Durch die Installation und Konfiguration einer Java ES-Lösung wird die grundlegende Struktur des LDAP-Verzeichnisbaums für die Lösung bereitgestellt. Im Rahmen der Installation und Konfiguration wird das Verzeichnis zudem um Daten ergänzt. In der Spezifikation für die Benutzerverwaltung wird das Verzeichnis für eine Java ES -Lösung erläutert.
Bei der Entwicklung einer LDAP-Verzeichnisstruktur für Ihre Lösung sind folgende wichtige Punkte zu beachten:
Das Verzeichnis kann auf mehrere Instanzen von Directory Server aufgeteilt werden. Die passende Anordnung für Ihre Lösung hängt von Ihren Quality of Service-Anforderungen und Ihren Sicherheitsanforderungen ab. So erstellen Sie beispielsweise separate Directory Server-Instanzen für Konfigurationsdaten und Benutzer- und Gruppendaten. Sie können auch mehrere Verzeichnisäste für Benutzer- und Gruppendaten erstellen, beispielsweise einen Zweig für Daten von Angestellten und einen Zweig für webbasierte Kunden; jeder Zweig wird in einer separaten Instanz von Directory Server erstellt.
Für jede Instanz von Directory Server, die Benutzer- und Gruppendaten enthält, müssen Sie ein Basis-DN-Suffix angeben. Dieser Wert wird bei der Ausführung des Java ES-Installationsprogramms angegeben.
Für jede Instanz von Directory Server, die Benutzer- und Gruppendaten für Java ES-Kommunikationsdienste (Messaging Server, Calendar Server und Instant Messaging) enthält, müssen Sie einen Zweig im Verzeichnisbaum erstellen, der den Single Sign-On-Zugriff auf diese Dienste unterstützt. Diese Zweig wird beim Ausführen des Messaging Server-Konfigurationsassistenten erstellt. Die Konfiguration dieses Zweigs schließen Sie mit dem Directory Server Preparation Tool und dem Delegated Administrator-Tool ab.
Für die Evaluierungslösung gelten minimale Anforderungen in Bezug auf Quality of Service und Sicherheit, die durch nur eine Instanz von Directory Server für sowohl Konfigurations- als auch Benutzer- und Gruppendaten erfüllt werden. Die Directory Server-Instanz für die Evaluierungslösung wird auf einem Computersystem mit den anderen Komponenten ausgeführt.
In der Evaluierungslösung kommen Java ES-Kommunikationsdienste zum Einsatz, folglich wird ein Zweig des LDAP-Baums benötigt, der Kommunikationsdienste und die Single Sign-On-Funktionalität unterstützt.
Das LDAP-Verzeichnis für die Evaluierungslösung wird für ein fiktives Unternehmen namens Examplecorp eingerichtet. Der LDAP-Basis-DN für die Evaluierungslösung lautet o=exanplecorp. Dieser Basis-DN wird bei der Ausführung des Java ES-Installationsprogramms angegeben. Der Zweig, den Sie mit dem Konfigurationsassistenten von Messaging Server erstellen und der die Kommunikationsdienste unterstützt, trägt die Bezeichnung o=examplecorp.com,o=examplecorp. Der Zweig weist einen Personen-(People-)Container auf (der LDAP-DN lautet ou=people,o=examplecorp.com,o=examlecorp). Diesem Personen-Container fügen Sie die Endbenutzerkonten hinzu.
Abbildung 3–1 enthält ein vereinfachtes Diagramm des Verzeichnisbaums der Evaluierungslösung.
Neben der Einrichtung der grundlegenden Struktur eines LDAP-Verzeichnisses werden durch die Installation und Konfiguration einer Java ES-Lösung mehrere Administratorkonten eingerichtet. Für jede von Ihnen installierte und konfigurierte Komponente werden vom Installationsprogramm bzw. vom Konfigurationsassistenten der jeweiligen Komponente ein oder mehrere Administratorkonten eingerichtet.
In der Evaluierungslösung wird aus Gründen der Übersichtlichkeit die minimale Anzahl an Administratorkonten erstellt und als Administratorpasswort wird in den meisten Fällen der Wert "password" vergeben. Für die Evaluierungslösung werden folgende Administratorkonten erstellt:
Directory Server – Der Name des Administratorkontos lautet "admin" und das Administratorpasswort lautet "password". Der LDAP-DN für das Konto lautet uid=admin,ou=People,o=examplecorp. Sie können auch ein Directory-Manager-Konto erstellen. Der Kontoname für den Directory-Manager lautet dn=Directory Manager und das Passwort lautet "password". Andere Komponenten greifen über das Directory-Manager-Konto auf das Verzeichnis zu.
Administration Server – In der Evaluierungslösung wird für Directory Server und Administration Server dasselbe Administratorkonto verwendet Der Name des Kontos ist "admin" und das Administratorpasswort ist "password". Der LDAP-DN für das Konto lautet uid=admin,ou=People,o=examplecorp.
Access Manager– Die Administrator-Benutzer-ID ist "amadmin" und das Administratorpasswort lautet "password". Der LDAP-DN für das Konto lautet uid=amadmin,ou=People,o=examplecorp. Über dieses Konto greifen Sie auf Access Manager Console zu und führen einige Konfigurationsaufgaben durch.
Web Server – In der Evaluierungslösung wird für Administration Server, Directory Server und Web Server dasselbe Administratorkonto verwendet. Der Name des Administratorkontos ist "admin" und das Administratorpasswort ist "password". Der LDAP-DN für das Konto lautet uid=admin,ou=People,o=examplecorp.
Messaging Server – Die Administrator-Benutzer-ID ist "admin" und das Administratorpasswort lautet "password". Der LDAP-DN für das Konto lautet uid=admin,ou=People,o=examplecorp.com,o=examplecorp. Communications Express greift über dieses Konto auf Meldungsdienste zu.
Calendar Server – Der Admininstratorbenutzername ist "calmaster" und das Administratorpasswort lautet "password". Der LDAP-DN für das Konto lautet uid=calmaster,ou=People,o=examplecorp.com,o=examplecorp. Communications Express greift über dieses Konto auf Kalenderdienste zu.
Instant Messaging – Der Name des Administratorkontos ist "admin" und das Administratorpasswort lautet "password". Der LDAP-DN für das Konto lautet uid=admin,ou=People,o=examplecorp.com,o=examplecorp.
Communications Express – Der Name des Administratorkontos ist "admin" und das Administratorpasswort lautet "password". Der LDAP-DN für das Konto lautet uid=admin,ou=People,o=examplecorp.com,o=examplecorp.
Bei einer Produktionslösung berücksichtigen Sie Ihre Sicherheitsanforderungen und entwickeln einen Plan für separate und sichere Administratorkonten.
Delegated Administrator ist der Name des Java ES-Tools, mit dem Sie Benutzerkonten erstellen und verwalten. Sie führen den Konfigurationsassistenten von Delegated Administration aus, um eine Instanz von Delegated Administrator zu konfigurieren. Sie konfigurieren die Instanz für den Einsatz im o=examplecorp.com,o=examplecorp-Zweig des Verzeichnisbaums der Evaluierungslösung.
Delegated Administrator ist ein vielseitiges Tool für die Benutzerverwaltung. Es ermöglicht Ihnen u. a. die Einrichtung mehrerer Administratorkonten, von denen jedes Administratorvorrechte für einen bestimmten Bereich des Benutzer- und Gruppenverzeichnisses aufweist. Für die Evaluierungslösung werden nur grundlegende Befehlszeilenfunktionen von Delegated Administrator verwendet.
Der Zweig des LDAP-Verzeichnisbaums, den Sie zur Verwendung mit Sun JavaTM Enterprise System erstellen (der o=examplecorp.com,o=examplecorp-Zweig), muss so konfiguriert werden, dass in diesem Zweig erstellte Benutzerkonten zur Verwendung der Mail- und Kalenderdienste autorisiert sind. Diesen Konfigurationsschritt führen Sie über die Delegated Administrator-Befehlszeilenschnittstelle aus.