第 4 章 管理用户和组

本章介绍如何添加、删除、修改以及管理可以访问 Proxy Server 的用户和组。

本章包含以下各节：

• 访问用户和组的信息

• 关于目录服务

• 配置目录服务

• 创建用户

• 管理用户

• 创建组

• 管理组

• 创建组织单位

• 管理组织单位

访问用户和组的信息

使用 Administration Server 可以访问有关用户帐户、组列表、访问权限、组织单位以及其他特定于用户和组的信息的应用程序数据。

用户和组信息存储在文本格式的平面文件或支持 LDAP（Lightweight Directory Access Protocol，轻量目录访问协议）的目录服务器（如 Sun Java System Directory Server）中。LDAP 是通过 TCP/IP（Transmission Control Protocol/Internet Protocol，传输控制协议/Internet 协议）运行的开放式目录访问协议，可扩展到全局大小和上百万个条目。

关于目录服务

通过目录服务，可以从单个源管理所有用户信息。使用 Proxy Server 可以配置三种不同类型的目录服务：LDAP、密钥文件和摘要文件。

如果没有配置其他目录服务，新创建的第一个目录服务的值将被设置为 default，无论其是何种类型。创建目录服务时，将会使用目录服务详细信息更新 server-root/userdb/dbswitch.conf 文件。

本节介绍 LDAP、密钥文件和摘要文件这三种类型的目录服务。

LDAP 目录服务

使用 LDAP 目录服务时，用户和组信息存储在基于 LDAP 的目录服务器中。

如果 LDAP 服务是默认服务，将按下例所示更新 dbswitch.conf 文件：

directory default ldap://test22.india.sun.com:589/dc%3Dindia%2Cdc%3Dsun%2Cdc%3Dcomdefault:binddn cn=Directory Managerdefault:encoded bindpw YWRtaW5hZG1pbg==

如果 LDAP 服务不是默认服务，将按下例所示更新 dbswitch.conf 文件：

directory ldap ldap://test22.india.sun.com:589/dc%3Dindia%2Cdc%3Dsun%2Cdc%3Dcomldap:binddn cn=Directory Managerldap:encoded bindpw YWRtaW5hZG1pbg==

密钥文件目录服务

密钥文件是一个文本文件，其中包含散列格式的用户密码以及该用户所属组的列表。仅当要使用 HTTP 基本验证时，才能使用密钥文件格式。有关此验证方法的更多信息，请参见指定用户和组。

创建基于密钥文件的数据库时，将按下例所示更新 dbswitch.conf 文件：

directory keyfile filekeyfile:syntax keyfilekeyfile:keyfile D:\\test22\\keyfile\\keyfiledb

摘要文件目录服务

摘要文件基于加密的用户名和密码存储用户和组信息。

摘要文件格式旨在支持使用 HTTP 摘要验证，但也支持基本验证，因此可以将该格式同时用于这两种验证方法。有关这些方法的更多信息，请参见指定用户和组。

创建基于摘要的数据库时，将按下例所示更新 dbswitch.conf 文件：

directory digest filedigest:syntax digestdigest:digestfile D:\\test22\\digest\\digestdb

---

注 –

要配置分布式管理，默认目录服务必须为基于 LDAP 的目录服务。

---

配置目录服务

可在 Administration Server 的 "Global Settings" 选项卡中创建和配置目录服务。然后，可以在 Administration Server 的 "Users and Groups" 选项卡中创建和管理用户、组以及组织单位。

本节介绍如何创建和编辑目录服务。

创建目录服务

1. 访问 Administration Server 并单击 "Global Settings" 选项卡。

2. 单击 "Configure Directory Service" 链接。

3. 从 "Create New Service of Type" 下拉式列表中选择要创建的目录服务类型，然后单击 "New"。

   此时将显示该目录服务的配置页面。

4. 提供配置信息，然后单击 "Save Changes"。

   有关特定字段的更多信息，请参见联机帮助。

   ---

   注 –

   如果没有配置其他目录服务，新创建的第一个目录服务的值将被设置为 default，无论其类型如何都是如此。

   ---

编辑目录服务

1. 访问 Administration Server 并单击 "Global Settings" 选项卡。

2. 单击 "Configure Directory Service" 链接。

3. 单击要编辑的目录服务的链接。

4. 进行所需的更改，然后单击 "Save Changes"。

   有关特定字段的更多信息，请参见联机帮助。

了解标识名 (Distinguished Name, DN)

Administration Server 中的 "Users and Groups" 选项卡用于创建或修改用户、组和组织单位。用户是 LDAP 数据库中的个人，如公司的雇员。组是共享某个通用属性的两个或多个用户。组织单位是组织中的子分支机构，它使用 organizationalUnit 对象类。本章稍后会对用户、组和组织单位进行更为详细的介绍。

企业中的每个用户和组都由一个标识名 (distinguished name, DN) 属性来表示。DN 属性是一个文本字符串，它包含关联的用户、组或对象的标识信息。每当更改用户或组目录条目时，就需要使用 DN。例如，每次为应用程序（如邮件或发布）创建或修改目录条目、配置访问控制以及配置用户帐户时，均需要提供 DN 信息。Proxy Server 的 "Users and Groups" 界面可用于创建或修改 DN。

以下示例显示的是 Sun Microsystems 某个雇员的典型 DN：

uid=doe,e=doe@sun.com,cn=John Doe,o=Sun Microsystems Inc.,c=US

该示例中缩写的含义如下：

• uid 是用户 ID

• e 是电子邮件地址

• cn 是用户的通用名称

• o 是组织

• c 是国家或地区。

DN 可以包括很多名称-值对，用于标识支持 LDAP 的目录中的证书主题和条目。

使用 LDIF

如果当前没有目录，或者想要向现有目录中添加新子树，可以使用目录服务器的 LDIF（Lightweight Directory Interchange Format，轻量目录交换格式）导入功能。此功能将接受一个包含 LDIF 的文件并尝试由 LDIF 条目生成一个目录或新子树。还可以使用目录服务器的 LDIF 导出功能将当前目录导出到 LDIF。此功能将创建一个 LDIF 格式的文件，用来表示您的目录。可以使用 ldapmodify 命令行实用程序（如果可用）和相应的 LDIF 更新语句来添加或编辑条目。

要使用 LDIF 向数据库中添加条目，请首先在 LDIF 文件中定义各个条目，然后从目录服务器导入该 LDIF 文件。

创建用户

Administration Server 中的 "Users and Groups" 选项卡用于创建和修改用户条目。用户条目包含有关数据库中的单个用户或对象的信息。

---

注 –

请务必确保用户在未授权的情况下不能访问资源，以保护服务器的安全。Proxy Server 使用基于 ACL 的授权和验证模型。有关基于 ACL 的安全性的更多信息，请参见第 8 章。有关其他安全性信息，另请参见第 5 章。

---

本节介绍如何在基于 LDAP 的验证数据库、密钥文件验证数据库和摘要文件验证数据库中创建用户。

在基于 LDAP 的验证数据库中创建用户

向基于 LDAP 的目录服务添加用户条目时，将使用一个基于 LDAP 的基础目录服务器的服务对用户进行验证和授权。本节列出了使用基于 LDAP 的验证数据库时应考虑的准则，并介绍了如何通过 Proxy Server Administration Server 添加用户。

创建基于 LDAP 的用户条目的准则

使用 Proxy Server 管理控制台在基于 LDAP 的目录服务中创建新的用户条目时，应考虑以下准则：

• 如果提供名和姓，将会自动填写该用户的全名和用户 ID。生成的用户 ID 由用户名字的第一个首字母后跟姓组成。例如，如果用户的姓名为 Billie Holiday，用户 ID 将被自动设置为 bholiday。如果您愿意，可以用您喜欢的 ID 代替该用户 ID。

• 用户 ID 必须是唯一的。Administration Server 通过从搜索基（基 DN）开始向下搜索整个目录以查看该用户 ID 是否已被使用，从而确保该用户 ID 的唯一性。不过，请注意，如果使用目录服务器 ldapmodify 命令行实用程序（如果可用）来创建用户，将不能确保用户 ID 的唯一性。如果您的目录中存在重复的用户 ID，受影响的用户将无法在该目录中得到验证。

• 基 DN 指定默认情况下作为目录查找起点的标识名，同时也是目录树中放置所有 Proxy Server Administration Server 条目的位置。标识名 (Distinguished Name, DN) 是条目名称在目录服务器中的字符串表示。

• 创建新用户条目时，必须至少指定以下用户信息：

  • 姓

  • 全名

  • 用户 ID

  如果为目录定义任何组织单位，可以使用 Administration Server 的 "Create User" 页面中的 "Add New User To" 列表来指定要放置新用户的位置。默认位置是目录的基 DN 或根点。

目录服务器用户条目

请注意有关目录服务器用户条目的以下信息：

• 用户条目使用 inetOrgPerson、organizationalPerson 和 person 对象类。

• 默认情况下，用户标识名的格式如下：

  cn=full name ,ou=organization,..., o=base organization,c= country

  例如，如果在组织单位 Marketing 中为 Billie Holiday 创建了用户条目，且目录的基 DN 是 o=Ace Industry,c=US，则 DN 为：

  cn=Billie Holiday,ou=Marketing,o=Ace Industry,c=US

  此格式可以更改为基于用户 ID (user ID, uid) 的标识名。

• 用户表单字段中的值存储为 LDAP 属性。

  下表列出了在 Proxy Server 界面中创建或编辑新用户时将显示的字段以及对应的 LDAP 属性。

表 4–1 LDAP 属性 - 创建或编辑用户条目

用户字段	LDAP 属性
Given Name	givenName
Surname	sn
Full Name	cn
用户 ID	uid
Password	userPassword
E-mail Address	mail
Title	title
Phone Number	telephoneNumber

创建基于 LDAP 的用户条目

要创建用户条目，请阅读创建基于 LDAP 的用户条目的准则中概述的准则，然后执行以下过程。

在基于 LDAP 的验证数据库中创建用户

1. 访问 Administration Server 并单击 "Users and Groups" 选项卡。

2. 单击 "Create User" 链接。

3. 从下拉式列表中选择 LDAP 目录服务，然后单击 "Select"。

4. 提供所显示的页面中要求的信息。

   有关特定字段的更多信息，请参见联机帮助。

   另请参见目录服务器用户条目。

5. 单击 "Create" 以创建用户条目，或者单击 "Create and Edit" 以创建用户条目并进入刚创建的条目的编辑页面。

在密钥文件验证数据库中创建用户

密钥文件是一个文本文件，其中包含散列格式的用户密码以及该用户所属组的列表。

在密钥文件验证数据库中创建用户

1. 访问 Administration Server 并单击 "Users and Groups" 选项卡。

2. 单击 "Create User" 链接。

3. 从下拉式列表中选择基于密钥文件的目录服务，然后单击 "Select"。

4. 键入所显示的页面中要求的信息，然后单击 "Create User"。

   有关特定字段的更多信息，请参见联机帮助。

在摘要文件验证数据库中创建用户

摘要文件验证数据库以加密形式存储用户和组信息。

在摘要文件验证数据库中创建用户

1. 访问 Administration Server 并单击 "Users and Groups" 选项卡。

2. 单击 "Create User" 链接。

3. 从下拉式列表中选择基于摘要文件的目录服务，然后单击 "Select"。

4. 键入所显示的页面中要求的信息，然后单击 "Create User"。

   有关特定字段的更多信息，请参见联机帮助。

   ---

   注 –

   使用 Proxy Server ACL 用户界面创建使用摘要验证的 ACL 时，必须指定相同的领域字符串。有关更多信息，请参见设置访问控制。

   ---

管理用户

可在 Administration Server "Users and Groups" 选项卡的 "Manage Users" 页面上编辑用户属性。在此页面上，可以查找、更改、重命名和删除用户条目。

本节包括以下主题：

• 查找用户信息

• 编辑用户信息

• 管理用户密码

• 重命名用户

• 删除用户

查找用户信息

在编辑某个用户条目之前，必须先查找并显示该条目。对于基于 LDAP 的目录服务，可以提供要编辑的条目的描述性值。

可以提供任何以下信息：

• 姓名。输入全名或部分名。将返回与搜索字符串完全匹配的所有条目。如果未找到这样的条目，将返回包含该搜索字符串的所有条目。如果未找到包含搜索字符串的条目，将查找所有发音与搜索字符串类似的条目。

• 用户 ID。如果仅输入部分用户 ID，将返回所有包含该字符串的条目。

• 电话号码。如果您只输入部分号码，将返回结尾号码与搜索号码相同的所有条目。

• 电子邮件地址。任何包含 @ 符号的搜索字符串均被认为是电子邮件地址。如果找不到精确的匹配，将执行搜索来查找以该搜索字符串开头的所有电子邮件地址。

• 任意 LDAP 搜索过滤器。包含等号 (=) 的任何字符串均被认为是搜索过滤器。

• 使用星号 (*) 可以查看当前目录中的所有条目。保留该字段为空也可以实现这一目的。

生成自定义搜索查询

对于 LDAP 服务，"Find All Users Whose" 部分允许您生成自定义搜索过滤器。使用这些字段可以缩小 "Find User" 搜索返回的搜索结果的范围。

左侧的下拉式列表指定搜索所基于的属性。下表列出了可用的搜索属性选项。

表 4–2 搜索属性选项

选项	搜索匹配条目
全名	每个条目的全名
Last name	每个条目的姓
用户 ID	每个条目的用户 ID
Phone number	每个条目的电话号码
E-mail address	每个条目的电子邮件地址

中间的下拉式列表指定要执行的搜索的类型。下表列出了可用的搜索类型选项。

表 4–3 搜索类型选项

选项	描述
Contains	执行子字符串搜索。将返回属性值包含指定搜索字符串的条目。例如，如果您知道用户的姓名可能包含单词 "Dylan"，则可以通过此选项使用搜索字符串 "Dylan" 来查找该用户条目。
Is	查找精确匹配的条目（指定相等搜索）。如果您知道用户属性的精确值，则可以使用此选项。例如，您知道用户姓名的精确拼写。
Isn't	返回属性值与搜索字符串不精确匹配的所有条目。使用此选项可查找目录中姓名不是 "John Smith" 的所有用户。请注意，使用此选项可能导致返回大量条目。
Sounds like	执行近似搜索。如果您知道属性的值，但不知道如何拼写，可以使用此选项。例如，您不知道用户姓名的拼写是 "Sarret"、"Sarette" 还是 "Sarett"。
Starts with	执行子字符串搜索。返回属性值以指定的搜索字符串开头的所有条目。例如，您知道用户的姓名以 "Miles" 开头，但不知道其余部分。
Ends with	执行子字符串搜索。返回属性值以指定的搜索字符串结尾的所有条目。例如，您知道用户的姓名以 "Dimaggio" 结尾，但不知道其余部分。

右侧的文本字段用于输入搜索字符串。要显示在 "Look Within" 字段中指定的目录中包含的所有用户条目，请键入星号 (*) 或保留该字段为空。

查找用户信息

1. 访问 Administration Server 并单击 "Users and Groups" 选项卡。

2. 单击 "Manage Users" 链接。

3. 从下拉式列表中选择一种目录服务，然后单击 "Select"。

   对于密钥文件或摘要文件目录服务，将会显示一个用户列表。对于基于 LDAP 的目录服务，将显示搜索字段。

4. 查找用户信息：

   对于密钥文件或摘要文件目录服务，单击用户的链接以显示编辑页面，然后进行更改。有关特定字段的更多信息，请参见联机帮助。

   对于基于 LDAP 的目录服务，请执行以下操作：

   1. 在 "Find User" 字段中，为要编辑的条目输入描述值。

      还可以使用 "Find All Users Whose" 部分中的下拉式菜单来缩小搜索结果的范围。有关更多信息，请参见生成自定义搜索查询。

   2. 在 "Look Within" 字段中，选择要在其中搜索条目的组织单位。

      默认值为目录的根点（最顶端的条目）。

   3. 在 "Format" 字段中，指定应将输出格式设置为用来显示在屏幕上还是用打印机打印。

   4. 在此过程中的任何阶段，单击 "Find" 按钮。

      此时将显示与搜索条件相匹配的所有用户。

   5. 单击要显示的条目的链接。

编辑用户信息

编辑用户条目

1. 访问 Administration Server 并单击 "Users and Groups" 选项卡。

2. 单击 "Manage Users" 链接。

3. 按查找用户信息中所述显示用户条目。

4. 进行所需的更改。

   有关特定字段的更多信息，请参见联机帮助。

   ---

   注 –

   要更改编辑用户页面中未显示的属性值，请使用目录服务器的 ldapmodify 命令行实用程序（如果可用）。

   ---

   有关更改用户的用户 ID 的信息，请参见重命名用户。

管理用户密码

以下过程说明了如何更改或创建用户密码。

更改或创建用户密码

1. 访问 Administration Server 并单击 "Users and Groups" 选项卡。

2. 单击 "Manage Users" 链接。

3. 按查找用户信息中所述显示用户条目。

4. 进行所需的更改。

   有关特定字段的更多信息，请参见联机帮助。

   对于 LDAP 数据库，还可通过单击用于编辑用户密码信息的页面（通过 "Manage Users" 页面进行访问）上的 "Disable Password" 按钮来禁用用户密码。执行此操作无须删除用户的目录条目即可防止用户登录到服务器。通过提供新密码可再次允许用户访问。

重命名用户

对于 LDAP 数据库，重命名功能仅更改用户 ID。所有其他字段保持不变。不能使用重命名功能将条目从一个组织单位移到另一个组织单位。

重命名用户条目

1. 访问 Administration Server 并单击 "Users and Groups" 选项卡。

2. 单击 "Manage Users" 链接。

3. 按查找用户信息中所述显示用户条目。

4. 单击编辑用户页面上的 "Rename User" 按钮。

5. 在所显示的页面上键入用户 ID，然后单击 "Save Changes"。

   ---

   注 –

   重命名条目时，可以通过将 keepOldValueWhenRenaming 参数设置为 false（默认值）来指定 Administration Server 不再保留旧值。该参数位于以下文件中：

   server-root /proxy-admserv/config/dsgw-orgperson.conf

   ---

删除用户

删除用户条目

1. 访问 Administration Server 并单击 "Users and Groups" 选项卡。

2. 单击 "Manage Users" 链接。

3. 按查找用户信息中所述显示用户条目。

4. 单击相应的按钮。

   • 对于 LDAP 服务器，单击 "Delete User"。

   • 对于密钥文件数据库和摘要文件数据库，单击 "Remove User"。

创建组

组是用来描述 LDAP 数据库中一组对象的对象。Sun Java System 服务器组由共享某个通用属性的用户组成。例如，一组对象可以是您公司市场部的一些雇员。这些雇员可能属于一个名为 Marketing 的组。

对于 LDAP 服务，可通过静态和动态两种方法定义组的成员资格。静态组显式枚举出其成员对象。静态组是一个通用名称 (common name, CN)，它包含 uniqueMembers、memberURLs 或 memberCertDescriptions。静态组的成员并不共享某个通用属性，但 cn=groupname 属性除外。

动态组允许您使用 LDAP URL 来定义一组仅适用于组成员的规则。动态组的成员共享一个通用属性或一组在 memberURL 过滤器中定义的属性。例如，如果需要一个包含 Sales 中所有雇员的组，而这些雇员已经存在于 LDAP 数据库的 ou=Sales,o=Airius.com 下，则可以使用以下成员 URL 定义一个动态组：

ldap:///ou=Sales,o=sun??sub?(uid=*)

随后，此组将包含在树中 ou=Sales,o=sun 点下具有 uid 属性的所有对象。

对于静态组和动态组，如果您使用 memberCertDescription，其成员将可以通过证书共享某个通用属性。只有在 ACL 使用 SSL 方法时才能这样共享通用属性。

创建新组后，可以向其中添加用户（成员）。

本节包含以下主题：

• 关于静态组

• 关于动态组

关于静态组

对于 LDAP 服务，使用 Administration Server，您可以通过在任意数量用户的 DN 中指定相同的组属性来创建静态组。只有在向组中添加用户或从组中删除用户时静态组才会发生变化。

创建静态组的准则

使用 Administration Server 界面创建新静态组时，请考虑以下准则：

• 静态组可以包含其他静态或动态组。

• 如果为目录定义组织单位，可以使用 Administration Server 界面的 "Create Group" 页面中的 "Add New Group To list" 列表指定要放置新组的位置。默认位置为目录的根点（最顶端的条目）。

• 有关编辑组的更多信息，请参见编辑组条目。

创建静态组

1. 访问 Administration Server 并单击 "Users and Groups" 选项卡。

2. 单击 "Create Group" 链接。

3. 从 "Type of Group" 下拉式列表中选择 "New Group"，然后单击 "Go"。

4. 键入 "Create Group" 页面中要求的信息。

   有关特定字段的更多信息，请参见联机帮助。

5. 单击 "Create" 以创建组，或者单击 "Create and Edit" 以创建组并显示刚创建的组的编辑页面。

关于动态组

对于 LDAP 服务，如果您希望基于任何属性自动将用户分组，或者希望将 ACL 应用于包含匹配 DN 的特定组，Proxy Server 允许您创建动态组。例如，可以创建一个自动包含任何具有属性 department=marketing 的 DN 的组。如果为 department=marketing 应用搜索过滤器，搜索将返回一个组，其中包含具有属性 department=marketing 的所有 DN。然后，您可以从基于此过滤器的搜索结果中定义一个动态组。随后，您可以为所获得的动态组定义一个 ACL。

如何实现动态组

Proxy Server 在 LDAP 服务器模式中以 objectclass=groupOfURLs 方式实现动态组。groupOfURLs 类可以具有零个或多个 memberURL 属性，每个属性都是一个 LDAP URL，用于描述目录中的一组对象。组的成员是这些对象集合的总和。例如，下面的组仅包含一个成员 URL：

ldap:///o=mcom.com??sub?(department=marketing)

该示例描述了一个由 o=mcom.com 下部门为 marketing 的所有对象组成的集合。LDAP URL 可以包含搜索基 DN、范围和过滤器，但不包含主机名和端口。所以您只能引用同一个 LDAP 服务器上的对象。LDAP URL 支持所有范围。有关 LDAP URL 的更多信息，请参见创建动态组的准则。

DN 会自动包含在内，因而无需向组中逐一添加每个 DN。由于每次 ACL 验证需要查找组时 Proxy Server 都将执行一次 LDAP 服务器搜索，因此组是动态变化的。ACL 文件中使用的用户姓名和组名与 LDAP 数据库中的对象的 cn 属性相对应。

---

注 –

Proxy Server 使用 cn 属性作为 ACL 的组名。

---

从 ACL 到 LDAP 数据库的映射将同时在 dbswitch.conf 文件（它将 ACL 数据库名与实际 LDAP 数据库 URL 关联）和 ACL 文件（它定义要为各 ACL 使用的数据库）中进行定义。例如，如果要使名为 staff 的组中的所有成员具有基本访问权限，ACL 代码将查找对象类为 groupOfanything 且 CN 设置为 staff 的对象。该对象可通过两种方法来定义组的成员，即显式枚举成员 DN（与对静态组的 groupOfUniqueNames 的操作相同），或指定 LDAP URL（例如，groupOfURLs）。

---

注 –

组可以同时是动态和静态的。组对象可以同时具有 objectclass=groupOfUniqueMembers 和 objectclass=groupOfURLs。因此，uniqueMember 和 memberURL 属性都是有效属性。组的全体成员是其静态成员和动态成员的总和。

---

动态组对服务器性能的影响

使用动态组会对服务器性能产生影响。如果您正在测试组成员资格，而 DN 不是静态组的成员，Proxy Server 将检查数据库基 DN 中的所有动态组。Proxy Server 通过根据用户 DN 检查每个 memberURL 的基 DN 和范围来确定每个 memberURL 是否匹配。这样，Proxy Server 使用用户 DN 作为基 DN 并使用 memberURL 作为过滤器来执行基搜索。这一过程可能涉及大量的单个搜索操作。

创建动态组的准则

使用 Administration Server 界面创建新动态组时，请考虑以下准则：

• 动态组不能包含其他组。

• LDAP URL 使用以下格式（不包含主机和端口信息，因为这些参数会被忽略）：

  ldap:/// base-dn?attributes? scope?(filter)

根据 attributes、scope 和 (filter) 参数在 URL 中的位置来标识它们。即使不想指定任何属性，也必须包含用于分隔该字段的问号 (?)。

• 如果为目录定义组织单位，可以使用 Administration Server 界面的 "Create Group" 页面中的 "Add New Group To list" 列表指定要放置新组的位置。默认位置为目录的根点（最顶端的条目）。

有关编辑组的更多信息，请参见编辑组条目。

下表列出了 LDAP URL 的必需参数。

表 4–4 LDAP URL 的必需参数

参数名	描述
base_dn	搜索基 DN 或在 LDAP 目录中执行所有搜索的起点。此参数通常被设置为目录的后缀或根，例如 o=mcom.com。
attributes	搜索将返回的属性列表。要指定多个属性，请使用逗号分隔这些属性（例如，cn,mail,telephoneNumber）。如果未指定任何属性，将返回所有属性。请注意，检查动态组成员资格时将忽略此参数。
scope	此参数是必需的。  搜索范围，其值可以是：  base 仅检索有关 URL 中指定的标识名 (base_dn) 的信息。 one 检索有关 URL 中指定的标识名 (base_dn ) 的下一级条目的信息。此范围不包括基本条目。 sub 检索有关 URL 中指定的标识名 (base_dn) 下面所有级别的条目的信息。此范围包括基本条目。
(filter)	此参数是必需的。  应用于指定搜索范围内的条目的搜索过滤器。如果使用的是 Administration Server 界面，则必须指定此属性。括号是必需的。

创建动态组

创建动态组

1. 访问 Administration Server 并单击 "Users and Groups" 选项卡。

2. 单击 "Create Group" 链接。

3. 从 "Type of Group" 下拉式列表中选择 "Dynamic Group"，然后单击 "Go"。

4. 提供 "Create Group" 页面中要求的信息。

   有关特定字段的更多信息，请参见联机帮助。

5. 单击 "Create" 以创建组，或者单击 "Create and Edit" 以创建组并显示刚创建的组的编辑页面。

管理组

对于 LDAP 服务，使用 Administration Server，您可以在其 "Users and Groups" 选项卡的 "Manage Groups" 页面中编辑组和管理组成员资格。

本节包括以下主题：

• 查找组条目

• 编辑组条目

• 添加组成员

• 向组成员列表中添加组

• 从组成员列表中删除条目

• 管理所有者

• 管理 "See Alsos"

• 重命名组

• 删除组

查找组条目

在编辑组条目之前，必须首先查找并显示该条目，如以下过程所述。

查找组条目

1. 访问 Administration Server 并单击 "Users and Groups" 选项卡。

2. 单击 "Manage Groups" 链接。

3. 在 "Find Group" 字段中键入要查找的组的名称。

   您可以提供任何以下信息：

   • 使用星号 (*) 可以查看当前驻留在目录中的所有组。保留该字段为空也可以实现这一目的。

   • 任意 LDAP 搜索过滤器。包含等号 (=) 的任何字符串均被认为是搜索过滤器。

     还可以使用 "Find All Groups Whose" 部分生成自定义搜索过滤器并缩小搜索结果的范围。有关更多信息，请参见查找满足条件的所有组。

   • 姓名。提供全名或部分名。将返回与搜索字符串完全匹配的所有条目。如果未找到这样的条目，将返回包含该搜索字符串的所有条目。如果未找到包含搜索字符串的条目，将查找所有发音与搜索字符串类似的条目。

4. 在 "Look Within" 字段中，选择要在其中搜索条目的组织单位。

   默认值为目录的根点（最顶端的条目）。

5. 在 "Format" 字段中，指定应将输出格式设置为用来显示在屏幕上还是用打印机打印。

6. 要在此过程中的任何阶段显示满足条件的所有组，请单击 "Find" 按钮。

7. 单击要显示的条目的链接。

查找满足条件的所有组

对于 LDAP 服务，可以使用 "Find All Groups Whose" 部分生成自定义搜索过滤器。使用此部分中的字段可以缩小 "Find Group" 返回的搜索结果的范围。

左侧的下拉式列表指定搜索所基于的属性。可以使用以下选项：

• Name。搜索每个条目的全名以找出匹配的条目。

• Description。搜索每个组条目的描述以找出匹配的条目。

中间的下拉式列表指定要执行的搜索的类型。可以使用以下选项：

• Contains。执行子字符串搜索。将返回属性值包含指定搜索字符串的条目。例如，如果您知道组的名称可能包含单词 "Administrator"，则可以通过此选项使用搜索字符串 "Administrator" 来查找该组条目。

• Is。找到精确匹配的条目。如果您知道组属性的精确值，可以使用此选项。例如，您知道组名的精确拼写。

• Isn't。返回属性值与搜索字符串不精确匹配的所有条目。如果想要查找目录中名称不包含 "administrator" 的所有组，可以使用此选项。但是请注意，使用此选项可能导致返回大量条目。

• Sounds like。执行近似搜索。如果您知道属性的值，但不能确定其拼写，可以使用此选项。例如，您不知道组名的拼写是 "Sarret's list"、"Sarette's list" 还是 "Sarett's list"

• Starts with。执行子字符串搜索。返回属性值以指定的搜索字符串开头的所有条目。例如，您知道组名以 "Product" 开头， 但不知道其余部分。

• Ends with。执行子字符串搜索。返回属性值以指定的搜索字符串结尾的所有条目。例如，如果您知道组名以 "development" 结尾， 但不知道其余部分。

在右侧的文本字段中，输入搜索字符串。要显示在 "Look Within" 目录中包含的所有组条目，请输入星号 (*) 或保留此字段为空。

编辑组条目

编辑组条目

以下过程仅适用于 LDAP 服务。

1. 访问 Administration Server 并单击 "Users and Groups" 选项卡。

2. 单击 "Manage Groups" 链接。

3. 按查找组条目中所述找到要编辑的组。

4. 进行所需的更改。

   有关特定字段和按钮的更多信息，请参见联机帮助。

   ---

   注 –

   您可能需要更改组编辑页面中未显示的属性值。在这种情况下，可以使用目录服务器的 ldapmodify 命令行实用程序（如果可用）。

   ---

添加组成员

向组中添加成员

以下过程仅适用于 LDAP 服务。

1. 访问 Administration Server 并单击 "Users and Groups" 选项卡。

2. 单击 "Manage Groups" 链接。

3. 按查找组条目中所述找到并显示要管理的组，然后单击 "Group Members" 旁边的 "Edit" 按钮。

   所显示的页面中将列出全部现有组成员。还将显示搜索字段。

   • 要向成员列表中添加用户条目，必须在 "Find" 下拉式列表中选择 "Users"。

   • 要向组中添加组条目，必须选择 "Groups"。

4. 在 "Matching " 文本字段中，输入搜索字符串。提供任何以下选项的信息。

   • 姓名。输入全名或部分名。将返回姓名与搜索字符串完全匹配的所有条目。如果未找到这样的条目，将返回包含该搜索字符串的所有条目。如果未找到包含搜索字符串的条目，将查找所有发音与搜索字符串类似的条目。

   • 用户 ID。如果仅输入部分用户 ID，将返回所有包含该字符串的条目。

   • 电话号码。如果您只输入部分号码，将返回结尾号码与搜索号码相同的所有条目。

   • 电子邮件地址。任何包含 @ 符号的搜索字符串均被认为是电子邮件地址。如果找不到精确的匹配，将执行搜索并返回以该搜索字符串开头的所有电子邮件地址。

   • 输入星号 (*) 或保留该字段为空可以查看当前驻留在目录中的所有条目或组。

   • 任意 LDAP 搜索过滤器。包含等号 (=) 的任何字符串均被认为是搜索过滤器。

5. 单击 "Add" 以在 LDAP 数据库中查找所有匹配的条目，然后将这些条目添加到组中。

6. （可选）如果不想将搜索返回的条目添加到组中，请单击 "Remove From List" 列中对应的复选框。您还可以构建一个搜索过滤器以匹配要从组中删除的条目，然后单击 "Remove"。有关更多信息，请参见从组成员列表中删除条目。

7. 完成组成员列表后，单击 "Save Changes"。这些条目将添加到组成员列表中。

向组成员列表中添加组

对于 LDAP 服务，可以向组的成员列表中添加组而不是各个成员。属于被包括的组的任何用户将成为接收组的成员。例如，如果 Neil Armstrong 是 Engineering Managers 组的成员，而您使 Engineering Managers 组成为 Engineering Personnel 组的成员，那么 Neil Armstrong 也将成为 Engineering Personnel 组的成员。

要将组添加到另一个组的组成员列表中，可以像添加用户条目一样添加该组。有关更多信息，请参见添加组成员。

从组成员列表中删除条目

此过程仅适用于 LDAP 服务。

从组成员列表中删除条目

1. 访问 Administration Server 并单击 "Users and Groups" 选项卡。

2. 单击 "Manage Groups" 链接。

3. 找到要管理的组。

   有关更多信息，请参见查找组条目。单击 "Group Members" 旁边的 "Edit" 按钮。

4. 指出要删除的成员。

   • 要仅删除一些成员，请单击 "Remove From List" 列中对应的复选框。

   • 要基于通用条件删除成员，请构建一个搜索过滤器，以匹配要从组中删除的条目，然后单击 "Remove"。

   有关创建搜索过滤器的更多信息，请参见添加组成员。

5. 单击 "Save Changes"。

   这些条目将从组成员列表中删除。

管理所有者

对于 LDAP 服务，管理组所有者列表的方法与管理组成员列表的方法相同。

下表列出了本指南中可提供更多信息的主题。

表 4–5 管理所有者

目标	请参见
向组中添加所有者	添加组成员
向所有者列表中添加组	向组成员列表中添加组
从所有者列表中删除条目	从组成员列表中删除条目

管理 "See Alsos"

“See Alsos”是对可能与当前组相关的其他目录条目的引用。利用这些引用，用户可以很容易地找到与当前组相关的用户条目和其他组条目。管理 "See Alsos" 的方法与管理组成员列表的方法相同。

下表列出了本指南中可提供更多信息的主题。

表 4–6 管理 "See Alsos"

目标	请参见
向 "See Alsos" 添加用户	添加组成员
向 "See Alsos" 添加组	向组成员列表中添加组
从 "See Alsos" 中删除条目	从组成员列表中删除条目

重命名组

此过程仅适用于 LDAP 服务。重命名组条目时，仅更改组的名称。不能使用 "Rename Group" 功能将条目从一个组织单位移到另一个组织单位。例如，一个公司可能具有以下组织单位：

• Marketing 和 Product Management 组织单位

• Marketing 组织单位下名为 Online Sales 的组

在本例中，您可以将 Online Sales 重命名为 Internet Investments，但是不能通过重命名条目使 Marketing 组织单位下的 Online Sales 变成 Product Management 组织单位下的 Online Sales。

重命名组

1. 访问 Administration Server 并单击 "Users and Groups" 选项卡。

2. 单击 "Manage Groups" 链接，并按查找组条目中所述找到要管理的组。

3. 单击 "Rename Group" 按钮。

4. 在所显示的页面上指定新的组名，然后单击 "Save Changes"。

删除组

此过程仅适用于 LDAP 服务。

删除组

1. 访问 Administration Server 并单击 "Users and Groups" 选项卡。

2. 单击 "Manage Groups" 链接。

3. 按查找组条目中所述找到要管理的组，然后单击 "Delete Group"。

   ---

   注 –

   组的各个成员不会被删除。仅删除组条目。

   ---

创建组织单位

对于 LDAP 服务，组织单位可以包括若干个组，通常代表分支机构、部门或其他独立实体。DN 可以存在于多个组织单位中。

• 使用 organizationalUnit 对象类可创建新的组织单位。

• 新组织单位的标识名具有如下格式：

  ou=new organization ,ou=parent organization,...,o= base organization,c=country

创建组织单位

1. 访问 Administration Server 并单击 "Users and Groups" 选项卡。

2. 单击 "Create Organizational Unit" 链接。

3. 输入信息，然后单击 "Create"。

   有关特定字段的更多信息，请参见联机帮助。

   例如，如果在组织单位 West Coast 中创建一个名为 Accounting 的新组织单位，并且您的基 DN 为 o=Ace Industry, c=US，则新组织单位的 DN 为：

   ou=Accounting,ou=West Coast,o=Ace Industry,c=US

管理组织单位

对于 LDAP 服务，可通过 Administration Server 的 "Users and Groups" 选项卡中的 "Organizational Units" 页面来编辑和管理组织单位。

本节包含以下主题：

• 查找组织单位

• 编辑组织单位属性

• 重命名组织单位

• 删除组织单位

查找组织单位

此过程仅适用于 LDAP 服务。

查找组织单位

1. 访问 Administration Server 并单击 "Users and Groups" 选项卡。

2. 单击 "Organizational Units" 链接。

3. 在 "Find Organizational Unit" 字段中输入您要查找的单位的名称。

   您可以输入以下任何信息：

   • 姓名。输入全名或部分名。将返回与搜索字符串完全匹配的所有条目。如果未找到这样的条目，将返回包含该搜索字符串的所有条目。如果未找到包含搜索字符串的条目，将查找所有发音与搜索字符串类似的条目。

   • 使用星号 (*) 可以查看当前驻留在目录中的所有组。保留该字段为空也可以实现这一目的。

   • 任意 LDAP 搜索过滤器。包含等号 (=) 的任何字符串均被认为是搜索过滤器。

     还可以使用 "Find All Units Whose" 部分中的下拉式菜单来缩小搜索结果的范围。有关更多信息，请参见查找满足条件的所有单位。

4. 在 "Look Within" 字段中，选择要在其中搜索条目的组织单位。

   默认值为目录的根点（最顶端的条目）。

5. 在 "Format" 字段中，指定应将输出格式设置为用来显示在屏幕上还是用打印机打印。

6. 在此过程中的任何阶段，单击 "Find" 按钮。

   此时将显示与搜索条件相匹配的所有组织单位。

7. 单击要显示的条目的链接。

查找满足条件的所有单位

对于 LDAP 服务，利用 "Find All Units Whose" 部分可以生成自定义搜索过滤器。使用此部分中的字段可以缩小 "Find Organizational Unit" 返回的搜索结果的范围。

左侧的下拉式列表指定搜索所基于的属性。可以使用以下选项：

• Unit name。搜索每个条目的全名以找出匹配的条目。

• Description。搜索每个组织单位条目的描述找出匹配的条目。

中间的下拉式列表指定要执行的搜索的类型。可以使用以下选项：

• Contains。执行子字符串搜索。将返回属性值包含指定搜索字符串的条目。例如，如果您知道组织单位的名称可能包含单词 "Administrator"，则可以通过此选项使用搜索字符串 "Administrator" 来查找该组织单位条目。

• Is。找到精确匹配的条目。如果您知道组织单位属性的精确值，可以使用此选项。例如，您知道组织单位名称的精确拼写。

• Isn't。返回属性值与搜索字符串不精确匹配的所有条目。即，如果要查找目录中名称不包含 "administrator" 的所有组织单位，可以使用此选项。但是请注意，使用此选项可能导致返回大量条目。

• Sounds like。执行近似搜索。如果您知道属性的值，但不能确定其拼写，可以使用此选项。例如，您不知道组织单位名称的拼写是 "Sarret's list"、"Sarette's list" 还是 "Sarett's list"

• Starts with。执行子字符串搜索。返回属性值以指定的搜索字符串开头的所有条目。例如，您知道组织单位名称以 "Product" 开头， 但不知道其余部分。

• Ends with。执行子字符串搜索。返回属性值以指定的搜索字符串结尾的所有条目。例如，您知道组织单位名称以 "development" 结尾， 但不知道其余部分。

在右侧的文本字段中，输入搜索字符串。要显示在 "Look Within" 目录中包含的所有组织单位条目，请输入星号 (*) 或保留此字段为空。

编辑组织单位属性

此过程仅适用于 LDAP 服务。

编辑组织单位条目

1. 访问 Administration Server 并单击 "Users and Groups" 选项卡。

2. 单击 "Organizational Units" 链接。

3. 按查找组织单位中所述找到要编辑的组织单位。

4. 进行所需的更改。

   有关特定字段的更多信息，请参见联机帮助。

   ---

   注 –

   要更改组织单位编辑页面中未显示的属性值，请使用目录服务器的 ldapmodify 命令行实用程序（如果可用）。

   ---

重命名组织单位

此过程仅适用于 LDAP 服务。重命名组织单位条目时，仅更改组织单位的名称。不能使用重命名功能将条目从一个组织单位移到另一个组织单位。

重命名组织单位

1. 访问 Administration Server 并单击 "Users and Groups" 选项卡。

2. 单击 "Organizational Units" 链接。

3. 按查找组织单位中所述找到要编辑的组织单位。

4. 单击 "Rename" 按钮。

5. 在所显示的页面中键入新的组织单位名称，然后单击 "Save Changes"。

删除组织单位

此过程仅适用于 LDAP 服务。

删除组织单位

1. 访问 Administration Server 并单击 "Users and Groups" 选项卡。

2. 单击 "Organizational Units" 链接。

3. 按查找组织单位中所述找到要删除的组织单位。

4. 单击 "Delete" 按钮，然后在出现的确认框中单击 "OK"。