第 4 章管理使用者和群組

本章描述如何增加、刪除、修改與管理能夠存取 Proxy Server 的使用者與群組。

存取關於使用者和群組的資訊

使用 Administration Server 可以存取關於使用者帳號、群組清單、存取權限、組織單元以及其他使用者特定資訊和群組特定資訊的應用程式資料。

使用者和群組資訊儲存在文字格式的平面檔案中，或者儲存在支援 LDAP (簡易目錄存取協定) 的目錄伺服器 (如 Sun Java™ System Directory Server) 中。LDAP 是一個在 TCP/IP (傳輸控制協定/網際網路協定) 上執行的開放式目錄存取協定，可將其擴充到全域大小，包含上百萬個項目。

關於目錄服務

目錄服務使得所有使用者資訊都能夠透過單一來源進行管理。使用 Proxy Server 可以配置三種不同類型的目錄服務：LDAP、密鑰檔和摘要檔。

如果未配置任何其他目錄服務，則不管新建的第一個目錄服務類型為何，均會將其值設定為 [default]。建立目錄服務時，會以目錄服務詳細資訊更新 server_root/userdb/dbswitch.conf 檔案。

LDAP 目錄服務

密鑰檔目錄服務

摘要檔目錄服務

LDAP 目錄服務

使用 LDAP 目錄服務時，使用者與群組資訊儲存在基於 LDAP 的目錄伺服器中。

如果 LDAP 服務為預設服務，則會如以下範例所示更新 dbswitch.conf 檔案：

directory default ldap://test22.india.sun.com:589/dc%3Dindia%2Cdc%3Dsun%2Cdc%3Dcom
default:binddn cn=Directory Manager
default:encoded bindpw YWRtaW5hZG1pbg==

如果 LDAP 服務為非預設服務，則會如以下範例所示更新 dbswitch.conf 檔案：

directory ldap ldap://test22.india.sun.com:589/dc%3Dindia%2Cdc%3Dsun%2Cdc%3Dcom
ldap:binddn cn=Directory Manager
ldap:encoded bindpw YWRtaW5hZG1pbg==

密鑰檔目錄服務

密鑰檔是一個文字檔，包含雜湊格式的使用者密碼以及使用者所屬群組的清單。密鑰檔格式僅當意在使用 HTTP 基本認證時才可使用。如需關於認證方法的更多資訊，請參閱指定使用者和群組。

建立基於密鑰檔的資料庫時，會如以下範例所示更新 dbswitch.conf 檔案：

directory keyfile file
keyfile:syntax keyfile
keyfile:keyfile D:\test22\keyfile\keyfiledb

摘要檔目錄服務

摘要檔基於加密的使用者名稱和密碼儲存使用者和群組資訊。

摘要檔格式的目的是支援 HTTP 摘要認證的使用，但它同時也支援基本認證，因此可在這兩種認證方法中使用。如需關於這些方法的更多資訊，請參閱指定使用者和群組。

建立基於摘要的資料庫時，會如以下範例所示更新 dbswitch.conf 檔案：

directory digest file
digest:syntax digest
digest:digestfile D:\test22\digest\digestdb


備註	若要配置分散式管理，預設的目錄服務必須是基於 LDAP 的目錄服務。

配置目錄服務

目錄服務是在 Administration Server 的 [Global Settings] 標籤中建立與配置的。而使用者、群組和組織單元則是在 Administration Server 的 [Users and Groups] 標籤中建立與管理。

建立目錄服務

編輯目錄服務

建立目錄服務

存取 Administration Server，然後按一下 [Global Settings] 標籤。

按一下 [Configure Directory Service] 連結。

從 [Create New Service of Type] 下拉式清單選取要建立的目錄服務的類型，然後按一下 [New]。將顯示此目錄服務的配置頁面。

提供配置資訊，然後按一下 [Save Changes]。如需有關特定欄位的更多資訊，請參閱線上說明。

編輯目錄服務


備註	如果未配置任何其他目錄服務，則不管新建的第一個目錄服務類型為何，均會將其值設定為 [default]。

存取 Administration Server，然後按一下 [Global Settings] 標籤。

按一下 [Configure Directory Service] 連結。

按一下想要編輯的目錄服務的連結，進行想要的變更，然後按一下 [Save Changes]。如需有關特定欄位的更多資訊，請參閱線上說明。

瞭解辨別名稱 (DN)

Administration Server 中的 [Users and Groups] 標籤用於建立或修改使用者、群組和組織單元。使用者是 LDAP 資料庫中的個人，例如公司的員工。群組是共用某個共用屬性的兩個或更多個使用者。組織單元是組織內的分部，它使用 organizationalUnit 物件類別。本章後面對使用者、群組和組織單元有更詳盡的描述。

企業內的每個使用者和群組均由一個辨別名稱 (DN) 屬性表示。DN 屬性是一個包含所關聯使用者、群組或物件之識別資訊的文字字串。每當使用者或群組目錄項目變更時，就需要使用 DN。例如，每當建立或修改目錄項目、配置存取控制以及為應用程式 (例如郵件或出版) 配置使用者帳號時，都必須提供 DN 資訊。Proxy Server 的 [Users and Groups] 介面用來建立或修改 DN。

uid 代表使用者 ID

e 代表電子郵件地址

cn 代表使用者的一般名稱

o 代表組織

c 代表國家

DN 可以包括各種名稱-值對，它們用於識別支援 LDAP 的目錄中的憑證主體和項目。

使用 LDIF

如果目前沒有目錄，或要在現有目錄中增加新的子樹，則可以使用目錄伺服器的 LDIF (簡易目錄交換格式) 匯入功能。此功能接受包含 LDIF 的檔案，並且會嘗試使用 LDIF 項目建立目錄或新的子樹。還可以使用目錄伺服器的 LDIF 匯出功能將目前目錄匯出至 LDIF。此功能會建立一個代表您的目錄的 LDIF 格式檔案。可以使用 ldapmodify 指令行公用程式 (如果可用) 及相應的 LDIF 更新敘述來增加或編輯條目。

若要使用 LDIF 將項目增加至資料庫，請先在 LDIF 檔案中定義項目，然後從目錄伺服器匯入 LDIF 檔案。

建立使用者

Administration Server 中的 [Users and Groups] 標籤用於建立和修改使用者項目。使用者項目包含有關資料庫中個別使用者或物件的資訊。


備註	請確保使用者不會在未經授權的情況下存取資源，從而保證伺服器的安全。Proxy Server 使用基於 ACL 的授權與認證模型。如需有關基於 ACL 的安全性的更多資訊，請參閱控制對伺服器的存取。如需附加的安全性資訊，另請參閱使用憑證和密鑰。

在基於 LDAP 的認證資料庫中建立使用者

在密鑰檔認證資料庫中建立使用者

在摘要檔認證資料庫中建立使用者

在基於 LDAP 的認證資料庫中建立使用者

將使用者項目增加至基於 LDAP 的目錄服務時，會使用基於 LDAP 的基礎目錄伺服器的服務來認證和授權使用者。本節列出了在使用基於 LDAP 的認證資料庫時應該考量的指導原則，並描述了如何透過 Proxy Server Administration Server 增加使用者。

建立基於 LDAP 的使用者項目的指導原則

使用 Proxy Server 管理主控台在基於 LDAP 的目錄服務中建立新使用者項目時，請考量下列指導原則：

輸入名字和姓氏時將自動填入使用者的全名和使用者 ID。使用者 ID 由使用者名字的第一個首字母及其後跟隨的使用者姓氏構成。例如，如果使用者名稱為 Billie Holiday，則使用者 ID 自動設定為 bholiday。如果您願意，可以用自己選擇的 ID 取代此使用者 ID。

使用者 ID 必須是唯一的。Administration Server 確定使用者 ID 是否唯一的方法是，從搜尋基底 (基底 dn) 向下搜尋整個目錄，以確定此使用者 ID 是否處於使用中。但請注意，如果使用目錄伺服器的 ldapmodify 指令行公用程式 (如果可用) 建立使用者，則不能確保使用者 ID 的唯一性。如果目錄中存在重複的使用者 ID，受影響的使用者將不能認證到目錄。

基底 dn 指定的辨別名稱是依預設執行目錄查找的位置，也是目錄樹中放置所有 Proxy Server Administration Server 項目的位置。DN 是表示目錄伺服器中項目名稱的字串。

建立新的使用者項目時，必須至少指定下列使用者資訊：

姓氏

全名

使用者 ID

如果為目錄定義了任何組織單元，則可以在 Administration Server 中使用 [Create User] 頁面上的 [Add New User To] 清單指定要放置新使用者的位置。預設的位置為目錄的基底 dn (或稱根點)。

建立基於 LDAP 的使用者項目

在基於 LDAP 的認證資料庫中建立使用者

存取 Administration Server，然後按一下 [Users and Groups] 標籤。

按一下 [Create User] 連結。

從下拉式清單選取 LDAP 目錄服務，然後按一下 [Select]。

在顯示的頁面上輸入資訊。如需有關特定欄位的更多資訊，請參閱線上說明。另請參閱Directory Server 使用者項目。

按一下 [Create] 以建立使用者項目，或是按 [Create and Edit] 建立使用者項目並進入剛才建立項目的編輯頁面。

Directory Server 使用者項目

使用者項目使用 inetOrgPerson、organizationalPerson 和 person 物件類別。

依預設，使用者辨別名稱的格式如下：

cn=full name,ou=organization,...,o=base organization,c=country

使用者表單欄位上的值會以 LDAP 屬性的形式儲存。

下表列出了在 Proxy Server 介面中建立新使用者時顯示的欄位與對應的 LDAP 屬性。

表 4-1 LDAP 屬性 ─ 建立使用者項目
使用者欄位	LDAP 屬性
[Given Name]	givenName
[Surname]	sn
[Full Name]	cn
[User ID]	uid
[Password]	userPassword
[E-mail Address]	mail

下表列出了編輯使用者項目時還會顯示的欄位與對應的 LDAP 屬性。

表 4-2 LDAP 屬性 ─ 編輯使用者項目
使用者欄位	LDAP 屬性
[Title]	title
[Phone Number]	telephoneNumber

在密鑰檔認證資料庫中建立使用者

密鑰檔是一個文字檔，包含雜湊格式的使用者密碼以及使用者所屬群組的清單。

在密鑰檔認證資料庫中建立使用者

存取 Administration Server，然後按一下 [Users and Groups] 標籤。

按一下 [Create User] 連結。

從下拉式清單選取基於密鑰檔的目錄服務，然後按一下 [Select]。

在顯示的頁面中輸入資訊，然後按一下 [Create User]。如需有關特定欄位的更多資訊，請參閱線上說明。

在摘要檔認證資料庫中建立使用者

存取 Administration Server，然後按一下 [Users and Groups] 標籤。

按一下 [Create User] 連結。

從下拉式清單選取基於摘要檔的目錄服務，然後按一下 [Select]。

在顯示的頁面中輸入資訊，然後按一下 [Create User]。如需有關特定欄位的更多資訊，請參閱線上說明。



備註	使用 Proxy Server ACL 使用者介面建立使用摘要認證的 ACL 時，必須指定相同的範圍字串。如需更多資訊，請參閱設定存取控制。

管理使用者

使用者屬性透過 Administration Server 的 [Users and Groups] 標籤上的 [Manage Users] 頁面進行編輯。可以在此頁面中查找、變更、重新命名及刪除使用者項目。

尋找使用者資訊

編輯使用者項目之前，必須先依下列程序所述找出並顯示項目。

尋找使用者資訊

存取 Administration Server，然後按一下 [Users and Groups] 標籤。

按一下 [Manage Users] 連結。

從下拉式清單選取目錄服務，然後按一下 [Select]。如果是密鑰檔或摘要檔目錄服務，會顯示使用者清單。如果是基於 LDAP 的目錄服務，會顯示搜尋欄位。

查找使用者資訊︰

如果是密鑰檔或摘要檔目錄服務，請按一下使用者的連結以顯示編輯頁面並進行變更。如需有關特定欄位的更多資訊，請參閱線上說明。

如果是基於 LDAP 的目錄服務，請執行以下步驟：

在 [Find User] 欄位中，為要編輯的項目輸入描述值。可以輸入任何下列內容：

名稱。輸入完整或部分名稱。將傳回所有完全符合搜尋字串的項目。如果未找到這樣的項目，則將傳回所有包含搜尋字串的項目。如果未找到包含搜尋字串的項目，則將尋找發音類似搜尋字串的所有項目。

使用者 ID。如果僅輸入部分使用者 ID，則將傳回包含此字串的所有項目。

電話號碼。如果僅輸入部分號碼，則將傳回包含以搜尋號碼結尾的電話號碼的所有項目。

電子郵件地址。任何包含 @ 符號的搜尋字串均被假設為電子郵件地址。如果找不到完全相符項，將執行搜尋來傳回以搜尋字串開始的所有電子郵件地址。

使用星號 (*) 可以傳回目前目錄中的所有項目。將欄位保留為空白也有同樣的作用。

任意 LDAP 搜尋篩選器。任何包含等號 (=) 的字串均被視為搜尋篩選器。

也可以使用 [Find All Users Whose] 區段中的下拉式功能表來縮小搜尋結果的範圍。如需更多資訊，請參閱建立自訂搜尋查詢。

在 [Look Within] 欄位中，選取要在其下搜尋項目的組織單元。預設為目錄的根點 (最上面的項目)。

在 [Format] 欄位中，指定是將輸出設定為適於在螢幕上顯示的格式還是適於印表機列印的格式。

在此程序的任何階段中按一下 [Find] 按鈕，將顯示符合搜尋條件的所有使用者。

按一下想要顯示的項目的連結。

建立自訂搜尋查詢

對於 LDAP 服務，[Find All Users Whose] 區段讓您可以建立自訂搜尋篩選器。使用這些欄位可以縮小 [Find User] 搜尋傳回的搜尋結果的範圍。

左側的下拉式清單可指定搜尋所基於的屬性。下表列出了可用的搜尋屬性選項。

表 4-3 搜尋屬性選項
選項	搜尋符合項
[Full name]	每個項目的全名
[Last name]	每個項目的姓氏
[User ID]	每個項目的使用者 ID
[Phone number]	每個項目的電話號碼
[E-mail address]	每個項目的電子郵件地址

中間的下拉式清單可指定要執行的搜尋類型。下表列出了可用的搜尋類型選項。

表 4-4 搜尋類型選項
選項	描述
[Contains]	導致執行子字串搜尋。傳回屬性值包含指定搜尋字串的項目。例如，如果知道使用者名稱可能包含「Dylan」一詞，請將此選項與搜尋字串「Dylan」一同使用來尋找使用者項目。
[Is]	導致執行完全相符搜尋 (指定等同搜尋)。如果知道使用者屬性的準確值，請使用此選項。例如，知道使用者名稱的確切拼寫。
[Isn’t]	傳回屬性值不完全符合搜尋字串的所有項目。使用此選項尋找目錄中名稱不是「John Smith」的所有使用者。請注意，使用此選項可能導致傳回極多項目。
[Sounds like]	導致執行近似或音似搜尋。如果知道屬性值但不清楚其拼寫方式，請使用此選項。例如，不清楚使用者的名稱拼寫是「Sarret」、「Sarette」還是「Sarett」。
[Starts with]	導致執行子字串搜尋。傳回屬性值以指定搜尋字串開始的所有項目。例如，知道使用者名稱以「Miles」開頭，但不知道名稱的其餘部分。
[Ends with]	導致執行子字串搜尋。傳回屬性值以指定搜尋字串結尾的所有項目。例如，知道使用者名稱以「Dimaggio」結尾，但不知道名稱的其餘部分。

右側的文字欄位用來輸入搜尋字串。若要顯示在 [Look Within] 欄位中指定之目錄中包含的所有使用者項目，請輸入星號 (*) 或保留此欄位為空白。

編輯使用者資訊

編輯使用者項目

存取 Administration Server，然後按一下 [Users and Groups] 標籤。

按一下 [Manage Users] 連結。

如以下一節中所述顯示使用者項目：尋找使用者資訊。

依需要進行變更。如需有關特定欄位的更多資訊，請參閱線上說明。



備註	可能想要變更編輯使用者頁面未顯示的屬性值。在此情形下，請使用目錄伺服器 ldapmodify 指令行公用程式 (如果可用)。

如需有關變更使用者的使用者 ID 的資訊，請參閱重新命名使用者。

管理使用者的密碼

變更或建立使用者密碼

存取 Administration Server，然後按一下 [Users and Groups] 標籤。

按一下 [Manage Users] 連結。

如以下一節中所述顯示使用者項目：尋找使用者資訊。

依需要進行變更。如需有關特定欄位的更多資訊，請參閱線上說明。

對於 LDAP 資料庫，還可以在用於編輯使用者密碼資訊的頁面 (可從 [Manage Users] 頁面存取) 上按一下 [Disable Password] 按鈕來停用使用者的密碼。這樣做可防止使用者登入伺服器，而又不必刪除其目錄項目。輸入新密碼即可再次授予使用者存取權限。

重新命名使用者

對於 LDAP 資料庫，重新命名功能僅會變更使用者 ID，所有其他欄位均保持不變。無法使用重新命名功能將某個組織單元內的項目移至另一個組織單元。

重新命名使用者項目

存取 Administration Server，然後按一下 [Users and Groups] 標籤。

按一下 [Manage Users] 連結。

如以下一節中所述顯示使用者項目：尋找使用者資訊。

按一下 [edit user] 頁面上的 [Rename User] 按鈕，在顯示的頁面上輸入使用者 ID，然後按一下 [Save Changes]。

移除使用者

移除使用者項目


備註	可以指定透過將 keepOldValueWhenRenaming 參數設定為 false (預設值) 來重新命名項目後 Administration Server 不再保留舊有的值。此參數可以在下列檔案中找到： server_root/proxy-admserv/config/dsgw-orgperson.conf

存取 Administration Server，然後按一下 [Users and Groups] 標籤。

按一下 [Manage Users] 連結。

如以下一節中所述顯示使用者項目：尋找使用者資訊。

按一下 [Delete User] (LDAP) 或 [Remove User] (密鑰檔與摘要檔)。

建立群組

群組是描述 LDAP 資料庫中物件集的物件。Sun Java System 伺服器群組由共用某個一般屬性的使用者組成。例如，物件集可能是在公司行銷部門工作的一些員工。這些員工可能屬於稱為 Marketing 的群組。

對於 LDAP 服務，定義群組成員身份的方式有兩種：靜態和動態。靜態群組明確列舉其成員物件。靜態群組是一個一般名稱 (CN)，它包含 uniqueMembers 和/或 memberURLs 和/或 memberCertDescriptions。靜態群組的成員並不共用某個一般屬性，但 cn=groupname 屬性除外。

動態群組可讓您使用 LDAP URL 來定義僅與群組成員比對的規則集。動態群組的成員共用在 memberURL 篩選器中定義的某個一般屬性或屬性集。例如，如果需要一個包含 Sales 部門所有員工的群組，而這些員工已經存在於 LDAP 資料庫中 ou=Sales,o=Airius.com 底下，則需要定義擁有下列成員 URL 的動態群組：

結果是此群組將包含在樹中 ou=Sales,o=sun 點之下具有 uid 屬性的所有物件，即所有 Sales 部門成員。

對於靜態和動態群組，如果使用 memberCertDescription，則其成員可以從憑證共用一般屬性。請注意，只有在 ACL 使用 SSL 方法時才適用。

關於靜態群組

關於動態群組

關於靜態群組

對於 LDAP 服務，Administration Server 可使您透過在任意數量使用者的 DN 中指定同一群組屬性來建立靜態群組。除非將使用者增加至群組或刪除群組中的使用者，否則靜態群組不會變更。

建立靜態群組的指導原則

使用 Administration Server 介面建立新靜態群組時，請考量下列指導原則：

靜態群組可以包含其他靜態或動態群組。

如果為目錄定義了組織單元，則可以在 Administration Server 介面中使用 [Create Group] 頁面上的 [Add New Group To] 清單指定要放置新群組的位置。預設位置為目錄的根點 (最上面的項目)。

如需有關編輯群組的更多資訊，請參閱編輯群組項目。

建立靜態群組

存取 Administration Server，然後按一下 [Users and Groups] 標籤。

按一下 [Create Group] 連結。

從 [Type of Group] 下拉式清單選取 [New Group]，然後按一下 [Go]。

輸入有關 [Create Group] 頁面的資訊。如需有關特定欄位的更多資訊，請參閱線上說明。

按一下 [Create] 以建立群組，或是按 [Create and Edit] 建立群組並進入剛才建立群組的編輯頁面。

關於動態群組

對於 LDAP 服務，如果想要自動基於任意屬性將使用者分組，或者想要將 ACL 套用至包含相符 DN 的特定群組，Proxy Server 可讓您建立動態群組。例如，可以建立一個群組，此群組自動包括含有 department=marketing 屬性的所有 DN。如果套用 department=marketing 搜尋篩選器，搜尋將傳回一個群組，其中包括含有 department=marketing 屬性的所有 DN。接著可以使用基於此篩選器所得到的搜尋結果定義動態群組。進而可以為結果動態群組定義 ACL。

如何實作動態群組

Proxy Server 在 LDAP 伺服器模式中以 objectclass=groupOfURLs 方式實作動態群組。groupOfURLs 類別可以有零個或更多個 memberURL 屬性，每個屬性都是一個 LDAP URL，用來描述目錄中的一個物件集。群組成員將是這些物件集的併集。例如，以下群組僅包含一個成員 URL：

此範例描述由 o=mcom.com 下部門為 marketing 的所有物件組成的集合。LDAP URL 可包含搜尋基底 DN、範圍和篩選器，但不能包含主機名稱和連接埠。這意味著僅能參考同一 LDAP 伺服器上的物件。支援所有範圍。如需有關 LDAP URL 的更多資訊，請參閱建立動態群組的指導原則。

將自動包括 DN，而無須向群組中逐個增加。群組會動態變更，這是因為每次 ACL 驗證需要群組查找時，Proxy Server 均會執行 LDAP 伺服器搜尋。ACL 檔案中使用的使用者和群組名稱與 LDAP 資料庫中物件的 cn 屬性相對應。


備註	Proxy Server 使用 cn 屬性作為 ACL 的群組名稱。

從 ACL 到 LDAP 資料庫的對映在 dbswitch.conf 檔案 (它將 ACL 資料庫名稱與實際的 LDAP 資料庫 URL 關聯起來) 和 ACL 檔案 (它定義資料庫與 ACL 的對應關係) 中均有定義。例如，如果想要讓名為 staff 群組中的成員身份具有基準存取權限，ACL 代碼會查找物件類別為 groupOfanything 且 CN 的設定為 staff 的物件。物件定義群組成員的方式有兩種：明確列舉成員 DN (對靜態群組的 groupOfUniqueNames 做法即如此)，或者指定 LDAP URL (例如，groupOfURLs)。

動態群組對伺服器效能的影響


備註	群組可以同時為靜態與動態。群組物件可以同時擁有 objectclass=groupOfUniqueMembers 和 objectclass=groupOfURLs。因此，uniqueMember 和 memberURL 屬性均有效。群組的成員身份是其靜態成員和動態成員的併集。

使用動態群組會影響伺服器效能。如果正在測試群組成員身份，而 DN 不是靜態群組的成員，則 Proxy Server 會檢查資料庫基底 DN 中的所有動態群組。Proxy Server 確定每個 memberURL 是否符合的方法是將其基底 DN 和範圍與使用者 DN 做比對，然後使用使用者 DN 作為基底 DN 並以 memberURL 為篩選器來執行基底搜尋。此程序會包括大量的個別搜尋。

建立動態群組的指導原則

使用 Administration Server 介面建立新的動態群組時，請考量下列指導原則：

動態群組不能包含其他群組。

使用以下格式 (不含主機和連接埠資訊，因為這些參數會被忽略) 輸入群組的 LDAP URL：

ldap:///base_dn?attributes?scope?(filter)

下表列出了 LDAP URL 所需要的參數。

表 4-5 LDAP URL 需要的參數
參數名稱	描述
base_dn	搜尋基底的 DN 或 LDAP 目錄中所有搜尋的起始點。此參數經常被設定為目錄的字尾或根，例如 o=mcom.com。
attributes	搜尋傳回的屬性清單。若要指定一個以上的屬性，請使用逗號分隔這些屬性 (例如 cn,mail,telephoneNumber)。如果未指定任何屬性，則傳回所有屬性。動態群組成員身份檢查將忽略此參數。
scope	此參數是必需的。搜尋的範圍，可以是下列值之一： base 僅擷取關於在 URL 中指定的辨別名稱 (base_dn) 的資訊。 one 僅擷取關於在 URL 中指定的辨別名稱 (base_dn) 下一級項目的資訊。此範圍不包括基準項目。 sub 僅擷取關於在 URL 中指定的辨別名稱 (base_dn) 下所有層級項目的資訊。此範圍包括基準項目。
(filter)	此參數是必需的。套用至搜尋指定範圍內項目的搜尋篩選器。如果使用的是 Administration Server 介面，則必須指定此屬性。必須帶有括號。

attributes、scope 和 (filter) 參數是依據它們在 URL 中的位置進行識別的。即使不想指定任何屬性，仍必須加入問號 (?) 來分隔此欄位。

如需有關編輯群組的更多資訊，請參閱編輯群組項目。

建立動態群組

存取 Administration Server，然後按一下 [Users and Groups] 標籤。

按一下 [Create Group] 連結。

從 [Type of Group] 下拉式清單選取 [Dynamic Group]，然後按一下 [Go]。

輸入有關 [Create Group] 頁面的資訊。如需有關特定欄位的更多資訊，請參閱線上說明。

按一下 [Create] 以建立群組，或是按 [Create and Edit] 建立群組並進入剛才建立群組的編輯頁面。

管理群組

對於 LDAP 服務，Administration Server 可使您藉由 Administration Server 的 [Users and Groups] 標籤上的 [Manage Groups] 頁面編輯群組和管理群組成員身份。

尋找群組項目

編輯群組項目之前，必須先依下列程序所述找出並顯示項目。

尋找群組項目

存取 Administration Server，然後按一下 [Users and Groups] 標籤。

按一下 [Manage Groups] 連結。

在 [Find Group] 欄位中輸入要尋找的群組的名稱。可以輸入任何下列內容：

使用星號 (*) 可以傳回目前目錄中的所有群組。將欄位保留為空白也有同樣的作用。

任意 LDAP 搜尋篩選器。任何包含等號 (=) 的字串均被視為搜尋篩選器。

也可以使用 [Find All Groups Whose] 區段建立自訂搜尋篩選器，縮小搜尋結果的範圍。如需更多資訊，請參閱[Find All Groups Whose] 區段。

在 [Look Within] 欄位中，選取要在其下搜尋項目的組織單元。預設為目錄的根點 (最上面的項目)。

在 [Format] 欄位中，指定是將輸出設定為適於在螢幕上顯示的格式還是適於印表機列印的格式。

在此程序的任何階段中按一下 [Find] 按鈕，將顯示符合搜尋條件的所有群組。

按一下想要顯示的項目的連結。

[Find All Groups Whose] 區段

對於 LDAP 服務，[Find All Groups Whose] 區段可讓您建立自訂搜尋篩選器。使用本區段中的欄位可以縮小由 [Find Group] 傳回的搜尋結果的範圍。

左側的下拉式清單可指定搜尋所基於的屬性。下列選項可供選用：

Name。搜尋每個項目的完整名稱以確定符合項。

Description。搜尋每個群組項目的描述以確定符合項。

中間的下拉式清單可指定要執行的搜尋類型。下列選項可供選用：

Contains。導致執行子字串搜尋。傳回屬性值包含指定搜尋字串的項目。例如，如果知道群組名稱可能包含「Administrator」一詞，請將此選項與搜尋字串「Administrator」一同使用來尋找群組項目。

Is。導致執行完全相符搜尋。知道群組屬性的準確值時，請使用此選項。例如，知道群組名稱的確切拼寫。

Isn’t。傳回屬性值不完全符合搜尋字串的所有項目。如果要在目錄中尋找名稱不包含「administrator」的所有群組，請使用此選項。但請注意，使用此選項可能導致傳回極多項目。

Sounds like。導致執行近似或音似搜尋。如果知道屬性值但不確定其拼寫，請使用此選項。例如，不知道群組名稱的拼法是「Sarret’s list」、「Sarette’s list」或是「Sarett’s list」。

Starts with。導致執行子字串搜尋。傳回屬性值以指定搜尋字串開始的所有項目。例如，知道群組名稱以「Product」開頭，但不知道名稱的其餘部分。

Ends with。導致執行子字串搜尋。傳回屬性值以指定搜尋字串結尾的所有項目。例如，知道群組名稱以「development」結尾，但不知道名稱的其餘部分。

在右側的文字欄位中，輸入搜尋字串。若要顯示 [Look Within] 目錄中包含的所有群組項目，請輸入星號 (*) 或保留此欄位為空白。

編輯群組項目

存取 Administration Server，然後按一下 [Users and Groups] 標籤。

按一下 [Manage Groups] 連結。

如以下一節中所述找到要編輯的群組：尋找群組項目。

依需要進行變更。如需有關特定欄位和按鈕的更多資訊，請參閱線上說明。

增加群組成員

向群組增加成員


備註	可能想要變更群組編輯頁面未顯示的屬性值。在此情形下，請使用目錄伺服器 ldapmodify 指令行公用程式 (如果可用)。

存取 Administration Server，然後按一下 [Users and Groups] 標籤。

按一下 [Manage Groups] 連結。

如以下一節中所述找到並顯示要管理的群組：尋找群組項目，然後按一下 [Group Members] 旁邊的 [Edit] 按鈕。任何現有群組成員都將列在顯示的頁面中。還會顯示搜尋欄位。

若要向成員清單中增加使用者項目，必須在 [Find] 下拉式清單中選取使用者。

若要將群組項目增加至群組，必須選取 [Groups]。

在 [Matching] 文字欄位中輸入搜尋字串。輸入下列任何一個選項：

名稱。輸入完整或部分名稱。將傳回名稱符合搜尋字串的所有項目。如果未找到這樣的項目，則將傳回所有包含搜尋字串的項目。如果未找到包含搜尋字串的項目，則將尋找發音類似搜尋字串的所有項目。

使用者 ID。如果僅輸入部分使用者 ID，則將傳回包含此字串的所有項目。

電話號碼。如果僅輸入部分號碼，則將傳回包含以搜尋號碼結尾的電話號碼的所有項目。

在此欄位中輸入星號 (*) 或者保留此欄位為空，可以傳回目前位於目錄中的所有項目或群組。

任意 LDAP 搜尋篩選器。任何包含等號 (=) 的字串均被視為搜尋篩選器。

按一下 [Add] 以尋找 LDAP 資料庫中的所有符合項目，然後將它們增加至群組。如果搜尋傳回任何不想增加至群組的項目，請按一下 [Remove From List] 欄中對應的核取方塊。(請注意，也可以建構一個搜尋篩選器以尋找要從群組中移除之項目，然後按一下 [Remove]。如需更多資訊，請參閱從群組成員清單中移除項目。)

完成群組成員清單後，按一下 [Save Changes]。項目會新增至群組成員清單。

將群組增加至群組成員清單

對於 LDAP 服務，可將群組 (而不是個別成員) 增加至群組的成員清單。這樣做會使屬於所包括群組的所有使用者都成為接收群組的成員。例如，如果 Neil Armstrong 是「Engineering Managers」群組的成員，並使「Engineering Managers」群組成為「Engineering Personnel」群組的成員，則 Neil Armstrong 也將成為「Engineering Personnel」群組的成員。

若要將群組增加至另一群組的成員清單，請像增加使用者項目一樣增加群組。如需更多資訊，請參閱增加群組成員。

從群組成員清單中移除項目

若要移除群組成員清單中的項目

存取 Administration Server，然後按一下 [Users and Groups] 標籤。

按一下 [Manage Groups] 連結。

如以下一節中所述找到要管理的群組：尋找群組項目，然後按一下 [Group Members] 旁邊的 [Edit] 按鈕。

為要從清單中移除的每個成員按一下 [Remove From List] 欄中的相應核取方塊。也可以建構一個搜尋篩選器以尋找要從群組中移除之項目，然後按一下 [Remove]。如需有關建立搜尋篩選器的更多資訊，請參閱增加群組成員。

按一下 [Save Changes]。項目即會從群組成員清單中刪除。

管理所有者

對於 LDAP 服務，管理群組所有者清單的方式與管理群組成員清單的方式相同。

表 4-6 管理所有者
若要	請參閱
將所有者增加至群組	增加群組成員
將群組增加至所有者清單	將群組增加至群組成員清單
從所有者清單移除項目	從群組成員清單中移除項目

管理「另請參閱」

「另請參閱」是對可能與目前群組相關的其他目錄項目的參照。它們可讓使用者容易地找到與目前群組相關的使用者或其他群組的項目。可以像管理群組成員清單那樣管理「另請參閱」。

表 4-7 管理「另請參閱」
若要	請參閱
將使用者增加至「另請參閱」	增加群組成員
將群組增加至「另請參閱」	將群組增加至群組成員清單
從「另請參閱」中移除項目	從群組成員清單中移除項目

重新命名群組

本程序僅適用於 LDAP 服務。重新命名群組項目時，只有群組名稱會變更。無法使用 [Rename Group] 功能將某個組織單元內的項目移至另一個組織單元。例如，一個企業可能具有下列組織：

Marketing 組織單元和 Product Management 組織單元

Marketing 組織單元下名為 Online Sales 的群組

在此範例中，可以將群組從 Online Sales 重新命名為 Internet Investments，但不能如此重新命名：將 Marketing 組織單元下的 Online Sales 重新命名為 Product Management 組織單元下的 Online Sales。

重新命名群組

存取 Administration Server，然後按一下 [Users and Groups] 標籤。

按一下 [Manage Groups] 連結，如以下一節中所述找到要管理的群組：尋找群組項目。

按一下 [Rename Group] 按鈕，在顯示的頁面上指定新的群組名稱，然後按一下 [Save Changes]。

移除群組

存取 Administration Server，然後按一下 [Users and Groups] 標籤。

按一下 [Manage Groups] 連結。

如尋找群組項目中所述找到想要管理的群組，然後按一下 [Delete Group]。



備註	不會移除群組的個別成員，而只會移除群組項目。

建立組織單元

對於 LDAP 服務，組織單元可以包括許多群組，它通常代表分部、部門或其他獨立的實體。DN 可以存在於一個以上組織單元中。

建立組織單元

存取 Administration Server，然後按一下 [Users and Groups] 標籤。

按一下 [Create Organizational Unit] 連結。

輸入資訊，然後按一下 [Create]。如需有關特定欄位的更多資訊，請參閱線上說明。

使用 organizationalUnit 物件類別建立新的組織單元。

新組織單元辨別名稱的格式如下：

ou=new organization,ou=parent organization,...,o=base organization,c=country

例如，如果在 West Coast 組織單元中建立了一個稱為 Accounting 的新組織，而基底 dn 為 o=Ace Industry,c=US，則新組織單元的 DN 將為：

管理組織單元

對於 LDAP 服務，組織單元透過 Administration Server 的 [Users and Groups] 標籤的 [Manage Organizational Units] 頁面進行編輯與管理。

尋找組織單元

存取 Administration Server，然後按一下 [Users and Groups] 標籤。

按一下 [Manage Organizational Units] 連結。

在 [Find Organizational Unit] 欄位中輸入要尋找單元的名稱。可以輸入任何下列內容：

使用星號 (*) 可以傳回目前目錄中的所有群組。將欄位保留為空白也有同樣的作用。

任意 LDAP 搜尋篩選器。任何包含等號 (=) 的字串均被視為搜尋篩選器。

也可以使用 [Find All Units Whose] 區段的下拉式功能表來縮小搜尋結果的範圍。如需更多資訊，請參閱[Find All Units Whose] 區段。

在 [Look Within] 欄位中，選取要在其下搜尋項目的組織單元。預設值為目錄的根點 (最上面的項目)。

在 [Format] 欄位中，指定是將輸出設定為適於在螢幕上顯示的格式還是適於印表機列印的格式。

在此程序的任何階段中按一下 [Find] 按鈕，將顯示符合搜尋條件的所有組織單元。

按一下想要顯示的項目的連結。

[Find All Units Whose] 區段

對於 LDAP 服務，[Find All Units Whose] 區段可讓您建立自訂搜尋篩選器。使用本區段中的欄位可以縮小由 [Find Organizational Unit] 傳回的搜尋結果的範圍。

左側的下拉式清單可指定搜尋所基於的屬性。下列選項可供選用：

Unit name。搜尋每個項目的完整名稱以確定符合項。

Description。搜尋每個組織部門項目的描述，以確定是否有符合項。

中間的下拉式清單可指定要執行的搜尋類型。下列選項可供選用：

Contains。導致執行子字串搜尋。傳回屬性值包含指定搜尋字串的項目。例如，如果知道組織部門的名稱可能包含「Administrator」一詞，請將此選項與搜尋字串「Administrator」一起使用來尋找組織部門項目。

Is。導致執行完全相符搜尋。知道組織單元屬性的準確值時，請使用此選項。例如，知道組織單元名稱的確切拼寫。

Isn’t。傳回屬性值不完全符合搜尋字串的所有項目。也就是說，如果要在目錄中尋找名稱不包含「administrator」的所有組織單元，請使用此選項。但請注意，使用此選項可能導致傳回極多項目。

Sounds like。導致執行近似或音似搜尋。如果知道屬性值但不確定其拼寫，請使用此選項。例如，不知道組織單元名稱的拼法是「Sarret’s list」、「Sarette’s list」或是「Sarett’s list」。

Starts with。導致執行子字串搜尋。傳回屬性值以指定搜尋字串開始的所有項目。例如，知道組織單元名稱以「Product」開頭，但不知道名稱的其餘部分。

Ends with。導致執行子字串搜尋。傳回屬性值以指定搜尋字串結尾的所有項目。例如，知道組織單元的名稱以「development」結尾，但不知道名稱的其餘部分。

在右側的文字欄位中，輸入搜尋字串。若要顯示 [Look Within] 目錄中包含的所有組織單元項目，請輸入星號 (*) 或保留此欄位為空白。

編輯組織單元屬性

編輯組織單元項目

存取 Administration Server，然後按一下 [Users and Groups] 標籤。

按一下 [Manage Organizational Units] 連結。

如以下一節中所述找到要編輯的組織單元：尋找組織單元。

依需要進行變更。如需有關特定欄位的更多資訊，請參閱線上說明。



備註	可能想要變更組織單元編輯頁面未顯示的屬性值。在此情形下，請使用目錄伺服器 ldapmodify 指令行公用程式 (如果可用)。

重新命名組織單元

本程序僅適用於 LDAP 服務。重新命名組織單元項目時，只會變更組織單元的名稱。無法使用重新命名功能將某個組織單元內的項目移至另一個組織單元。

上一頁目錄索引下一頁
Sun Java System Web Proxy Server 4.0.1 管理指南