用户管理规范

安装和配置 Java ES 解决方案时会为解决方案建立基本的 LDAP 目录树结构。安装和配置过程还会向目录添加数据。用户管理规范描述 Java ES 解决方案的目录。

目录树结构

为解决方案制定 LDAP 目录结构时主要应考虑以下几点：

• 该目录可在若干 Directory Server 实例之间分布。解决方案的适当安排要根据服务质量要求和安全要求确定。例如，可以为配置数据与用户和组数据分别创建 Directory Server 实例。也可以为用户和组数据创建若干目录分支，例如一个用于员工数据的分支和一个用于基于 Web 的客户的分支，并且每个分支都建立在一个单独的 Directory Server 实例中。

• 必须为每个保存用户和组数据的 Directory Server 实例指定一个基本 DN 后缀。在运行 Java ES 安装程序时指定该值。

• 对于保存 Java ES 通信服务用户和组数据的 Directory Server 实例（Messaging Server、Calendar Server 和 Instant Messaging），必须创建一个目录树分支，将其配置为支持单点登录访问这些服务。在运行 Messaging Server 配置向导时创建该分支。并且是使用 Directory Server Preparation Tool 和 Delegated Administrator 工具完成该分支的配置。

评估解决方案对服务质量和安全性的要求极低，使用单个 Directory Server 实例保存配置数据与用户和组数据即可满足要求。评估解决方案的 Directory Server 实例与其他组件一起在一个计算机系统上运行。

评估解决方案使用 Java ES 通信服务，因此需要一个支持通信服务和单点登录的 LDAP 树分支。

评估解决方案的 LDAP 目录是为一个虚构的公司 Examplecorp 设置的。评估解决方案的 LDAP 基本 DN 为 o=exanplecorp。在运行 Java ES 安装程序时指定此基本 DN。使用 Messaging Server 配置向导为支持通信服务而创建的分支名为 o=examplecorp.com,o=examplecorp。该分支有一个 "People" 容器（LDAP DN 为 ou=people,o=examplecorp.com,o=examlecorp）。最终用户帐户将添加到此 "People" 容器中。

图 3–1 中简单显示了该评估解决方案的目录树。

图 3–1 评估解决方案目录树

管理员帐户

除了设置 LDAP 目录的基本结构之外，安装和配置 Java ES 解决方案还将建立许多管理员帐户。对于您安装和配置的每个组件，安装程序或组件配置向导都将创建一个或多个管理员帐户。

为了简单起见，评估解决方案将创建最少的管理员帐户，并使用值 “password” 作为大多数管理员的密码。为评估解决方案创建的管理员帐户如下：

• Directory Server — 管理员帐户名为 admin，密码为 password。帐户的 LDAP DN 为 uid=admin,ou=People,o=examplecorp。您还需要创建一个目录管理员帐户。目录管理员的帐户名为 dn=Directory Manager，密码为 password。其他组件使用目录管理员帐户访问该目录。

• Administration Server — 评估解决方案为 Directory Server 和 Administration Server 使用同一个管理员帐户。帐户名为 admin，管理员密码为 password。帐户的 LDAP DN 为 uid=admin,ou=People,o=examplecorp。

• Access Manager — 管理员用户 ID 为 amadmin，密码为 password。帐户的 LDAP DN 为 uid=amadmin,ou=People,o=examplecorp。您将使用此帐户访问 Access Manager 控制台和执行一些配置。

• Web Server — 评估解决方案为 Administration Server、Directory Server 和 Web Server 使用同一个管理员帐户。管理员帐户名为 admin，密码为 password。帐户的 LDAP DN 为 uid=admin,ou=People,o=examplecorp。

• Messaging Server — 管理员用户 ID 为 admin，密码为 password。帐户的 LDAP DN 为 uid=admin,ou=People,o=examplecorp.com,o=examplecorp。Communications Express 使用此帐户访问邮件服务。

• Calendar Server — 管理员用户名为 calmaster，密码为 password。帐户的 LDAP DN 为 uid=calmaster,ou=People,o=examplecorp.com,o=examplecorp。Communications Express 使用此帐户访问日历服务。

• Instant Messaging — 管理员帐户名为 admin，密码为 password。帐户的 LDAP DN 为 uid=admin,ou=People,o=examplecorp.com,o=examplecorp。

• Communications Express — 管理员帐户名为 admin，密码为 password。帐户的 LDAP DN 为 uid=admin,ou=People,o=examplecorp.com,o=examplecorp。

在生产解决方案中，您将需要考虑安全要求，制定一项计划来区分管理员帐户并确保它们的安全。

Delegated Administrator 实例

Delegated Administrator 是用于创建和管理用户帐户的 Java ES 工具。您将运行 Delegated Administration 配置向导以配置 Delegated Administrator 实例。将实例配置为对评估解决方案目录树的 o=examplecorp.com,o=examplecorp 分支执行操作。

Delegated Administrator 是一种多功能的用户管理工具。连同其他功能一道，它还允许您设置许多管理员帐户，每个帐户具有管理用户和组目录某一特定部分的管理员权限。对于评估解决方案，您将仅使用 Delegated Administrator 的基本命令行功能。

LDAP 模式扩展

必须配置您创建的、要与 Sun Java^TM Enterprise System 一同使用的 LDAP 目录树分支（o=examplecorp.com,o=examplecorp 分支），使得您在此分支中创建的用户帐户获得使用邮件和日历服务的权限。使用 Delegated Administrator 命令行界面执行此配置。