Sun Java Enterprise System 5 - Handbuch zur Installationsplanung

Entwickeln der Spezifikationen zur Benutzerverwaltung

Der Vorgang der Installation und Konfiguration des LDAP-Verzeichnisses durch die Java ES-Lösung. Bei der Installation und Konfiguration von Java ES wird sowohl ein LDAP-Schema als auch eine LDAP-Verzeichnisstruktur erstellt. Die Details von Schema und Verzeichnisstruktur werden durch Eingabewerte bestimmt, die Sie während der Installation und Konfiguration bereitstellen. Daher umfasst die Installationsplanung die Entwicklung von Spezifikationen für ein Schema und eine Verzeichnisstruktur, die von der gewählten Java ES-Lösung unterstützt wird.

Die Verzeichnisstruktur und das Schema müssen die Dienste unterstützen, die Ihre Lösung bereitstellt. Dieser Abschnitt enthält grundlegenden Beschreibungen der verfügbaren Optionen sowie der Dienste, die von den einzelnen Optionen unterstützt werden. Hauptsächlich soll in diesem Abschnitt jedoch beschrieben werden, wie Sie geeignete Eingabewerte für das Installationsprogramm von Java ES und die Konfigurations-Tools von Java ES auswählen, um ein Schema sowie eine Verzeichnisstruktur zu erstellen, die von Ihrer Java ES-Lösung unterstützt wird.

Weitere Informationen zur Auswahl eines Schemas und zur Erstellung einer Verzeichnisstruktur finden Sie in der weiterführenden Dokumentation, z. B. im Sun Java System Directory Server Enterprise Edition 6.0 Deployment Planning Guide.

Angeben des LDAP-Schemas für eine Lösung

Java ES-Lösungen, die Directory Server verwenden, können eine von zwei Versionen eines standardmäßigen LDAP-Schemas verwenden, die als Schema 1 und Schema 2 bekannt sind. Ihre Spezifikation für die Benutzerverwaltung muss angeben, ob die Lösung Schema 1 oder Schema 2 verwendet.

Schema 2 unterstützt die Verwendung von Access Manager und der Single Sign-On-Funktion von Access Manager. Wenn eine Lösung Access Manager verwendet, muss Schema 2 verwendet werden.

Der Installationsvorgang konfiguriert das Verzeichnis für das angegebene Schema wie folgt:

Um ein Verzeichnis mit Schema 1 zu erstellen, installieren Sie einfach Directory Server. Schema 1 ist die standardmäßige Schemaversion.
Um ein Verzeichnis mit Schema 1 zu erstellen, installieren Sie Directory Server und Access Manager. Durch die Installation von Access Manager wird das Verzeichnis geändert und in ein Verzeichnis mit Schema 2 konvertiert.

Tipp –
Wenn Directory Server und Access Manager auf demselben Computer in derselben Sitzung des Installationsprogramms installiert werden, wird das Verzeichnis für Schema 2 konfiguriert.

Wenn Ihre Lösung verteilt ist, installieren Sie Directory Server zunächst auf einem Computer. Anschließend installieren Sie Access Manager auf einem zweiten Computer. Bei der Installation von Access Manager geben Sie das vorhandene Verzeichniis auf dem Remotecomputer an, und anschließend wird das Verzeichnisschema für Schema 2 konfiguriert.

Je nach Lösung können folgende Verfahren für die Erweiterung des Schemas erforderlich sein.

Wenn Ihre Lösung Komponenten der Communications Suite (Messaging Server und oder Calendar Server) verwendet, muss der Installationsvorgang einige zusätzliche, mit dem Directory Preparation Tool durchgeführte Schemaerweiterungen umfassen. Diese Erweiterungen werden vor der Installation von Messaging Server bzw. Calendar Server angewendet. Sie können auf Verzeichnisse mit Schema 1 oder Schema 2 angewendet werden. Ein Beispiel für einen Installationsplan mit Anweisungen für das Directory Preparation Tool finden Sie in Sun Java Enterprise System 2005Q4 Deployment Example: Telecommunications Provider Scenario
Wenn Ihre Lösung Schema 2 verwendet, muss der Installationsvorgang einige zusätzliche, mit Delegated Administrator durchgeführte Schemaerweiterungen vorsehen, um die Access Manager-Authentifizierung und -Autorisierung für den Nachrichten- und Kalenderdienst zu unterstützen. Ein Beispiel für einen Installationsplan, der diese Schemaerweiterungen vorsieht, finden Sie in Sun Java Enterprise System 2005Q4 Deployment Example: Telecommunications Provider Scenario.

Die LDAP-Schemaspezifikation identifiziert das in der Lösung verwendete Schema und alle von der Lösung benötigen Schemaerweiterungen.

Angeben der Verzeichnisstruktur für eine Lösung

Das LDAP-Verzeichnis für eine Java ES-Lösung kann je nach den Erfordernissen für das Organisieren der Benutzerdaten einfach oder komplex sein. LDAP-Verzeichnisse weisen von Natur aus eine flexible Struktur auf. Java ES schreibt keine Struktur für das Verzeichnis vor, doch der Installations- und Konfigurationsvorgang implementiert eine Verzeichnisstruktur. Sie müssen Ihre Verzeichnisstruktur entwerfen, bevor Sie mit der Installation und Konfiguration beginnen.

Der Installations- und Konfigurationsvorgang erstellt die Verzeichnisstruktur wie folgt:

Um das Installationsprogramm für die Installation von Directory Server ausführen zu können, ist ein Eingabewert für das Basissuffix des Verzeichnisses erforderlich (auch als Root-Suffix oder Root-DN bezeichnet). Das Java ES-Installationsprogramm erstellt mithilfe des Eingabewerts das Basissuffix des Verzeichnisses. You must specify the base suffix name for your directory tree.

Tipp –
Lösungen mit einfachen Verzeichnisstrukturen, die nicht Messaging Server oder Calendar Server verwenden, können Benutzer- und Gruppendaten direkt unter dem Basissuffix speichern.
Für die Ausführung des Messaging Server-Konfigurationsassistenten (eine Komponente der Communications Suite) zum Erstellen einer Messaging Server-Instanz ist ein Eingabewert für einen LDAP-Organisations-DN erforderlich. Der Konfigurationsassistent unterteilt die Verzeichnisstruktur und erstellt eine LDAP-Organisation mithilfe des im Assistenten eingegebenen DN. Diese Organisation stellt die von der Messaging Server-Instanz verwaltete E-Mail-Domäne dar. Der Assistent konfiguriert außerdem die Messaging Server-Instanz für die Verwendung der E-Mail-Domänenorganisation für Benutzer- und Gruppendaten. Zum Installationsplan gehört der DN für die E-Mail-Domänenorganisation. Ein Beispiel für eine von diesem Prozess erstellte Verzeichnisstruktur finden Sie in Abbildung 2–3. Im Beispiel lautet das vom Installationsprogramm erstellte Basissuffix o=examplecorp . Die vom Messaging Server-Konfigurationsassistenten erstellte E-Mail-Domänenorganisation lautet o=examplecorp.com,o=examplecorp.
Für die Konfigurationsassistenten für Calendar Server, Communications Express, Instant Messaging und Delegated Administrator (Komponenten der Communications Suite) ist ein Eingabewert für einen LDAP-DN erforderlich. (Die Namen, die in den Assistenten auftauchen sind unterschiedlich.) Wenn eine Lösung Single Sign-On verwendet, wird derselbe Wert in allen Konfigurationsassistenten eingegeben. Der Eingabewert ist die vom Messaging Server-Assistenten erstellte E-Mail-Domänenorganisation. Das Ergebnis dieser Konfiguration besteht darin, dass alle Komponenten Benutzerdaten in derselben LDAP-Organisation speichern und nachschlagen. Alle Informationen zu einem Benutzer können in einem einzelnen Verzeichniseintrag gespeichert werden und die Single Sign-On-Funktion von Access Manager kann verwendet werden.

Ein Beispiel für eine Verzeichnisstruktur, die von diesem Prozess erstellt wurde, wird in Abbildung 2–3 dargestellt. In diesem Beispiel hat das Java ES-Installationsprogramm das Basissuffix o=examplecorp erstellt und der Messaging Server-Konfigurationsassistent hat die Organisation o=examplecorp.com,o=examplecorp hinzugefügt. Diese Organisation stellt die E-Mail-Domäne namens examplecorp.com dar. Die Benutzerdaten für die E-Mail-Domäne werden in ou=people,o=examplecorp.com,o=examplecorp gespeichert. Die anderen Java ES-Komponenten in der Lösung werden ebenfalls zum Nachschlagen von Benutzerdaten in ou=people,o=examplecorp.com,o=examplecorp konfiguriert.

Abbildung 2–3 LDAP-Beispielsverzeichnisstruktur

Stellt die im Text beschriebene LDAP-Struktur dar.

Um die in Abbildung 2–3 abgebildete Verzeichnisstruktur zu erstellen, werden die Namen für das Basissuffix und die Organisation, die die E-Mail-Domäne darstellt, ausgewählt und zur Benutzerverwaltungsspezifikation hinzugefügt.

Die Beispielverzeichnisstruktur enthält nur eine einzige Maildomäne. Bei vielen Lösungen sind komplexere Strukturen zur Organisation der Benutzerdaten erforderlich. Mit demselben grundlegenden Verfahren für Installation und Konfiguration können jedoch auch komplexere Verzeichnisstrukturen erstellt werden. Beispielsweise kann ein Verzeichnis so konfiguriert werden, dass es mehrere E-Mail-Domänen unterstützt, wenn die jeweilige Situation dies erfordert.

Um mehrere E-Mail-Domänen zu erstellen, müssen Sie mehrere Instanzen von Messaging Server konfigurieren. Jede Instanz verwaltet eine E-Mail-Domäne. Ein Beispiel finden Sie im Sun Java Enterprise System 2005Q4 Deployment Example: Telecommunications Provider Scenario.

Es können auch andere LDAP-Verzeichnisse in einer Java ES-Lösung verwendet werden, wenn die Lösung über Access Manager mit dem Verzeichnis interagiert. Beim Verzeichnisserver muss es sich um einen mit LDAP-Version 3 (LDAP v3) kompatiblen Verzeichnisserver handeln.