加到服务包定义的任何属性。
此外,在此版本中,您也不应从 Delegated Administrator 提供的服务级别定义中删除预定义属性。
使用 Delegated Administrator 将服务包指派给某个用户或组后,单个属性 (inetCOS) 会被添加到 LDAP 目录中的该用户或组条目。inetCOS 属性的值会将整个服务包(包括服务和与其关联的属性)指派给该用户或组。(inetCOS 是一个多值属性。)
例如,假设您将 platinum 包指派给某个用户。以下属性会被添加到该用户条目:
inetCOS: platinum
platinum 包将向该用户提供邮件服务。此包还包含以下邮件属性值。因此,指派 platinum 包等同于将以下属性添加到用户条目:
mailMsgMaxBlocks: 800 mailQuota: 10000000 mailMsgQuota: 6000 mailAllowedServiceAccess: +imaps:ALL$+pops:ALL$+smtps:ALL$+http:ALL |
Access Manager 服务定义提供了邮件服务和/或日历服务所需的对象类和属性。当您指派服务包时,Delegated Administrator 会将这些对象类和属性添加到用户或组条目。
这些模板包含在 cos.sample.ldif 文件中。
邮件服务包括针对邮件用户定义的 LDAP 属性。表 1–2 中定义了这些属性。
表 1–2 可以在服务包中使用的邮件服务属性
属性 |
定义 |
---|---|
可以发送给用户或组的最大消息的大小,以 MTA 块为单位。 |
|
一种过滤器,用于指定哪些客户机可以访问特定的服务。例如:+imap:ALL$+pop:ALL$+smtp:ALL$+http:ALL |
|
允许向某一用户发送的最大消息数量(包括所有用户文件夹)。 |
|
允许该用户的邮箱占用的磁盘空间(以字节为单位)。 |
有关这些属性的详细信息,请参见Sun Java System Communications Services Schema Reference 中的第 3 章 "Messaging Server and Calendar Server Attributes"。
mailMsgMaxBlocks: 800 mailquota: 10000000 mailmsgquota: 6000 mailAllowedServiceAccess: +imaps:ALL$+pops:ALL$+smtps:ALL$+http:ALL daServiceType: mail user |
mailMsgMaxBlocks: 700 mailquota: 8000000 mailmsgquota: 3000 mailAllowedServiceAccess: +imaps:ALL$+pops:ALL$+smtps:ALL$+http:ALL daServiceType: mail user |
mailMsgMaxBlocks: 300 mailquota: 6291456 mailmsgquota: 2000 mailAllowedServiceAccess: +pop:ALL$+imap:ALL$+smtp:ALL$+http:ALL daServiceType: mail user |
mailMsgMaxBlocks: 700 mailquota: 5242288 mailmsgquota: 3000 mailAllowedServiceAccess: +pop:ALL$+imap:ALL$+smtp:ALL$+http:ALL daServiceType: mail user |
mailMsgMaxBlocks: 600 mailquota: 1048576 mailmsgquota: 2000 mailAllowedServiceAccess: +pops:ALL$+smtps:ALL$+http:ALL daServiceType: mail user |
mailMsgMaxBlocks: 600 mailquota: 2097152 mailmsgquota: 2000 mailAllowedServiceAccess: +pop:ALL$+smtp:ALL$+http:ALL daServiceType: mail user |
mailMsgMaxBlocks: 5000 mailquota: 3145728 mailmsgquota: 3000 mailAllowedServiceAccess: +imaps:ALL$+smtps:ALL$+http:ALL daServiceType: mail user |
mailMsgMaxBlocks: 3000 mailquota: 4194304 mailmsgquota: 2000 mailAllowedServiceAccess: +imap:ALL$+smtp:ALL$+http:ALL daServiceType: mail user |
没有预定义服务级别模板来提供日历服务和包含属性值。日历服务不具有关联属性。
因为不存在模板样例,所以 Delegated Administrator 会不使用模板而直接根据用户日历服务级别定义来生成默认服务包。其名称与服务级别定义的名称相同:standardUserCalendar。
此服务包仅提供日历服务。
以下模板样例对邮件服务和日历服务均适用。
mailMsgMaxBlocks: 800 mailquota: 10000000 mailmsgquota: 6000 mailAllowedServiceAccess: +imaps:ALL$+pops:ALL$+smtps:ALL$+http:ALL daServiceType: mail user daServiceType: calendar user |
mailMsgMaxBlocks: 700 mailquota: 8000000 mailmsgquota: 3000 mailAllowedServiceAccess: +imaps:ALL$+pops:ALL$+smtps:ALL$+http:ALL daServiceType: mail user daServiceType: calendar user |
mailMsgMaxBlocks: 300 mailquota: 6291456 mailmsgquota: 2000 mailAllowedServiceAccess: +pop:ALL$+imap:ALL$+smtp:ALL$+http:ALL daServiceType: mail user daServiceType: calendar user |
mailMsgMaxBlocks: 700 mailquota: 5242288 mailmsgquota: 3000 mailAllowedServiceAccess: +pop:ALL$+imap:ALL$+smtp:ALL$+http:ALL daServiceType: mail user daServiceType: calendar user |
mailMsgMaxBlocks: 800 daServiceType: mail group |
mailMsgMaxBlocks: 900 daServiceType: mail group |
mailMsgMaxBlocks: 1000 daServiceType: mail group |
mailMsgMaxBlocks: 1200 daServiceType: mail group |
此版本的 Delegated Administrator 为每种服务包提供了一种服务级别定义:
用户邮件服务
用户日历服务
用户邮件服务和日历服务
组邮件服务
当您对 Delegated Administrator 进行了配置,服务级别定义就会安装在目录中。
在每个定义中,daServiceType 属性通过以下语法确定了服务包的类型:
daServiceType: <service type> <target>
其中 service type 为邮件服务、日历服务或邮件和日历服务,target 为用户或组。
用户邮件服务是在称为 standardUserMail 的服务级别定义中的:
# # Definition for user mail service bundle # dn: cn=standardUserMail,<ugldapbasedn> changetype: add objectclass: top objectclass: LDAPsubentry objectclass: extensibleObject objectclass: cosSuperDefinition objectclass: cosClassicDefinition cosTemplateDn: o=cosTemplates,<ugldapbasedn> cosSpecifier: inetCos cosAttribute: mailAllowedServiceAccess cosAttribute: mailMsgMaxBlocks cosAttribute: mailquota cosAttribute: mailmsgquota daServiceType: mail user NOTE: When the Delegated Administrator configuration program installs the standardUserMail definition in the directory, the variable <ugldapbasedn>, shown above, is replaced by your root suffix (such as o=usergroup).
daServiceType 属性将此定义为用户邮件服务。
用户日历服务是在称为 standardUserCalendar 的服务级别定义中定义的:
# # Definition for user calendar service bundle # dn: cn=standardUserCalendar,<ugldapbasedn> changetype: add objectclass: top objectclass: LDAPsubentry objectclass: extensibleObject objectclass: cosSuperDefinition objectclass: cosClassicDefinition cosTemplateDn: o=cosTemplates,<ugldapbasedn> cosSpecifier: inetCos cosAttribute: icsPreferredHost cosAttribute: icsDWPHost cosAttribute: icsFirstDay daServiceType: calendar user NOTE: When the Delegated Administrator configuration program installs the standardUserCalendar definition in the directory, the variable <ugldapbasedn>, shown above, is replaced by your root suffix (such as o=usergroup).
daServiceType 属性将此定义为用户日历服务。
请注意,日历服务定义还包括日历属性,例如 icsPreferredHost。
但是 Delegated Administrator 没有提供为这些属性指定值的服务包模板。Delegated Administrator 控制台提供了一个仅带有日历服务的服务包:standardUserCalendar 服务包。此包不包含日历属性。
用户邮件服务和日历服务是在称为 standardUserMailCalendar 的服务级别定义中定义的:
# # Definition for user mail and user calendar service bundle # dn: cn=standardUserMailCalendar,<ugldapbasedn> changetype: add objectclass: top objectclass: LDAPsubentry objectclass: extensibleObject objectclass: cosSuperDefinition objectclass: cosClassicDefinition cosTemplateDn: o=cosTemplates,<ugldapbasedn> cosSpecifier: inetCos cosAttribute: icsPreferredHost cosAttribute: icsDWPHost cosAttribute: icsFirstDay cosAttribute: icsQuota cosAttribute: mailAllowedServiceAccess cosAttribute: mailMsgMaxBlocks cosAttribute: mailquota cosAttribute: mailmsgquota daServiceType: calendar user daServiceType: mail user NOTE: When the Delegated Administrator configuration program installs the standardUserMailCalendar definition in the directory, the variable <ugldapbasedn>, shown above, is replaced by your root suffix (such as o=usergroup).
两个 daServiceType 属性条目将此定义为用户日历服务和邮件服务。
组邮件服务是在称为 standardGroupMail 的服务级别定义中定义的:
# # Definition for group mail service bundle # dn: cn=standardGroupMail,<ugldapbasedn> changetype: add objectclass: top objectclass: LDAPsubentry objectclass: extensibleObject objectclass: cosSuperDefinition objectclass: cosClassicDefinition cosTemplateDn: o=cosTemplates,<ugldapbasedn> cosSpecifier: inetCos cosAttribute: mailMsgMaxBlocks daServiceType: mail group NOTE: When the Delegated Administrator configuration program installs the standardGroupMail definition in the directory, the variable <ugldapbasedn>, shown above, is replaced by your root suffix (such as o=usergroup).
daServiceType 属性将此定义为组邮件服务。
在 LDAP 目录信息树 (Directory Information Tree, DIT) 中,服务级别定义位于根后缀下一层节点中。因为它们存储在 DIT 的顶层,因此可以将服务包指派给目录中的所有用户条目。
图 1–9 显示了服务定义和服务包在 DIT 中的位置。
每种服务级别模板位于各自的节点下。因此,为用户提供邮件服务的模板位于邮件用户节点下。这种结构使 Delegated Administrator 在将服务包指派给用户或组时能够使用正确的服务级别定义(例如 standardUserMail)。
Delegated Administrator 使用典型的服务级别定义。
有关服务级别机制的详细信息,请参见 Sun Java System Directory Server 管理指南。特别请参见第 5 章“管理标识和职责”中的“定义服务级别 (Class-of-Service, CoS)”。
Sun Java System Directory Server 管理指南 中还介绍了相关的主题,例如,如果指派给用户的服务包中所定义的属性已经存在于该单个用户条目中,那么如何确定哪一个服务属性值优先。