第 4 章管理用户和组

本章介绍如何添加、删除、修改和管理可以访问 Proxy Server 的用户和组。

访问有关用户和组的信息

可以通过 Administration Server 访问有关用户帐户、组列表、访问权限、组织单位以及用户和组特有信息的应用程序数据。

用户和组信息存储在文本格式的平面文件或支持 LDAP（轻量目录访问协议）的目录服务器（如 Sun Java™ System Directory Server）中。LDAP 是一种开放的目录访问协议，它通过 TCP/IP（传输控制协议/Internet 协议）运行，可以扩展到全局大小，几百万个条目。

关于目录服务

可以通过目录服务从一个源管理所有用户信息。使用 Proxy Server 可以配置三种不同类型的目录服务：LDAP、密钥文件和摘要文件。

如果没有配置其他目录服务，新创建的第一个目录服务的值将被设置为 default，无论其是何种类型。创建目录服务时，将使用目录服务的详细信息更新 server_root/userdb/dbswitch.conf 文件。

LDAP 目录服务

密钥文件目录服务

摘要文件目录服务

LDAP 目录服务

使用 LDAP 目录服务时，用户和组信息存储在基于 LDAP 的目录服务器中。

如果 LDAP 服务是默认服务，将按下例所示更新 dbswitch.conf 文件：

directory default ldap://test22.india.sun.com:589/dc%3Dindia%2Cdc%3Dsun%2Cdc%3Dcom
default:binddn cn=Directory Manager
default:encoded bindpw YWRtaW5hZG1pbg==

如果 LDAP 服务不是默认服务，将按下例所示更新 dbswitch.conf 文件：

directory ldap ldap://test22.india.sun.com:589/dc%3Dindia%2Cdc%3Dsun%2Cdc%3Dcom
ldap:binddn cn=Directory Manager
ldap:encoded bindpw YWRtaW5hZG1pbg==

密钥文件目录服务

密钥文件是一个文本文件，其中包含散列格式的用户口令及用户所属的组的列表。仅当要使用 HTTP 基本验证时，才能使用密钥文件格式。有关此验证方法的更多信息，参见指定用户和组。

创建基于密钥文件的数据库时，将按下例所示更新 dbswitch.conf 文件：

directory keyfile file
keyfile:syntax keyfile
keyfile:keyfile D:\test22\keyfile\keyfiledb

摘要文件目录服务

摘要文件格式是为支持 HTTP 摘要验证的使用而提供的，但它也支持基本验证，因此可以用于这两种验证方法。有关这些方法的更多信息，参见指定用户和组。

创建基于摘要的数据库时，将按下例所示更新 dbswitch.conf 文件：

directory digest file
digest:syntax digest
digest:digestfile D:\test22\digest\digestdb


注	要配置分布式管理，默认目录服务必须是基于 LDAP 的目录服务。

配置目录服务

在 Administration Server 的 "Global Settings" 选项卡上创建和配置目录服务。然后在 Administration Server 的 "Users and Groups" 选项卡上创建和管理用户、组和组织单位。

创建目录服务

编辑目录服务

创建目录服务

访问 Administration Server 并单击 "Global Settings" 选项卡。

单击 "Configure Directory Service" 链接。

在 "Create New Service of Type" 下拉式列表中选择要创建的目录服务类型，然后单击 "New"。将显示该目录服务的配置页面。

提供配置信息，然后单击 "Save Changes"。有关特定字段的更多信息，参见联机帮助。

编辑目录服务


注	如果没有配置其他目录服务，新创建的第一个目录服务的值将被设置为 default，无论其是何种类型。

访问 Administration Server 并单击 "Global Settings" 选项卡。

单击 "Configure Directory Service" 链接。

单击想要编辑的目录服务的链接，进行所需的更改，然后单击 "Save Changes"。有关特定字段的更多信息，参见联机帮助。

了解标识名 (DN)

Administration Server 中的 "Users and Groups" 选项卡用于创建或修改用户、组和组织单位。用户是指 LDAP 数据库中的个人，如公司的雇员。组是指共享某个常用属性的两个或更多个用户。组织单位是指工作单位内的子分支机构，它使用 organizationalUnit 对象类。本章后文中将对用户、组和组织单位做更为详尽的介绍。

企业中的每个用户和组都由一个标识名 (DN) 属性来表示。DN 属性是一个文本字符串，它包含关联的用户、组或对象的标识信息。每当更改用户或组目录条目时，就需要使用 DN。例如，每次为应用程序（如邮件或发布）创建或修改目录条目、配置访问控制及配置用户帐户时，都必须提供 DN 信息。Proxy Server 的 "Users and Groups" 界面用于创建或修改 DN。

uid 是用户 ID

e 是电子邮件地址

cn 是用户的通用名称

o 是工作单位

c 是国家

DN 可能包括多种名称-值对，用于标识支持 LDAP 的目录中的证书主题和条目。

使用 LDIF

如果目前没有目录或要向现有目录中添加新的子树，则可以使用目录服务器的 LDIF（轻量目录交换格式）导入功能。此功能接受包含 LDIF 的文件并尝试使用 LDIF 条目生成目录或新的子树。还可以使用目录服务器的 LDIF 导出功能将当前目录导出到 LDIF。此功能会创建一个 LDIF 格式的文件，用来表示您的目录。可以使用 ldapmodify 命令行实用程序（如果可用）和相应的 LDIF 更新语句来添加或编辑条目。

要使用 LDIF 向数据库添加条目，请先在某个 LDIF 文件中定义条目，然后从目录服务器导入该 LDIF 文件。

创建用户

Administration Server 中的 "Users and Groups" 选项卡用于创建和修改用户条目。用户条目包含有关数据库中的单个用户或对象的信息。


注	务必通过确保用户对资源不具有未经授权的访问权限来保证服务器的安全性。Proxy Server 使用基于 ACL 的授权和验证模式。有关基于 ACL 的安全性的更多信息，参见控制对服务器的访问。有关其他安全性信息，另参见使用证书和密钥。

在基于 LDAP 的验证数据库中创建用户

在密钥文件验证数据库中创建用户

在摘要文件验证数据库中创建用户

在基于 LDAP 的验证数据库中创建用户

向基于 LDAP 的目录服务添加用户条目时，将使用底层的基于 LDAP 的目录服务器的服务对用户进行验证和授权。本节列出使用基于 LDAP 的验证数据库时需要考虑的指导原则，并介绍如何通过 Proxy Server Administration Server 来添加用户。

创建基于 LDAP 的用户条目的指导原则

使用 Proxy Server 管理控制台在基于 LDAP 的目录服务中创建新用户条目时，请考虑以下指导原则：

如果输入名字和姓，将自动填写用户的全名和用户 ID。生成的用户 ID 由用户名字的第一个字母和后跟的用户姓组成。例如，如果用户的姓名为 Billie Holiday，将自动把用户 ID 设置为 bholiday。如果您愿意，可以用自己选择的 ID 替换该用户 ID。

用户 ID 必须是唯一的。Administration Server 通过从搜索基（基 DN）开始向下搜索整个目录来确定该用户 ID 是否已被使用，从而确保该用户 ID 的唯一性。不过，请注意，如果使用目录服务器 ldapmodify 命令行实用程序（如果可用）创建用户，将无法确保用户 ID 的唯一性。如果目录中存在重复的用户 ID，受影响的用户将无法验证到该目录。

基 DN 指定默认情况下作为目录查找起点的标识名，同时也是目录树中放置所有 Proxy Server Administration Server 条目的位置。DN 是对目录服务器中条目名称的字符串表示。

创建新用户条目时须至少指定以下用户信息：

姓

全名

用户 ID

如果为目录定义了任何组织单位，可以使用 Administration Server 中 "Create User" 页面上的 "Add New User To" 列表指定要放置新用户的位置。默认位置是目录的基 DN（或根点）。

创建基于 LDAP 的用户条目

在基于 LDAP 的验证数据库中创建用户

访问 Administration Server 并单击 "Users and Groups" 选项卡。

单击 "Create User" 链接。

从下拉式列表中选择 LDAP 目录服务，然后单击 "Select"。

在显示的页面中输入信息。有关特定字段的更多信息，参见联机帮助。另参见目录服务器用户条目。

单击 "Create" 创建用户条目，或单击 "Create and Edit" 创建用户条目并随即进入刚创建的条目的编辑页面。

目录服务器用户条目

用户条目使用 inetOrgPerson、organizationalPerson 和 person 对象类。

默认情况下，用户标识名的格式如下：

cn=full name,ou=organization,...,o=base organization,c=country

用户表单字段上的值以 LDAP 属性形式存储。

下表列出了在 Proxy Server 界面中创建新用户时显示的字段和相应的 LDAP 属性。

表 4-1 LDAP 属性——创建用户条目
用户字段	LDAP 属性
Given Name	givenName
Surname	sn
Full Name	cn
User ID	uid
Password	userPassword
E-mail Address	mail

下表列出了编辑用户条目时会附加显示的字段和相应的 LDAP 属性。

表 4-2 LDAP 属性——编辑用户条目
用户字段	LDAP 属性
Title	title
Phone Number	telephoneNumber

在密钥文件验证数据库中创建用户

密钥文件是一个文本文件，其中包含散列格式的用户口令及用户所属的组的列表。

在密钥文件验证数据库中创建用户

访问 Administration Server 并单击 "Users and Groups" 选项卡。

单击 "Create User" 链接。

从下拉式列表中选择基于密钥文件的目录服务，然后单击 "Select"。

在显示的页面中输入信息，然后单击 "Create User"。有关特定字段的更多信息，参见联机帮助。

在摘要文件验证数据库中创建用户

访问 Administration Server 并单击 "Users and Groups" 选项卡。

单击 "Create User" 链接。

从下拉式列表中选择基于摘要文件的目录服务，然后单击 "Select"。

在显示的页面中输入信息，然后单击 "Create User"。有关特定字段的更多信息，参见联机帮助。



注	使用 Proxy Server ACL 用户界面创建使用摘要验证的 ACL 时，必须指定相同的领域字符串。有关更多信息，参见设置访问控制。

管理用户

通过 Administration Server "Users and Groups" 选项卡上的 "Manage Users" 页面编辑用户属性。在此页面中，可以查找、更改、重命名和删除用户条目。

查找用户信息

编辑用户条目前，必须先查找并显示条目，如以下过程中所述。

查找用户信息

访问 Administration Server 并单击 "Users and Groups" 选项卡。

单击 "Manage Users" 链接。

从下拉式列表中选择目录服务，然后单击 "Select"。对于密钥文件或摘要文件目录服务，将显示用户列表。对于基于 LDAP 的目录服务，将显示搜索字段。

查找用户信息：

对于密钥文件和摘要文件目录服务，请单击用户的链接以显示编辑页面，然后进行更改。有关特定字段的更多信息，参见联机帮助。

对于基于 LDAP 的目录服务，请执行以下操作：

在 "Find User" 字段中为要编辑的条目输入描述性值。可以输入任何以下类型的值：

名称。输入全称或部分名称。将返回与搜索字符串完全匹配的所有条目。如果未找到这样的条目，将查找包含该搜索字符串的所有条目。如果未找到这样的条目，将查找发音与搜索字符串类似的所有条目。

用户 ID。如果只输入部分用户 ID，将返回所有包含该字符串的条目。

电话号码。如果只输入部分号码，将返回结尾号码与搜索号码相同的所有条目。

电子邮件地址。包含 (@) 符号的任何搜索字符串均被认为是电子邮件地址。如果找不到完全匹配项，将执行搜索来查找以该搜索字符串开头的所有电子邮件地址。

使用星号 (*) 可以获得当前目录中的所有条目。将该字段留空也可以实现这一目的。

任意 LDAP 搜索过滤器。任何包含等号 (=) 的字符串均被认为是搜索过滤器。

还可以使用 "Find All Users Whose" 部分中的下拉式菜单来缩小搜索结果的范围。有关更多信息，参见生成自定义搜索查询。

在 "Look Within" 字段中，选择要在其中搜索条目的组织单位。默认值为目录的根点（最顶端的条目）。

在 "Format" 字段中指定是否对输出进行格式设置，以便在屏幕上显示或在打印机上打印。

在本过程中的任何阶段单击 "Find" 按钮时，将显示与搜索条件匹配的所有用户。

单击要显示的条目的链接。

生成自定义搜索查询

对于 LADP 服务，可以通过 "Find All Users Whose" 部分生成自定义搜索过滤器。使用各字段来缩小 "Find User" 搜索返回的搜索结果的范围。

左侧的下拉式列表指定搜索依据的属性。下表列出了可用的搜索属性选项。

表 4-3 搜索属性选项
选项	搜索匹配项
Full name	每个条目的全名
Last name	每个条目的姓
User ID	每个条目的用户 ID
Phone number	每个条目的电话号码
E-mail address	每个条目的电子邮件地址

中间的下拉式列表指定要执行的搜索类型。下表列出了可用的搜索类型选项。

表 4-4 搜索类型选项
选项	描述
Contains	执行子串搜索。将返回属性值包含指定搜索字符串的条目。例如，如果知道用户的姓名可能包含单词 "Dylan"，则可以通过此选项使用搜索字符串 "Dylan" 来查找该用户的条目。
Is	执行精确匹配搜索（指定等同项搜索）。如果知道用户属性的确切值，请使用此选项。例如，知道用户姓名的准确拼写。
Isn't	返回属性值与搜索字符串不精确匹配的所有条目。使用此选项在目录中查找姓名不是 "John Smith" 的所有用户。请注意，使用此选项可能导致返回极大数量的条目。
Sounds like	执行近似或语音搜索。如果知道属性的值但不知道其拼写，请使用此选项。例如，如果不知道用户姓名的拼写是 "Sarret"、"Sarette" 还是 "Sarett"。
Starts with	执行子串搜索。返回属性值以指定的搜索字符串开头的所有条目。例如，知道用户姓名以 "Miles" 开头，但不知道姓名的其余部分。
Ends with	执行子串搜索。返回属性值以指定搜索字符串结尾的所有条目。例如，知道用户姓名以 "Dimaggio" 结尾，但不知道姓名的其余部分。

右侧的文本字段用于输入搜索字符串。要显示在 "Look Within" 字段中指定的目录中包含的所有用户条目，请输入星号 (*) 或将此字段留空。

编辑用户信息

编辑用户条目

访问 Administration Server 并单击 "Users and Groups" 选项卡。

单击 "Manage Users" 链接。

按以下部分中所述显示用户条目：查找用户信息。

进行所需的更改。有关特定字段的更多信息，参见联机帮助。



注	可能需要更改编辑用户页面未显示的属性值。在这种情况下，请使用目录服务器的 ldapmodify 命令行实用程序（如果可用）。

管理用户口令

更改或创建用户口令

访问 Administration Server 并单击 "Users and Groups" 选项卡。

单击 "Manage Users" 链接。

按以下部分中所述显示用户条目：查找用户信息。

进行所需的更改。有关特定字段的更多信息，参见联机帮助。

对于 LDAP 数据库，还可以通过单击用于编辑用户口令信息的页面（可以从 "Manage Users" 页面访问）上的 "Disable Password" 按钮来禁用用户口令。这样一来，不必删除用户的目录条目就可以阻止其登录服务器。输入新口令后即可再次授予该用户访问权限。

重命名用户

对于 LDAP 数据库，重命名特性只会更改用户 ID，不会影响所有其他字段。无法使用重命名特性将一个组织单位中的条目移入另一个组织单位。

重命名用户条目

访问 Administration Server 并单击 "Users and Groups" 选项卡。

单击 "Manage Users" 链接。

按以下部分中所述显示用户条目：查找用户信息。

单击编辑用户页面上的 "Rename User" 按钮，在显示的页面上输入用户 ID，然后单击 "Save Changes"。

删除用户

删除用户条目


注	重命名条目时，可以通过将 keepOldValueWhenRenaming 参数设置为 false（默认值）来指定 Administration Server 不再保留旧值。该参数位于以下文件中： server_root/proxy-admserv/config/dsgw-orgperson.conf

访问 Administration Server 并单击 "Users and Groups" 选项卡。

单击 "Manage Users" 链接。

按以下部分中所述显示用户条目：查找用户信息。

单击 "Delete User" (LDAP) 或 "Remove User"（密钥文件和摘要文件）。

创建组

组是 LDAP 数据库中用来描述一组对象的对象。Sun Java System 服务器组由共享某个通用属性的用户组成。例如，一组对象可能是就职于公司市场部的若干雇员。这些雇员可能属于一个名为 Marketing 的组。

对于 LDAP 服务，定义组成员资格的方法有两种：静态和动态。静态组显式地枚举其成员对象。静态组是一个通用名称 (Common Name, CN)，它包含 uniqueMembers 和/或 memberURLs 和/或 memberCertDescriptions。对于静态组，其成员并不共享某个通用属性，但 cn=groupname 属性除外。

动态组让您可以使用 LDAP URL 来定义一组只适用于组成员的规则。对于动态组，其成员的确共享某个或一组通用属性，这些属性在 memberURL 过滤器中定义。例如，如果需要一个包含 Sales 部门中所有雇员的组，并且这些雇员已位于 LDAP 数据库中的 ou=Sales,o=Airius.com 之下，则可以使用以下成员 URL 定义一个动态组：

结果是，该组将包含树中 ou=Sales,o=sun 点下具有 uid 属性的所有对象。也就是说，包含所有 Sales 成员。

对于静态组和动态组，如果使用 memberCertDescription，则其成员可以通过证书共享某个通用属性。请注意，这只在 ACL 使用 SSL 方法时才适用。

关于静态组

关于动态组

关于静态组

对于 LDAP 服务，Administration Server 让您可以通过在任意数量的用户的 DN 中指定相同的组属性来创建静态组。静态组不会发生变化，除非向其中添加用户或从中删除用户。

创建静态组的指导原则

使用 Administration Server 界面创建新静态组时，请考虑以下指导原则：

静态组可以包含其他静态或动态组。

如果为目录定义了组织单位，请使用 Administration Server 界面中 "Create Group" 页面上的 "Add New Group To" 列表指定放置新组的位置。默认位置为目录的根点（最顶端的条目）。

有关编辑组的更多信息，参见编辑组条目。

创建静态组

访问 Administration Server 并单击 "Users and Groups" 选项卡。

单击 "Create Group" 链接。

从 "Type of Group" 下拉式列表中选择 "New Group"，然后单击 "Go"。

在 "Create Group" 页面中输入信息。有关特定字段的更多信息，参见联机帮助。

单击 "Create" 创建组，或单击 "Create and Edit" 创建组并随即进入刚创建的组的编辑页面。

关于动态组

对于 LDAP 服务，如果想要基于任何属性自动将用户分组或想要将 ACL 应用于某些包含匹配 DN 的组，则可以通过 Proxy Server 创建动态组。例如，可以创建这样一个组，该组自动包括任何包含属性 department=marketing 的 DN。如果为 department=marketing 应用搜索过滤器，搜索将返回一个组，其中包含具有属性 department=marketing 的所有 DN。接下来可以使用基于此过滤器的搜索结果定义一个动态组。随后可以为生成的动态组定义 ACL。

动态组是如何实现的

Proxy Server 在 LDAP 服务器模式中以 objectclass=groupOfURLs 方式实现动态组。一个 groupOfURLs 类可以有零个或更多个 memberURL 属性，每个属性都是一个 LDAP URL，描述目录中的一组对象。组的成员将是这些对象集的总和。例如，下面的组只包含一个成员 URL：

该示例描述的是 o=mcom.com 下部门为 marketing 的所有对象所组成的集合。LDAP URL 可以包含搜索基 DN、范围和过滤器，但不能包含主机名和端口。这意味着只能引用同一个 LDAP 服务器上的对象。LDAP URL 支持所有范围。有关 LDAP URL 的更多信息，参见创建动态组的指导原则。

DN 会自动包含在内，不需要向组中逐一添加每个 DN。组是动态变化的，因为每次 ACL 验证需要进行组查找时，Proxy Server 都会执行 LDAP 服务器搜索。ACL 文件中使用的用户和组名称与 LDAP 数据库中对象的 cn 属性相对应。


注	Proxy Server 使用 cn 属性作为 ACL 的组名称。

从 ACL 到 LDAP 数据库的映射将同时在 dbswitch.conf 文件（它将 ACL 数据库名称与实际的 LDAP 数据库 URL 关联）和 ACL 文件（它定义要为各 ACL 使用的数据库）中进行定义。例如，如果想让名为 staff 的组中的成员资格具有基本访问权限，ACL 代码将查找对象类为 groupOfanything 且 CN 的设置为 staff 的对象。该对象通过两种方法来定义组的成员：显式地枚举成员 DN（与对静态组的 groupOfUniqueNames 的做法相同），或指定 LDAP URL（例如，groupOfURLs）。

动态组对服务器性能的影响


注	组可以同时是动态和静态的。组对象可以同时有 objectclass=groupOfUniqueMembers 和 objectclass=groupOfURLs。因此，uniqueMember 和 memberURL 属性均有效。组的成员资格是其静态和动态成员的总和。

使用动态组会影响服务器性能。如果正在测试组成员资格，而该 DN 不是静态组的成员，则 Proxy Server 将检查数据库基 DN 中的所有动态组。Proxy Server 确定是否每个 memberURL 都匹配，方法是检查其基 DN 和范围并与用户的 DN 进行比较，然后使用用户的 DN 作为基 DN，并使用 memberURL 作为过滤器来执行基搜索。此过程可能包括大量单个搜索。

创建动态组的指导原则

使用 Administration Server 界面创建新动态组时，请考虑以下指导原则：

动态组不能包含其他组。

使用以下格式输入组的 LDAP URL（不包括主机和端口信息，因为这些参数会被忽略）：

ldap:///base_dn?attributes?scope?(filter)

下表列出了 LDAP URL 的必需参数。

表 4-5 LDAP URL 的必需参数
参数名	描述
base_dn	搜索基的 DN，或在 LDAP 目录中执行所有搜索的起始点。此参数往往被设置为目录的后缀或根，如 o=mcom.com。
attributes	搜索将返回的属性列表。要指定一个以上属性，请使用逗号来分隔各属性（例如，cn,mail,telephoneNumber）。如果不指定属性，将返回所有属性。检查动态组成员资格时将忽略此参数。
scope	此参数是必需的。搜索范围，其值可以是： base 只检索有关 URL 中指定的标识名 (base_dn) 的信息。 one 检索有关 URL 中指定的标识名 (base_dn) 的下一级条目的信息。此范围不包括基本条目。 sub 检索有关 URL 中指定的标识名 (base_dn) 下所有级别条目的信息。此范围包括基本条目。
(filter)	此参数是必需的。应用于指定搜索范围内的条目的搜索过滤器。如果使用的是 Administration Server 界面，则必须指定此属性。括号是必需的。

attributes、scope 和 (filter) 参数是根据它们在 URL 中的位置来进行标识的。即使不想指定任何属性，仍必须使用问号 (?) 来分隔该字段。

有关编辑组的更多信息，参见编辑组条目。

创建动态组

访问 Administration Server 并单击 "Users and Groups" 选项卡。

单击 "Create Group" 链接。

从 "Type of Group" 下拉式列表中选择 "Dynamic Group"，然后单击 "Go"。

在 "Create Group" 页面中输入信息。有关特定字段的更多信息，参见联机帮助。

单击 "Create" 创建组，或单击 "Create and Edit" 创建组并随即进入刚创建的组的编辑页面。

管理组

对于 LDAP 服务，Administration Server 让您可以通过 Administration Server 的 "Users and Groups" 选项卡上的 "Manage Groups" 页面来编辑组和管理组成员资格。

查找组条目

编辑组条目前，必须先查找并显示条目，如以下过程中所述。

查找组条目

访问 Administration Server 并单击 "Users and Groups" 选项卡。

单击 "Manage Groups" 链接。

在 "Find Group" 字段中输入要查找的组的名称。可以输入任何以下类型的值：

使用星号 (*) 可以获得当前位于目录中的所有组。将该字段留空也可以实现这一目的。

任意 LDAP 搜索过滤器。包含等号 (=) 的任何字符串均被认为是搜索过滤器。

还可以使用 "Find All Groups Whose" 部分生成自定义搜索过滤器，缩小搜索结果的范围。有关更多信息，参见 Find All Groups Whose 部分。

在 "Look Within" 字段中，选择要在其中搜索条目的组织单位。默认值为目录的根点（最顶端的条目）。

在 "Format" 字段中指定是否对输出进行格式设置，以便在屏幕上显示或在打印机上打印。

在本过程中的任何阶段单击 "Find" 按钮时，将显示与搜索条件匹配的所有组。

单击要显示的条目的链接。

Find All Groups Whose 部分

对于 LADP 服务，可以通过 "Find All Groups Whose" 部分生成自定义搜索过滤器。使用此部分中的字段可以缩小要不然将由 "Find Group" 返回的搜索结果的范围。

Name。搜索每个条目的全名以查找匹配项。

Description。搜索每个组条目的描述以查找匹配项。

Contains。执行子串搜索。将返回属性值包含指定搜索字符串的条目。例如，如果知道组名可能包含单词 "Administrator"，请在此选项中使用搜索字符串 "Administrator" 来查找组条目。

Is。执行精确匹配搜索。如果知道组属性的确切值，请使用此选项。例如，知道组名的准确拼写。

Isn't。返回属性值与搜索字符串不精确匹配的所有条目。如果要在目录中查找所有名称中不包含 "administrator" 的组，请使用此选项。不过请注意，使用此选项可能导致返回极大数量的条目。

Sounds like。执行近似或语音搜索。如果知道属性的值，但不能确定其拼写，请使用此选项。例如，不知道组名的拼写是 "Sarret's list"、"Sarette's list" 还是 "Sarett's list"。

Starts with。执行子串搜索。返回属性值以指定的搜索字符串开头的所有条目。例如，知道组名以 "Product" 开头，但不知道名称的其余部分。

Ends with。执行子串搜索。返回属性值以指定搜索字符串结尾的所有条目。例如，知道组名以 "development" 结尾，但不知道名称的其余部分。

在右侧的文本字段中输入搜索字符串。要显示 "Look Within" 目录中包含的所有组条目，请输入星号 (*) 或将此字段留空。

编辑组条目

访问 Administration Server 并单击 "Users and Groups" 选项卡。

单击 "Manage Groups" 链接。

按以下部分中所述找到要编辑的组：查找组条目。

进行所需的更改。有关特定字段和按钮的更多信息，参见联机帮助。

添加组成员

向组添加成员


注	可能需要更改组编辑页面未显示的属性值。在这种情况下，请使用目录服务器的 ldapmodify 命令行实用程序（如果可用）。

访问 Administration Server 并单击 "Users and Groups" 选项卡。

单击 "Manage Groups" 链接。

按以下部分中所述找到并显示要管理的组：查找组条目，然后单击 "Group Members" 旁的 "Edit" 按钮。显示的页面中将列出所有现有的组成员。还会显示搜索字段。

要将用户条目添加到成员列表，必须在 "Find" 下拉式列表中选择 "Users"。

要将组条目添加到组，必须选择 "Groups"。

在 "Matching" 文本字段中输入搜索字符串。请输入以下选项之一：

名称。输入全称或部分名称。将返回其名称与搜索字符串完全匹配的所有条目。如果未找到这样的条目，将查找包含该搜索字符串的所有条目。如果未找到这样的条目，将查找发音与搜索字符串类似的所有条目。

用户 ID。如果只输入部分用户 ID，将返回所有包含该字符串的条目。

电话号码。如果只输入部分号码，将返回结尾号码与搜索号码相同的所有条目。

如果输入星号 (*) 或将此字段留空，将返回当前位于目录中的所有条目或组。

任意 LDAP 搜索过滤器。包含等号 (=) 的任何字符串均被认为是搜索过滤器。

单击 "Add" 查找 LDAP 数据库中所有匹配的条目并将它们添加到组中。如果不希望将搜索返回的某些条目添加到组中，请单击 "Remove From List" 列中相应的复选框。（请注意，还可以构建一个搜索过滤器来匹配要从组中删除的条目，然后单击 "Remove"。有关更多信息，参见从组成员列表中删除条目。）

完成组成员列表后，单击 "Save Changes"。条目将添加到组成员列表。

向组成员列表中添加组

对于 LDAP 服务，可以向组成员列表中添加组（而不是单个成员）。这样做将使所添加的组的成员成为接收组的成员。例如，如果 Neil Armstrong 是 Engineering Managers 组的成员，而您使 Engineering Managers 组成为 Engineering Personnel 组的成员，则 Neil Armstrong 也将成为 Engineering Personnel 组的成员。

要将组添加到另一个组的组成员列表中，可以像添加用户条目那样添加该组。有关更多信息，参见添加组成员。

从组成员列表中删除条目

访问 Administration Server 并单击 "Users and Groups" 选项卡。

单击 "Manage Groups" 链接。

按以下部分中所述找到要管理的组：查找组条目，然后单击 "Group Members" 旁的 "Edit" 按钮。

对于要从列表中删除的每个成员，单击 "Remove From List" 列中相应的复选框。还可以构建一个搜索过滤器来匹配要从组中删除的条目，然后单击 "Remove"。有关创建搜索过滤器的更多信息，参见添加组成员。

单击 "Save Changes"。将从组成员列表中删除条目。

管理拥有者

对于 LDAP 服务，管理组拥有者列表的方法与管理组成员列表的方法相同。

表 4-6 管理拥有者
要	参见
向组中添加拥有者	添加组成员
向拥有者列表中添加组	向组成员列表中添加组
从拥有者列表中删除条目	从组成员列表中删除条目

管理另参见

另参见是对可能与当前组相关的其他目录条目的引用。用户可以通过它们轻松地找到与当前组相关的人员和其他组的条目。管理另参见的方法与管理组成员列表的方法相同。

表 4-7 管理另参见
要	参见
向另参见添加用户	添加组成员
向另参见添加组	向组成员列表中添加组
从另参见删除条目	从组成员列表中删除条目

重命名组

以下过程只适用于 LDAP 服务。重命名组条目时，只有组的名称会被更改。无法使用 "Rename Group" 特性将一个组织单位的条目移入另一个组织单位。例如，一个公司可能具有以下组织单位：

Marketing 和 Product Management 组织单位

Marketing 组织单位下名为 Online Sales 的组

在本例中，可以将组 Online Sales 重命名为 Internet Investments，但无法通过重命名条目使 Marketing 组织单位下的 Online Sales 变成 Product Management 组织单位下的 Online Sales。

重命名组

访问 Administration Server 并单击 "Users and Groups" 选项卡。

单击 "Manage Groups" 链接，按以下部分中所述找到想要管理的组：查找组条目。

单击 "Rename Group" 按钮，在显示的页面上指定新的组名称，然后单击 "Save Changes"。

删除组

访问 Administration Server 并单击 "Users and Groups" 选项卡。

单击 "Manage Groups" 链接。

按以下部分中所述找到想要管理的组：查找组条目，然后单击 "Delete Group"。



注	将不会删除组的单个成员，只会删除组条目。

创建组织单位

对于 LDAP 服务，组织单位可以包含若干个组，通常代表分支机构、部门或其他独立实体。DN 可以存在于一个以上组织单位中。

创建组织单位

访问 Administration Server 并单击 "Users and Groups" 选项卡。

单击 "Create Organizational Unit" 链接。

输入信息并单击 "Create"。有关特定字段的更多信息，参见联机帮助。

新组织单位使用 organizationalUnit 对象类进行创建。

新组织单位的标识名具有如下格式：

ou=new organization,ou=parent organization,...,o=base organization,c=country

例如，如果在组织单位 West Coast 内创建名为 Accounting 的新组织单位，而基 DN 为 o=Ace Industry,c=US，则新组织单位的 DN 将是：

管理组织单位

对于 LDAP 服务，通过 Administration Server 的 "Users and Groups" 选项卡上的 "Manage Organizational Units" 页面编辑和管理组织单位。

查找组织单位

访问 Administration Server 并单击 "Users and Groups" 选项卡。

单击 "Manage Organizational Units" 链接。

在 "Find Organizational Unit" 字段中输入要查找的单位的名称。可以输入任何以下类型的值：

使用星号 (*) 可以获得当前位于目录中的所有组。将该字段留空也可以实现这一目的。

任意 LDAP 搜索过滤器。包含等号 (=) 的任何字符串均被认为是搜索过滤器。

还可以使用 "Find All Units Whose" 部分中的下拉式菜单来缩小搜索结果的范围。有关更多信息，参见 Find All Units Whose 部分。

在 "Look Within" 字段中，选择要在其中搜索条目的组织单位。默认值为目录的根点（最顶端的条目）。

在 "Format" 字段中指定是否对输出进行格式设置，以便在屏幕上显示或在打印机上打印。

在本过程中的任何阶段单击 "Find" 按钮时，将显示与搜索条件匹配的所有组织单位。

单击要显示的条目的链接。

Find All Units Whose 部分

对于 LADP 服务，可以通过 "Find All Units Whose" 部分生成自定义搜索过滤器。使用该部分中的字段可以缩小要不然将由 "Find Organizational Unit" 返回的搜索结果的范围。

Unit name。搜索每个条目的全名以查找匹配条目。

Description。搜索每个组织单位条目的描述以查找匹配项。

Contains。执行子串搜索。将返回属性值包含指定搜索字符串的条目。例如，如果知道组织单位的名称可能包含单词 "Administrator"，请在此选项中使用搜索字符串 "Administrator" 来查找组织单位条目。

Is。执行精确匹配搜索。如果知道组织单位属性的确切值，请使用此选项。例如，知道组织单位名称的准确拼写。

Isn't。返回属性值与搜索字符串不精确匹配的所有条目。也就是说，如果要在目录中查找所有名称中不包含 "administrator" 的组织单位，请使用此选项。不过请注意，使用此选项可能导致返回极大数量的条目。

Sounds like。执行近似或语音搜索。如果知道属性的值，但不能确定其拼写，请使用此选项。例如，不知道组织单位名称的拼写是 "Sarret's list"、"Sarette's list" 还是 "Sarett's list"。

Starts with。执行子串搜索。返回属性值以指定的搜索字符串开头的所有条目。例如，知道组织单位名称以 "Product" 开头，但不知道名称的其余部分。

Ends with。执行子串搜索。返回属性值以指定搜索字符串结尾的所有条目。例如，知道组织单位名称以 "development" 结尾，但不知道名称的其余部分。

在右侧的文本字段中输入搜索字符串。要显示 "Look Within" 目录中包含的所有组织单位条目，请输入星号 (*) 或将此字段留空。

编辑组织单位属性

编辑组织单位条目

访问 Administration Server 并单击 "Users and Groups" 选项卡。

单击 "Manage Organizational Units" 链接。

按以下部分中所述找到想要编辑的组织单位：查找组织单位。

进行所需的更改。有关特定字段的更多信息，参见联机帮助。



注	可能需要更改组织单位编辑页面未显示的属性值。在这种情况下，请使用目录服务器的 ldapmodify 命令行实用程序（如果可用）。

重命名组织单位

以下过程只适用于 LDAP 服务。重命名组织单位条目时，只有组织单位的名称会被更改。无法使用重命名特性将一个组织单位中的条目移入另一个组织单位。

上一页目录索引下一页
Sun Java System Web Proxy Server 4.0.1 管理指南