Serie de ejemplos de implementación de Sun Java Enterprise System 2005Q1: Escenario de evaluación

Especificación de administración de usuarios

La instalación y configuración de una solución Java ES establece la estructura básica del árbol de directorio LDAP para la solución. El proceso de instalación y configuración también agrega datos al directorio. La especificación de administración de usuarios describe el directorio de una solución Java ES.

Estructura del árbol de directorio

Los puntos principales que debe tener en cuenta al desarrollar una estructura de directorio LDAP para la solución son los siguientes:

El directorio puede distribuirse entre varias instancias de Directory Server. La organización adecuada para la solución dependerá de los requisitos de calidad de servicio y seguridad. Por ejemplo, se pueden crear instancias de Directory Server independientes para los datos de configuración y para los datos de usuario y grupo. También puede crear varias ramas de directorio para datos de usuario y grupo (por ejemplo, una rama para datos de empleados y otra para clientes basados en web), con cada rama establecida en una instancia distinta de Directory Server.
Para cada instancia de Directory Server con datos de usuario y grupo, debe especificar un sufijo de DN de base. Especifique este valor cuando ejecute el programa de instalación de Java ES.
En cada instancia de Directory Server que contenga datos de usuario y grupo para los servicios de comunicaciones de Java ES (Messaging Server, Calendar Server e Instant Messaging), debe crear una rama del árbol de directorio que admita el inicio de sesión único para el acceso a estos servicios. Esta rama se crea al ejecutar el asistente de configuración de Messaging Server. Debe finalizar la configuración de esta rama con la herramienta de preparación de Directory Server y la herramienta de administración de Delegated Administrator.

La solución de evaluación presenta unos requisitos mínimos de calidad de servicio y seguridad, y una instancia única de Directory Server para los datos de configuración y los datos de usuario y grupo satisface dichos requisitos. La instancia de Directory Server para la solución de evaluación se ejecuta en un solo sistema informático con los demás componentes.

La solución de evaluación utiliza servicios de comunicaciones de Java ES, por ese motivo es necesaria una rama de árbol LDAP que admita los servicios de comunicaciones y el inicio de sesión único.

El directorio LDAP de la solución de evaluación está configurado para una compañía imaginaria denominada Examplecorp. El DN de base de LDAP para la solución de evaluación es o=exanplecorp. Debe especificar este DN de base cuando ejecute el programa de instalación de Java ES. La rama creada con el asistente de configuración de Messaging Server para admitir los servicios de comunicaciones se denomina o=examplecorp.com,o=examplecorp. Dicha rama posee un contenedor de personas (el DN de LDAP es ou=people,o=examplecorp.com,o=examlecorp). Debe agregar las cuentas de usuario final a este contenedor "People" (Personas).

En la Figura 3–1 se muestra un diagrama simplificado del árbol de directorio de la solución de evaluación.

Figura 3–1 Árbol de directorio de la solución de evaluación

En la parte superior está o=examplecorp. En el segundo nivel está o=examplecorp.com,o=examplecorp.com. En el tercer nivel está ou=people,o=examplecorp.com,o=examplecorp.com.

Cuentas de administrador

Además de configurar la estructura básica del directorio LDAP, al instalar y configurar una solución Java ES se crean también varias cuentas de administrador. Para cada componente que instale o configure, el programa de instalación o el asistente de configuración de componentes creará una o más cuentas de administrador.

Para una mayor simplicidad, la solución de evaluación crea un número mínimo de cuentas de administrador y utiliza el valor "password" para la mayoría de las contraseñas de administrador. Las cuentas de administrador creadas para la solución de evaluación son las siguientes:

Directory Server: el nombre de la cuenta de administrador es "admin" y la contraseña de administrador es "password". El DN de LDAP para la cuenta es uid=admin,ou=People,o=examplecorp. También debe crear una cuenta de administrador del directorio. El nombre de cuenta de administrador del directorio es dn=Directory Manager y la contraseña es "password". Otros componentes utilizan la cuenta de administrador del directorio para acceder al directorio.
Administration Server: la solución de evaluación utiliza la misma cuenta de administrador para Directory Server y Administration Server. El nombre de la cuenta es "admin" y la contraseña del administrador es "password". El DN de LDAP para la cuenta es uid=admin,ou=People,o=examplecorp.
Access Manager: el ID de usuario de administrador es "amadmin" y la contraseña es "password". El DN de LDAP para la cuenta es uid=amadmin,ou=People,o=examplecorp. Debe utilizar esta cuenta para acceder a la consola de Access Manager y realizar algunas tareas de configuración.
Web Server : la solución de evaluación utiliza la misma cuenta de administrador para Administration Server, Directory Server y Web Server . El nombre de la cuenta de administrador es "admin" y la contraseña del administrador es "password". El DN de LDAP para la cuenta es uid=admin,ou=People,o=examplecorp.
Messaging Server: el ID de usuario de administrador es "admin" y la contraseña del administrador es "password". El DN de LDAP para la cuenta es uid=admin,ou=People,o=examplecorp.com,o=examplecorp. Communications Express utiliza esta cuenta para acceder a los servicios de mensajería.
Calendar Server: el nombre de usuario de administrador es "calmaster" y la contraseña de administrador es "password". El DN de LDAP para la cuenta es uid=calmaster,ou=People,o=examplecorp.com,o=examplecorp. Communications Express utiliza esta cuenta para acceder a los servicios de calendario.
Instant Messaging: el nombre de la cuenta de administrador es "admin" y la contraseña de administrador es "password". El DN de LDAP para la cuenta es uid=admin,ou=People,o=examplecorp.com,o=examplecorp.
Communications Express: el nombre de la cuenta de administrador es "admin" y la contraseña del administrador es "password". El DN de LDAP para la cuenta es uid=admin,ou=People,o=examplecorp.com,o=examplecorp.

En una solución de producción, se recomienda tener en cuenta los requisitos de seguridad y desarrollar un plan para que las distintas cuentas de administrador sean seguras.

Instancia de Delegated Administrator

Delegated Administrator es la herramienta de Java ES que se utiliza para crear y administrar las cuentas de usuario. Es necesario ejecutar el asistente de configuración de Delegated Administrator para configurar una instancia de Delegated Administrator. Debe configurar la instancia para que opere en la rama o=examplecorp.com,o=examplecorp del árbol de directorio de la solución de evaluación.

Delegated Administrator es una herramienta de administración de usuarios muy versátil. Entre otras funciones, permite configurar varias cuentas de administrador, cada una con privilegios de administrador para un segmento específico del directorio de usuario y grupo. En la solución de evaluación, se utilizan sólo funciones básicas de la línea de comandos de Delegated Administrator.

Ampliaciones del esquema LDAP

La rama de directorio LDAP que se vaya a utilizar con el Sun Java^TM Enterprise System (the o=examplecorp.com,o=examplecorp branch) debe configurarse para que las cuentas de usuario creadas en la rama tengan autorización para usar los servicios de correo y calendario. Debe realizar esta configuración con la interfaz de línea de comandos de Delegated Administrator.