第 III 部分 自訂 Calendar Server 配置
第 5 章 自訂 Calendar Server
完成安裝和安裝後配置之後,Calendar Server 可按現狀執行。但是,您可以透過編輯配置檔案 ics.conf,來自訂或重新配置系統。
本章及第 III 部分自訂 Calendar Server 配置中隨後的章節包含可用於重新配置 Calendar Server 的說明和資訊。
您可在以下目錄中找到 ics.conf:
對於 Solaris︰/etc/opt/SUNWics5/cal/config
對於 Linux︰/etc/opt/sun/calendar/config
備註 –
請勿嘗試編輯配置檔案,除非您已完成下列工作︰
-
安裝或升級至 Calendar Server 6 2005Q4。
-
執行安裝後配置程式 comm_dssetup.pl 和 csconfigurator.sh。
-
針對現有的行事曆資料庫,依需要執行 csmig、csvdmig 和 commdirmig。請參閱第 4 章, 資料庫遷移公用程式。
本章說明以下主題:
備註 –
其他配置主題包含在其他獨立章節中。其中包括以下主題︰
配置 Communications Express
Communications Express 需要在 Calendar Server 中進行以下配置:
配置代理伺服器認證
步驟
-
以擁有變更配置權限的管理員身份登入。
-
變更至 /etc/opt/SUNWics5/cal/config 目錄。
-
透過複製及重新命名,儲存舊的 ics.conf 檔案。
-
如下表中所示編輯 ics.conf 參數:
參數
說明和預設值
service.http.allowadminproxy
設定為 “yes” 時,啟用管理員代理伺服器認證。預設為 “no”。
service.http.admins
列出對 Calendar Server 具有管理權限的使用者 ID。預設為「calmaster」。此參數可以是一份具有多個值且以空格分隔的清單。其中一個值必須是在 uwconfig.properties 檔案中為 calendar.wcap.adminid 所指定的值。
service.admin.calmaster.userid
calmaster 的使用者 ID。此參數應與 uwcconfig.properties 檔案的 calendar.wcap.adminid 參數中的使用者 ID 相同。
service.admin.calmaster.cred
calmaster 的密碼。此參數應與 uwcconfig.properties 檔案的 calendar.wcap.passwd 參數中的使用者 ID 相同。
備註 –uwcconfig.properties 檔案位於 comms_express_svr_base/WEB-INF/config 目錄中,其中 comm_express_svr_base 是安裝 Communications Express 的目錄。
-
將該檔案儲存為 ics.conf。
-
重新啟動 Calendar Server。
cal_svr_base /SUNWics5/cal/sbin/start-cal
另請參閱
如需有關配置 Communications Express 的說明,請參閱。
啟用匿名存取
步驟
-
以擁有變更配置權限的管理員身份登入。
-
變更至 /etc/opt/SUNWics5/cal/config 目錄。
-
透過複製及重新命名,儲存舊的 ics.conf 檔案。
-
編輯 ics.conf 中的以下參數,以啟用匿名存取︰
參數
說明和預設值
service.wcap.anonymous.
allowpubliccalendarwrite
允許或禁止匿名存取使用者寫入至公開的行事曆。將值設定為 "yes" (此為預設值) 以允許存取。
service.wcap.allowpublicwritablecalendars
讓使用者擁有公開可寫入行事曆。依預設 (設定為 "yes") 啟用。
service.http.allowanonymouslogin
如有必要,透過將此參數設定為 "yes" ,來啟用匿名存取 (登入)。預設值為 "yes"。
service.calendarsearch.ldap
透過將此參數設定為 "no" (此為預設值),您可在執行行事曆搜尋時停用首先搜尋 LDAP,以便保護啟用匿名登入後的安全性。
備註 –Communications Express 要求 service.calendarsearch.ldap 參數的值為 "no"。這與提供的調校系統以在 DWP 環境 (在其中資料庫分布在多台後端機器上) 中獲得最佳效能的說明衝突,請參閱�▇@ DWP �燠活9��腹四搗j�M�刁�。
-
將檔案儲存為 ics.conf。
-
重新啟動 Calendar Server。
cal_svr_base /SUNWics5/cal/sbin/start-cal
如需有關配置 Communications Express 的說明,請參閱「Sun Java System Communications Express 6 2005Q4 Administration Guide」。
配置行事曆
配置使用者行事曆
步驟
-
以擁有變更配置權限的管理員身份登入。
-
變更至 /etc/opt/SUNWics5/cal/config 目錄。
-
透過複製及重新命名,儲存舊的 ics.conf 檔案。
-
如下表中所示編輯一個或多個參數︰
參數
說明和預設值
calstore.calendar.default.acl
指定使用者建立行事曆時所使用的預設存取控制權限。格式由以分號分隔的存取控制項目引數字串的清單指定。預設為:
"@@o^a^r^g;@@o^c^wdeic^g; @^a^fs^g;@^c^^g;@^p^r^g"
如需有關 ACE 格式的更多資訊,請參閱Calendar 存取控制Calendar Server 公用程式,以及cscal。
calstore.calendar.owner.acl
指定行事曆所有者的預設存取控制設定。預設為:"@@o^a^rsf^g;@@o^c^wdeic^g"
calstore.freebusy.include.defaultcalendar
指定使用者的預設行事曆是否包含在使用者的空閒/忙碌行事曆清單中。預設為 “yes”。
calstore.freebusy.remove.defaultcalendar
指定是否可以從使用者的空閒/忙碌行事曆清單中移除使用者的預設行事曆。預設為 “no”。
service.wcap.freebusy.redirecturl
指定用於在其他資料庫中搜尋行事曆的 URL。僅在遷移行事曆資料庫時使用。行事曆在兩個不同的資料庫之間分割時,您可以指定目前 Calendar Server 資料庫以外的 URL。系統首先搜尋 Calendar Server 行事曆資料庫,如果未找到使用者,則將查看重新導向 URL 是否可用。透過使用 get_freebusy 指令將 redirect 參數集傳送至 1,可關閉此功能。
calstore.subscribed.include.
defaultcalendar
指定使用者的預設行事曆是否包含在使用者的訂閱行事曆清單中。預設為 “yes”。
如果為 "yes",則預設使用者行事曆初始設定為公開讀取/私人寫入。如果為 "no",則預設使用者行事曆最初設定為私人讀取/私人寫入。預設為 “no”。
user.allow.doublebook
決定使用者行事曆是否可以為同一時期排程一個以上的事件:
-
"no" 不允許雙預定。
-
"yes" 允許雙預定,且為預設值。
此參數僅在建立使用者行事曆時才使用。此後,Calendar Server 會檢查行事曆特性檔案 (ics50calprops.db) 以決定是否允許雙預定。
若要變更雙預定行事曆特性的值,請使用帶有 -k 選項的 cscal。
-
-
將檔案儲存為 ics.conf。
-
重新啟動 Calendar Server。
cal_svr_base /SUNWics5/cal/sbin/start-cal
配置資源行事曆
步驟
-
以擁有變更配置權限的管理員身份登入。
-
如下表中所示編輯一個或多個參數︰
-
將檔案儲存為 ics.conf。
-
重新啟動 Calendar Server。
cal_svr_base/SUNWics5/cal/sbin/start-cal
在登入時停用使用者行事曆的自動佈建
依預設使用者行事曆的自動佈建已啟用。
步驟
-
以擁有變更配置權限的管理員身份登入。
-
變更至 /etc/opt/SUNWics5/cal/config 目錄。
-
透過複製及重新命名,儲存舊的 ics.conf 檔案。
-
透過編輯以下參數,在首次登入時停用使用者行事曆的自動佈建︰
參數
說明和預設值
local.autoprovision
指定啟用 (“yes” ) 還是停用 (“no”) 使用者行事曆的自動佈建。預設為 “yes”。
-
將檔案儲存為 ics.conf。
-
重新啟動 Calendar Server。
cal_svr_base /SUNWics5/cal/sbin/start-cal
配置空閒/忙碌查找
空閒/忙碌檢視有多種用途。許多 ics.conf 參數均可用來自訂空閒/忙碌檢視的產生方式。
步驟
-
以擁有變更配置權限的管理員身份登入。
-
變更至 /etc/opt/SUNWics5/cal/config 目錄。
-
透過複製及重新命名,儲存舊的 ics.conf 檔案。
-
透過編輯下表中所示的參數,在首次登入時停用使用者行事曆的自動佈建︰
參數
說明和預設值
指定範圍開始的 get_freebusy 天數中目前時間的偏移。預設為 "30"。
指定範圍結束的 get_freebusy 天數中目前時間的偏移。預設為 "30"。
指定使用者的預設行事曆是否包含在使用者的空閒/忙碌行事曆清單中。預設為 "yes"。
指定是否可以從使用者的空閒/忙碌行事曆清單中移除使用者的預設行事曆。預設為 "no"。
-
將檔案儲存為 ics.conf。
-
重新啟動 Calendar Server。
cal_svr_base /SUNWics5/cal/sbin/start-cal
配置行事曆使用者
本小節包含有關配置行事曆使用者的說明其中包括以下主題︰
配置使用者
步驟
-
以擁有變更配置權限的管理員身份登入。
-
變更至 /etc/opt/SUNWics5/cal/config 目錄。
-
透過複製及重新命名,儲存舊的 ics.conf 檔案。
-
編輯下表中所示的以下一個或多個 ics.conf 參數︰
參數
說明和預設值
如果為 "yes",則允許使用者變更其密碼。預設為 "no"。
如果為 "yes",則允許使用者擁有公開可寫入行事曆。預設為 "yes"。
指定是否可以從使用者的訂閱行事曆清單中移除使用者的預設行事曆。預設為 "no"。
如果為 "yes",則允許無管理權限的使用者建立行事曆。預設為 "yes"。
如果為 "yes",則允許無管理權限但有行事曆刪除權限的使用者刪除行事曆。預設為 "yes"。
-
將檔案儲存為 ics.conf。
-
重新啟動 Calendar Server。
cal_svr_base /SUNWics5/cal/sbin/start-cal
設定使用者喜好設定
步驟
-
以擁有變更配置權限的管理員身份登入。
-
變更至 /etc/opt/SUNWics5/cal/config 目錄。
-
透過複製及重新命名,儲存舊的 ics.conf 檔案。
-
編輯下表中所示的以下一個或多個 ics.conf 參數︰
參數
說明和預設值
如果為 "yes",則允許 set_userprefs 修改使用者喜好設定 "cn" (LDAP 使用者的一般名稱)。預設為 “no”。
如果為 "yes",則允許 set_userprefs 修改使用者喜好設定 "givenname" (LDAP 使用者的給定名稱)。預設為 “no”。
如果為 "yes",則允許 set_userprefs 修改使用者喜好設定 “icsCalendar" (使用者的預設行事曆識別碼)。預設為 “no”。
如果為 "yes",則允許 set_userprefs 修改使用者喜好設定 "mail" (使用者的電子郵件地址)。預設為 “no”。
preferredlanguage
如果為 "yes",則允許 set_userprefs 修改使用者喜好設定 "preferredlanguage" (LDAP 使用者的喜好語言)。預設為 “no”。
如果為 "yes",則允許 set_userprefs 修改使用者喜好設定 "sn" (LDAP 使用者的姓氏)。預設為 “no”。
如果為 "yes",則啟用 get_userprefs 的 LDAP 代理伺服器授權。如果為 "no",則執行匿名 LDAP 搜尋。預設為 “no”。
-
將檔案儲存為 ics.conf。
-
重新啟動 Calendar Server。
cal_svr_base /SUNWics5/cal/sbin/start-cal
配置 Calendar Server
本小節包含透過編輯 ics.conf 檔案來自訂伺服器端配置的程序,其中包含以下主題︰
配置伺服器運作方式
依預設,如下表中所示配置行事曆儲存。如果您想重新配置儲存,請執行以下步驟︰
步驟
-
以擁有變更配置權限的管理員身份登入。
-
變更至 /etc/opt/SUNWics5/cal/config 目錄。
-
透過複製及重新命名,儲存舊的 ics.conf 檔案。
-
編輯下表中的一個或多個參數︰
參數
說明和預設值
calstore.calendar.create.lowercase
指定在建立新行事曆或使用 LDAP CLD 外掛程式查找行事曆時,Calendar Server 是否應將行事曆 ID (calid) 轉換為小寫。預設為 “no”。
calstore.default.timezoneID
匯入檔案時要使用的時區 ID,且沒有以下任何項目的其他時區 ID:事件、行事曆和使用者。
預設為 "America/New_York”
無效值會導致伺服器使用 GMT (格林威治標準時間) 時區。
calstore.filterprivateevents
指定 Calendar Server 是否篩選 (識別) 私人與機密 (只有時間和日期) 的事件和工作。如果為 "no",Calendar Server 將其視為與公開事件和工作相同。預設為 “yes”。
calstore.group.attendee.maxsize
展開事件時群組中所允許的與會者的最大數目。值 "0" (預設值) 表示完全展開群組。
calstore.recurrence.bound
可由週期性擴充建立之事件的最大數目。預設為 “60”。
calstore.userlookup.maxsize
從使用者搜尋的查找傳回之結果的最大數目。值 "0" 表示無限制。預設為 “200”。
calstore.unqualifiedattendee.fmt1.type
為事件的與會者執行目錄查找時,指定 Calendar Server 如何處理字串,如 jdoe 或 jdoe:tv。允許值為︰uid、cn、gid、res、mailto 和 cap。預設為 “uid”。
calstore.unqualifiedattendee.fmt2.type
為事件的與會者執行目錄查找時,指定 Calendar Server 如何處理帶有 at 符號 (@) 的字串,如 jdoe@sesta.com。允許值為︰uid、cn、 gid、res、mailto 和 cap。預設為 “mailto”。
calstore.unqualifiedattendee.fmt3.type
為事件的與會者執行目錄查找時,指定 Calendar Server 如何處理帶有空格的字串,如 john doe。允許值為︰uid、cn、gid、res 和 cap。預設為 “cn”。
如果為 "yes",則伺服器必須驗證行事曆的每個所有者均存在於目錄中 (透過 LDAP 或 CSAPI 相容的使用者目錄機制)。預設為 “no”。
service.wcap.freebusy.redirecturl
如果在本機行事曆資料庫中找不到請求的行事曆,則可以使用此參數中的 URL 將搜尋重新導向至其他資料庫。尤其適用於在兩個同時處於使用狀態的資料庫之間遷移時所建立的程式檔。get_freebusy.wcap 指令可用來指定是否在其他資料庫中查找。請參閱「Sun Java System Calendar Server 6 2005Q4 Developer’s Guide」中的 get_freebusy 指令說明。
store.partition.primary.path
儲存行事曆資訊之主磁碟分割區的位置。預設為 “/var/opt/SUNWics5/csdb”。
-
將檔案儲存為 ics.conf。
-
重新啟動 Calendar Server。
cal_svr_base /SUNWics5/cal/sbin/start-cal
配置行事曆記錄
步驟
-
以擁有變更配置權限的管理員身份登入。
-
變更至 /etc/opt/SUNWics5/cal/config 目錄。
-
透過複製及重新命名,儲存舊的 ics.conf 檔案。
-
編輯下表中所示的一個或多個參數︰
參數
說明和預設值
logfile.admin.logname
此記錄檔包含已發出的管理工具指令之歷程記錄。預設為 "admin.log"。
logfile.buffersize
記錄緩衝區的大小 (以位元組為單位)。預設為 "0"。指定記錄檔中每個項目的大小。如果緩衝區很快會填滿,請考量增大緩衝區。
logfile.dwp.logname
用於記錄與資料庫連線協定相關的管理工具的記錄檔之名稱。預設為 "dwp.log"。為每台前端伺服器各指定一個名稱。
logfile.expirytime
記錄檔過期之前的秒數。預設為 "604800" 。此後清除常式將清除記錄。若要歸檔記錄,您必須寫入自己的常式。
logfile.flushinterval
清除記錄檔緩衝區的間隔秒數。預設為 "60"。
如果系統遇到大量記錄資訊,而緩衝區在 60 秒內就填滿,則您將會遺失資訊。在這種情況下,請考量縮短此時間間隔。請注意,縮短時間間隔會增加系統經常性耗用時間。
logfile.http.logname
cshttpd 服務之目前記錄檔的名稱。預設為 "http.log"。
logfile.http.access.logname
目前存取記錄檔的名稱。
logfile.logdir
記錄檔的目錄位置。預設為 "/var/opt/SUNWics5/logs" 。
logfile.loglevel
決定伺服器將記錄的詳細資訊層級。每個記錄項目均被指定以下層級之一 (從最嚴重的開始)︰CRITICAL、ALERT、ERROR、WARNING、NOTICE 、INFORMATION 和 DEBUG。預設為 “NOTICE”。
如果您設定為 CRITICAL,Calendar Server 則記錄最少的詳細資訊。如果您希望伺服器記錄最多的詳細資訊,請指定 DEBUG。
每個後續記錄層次同時提供其前面更為嚴重的記錄層次。例如,如果設定為 WARNING,則僅記錄 CRITICAL、ERROR 和 WARNING 層級的記錄項目。如果設定為 DEBUG,則記錄所有層級的記錄項目。
logfile.maxlogfiles
記錄目錄中記錄檔的最大數目。預設為 "10" 。在系統嘗試建立第 11 個記錄之前,它將執行清除常式以清除舊的記錄檔。
logfile.maxlogfilesize
用於儲存所有記錄檔的最大磁碟空間 (以位元組為單位)。預設為 "2097152"。在建立下一個記錄檔會超過此限制時,系統將嘗試透過刪除最舊的記錄來釋放磁碟空間。
logfile.minfreediskspace
必須可用於記錄的最小可用磁碟空間 (以位元組為單位)。達到此值後,將嘗試透過清除舊記錄檔來釋放磁碟空間。如果空間無法被釋放,記錄將暫停。預設為 "5242880"。
logfile.notify.logname
csnotifyd 服務之記錄檔的名稱。預設為 "notify.log"。
logfile.rollovertime
旋轉記錄檔之前的秒數。即建立開啟新記錄檔之間的時間間隔。預設為 "86400"。
logfile.store.logname
行事曆儲存之記錄檔的名稱。預設為 "store.log"。
-
將檔案儲存為 ics.conf。
-
重新啟動 Calendar Server。
cal_svr_base /SUNWics5/cal/sbin/start-cal
另請參閱
若要配置行事曆資料庫的作業事件記錄,請參閱第 10 章, 配置自動備份 (csstored)。
您不必配置刪除記錄 (適用於已刪除的事件和工作)。請參閱第 18 章, 管理刪除記錄資料庫。
配置 WCAP 指令
步驟
-
以擁有變更配置權限的管理員身份登入。
-
變更至 /etc/opt/SUNWics5/cal/config 目錄。
-
透過複製及重新命名,儲存舊的 ics.conf 檔案。
-
如下表中所示編輯以下一個或多個 ics.conf 參數︰
參數
說明和預設值
service.wcap.format
指定指令的預設輸出格式。預設為 “text/calendar”。(對於向下相容性,支援 text/js。)
如果您使用的是 Connector for Microsoft Outlook,則必須使用 text/calendar。
service.wcap.version
WCAP 版本。
-
將檔案儲存為 ics.conf。
-
重新啟動 Calendar Server。
cal_svr_base /SUNWics5/cal/sbin/start-cal
配置登入和認證
配置代理管理員登入
必須為 Communications Express 配置代理登入。如需有關如何配置 Communications Express 的代理登入的說明,請參閱配置 Communications Express。
若要允許 Communications Express 之外的 Calendar Server 的管理員代理登入,請執行以下步驟:
步驟
-
以擁有變更配置權限的管理員身份登入。
-
變更至 /etc/opt/SUNWics5/cal/config 目錄。
-
透過複製及重新命名,儲存舊的 ics.conf 檔案。
-
編輯之後的參數:
參數
說明/預設
service.http.allowadminproxy
指定是否允許管理員執行代理登入以管理使用者行事曆。如果為 “yes”,則允許代理登入。如果為 “no”,則不允許代理登入。預設值為 “no”。
-
重新啟動以使新值生效。
-
使用以下指令驗證管理員代理登入如何運作
http://server[:port]/login.wcap? user=admin-user&password=admin-password &proxyauth=calendar-user
其中:
-
server 為執行 Calendar Server 的伺服器的名稱。
-
port 為 Calendar Server 的連接埠號。預設連接埠為 80。
-
admin-user 為 Calendar Server 管理員。例如,calmaster。
-
admin-password 為 admin-user 的密碼。
-
calendar-user 為 Calendar Server 使用者的 calid。
如果指令成功,Calendar Server 將顯示 calendar-user 的行事曆。如果發生問題,Calendar Server 將顯示「未授權」。原因可能是:
-
admin-user 沒有 Calendar Server 管理員權限。
-
admin-password 不正確。
-
calendar-user 不是有效的 Calendar Server 使用者。
-
配置認證
步驟
-
以擁有變更配置權限的管理員身份登入。
-
變更至 /etc/opt/SUNWics5/cal/config 目錄。
-
透過複製及重新命名,儲存舊的 ics.conf 檔案。
-
編輯下表中所示的一個或多個參數︰
參數
說明/預設
用於 LDAP 認證的 DN 基底。如果未指定,則使用 local.ugldapbasedn。如果未指定,則伺服器將使用 local.ugldaphost 的值。
用於 LDAP 認證的主機。如果未指定,則使用 local.ugldaphost 的值。預設為 "localhost"。
local.authldapbinddn 中指定的使用者連結憑證 (密碼)。
用於連結 LDAP 認證主機以搜尋使用者 dn 的 DN。如果未指定或為空白 (" "),則假設為匿名連結。
用於 LDAP 認證的連接埠。如果未指定,則使用 local.ugldapport 的值。預設為 "389"。
為 LDAP 認證所維護的 LDAP 用戶端連線的最小數目。如果未指定,則使用 local.ugldappoolsize 的值。預設為 "1"。
為 LDAP 認證所維護的 LDAP 用戶端連線的最大數目。如果未指定,則使用 local.ugldapmaxpool 的值。預設為 "1024"。
指定用於使用者查找的認證篩選器。預設為 "(uid=%U)"
此值儲存在網域項目的 inetDomainSearchFilter 屬性中。
可以針對不同的屬性進行篩選。例如,您可以將此參數設定為 "(mail=%U)"
認證使用者的 uid 會做為該使用者的身份傳送給其他所有功能,而不管用於認證的屬性為何。
使用一般文字密碼成功認證使用者後延遲的秒數。預設為 "0"。
配置認證快取記憶體
步驟
-
以擁有變更配置權限的管理員身份登入。
-
變更至 /etc/opt/SUNWics5/cal/config 目錄。
-
透過複製及重新命名,儲存舊的 ics.conf 檔案。
-
如下表中所示編輯一個或多個參數︰
參數
說明和預設值
Calendar Server 將在快取記憶體中維護的認證使用者 ID 的最大數目 (uid) 和密碼。預設為 “10000”。
uid 和密碼自上次存取至從快取記憶體中移除之前的秒數。預設為 “900”。
-
將檔案儲存為 ics.conf。
-
重新啟動 Calendar Server。
cal_svr_base /SUNWics5/cal/sbin/start-cal
啟用登入時檢查用戶端 IP 位址
步驟
-
以擁有變更配置權限的管理員身份登入。
-
變更至 /etc/opt/SUNWics5/cal/config 目錄。
-
透過複製及重新命名,儲存舊的 ics.conf 檔案。
-
如下表中所示編輯以下參數︰
參數
說明和預設值
service.dnsresolveclient
如果為 "yes",則當允許 HTTP 存取時,會針對 DNS 檢查用戶端 IP 位址。預設為 “no”。
-
將檔案儲存為 ics.conf。
-
重新啟動 Calendar Server。
cal_svr_base /SUNWics5/cal/sbin/start-cal
配置行事曆服務
提示 –
另請參閱第 10 章, 配置自動備份 (csstored)。
配置管理服務 (csadmind)
步驟
-
以擁有變更配置權限的管理員身份登入。
-
變更至 /etc/opt/SUNWics5/cal/config 目錄。
-
透過複製及重新命名,儲存舊的 ics.conf 檔案。
-
如下表中所示編輯一個或多個參數︰
參數
說明和預設值
如果為 "yes",則啟動 csadmind 資料庫檢查點執行緒。如果為 “no”,則不建立檢查點記錄檔。預設為 “yes”。
用於管理階段作業之 Berkeley 資料庫的最大快取記憶體大小 (以位元組為單位)。預設為 “8388608”。
如果為 "yes",則啟動 csadmind 資料庫死結偵測執行緒。預設為 “yes”。
如果為 "yes",則啟動 csadmind 低磁碟空間監視執行緒。預設為 “no”。依預設,不監視磁碟使用率。
如果為 "yes",則在啟動所有服務時啟動 csadmind 服務,並在停止所有服務時停止 csadmind。預設為 “yes”。
使 HTTP 連線在 csadmind 中逾時之前的秒數。預設為 “120”。
所允許的管理階段作業的最大數目。預設為 “100”。
每個管理階段作業的執行中執行緒的最大數目。預設為 “10”。
所允許的同步運作之管理程序的最大數目。
無預設。此參數由系統設定。
注意 – 請自行設定此參數。此參數由系統設定。您無法在上進行遠端管理。如果您變更此連接埠號,csadmind 可能無法啟動。
使管理連線逾時之前的秒數。預設為 “900”。
如果為 "yes",則啟動服務的回應執行緒。預設為 “no”。
管理階段作業請求的暫存目錄。無預設。
使 HTTP 階段作業在 csadmind 中逾時之前的秒數。預設為 “1800”。
在檢查已啟動、已停止或準備好的行事曆服務之間等待的秒數。預設為 “2”。
任一行事曆服務啟動之前需要等待的秒數。預設為 “300”。
任一行事曆服務停止之前需要等待的秒數。預設為 “300”。
在向任一行事曆服務傳送指令之間等待的秒數。預設為 “60”。
-
將檔案儲存為 ics.conf。
-
重新啟動 Calendar Server。
cal_svr_base /SUNWics5/cal/sbin/start-cal
配置 HTT 服務 (cshttpd)
步驟
-
以擁有變更配置權限的管理員身份登入。
-
變更至 /etc/opt/SUNWics5/cal/config 目錄。
-
透過複製及重新命名,儲存舊的 ics.conf 檔案。
-
如下表中所示編輯一個或多個參數︰
參數
說明和預設值
以空格分隔的對此 Calendar Server 具有管理權限的使用者 ID 清單。預設為 “calmaster”。
如果為 "yes",則允許經由代理登入。預設為 “no”。
如果為 "yes",則允許匿名無認證存取。這是特殊類型的登入,只允許指定的受限制的存取 (通常僅讀取對公開行事曆的存取)。預設為 “yes”。
用於擷取 HTML 文件的 HTTP 主機。若要允許使用者使用完全合格的主機名稱存取行事曆資料,該值必須為執行 Calendar Server 的機器之完全合格的主機名稱 (包括機器名稱、DNS 網域和字尾),如 mycal@sesta.com。
如果未指定,則使用本機 HTTP 主機。
用於 HTTP 階段作業之 Berkeley 資料庫的最大快取記憶體大小。預設為 “8388308”。
如果已指定且不為 " ",則進行篩選以允許基於 TCP 網域的存取。例如,"ALL: LOCAL.sesta.com" 將允許對 sesta.com 網域中的任何人進行本機 HTTP 存取。多個篩選器由 CR-LF (換行) 分隔。預設為 "" 。
如果已指定且不為空白 (" "),則進行篩選以不允許基於 TCP 網域的存取。例如,"ALL: LOCAL.sesta.com" 將拒絕對 sesta.com 網域中的任何人進行 HTTP 存取。多個篩選器必須由 CR-LF (換行) 分隔。預設為 " " (空白)。
本機的相對目錄位置。暫時儲存匯入的檔案的 queuedir (或指定的絕對路徑)。預設為目前目錄 (".")。
如果為 "yes",則參照現有階段作業的所有請求均被驗證為來源於同一 IP 位址。預設為 “yes”。
如果為 "yes",則在啟動所有服務時啟動 cshttpd 服務,並在停止所有服務時停止 cshttpd。預設為 “yes”。
注意 – 使用此參數停用 HTTP 服務還將停用 HTTPS。
使 HTTP 連線逾時之前的秒數。預設為 “120”。
指定 HTTP 服務將為用戶端請求偵聽的 TCP 位址。預設為 "INADDR_ANY",表示任何位址。
如果為 "yes",則會完全記錄至伺服器的 HTTP 連線。預設為 “no”。
HTTP 服務中階段作業的最大數目。預設為 “5000”。
cshttpd 服務中 HTTP 所請求服務之執行緒的最大數目。預設為 “20”。
應在某個伺服器上執行之同步運作的 HTTP 服務 (cshttpd) 程序的最大數目。預設為 “1”。
有關具有多個 CPU 的伺服器,請參閱�祁枓頤h�� CPU ���t�饕��勾\��。
來自 Calendar Server 使用者之 HTTP 請求的連接埠。預設為 “80”。
如果已指定且不為 "",則進行篩選以允許基於 TCP 網域的代理伺服器登入。語法與 service.http.domainallowed 相同。預設為 ""。
使 HTTP 階段作業逾時之前的秒數。預設為 “900”。
HTTP 階段作業資料庫的目錄。預設為 “http”。
使 HTTP 階段作業在 cshttpd 服務中逾時之前的秒數。預設為 “1800”。
相對於可執行檔的目錄,其中儲存檔案的所有 URL 參照。預設為 "" (空值)。
service.http.tmpdir
HTTP 階段作業的暫存目錄。預設為 “/var/opt/SUNWics5/tmp”。
包含預設行事曆用戶端的目錄。如果僅允許 WCAP 存取,則設定為 "html"。
-
將檔案儲存為 ics.conf。
-
重新啟動 Calendar Server。
cal_svr_base /SUNWics5/cal/sbin/start-cal
配置警示通知
步驟
-
以擁有變更配置權限的管理員身份登入。
-
變更至 /etc/opt/SUNWics5/cal/config 目錄。
-
透過複製及重新命名,儲存舊的 ics.conf 檔案。
-
如下表中所示編輯以下一個或多個 ics.conf 參數︰
參數
說明和預設值
與磁碟空間不足訊息一起傳送的說明。
預設說明為: “percentage calendar partition diskspace available”。
監視磁碟空間的間隔秒數。預設為 “3600”。
觸發傳送警告訊息的可用磁碟空間百分比。預設為 “10”。
alarm.diskstat.msgalarmthreshold 是高於百分比還是低於百分比。-1 為低於,1 為高於。預設為 “-1”。
傳送有關磁碟空間不足警告訊息的間隔小時數。預設為 “24”。
用於傳送伺服器警示之 SMTP 伺服器的主機名稱。預設為 “localhost”。
用於傳送伺服器警示的 SMTP 連接埠。預設為 “25”。
將伺服器警示傳送至的電子郵件位址。“Postmaster@localhost”
伺服器傳送警示時用作寄件者的電子郵件位址。預設為 “Postmaster@localhost”
用於傳送電子郵件警示的預設格式為︰
"From: %s\nTo: %s\nSubject: ALARM: %s of \"%s\" is n\n%s\n"
與無服務回應訊息一起傳送的說明。預設為 “calendar service not responding”。
監視服務的間隔秒數。預設為 “3600”。
預設為 “100” (如果沒有服務回應,則僅觸發傳送警告訊息。)
msgalarmthresholddirection
指定 alarm.responsestat.msgalarmthreshold 是高於百分比還是低於百分比。-1 為低於,1 為高於。預設為 “-1”
msgalarmwarninginterval
傳送發出的有關無服務回應警告訊息的間隔小時數。預設為 “24”。
啟用 ("yes") 或停用 ("no") 管理工具的警示通知。預設為 “yes”。
-
將檔案儲存為 ics.conf。
-
重新啟動 Calendar Server。
cal_svr_base /SUNWics5/cal/sbin/start-cal
配置 Berkeley 資料庫的定期死結檢查
您可以將 Calendar Server 配置為定期檢查 Berkeley 資料庫中是否存在死結。
Berkeley 資料庫可能會陷入死結狀態,進而妨礙對它們進行存取。若要儘早偵測到此狀態,請啟用死結的定期檢查。
啟用 Berkeley 資料庫的死結定期檢查
步驟
-
以擁有變更配置權限的管理員身份登入。
-
變更至 /etc/opt/SUNWics5/cal/config 目錄。
-
透過複製及重新命名,儲存舊的 ics.conf 檔案。
-
編輯下表中所示的參數:
參數
說明/預設
定期檢查 Berkeley 資料庫是否處於死結狀態,如果是,則指示資料庫重設。預設值為 “no” (未啟用)。
-
將檔案儲存為 ics.conf。
-
重新啟動 Calendar Server。
cal_svr_base /SUNWics5/cal/sbin/start-cal
疑難排解
如需有關在發生死結時如何重設 Berkeley 資料庫的資訊,請參閱「疑難排解」章節中的偵測資料庫損毀可用工具清單。
為 LDAP 配置 Calendar Server
配置匿名存取 LDAP
通常依預設允許匿名存取。若要限制匿名存取,請變更相應的參數。
步驟
-
以擁有變更配置權限的管理員身份登入。
-
變更至 /etc/opt/SUNWics5/cal/config 目錄。
-
透過複製及重新命名,儲存舊的 ics.conf 檔案。
-
編輯以下一個或多個參數︰
參數
說明/預設
calstore.anonymous.calid
指定匿名登入行事曆識別碼 (calid)。預設為 “anonymous”。
service.http.allowanonymouslogin
指定未登入時是否允許匿名存取。預設為 “yes”。(允許透過電子郵件接收行事曆 URL 的收信人未登入即可存取行事曆的空閒/忙碌版本。)
service.wcap.anonymous.
allowpubliccalendarwrite
指定是否允許匿名使用者寫入至公開可寫入的行事曆。預設為 “yes”。
service.wcap.userprefs.ldapproxyauth
啟用用於使用者喜好設定的 LDAP 匿名搜尋。預設為 “no”,允許匿名存取。如果指定為 “yes”,則可使用代理伺服器認證來執行搜尋。
-
將檔案儲存為 ics.conf。
-
重新啟動 Calendar Server。
cal_svr_base /SUNWics5/cal/sbin/start-cal
配置 LDAP 與會者查找
步驟
-
以擁有變更配置權限的管理員身份登入。
-
變更至 /etc/opt/SUNWics5/cal/config 目錄。
-
透過複製及重新命名,儲存舊的 ics.conf 檔案。
-
編輯下表中的一個或多個參數︰
參數
說明/預設
minwildcardsize
指定與會者查找搜尋中萬用字元搜尋的最小字串大小。零 (0) 表示始終進行萬用字元搜尋。
local.lookupldap.user.authfilter
指定用於使用者查找的認證篩選器。預設為: “(uid=%s)”
local.lookupldapbasedn
指定 LDAP 與會者查找的 DN。如果未指定,則使用 local.ugldapbsedn。無預設值。
local.lookupldapbinddn
指定用於 LDAP 與會者查找之主機連結的 DN。如果未指定 (預設為 ““),則假設為匿名連結。
local.lookupldapbindcred
local.lookupldapbinddn 中識別的使用者之憑證 (密碼)。無預設值。
local.lookupldaphost
用於 LDAP 與會者查找的主機名稱。如果未指定,則使用 local.ugldaphost。
local.lookupldapmaxpool
指定為 LDAP 與會者查找所維護的 LDAP 用戶端連線之數目。如果未指定,則使用 local.ugldapmaxpool。預設為 “1024”。
local.lookupldappoolsize
指定為 LDAP 與會者查找所維護的 LDAP 用戶端連線之最小數目。如果未指定,則使用 local.ugldappoolsize。預設為 “1”。
local.lookupldapport
指定用於 LDAP 與會者查找的連接埠。如果未指定,則使用 local.ugldapport。
local.lookupldapsearchattr.calid
指定用於與會者查找的 calid 屬性。預設為 icsCalendar。
local.lookupldapsearchattr.mail
指定用於與會者查找的郵件屬性。預設為 mail。
local.lookupldapsearchattr.
mailalternateaddress
指定用於與會者查找的替代郵件位址屬性。預設為 mailalternateaddress。
local.lookupldapsearchattr.
mailequivalentaddres
指定用於與會者查找的對等位址郵件屬性。預設為 mailequivalentaddress。
local.lookupldapsearchattr.
calendar
指定用於與會者查找的行事曆屬性。預設為 icsCalendar。
local.lookupldapsearchattr.cn
指定用於與會者查找的一般名稱屬性。預設為 icsCalendar。
local.lookupldapsearchattr.
objectclass
指定用於與會者查找的物件類別屬性。預設為 objectclass。
local.lookupldapsearchattr.
objectclass.caluser
指定行事曆使用者的物件類別。預設為 icsCalendarUser。
local.lookupldapsearchattr.
objectclass.calresource
指定行事曆資源的物件類別。預設為 icsCalendarResource。
local.lookupldapsearchattr.
objectclass.group
指定群組的物件類別。預設為 groupofuniquenames。
local.lookupldapsearchattr.
objectclass.person
指定個人的物件類別。預設為 person。
local.lookupldapsearchattr.
memberurl
指定用於與會者查找的成員 URL 屬性。預設為 memberurl。
local.lookupldapsearchattr.
uniquemember
指定用於與會者查找的唯一成員屬性。預設為 uniquemember。
local.lookupldapsearchattr.
givenname
指定用於與會者查找的給定名稱屬性。預設為 givenname。
local.lookupldapsearchattr.sn
指定用於與會者查找的螢幕名稱屬性。預設為 sn。
用於查找與電子郵件位址對應的與會者行事曆 ID 的預設網域名稱。例如,如果此設定的值為 "sesta.com",則 jsmith 解析為 jsmith@sesta.com。
-
將檔案儲存為 ics.conf。
-
重新啟動 Calendar Server。
cal_svr_base /SUNWics5/cal/sbin/start-cal
配置 LDAP 與會者查找的搜尋篩選器
步驟
-
以擁有變更配置權限的管理員身份登入。
-
變更至 /etc/opt/SUNWics5/cal/config 目錄。
-
透過複製及重新命名,儲存舊的 ics.conf 檔案。
-
編輯下表中的一個或多個參數︰
提示 –在以下所有參數說明中,%s 僅允許單個與會者。
-
將檔案儲存為 ics.conf。
-
重新啟動 Calendar Server。
cal_svr_base /SUNWics5/cal/sbin/start-cal
配置 LDAP 資源查找
步驟
-
以擁有變更配置權限的管理員身份登入。
-
變更至 /etc/opt/SUNWics5/cal/config 目錄。
-
透過複製及重新命名,儲存舊的 ics.conf 檔案。
-
編輯下表中所示的參數:
參數
說明/預設
local.lookupldap.resource.use.ugldap
使用使用者/群組 LDAP 伺服器,還是使用查找伺服器進行資源查找。
“yes” – 使用使用者/群組 LDAP 伺服器。
“no” – 使用查找伺服器。預設為 “no”。
-
將檔案儲存為 ics.conf。
-
重新啟動 Calendar Server。
cal_svr_base /SUNWics5/cal/sbin/start-cal
配置 LDAP 郵件至 Calid 查找
這些參數僅用於非託管網域環境。如果您已部署託管網域環境,則將忽略 maillookup 參數,並將使用使用者和群組 LDAP 值 (ugldap)。
步驟
-
以擁有變更配置權限的管理員身份登入。
-
變更至 /etc/opt/SUNWics5/cal/config 目錄。
-
透過複製及重新命名,儲存舊的 ics.conf 檔案。
-
編輯下表中的一個或多個參數︰
參數
說明/預設
local.lookupldap.mailtocalid.search
指定用於郵件至 calid 查找的郵件屬性。預設為 "(|(mail=%s)(mailalternateaddress=%s))”
您可以使用 mailequivalentaddress 屬性取代 mailalternateaddress。
local.maillookupldapbasedn
指定用於郵件至 calid 查找的基底 DN。如果未指定,則使用 local.ugldapbasedn。
local.maillookupldapbinddn
指定用於連結郵件至 calid 查找的主機之 DN。如果未指定 (預設為 ““),則假設為匿名連結。
local.maillookupldapbindcred
為 local.maillookupldapbinddn 中指定的 DN 指定密碼。無預設。
local.maillookupldaphost
指定用於郵件至 calid 查找的 LDAP 主機。如果未指定,則使用 local.ugldaphost。
local.maillookupldapmaxpool
指定為郵件至 calid 查找所維護的用戶端連線之最大數目。如果未指定,則使用 local.ugldapmaxpool。預設為 “1024”。
local.maillookupldappoolsize
指定為郵件至 calid 查找所維護的用戶端連線之最小數目。如果未指定,則使用 local.ugldappoolsize。預設為 “1”。
local.maillookupldapport
指定用於 LDAP 郵件至 calid 查找的連接埠。如果未指定,則使用 local.ugldapport。無預設。
-
將檔案儲存為 ics.conf。
-
重新啟動 Calendar Server。
cal_svr_base /SUNWics5/cal/sbin/start-cal
將 Calendar Server 配置為使用使用者喜好設定 LDAP 目錄
步驟
-
以擁有變更配置權限的管理員身份登入。
-
變更至 /etc/opt/SUNWics5/cal/config 目錄。
-
透過複製及重新命名,儲存舊的 ics.conf 檔案。
-
編輯下表中的一個或多個參數︰
參數
說明/預設
用於使用者喜好設定認證的連結憑證密碼。無預設。
用於連結 LDAP 使用者喜好設定主機的 DN。必須指定該 DN。如果為空白 ( " ") 或未設定,則假設為匿名連結。
為 LDAP 使用者喜好設定維護的 LDAP 用戶端連線的最小數目。預設為 “1”。
為 LDAP 使用者喜好設定維護的 LDAP 用戶端連線的最大數目。預設為 “1024”。
service.wcap.userprefs.ldapproxyauth
啟用用於使用者喜好設定的 LDAP 匿名搜尋。預設為 “no”,允許匿名存取。如果指定為 “yes”,則可使用代理伺服器認證來執行搜尋。
-
將檔案儲存為 ics.conf。
-
重新啟動 Calendar Server。
cal_svr_base /SUNWics5/cal/sbin/start-cal
配置使用者喜好設定
若要限制允許使用者設定的喜好設定,則將其從預設清單中移除。
步驟
-
以擁有變更配置權限的管理員身份登入。
-
變更至 /etc/opt/SUNWics5/cal/config 目錄。
-
透過複製及重新命名,儲存舊的 ics.conf 檔案。
-
在下表所示參數中編輯使用者喜好設定清單:
參數
使用者喜好設定的預設清單
說明
ugldapicsextendeduserprefs
"ceColorSet、
ceFontFace、
ceFontSizeDelta、
ceDateOrder、
ceDateSeparator、
ceClock、
ceDayHead、
ceDayTail、
ceInterval、
ceToolText、
ceToolImage、
ceDefaultAlarmStart、
ceSingleCalendarTZID、
ceAllCalendarTZIDs、
ceDefaultAlarmEmail、
ceNotifyEmail、
ceNotifyEnable、
ceDefaultView、
ceExcludeSatSun、
ceGroupInviteAll"
保留在 LDAP 中的使用者喜好設定值。此參數定義了 icsExtendedUserPrefs 屬性中保留在 LDAP 中的使用者喜好設定。
-
將檔案儲存為 ics.conf。
-
重新啟動 Calendar Server。
cal_svr_base /SUNWics5/cal/sbin/start-cal
啟用和配置 LDAP 資料快取記憶體
開始之前
如需有關 LDAP 資料快取記憶體的簡介資訊,請參閱LDAP 資料快取記憶體選項。
步驟
-
以擁有變更配置權限的管理員身份登入。
-
變更至 /etc/opt/SUNWics5/cal/config 目錄。
-
透過複製及重新命名,儲存舊的 ics.conf 檔案。
-
透過如下表所示編輯參數來啟用 LDAP 資料快取記憶體:
-
將檔案儲存為 ics.conf。
-
重新啟動 Calendar Server。
cal_svr_base /SUNWics5/cal/sbin/start-cal
另請參閱
如需有關調校 LDAP 資料快取記憶體的資訊,請參閱�▇@ LDAP �箏占桐艦O�咯榮��刁�。
注意 – 如果未正確關閉 Calendar Server 或執行 Calendar Server 的伺服器,請手動刪除 ldap_cache 目錄中的所有檔案,以避免任何可能導致後續重新啟動期間出現問題的資料庫損毀。
啟用和配置 LDAP SDK 快取記憶體
依預設,已停用 LDAP SDK 快取記憶體。
步驟
-
以擁有變更配置權限的管理員身份登入。
-
變更至 /etc/opt/SUNWics5/cal/config 目錄。
-
透過複製及重新命名,儲存舊的 ics.conf 檔案。
-
如下表中所示編輯一個或多個參數:
參數
說明和預設值
如果為 "yes",則啟用 LDAP SDK 快取記憶體。預設為 “no”。
如果 service.ldapmemcache 為 "yes",則此參數用於設定快取項目的最大秒數。如果為 “0”,則對快取項目的時間沒有限制。預設為 “30”。
如果 service.ldapmemcache 為 "yes",則此參數用於設定快取記憶體將佔用的記憶體空間的最大數目 (以位元組為單位)。如果為 “0”,則快取記憶體無大小限制。預設為 “131072”。
-
將檔案儲存為 ics.conf。
-
重新啟動 Calendar Server。
cal_svr_base /SUNWics5/cal/sbin/start-cal
設定空閒/忙碌搜尋的日期範圍
步驟
-
以擁有變更配置權限的管理員身份登入。
-
變更至 /etc/opt/SUNWics5/cal/config 目錄。
-
透過複製及重新命名,儲存舊的 ics.conf 檔案。
-
如下表所示編輯以下一個或多個參數︰
參數
說明和預設值
指定範圍開始的 get_freebusy 天數中目前時間的偏移。預設為 “30”。
指定範圍結束的 get_freebusy 天數中目前時間的偏移。預設為 “30”。
-
將檔案儲存為 ics.conf。
-
重新啟動 Calendar Server。
cal_svr_base /SUNWics5/cal/sbin/start-cal
啟用行事曆特性的萬用字元 LDAP 搜尋
步驟
-
以擁有變更配置權限的管理員身份登入。
-
變更至 /etc/opt/SUNWics5/cal/config 目錄。
-
透過複製及重新命名,儲存舊的 ics.conf 檔案。
-
如下表所示編輯參數:
-
將檔案儲存為 ics.conf。
-
重新啟動 Calendar Server。
cal_svr_base /SUNWics5/cal/sbin/start-cal
設定 LDAP 根目錄字尾
如果可以重設 LDAP 組織樹狀結構 (Schema 2) 或網域元件樹狀結構 (Schema 1) 的根目錄字尾,請謹慎執行此操作。若要如此,最好重新執行配置程式。
步驟
-
以擁有變更配置權限的管理員身份登入。
-
變更至 /etc/opt/SUNWics5/cal/config 目錄。
-
透過複製及重新命名,儲存舊的 ics.conf 檔案。
-
如下表所示編輯其中一個參數:
參數
說明和預設值
該目錄中 DC 樹狀結構的根目錄字尾。使用 Schema 1 的託管 (虛擬) 網域模式支援需要使用此參數。預設為 "o=internet"。
另請參閱設置託管網域環境。
service.schema2root
使用 Schema 2 的 DIT (組織樹狀結構) 之根目錄字尾。無預設值。
-
將檔案儲存為 ics.conf。
-
重新啟動 Calendar Server:
cal_svr_base /SUNWics5/cal/sbin/start-cal
第 6 章 配置跨多台機器的行事曆資料庫分布
本章說明如何使用行事曆查找資料庫 (CLD) 外掛程式讓行事曆資料庫分布在多台後端伺服器上。您必須啟用並配置 CLD 外掛程式。
注意 – 對於功能分別分佈在前端機器和後端機器的 Calendar Server 安裝,各端的硬體平台必須相同。
更明確而言, 由於 big-endian 與 small-endian 的不相容性,您無法在同一包含前端與後端機器的 Calendar Server 部署中同時使用 x86 平台機器和 SPARC 平台機器。
本章包含以下主題:
提示 –
如需有關如何提昇 CLD 外掛程式效能的資訊,請參閱第 21 章, �屐� Calendar Server �刁�。
背景資訊
本小節包含您在實際啟用和配置 CLD 外掛程式之前可能想要瞭解的重要簡介和背景資訊。本小節包含以下主題:
CLD 外掛程式簡介
行事曆查找資料庫外掛程式允許在多台後端伺服器上為單一行事曆實例分布使用者行事曆和資源行事曆從而提供行事曆資料庫的水平可延展性。如果行事曆資料庫分散於多台後端伺服器上,會使用外掛程式來確定實際儲存行事曆的伺服器。
Calendar Server 可使用資料庫連線協定 (DWP) 存取後端伺服器上的行事曆資料。DWP 是一個內部協定,它會以 csdwpd 服務的形式執行,並為行事曆資料庫提供網路功能。
CLD 外掛程式如何運作
Calendar Server 會按照如下說明存取後端伺服器上的行事曆資料:
-
當一般使用者透過 Communications Express 存取行事曆時,CLD 外掛程式會從行事曆的 calid 中擷取 userid,然後在 LDAP 目錄資料庫或 CLD 資料快取記憶體 (如果已啟用) 中查找行事曆所有者。如需有關配置前端機器的資訊和說明,請參閱為 CLD 配置前端伺服器。
-
找到行事曆所有者之後,該外掛程式會使用 icsDWPHost LDAP 屬性中的值確定行事曆所在的後端伺服器之主機名稱。該主機名稱必須可被您的網域名稱服務 (DNS) 解析成有效的 IP 位址。
-
使用主機名稱,Calendar Server 可使用資料庫連線協定 (DWP) 存取後端伺服器上的行事曆資料。
-
使用 DWP,Calendar Server 可將行事曆資料傳送至使用者登入的伺服器,以使其可在其中一個使用者介面中被描繪。
提示 –
如果您的站點使用的是 CLD 外掛程式,則為同一使用者建立的所有行事曆都必須在同一後端伺服器上,如 LDAP 使用者項目的 icsDWPHost LDAP 屬性所指定。如果您嘗試在其他後端伺服器上建立行事曆,Calendar Server 將傳回錯誤。
CLD 外掛程式支援的配置
CLD 外掛程式支援以下 Calendar Server 配置:
提示 –
在所有配置中,每台前端伺服器和後端伺服器都必須:
-
位於同一硬體平台。
-
執行同一作業系統。
-
執行同一 Calendar Server 發行版本,包括修補程式。
-
將同一連接埠號用於 DWP 連接埠 (service.dwp.port 參數)。預設連接埠號為 “59779”。
多台前端伺服器與多台後端伺服器
圖 6–1 顯示執行單一 Calendar Server 實例的兩台前端伺服器和兩台後端伺服器。如果願意,您還可以配置兩台以上的前端或後端伺服器。
此配置可讓伺服器受到防火牆的保護,以限制對 LDAP 和行事曆資料庫的存取。行事曆資料庫分布在兩台後端伺服器上。
前端伺服器的 CPU 使用率很高,CPU 大部分時間都用於描繪一般使用者的行事曆資料。後端伺服器的磁碟使用率很高,CPU 大部分時間都用於存取行事曆資料庫。
如需配置說明,請參閱為 CLD 和 DWP 配置行事曆伺服器。
圖 6–1 多台前端伺服器與多台後端伺服器
同時作為前端伺服器和後端伺服器的多台機器
圖 6–2 顯示同時做為前端伺服器和後端伺服器的三台機器。每台機器均連線至行事曆資料庫。此配置可讓行事曆分布在不同的地理區域。行事曆所有者 (一般使用者) 登入其行事曆所在的機器。如需配置說明,請參閱將伺服器配置為前端伺服器和後端伺服器。
圖 6–2 同時做為前端伺服器和後端伺服器的多台伺服器
簡單大小練習
以下為基於中等使用率設定檔的一些簡略公式,用於計算所需後端伺服器和前端伺服器的數量以及儲存裝置的大小:
中等使用率設定檔定義
為進行粗略估計,我們假設:
-
所有用戶端均為 Web 用戶端。
因此,要使用的唯一輸入為:使用者總數和同步百分比。
-
行事曆事件的平均大小為 2K。
-
每人每週建立五個事件或待辦事項。
-
80% CPU 利用率。
-
900 MHz CPU
-
每個 CPU 具有 1 GB RAM
-
行事曆資料在系統中儲存的時間為兩年。
前端 CPU 的數目
公式為:
CPU 的數目 = 同步運作的使用者的數目除以 4800
後端 CPU 的數目
公式為:
CPU 的數目 = 每 500,000 個已配置的使用者有 4 個 CPU
所需儲存裝置的容量
公式為:
儲存裝置的容量 = 5 封電子郵件/週 x 52 週/年 x 2K/電子郵件 (5 x 52 x 2K)
= 每個使用者每年 520KB
依照行事曆資料儲存時間為兩年的假設,每個使用者所需的容量為 1 MB。
為 CLD 和 DWP 配置行事曆伺服器
本小節包含有關配置伺服器的說明以及下列主題︰
為 CLD 配置前端伺服器
步驟
-
在每台前端伺服器上,以具有變更配置權限的管理員身份登入。
-
變更至 /etc/opt/SUNWics5/cal/config 目錄。
-
透過複製及重新命名,儲存舊的 ics.conf 檔案。
-
如下表中所示編輯 ics.conf 參數:
-
將檔案儲存為 ics.conf。
-
重新啟動 Calendar Server。
cal_svr_base/SUNWics5/cal/sbin/start-cal
為 CLD 和 DWP 配置後端伺服器
步驟
-
在每台後端伺服器上,以具有變更配置權限的管理員身份登入。
-
變更至 /etc/opt/SUNWics5/cal/config 目錄。
-
透過複製及重新命名,儲存舊的 ics.conf 檔案。
-
如下表中所示編輯 ics.conf 參數:
-
將檔案儲存為 ics.conf。
-
重新啟動 Calendar Server。
cal_svr_base/SUNWics5/cal/sbin/start-cal
將伺服器配置為前端伺服器和後端伺服器
步驟
-
在每台伺服器上,以具有變更配置權限的管理員身份登入。
-
變更至 /etc/opt/SUNWics5/cal/config 目錄。
-
透過複製及重新命名,儲存舊的 ics.conf 檔案。
-
如下表中所示編輯 ics.conf 參數:
-
將檔案儲存為 ics.conf。
-
重新啟動 Calendar Server。
cal_svr_base/SUNWics5/cal/sbin/start-cal
維護前端伺服器和後端伺服器之間的安全
您可以在前端伺服器和後端伺服器之間配置密碼認證。本小節說明如何在這兩台伺服器之間設置安全的通訊以及其如何運作。涵蓋以下主題︰
如何完成認證
前端伺服器使用資料庫連線協定 (DWP) 與後端伺服器進行通訊。由於 DWP 將 HTTP 用做傳輸機制,因此,Calendar Server 使用配置參數為前端伺服器和後端伺服器之間的 DWP 連線提供認證。
前端伺服器在首次連線至後端伺服器時,會傳送 ics.conf 檔案中指定的使用者 ID 和密碼。後端伺服器會檢查其 ics.conf 檔案中的參數,如果兩個參數相符,則認證成功。然後,後端伺服器會將階段作業 ID 傳送回前端伺服器。在以後針對後端伺服器的 DWP 指令中,前端伺服器會使用該階段作業 ID。
來自同一前端伺服器的後續連線不需要再次進行認證,除非後端伺服器重新啟動或階段作業因兩台伺服器之間無活動而過期。
如果您有多台前端和後端伺服器,則可以對每台伺服器使用同一使用者 ID 和密碼。
如果後端伺服器未指定使用者 ID 和密碼,則不會執行認證。
為前端伺服器設置 DWP 連線認證
開始之前
注意 – 這些參數未包含在 ics.conf 檔案的已安裝版本中。若要認證 DWP 連線,您必須將所需參數增加至每台前端伺服器上的 ics.conf 檔案中。
步驟
-
在每台前端伺服器上,以具有變更配置權限的管理員身份登入。
-
變更至 /etc/opt/SUNWics5/cal/config 目錄。
-
透過複製及重新命名,儲存舊的 ics.conf 檔案。
-
如下表中所示增加 ics.conf參數:
參數
說明
在前端伺服器上,指定用於認證後端伺服器 DWP 連線的管理員之使用者 ID,其中 back-end-server 為該伺服器的名稱。
在前端伺服器上,指定用於認證後端伺服器 DWP 連線的密碼,其中 back-end-server 為該伺服器的名稱。
-
將檔案儲存為 ics.conf。
-
重新啟動 Calendar Server。
cal_svr_base/SUNWics5/cal/sbin/start-cal
為後端伺服器設置 DWP 連線認證
開始之前
注意 – 這些參數未包含在 ics.conf 檔案的已安裝版本中。若要認證 DWP 連線,您必須將所需參數增加至每台後端伺服器上的 ics.conf 檔案中。
步驟
-
在每台後端伺服器上,以具有變更配置權限的管理員身份登入。
-
變更至 /etc/opt/SUNWics5/cal/config 目錄。
-
透過複製及重新命名,儲存舊的 ics.conf 檔案。
-
如下表中所示增加 ics.conf參數:
參數
說明
在後端伺服器上,指定用於認證 DWP 連線的使用者 ID。如果後端伺服器未指定使用者 ID,則不會執行認證。
在後端伺服器上,指定用於認證 DWP 連線的密碼。如果後端伺服器未指定密碼,則不會執行認證。
-
將檔案儲存為 ics.conf。
-
重新啟動 Calendar Server。
cal_svr_base /SUNWics5/cal/sbin/start-cal
第 7 章 配置為具有高可用性 (防故障備用服務)
配置為具有高可用性 (HA) 可以監視軟體和硬體故障並回復這些故障。將 Calendar Server 高可用性功能實作為防故障備用服務。本章說明使用 Sun Cluster 軟體的 Calendar Server HA 配置。
本章說明如何安裝與配置 Calendar Server HA 服務,包括:
可在附錄 C高可用性 (HA) 配置工作表 中找到一組工作表,以協助您計劃 Calendar Server 高可用性配置。
HA 配置的需求
Calendar Server HA 配置需要下表中顯示的軟體:
|
軟體與版本 |
注意事項與修補程式 |
|---|---|
|
Solaris 9 作業系統 僅 SPARC 平台 |
支援 Solaris 9 作業系統的所有版本。 Solaris 9 作業系統需要 Sun Cluster 3.0 U3 或更高版本。 Solaris 9 作業系統包括 Solaris 邏輯容體管理程式 (LVM)。 |
|
Solaris 8 作業系統 僅 SPARC 平台 |
Solaris 8 Maintenance Update 7 (MU7) 作業系統或更高版本,外加所需的修補程式。 |
|
Sun Cluster 3.0 U3 或 3.1 |
必須在叢集中的所有節點上安裝和配置 Sun Cluster 軟體。 若要安裝 Sun Cluster 3.1,請按照「Sun Java Enterprise System 2005Q4 Installation Guide for UNIX」中的安裝程序使用 Java Enterprise System 安裝程式。 安裝 Sun Cluster 軟體之後,您必須配置叢集。如需相關資訊,請參閱 Sun Cluster System Administration Guide for Solaris OS。如需相關文件,請參閱相關文件。 Sun Cluster 修補程式 如需瞭解 Solaris 9 作業系統,請參閱 Sun Cluster InfoDoc 49704。 如需瞭解 Solaris 8 作業系統,請參閱 Sun Cluster InfoDoc 49705。 |
|
Solstice DiskSuite 4 |
Solstice DiskSuite 僅適用於 Solaris 8 作業系統。 Solaris 9 作業系統不需要 Solstice DiskSuite,它包含了邏輯容體管理程式 (LVM)。 |
|
Veritas 容體管理程式 (VxVM) 3.x |
Solaris 8 作業系統需要 3.2 版或更高版本,外加所需修補程式。 Solaris 9 作業系統需要 3.5 版或更高版本,外加所需修補程式。 |
|
Veritas 檔案系統 (VxFS) 3.x |
Solaris 8 作業系統需要 3.4 版或更高版本,外加所需修補程式 Solaris 9 作業系統需要 3.5 版或更高版本,外加所需修補程式。 HAStoragePlus 需要修補程式 110435-08 或更高版本。 |
安裝和配置
本小節中的 Calendar Server HA 配置範例使用以下名稱:
|
範例中的名稱 |
說明 |
|---|---|
|
/global/cal/ |
全域檔案系統裝載點 |
|
cal-logical-host |
邏輯主機名稱 |
|
cal-logical-host-ip |
邏輯主機 IP 數字位址 |
|
cs-admin@cal-logical-host |
Calendar Server 管理員的電子郵件位址 |
|
cal-node-1 |
節點 1 |
|
cal-node-2 |
節點 2 |
|
cal-resource-group |
行事曆資源群組 |
|
cal-resource-group-store |
Calendar Server 儲存資源 |
|
cal-resource |
Calendar Server 資源 |
安裝和配置 Calendar Server HA 配置
此為安裝和配置 Calendar Server HA 配置所需步驟的高階清單。
步驟
以超級使用者身份登入
若要安裝和配置 Calendar Server HA 配置,請以超級使用者身份登入或成為超級使用者 (root),並指定用於檢視傳送至 /dev/console 之訊息的主控台或視窗。
準備叢集中的每個節點
請在叢集中的每個節點上,執行以下步驟:
-
按照以下說明建立 Calendar Server 執行時將使用的 Calendar Server 執行階段使用者與群組:
-
將 icsgroup (或您選取的值) 增加至 /etc/group 檔案。
-
將 icsuser (或您選取的值) 增加至 /etc/passwd 檔案。
提示 –預設名稱為 icsuser 與 icsgroup。如果願意,您可以使用其他名稱,但叢集中所有節點上的 uid 和 gid 數目必須相同。使用者名稱不應是 root 。
當您執行安裝後配置程式時,必須提供使用者和群組名稱。
-
-
在 /etc/vfstab 檔案中增加或設定以下欄位:
-
mountpoint 為 /global/cal/ (或您在選取 Calendar Server 安裝目錄中選取的裝載點。)
-
mount at boot 選項為 no
-
mount options 為 logging (適用於 FFS) 或 global,logging (適用於 GFS)
-
-
安裝 Sun Java Enterprise System 產品與套裝軟體
與早期的 Sun 品牌產品 (例如 Sun ONE 與 iPlanet) 相比,Sun Java Enterprise System 產品 (包括 Calendar Server) 的安裝方式已經有了明顯的改變。若要安裝 Sun Java Enterprise System 產品,您必須使用 Sun Java Enterprise System 安裝程式。
如需有關該安裝程式的資訊,請參閱「Sun Java Enterprise System 2005Q4 Installation Guide for UNIX」。
下表說明 Calendar Server HA 配置所需的 Sun 產品與套裝軟體。
|
產品或套裝軟體 |
節點 1 |
節點 2 |
|---|---|---|
|
Sun Cluster 軟體 |
是 |
是 |
|
Calendar Server (6.0 和更高版本) |
是 |
否 |
|
Sun Cluster Agent for Calendar Server (SUNWscics 套裝軟體) |
是 |
是 |
|
共用元件 (SUNWicu、SUNWldk、SUNWpr、SUNWsasl 和 SUNWtls 套裝軟體) |
是 |
是 |
節點 1
在節點 1 上,請使用 Java Enterprise System 安裝程式安裝所有選取的產品與套裝軟體。安裝 Calendar Server 時,您必須指定預設目錄以外的其他目錄。請參閱選取 Calendar Server 安裝目錄。
節點 2
在節點 2 上,請執行以下步驟:
-
使用 Java Enterprise System 安裝程式安裝 Sun Cluster 與 Sun Cluster Agent for Calendar Server (SUNWscics 套裝軟體)。
-
注意:您不能僅安裝 Sun Cluster Agent for Calendar Server。當您選擇 Sun Java System Agents for Sun Cluster 時,Java Enterprise System 安裝程式會安裝所有的代理程式。
-
使用 pkgadd 指令安裝共用元件 (SUNWicu、SUNWldk 、SUNWpr、SUNWsasl 和 SUNWtls 套裝軟體)。請參閱安裝共用元件。
選取 Calendar Server 安裝目錄
對於 Calendar Server,Java Enterprise System 安裝程式使用以下預設安裝目錄:/opt
但是,對於 HA 配置,您必須指定全域安裝目錄。例如:/global/cal/opt/
安裝共用元件
若要使所需共用元件在節點 2 上可用,您必須安裝以下套裝軟體:
-
SUNWicu – 用於 Unicode 使用者檔案的國際元件
-
SUNWldk – LDAP C SDK
-
SUNWpr – Netscape 具可移植性的執行階段介面
-
SUNWsasl – 簡單認證和安全層 (SASL)
-
SUNWtls – 網路安全服務
這些套裝軟體位於以下目錄中:
.../Solaris_sparc/Product/shared_components/Packages/SUNWldk .../Solaris_sparc/Product/shared_components/Solaris_8/Packages .../Solaris_sparc/Product/shared_components/Solaris_9/Packages
若要安裝這些套裝軟體,請變更至上述目錄之一,並使用 pkgadd 指令。例如:
# pkgadd -d . SUNWicu SUNWpr SUNWsasl SUNWtls
配置邏輯主機
若要配置邏輯主機,請:
-
建立名為 cal-resource-group 的 Calendar Server 容錯移轉資源群組:
# scrgadm -a -g cal-resource-group -h cal-node-2,cal-node-1
-
將名為 cal-logical-host 的邏輯主機名稱增加至此資源群組。Calendar Server 將偵聽此主機名稱。
# scrgadm -a -L -g cal-resource-group -l cal-logical-host
-
將此資源群組置於線上:
# scswitch -Z -g cal-resource-group
啟動儲存資源
若要啟動儲存資源,請:
-
將指定裝載點的儲存資源註冊為 ServicePaths 特性:
# scrgadm -a -j cal-resource-group-store -g cal-resource-group -t SUNW.HAStorage -x ServicePaths=/global/cal -x AffinityOn=True -
啟用儲存資源:
# scswitch -e -j cal-resource-group-store
如果 SUNW.HAStoragePlus 也選擇設定全域檔案系統 (GFS),則必須設定 FileSystemMountPoints 特性,而非 ServicePaths。
執行安裝後配置程式
安裝 Calendar Server 之後,執行 Directory Server 設定程序檔 (comm_dssetup.pl) 和 Calendar Server 配置程式 (csconfigurator.sh),如第 2 章, 目錄準備程序檔 (comm_dssetup.pl)中所述。
下表說明您必須為 HA 配置提供的特定配置資訊。
表 7–1 HA 配置的 Calendar Server 配置選項
在共用儲存體上定位自動備份目錄
配置 HA 的自動備份時,備份目錄必須常駐於共用儲存體分割區,以防止叢集的個別節點上存在不完整的副本。請特別地注意分割區的大小,因為備份目錄很大。
磁碟空間無法計算符號連結。因此,請勿將符號連結用於自動備份目錄。
重新定位 Calendar Server 配置目錄
Calendar Server 將配置檔案儲存在 config 目錄中。在舊的發行版本中,config 目錄已被遷移。其位置為:
/etc/opt/SUNWics5/config/
舊的 config 目錄的符號連結保留在以下目錄中:
-
/opt/SUNWics5/cal
-
/opt/SUNWics5/cal/lib
-
/opt/SUNWics5/cal/sbin
執行 Calendar Server 配置程式 (csconfigurator.sh) 之後,請移除每個舊目錄中的符號連結,並使用新目錄的連結將其替代,如以下程序中所述。請注意,這些程序保留了 /etc/opt/SUNWics5/config 中的原始配置檔案的設定。
在開始之前,請確定 config 目錄的內容由 icsuser 和 icsgroup (或您為執行階段使用者 ID 和群組 ID 指定的選擇) 所有:
# ls -ld config ... icsuser icsgroup ... config/
若要變更中的符號式連結:
-
變更至 /global/cal/opt/SUNWics5/cal 目錄,例如:
# cd /global/cal/opt/SUNWics5/cal/
其中 /global/cal/ 為檔案系統裝載點。
-
檢查 config 是否為新 config 目錄的符號連結。例如:
# ls -l config ... config -\> /etc/opt/SUNWics5/config/
-
在 /opt/SUNWics5/cal/ 目錄中,移除 config 符號連結:
# cd /opt/SUNWics5/cal # rm config
-
將 /etc/opt/SUNWics5/config 目錄中的內容複製到新的 HA 目錄中,並保留所有權與權限:
# cd /global/cal/opt/SUNWics5/cal # cp -pr /etc/opt/SUNWics5/config .
若要變更中的符號式連結:
-
在 /global/cal/opt/SUNWics5/cal/lib 目錄中,檢查 config 是否為 /etc/opt/SUNWics5/config 的符號連結。
# cd /global/cal/opt/SUNWics5/cal/lib # ls -l config ... config -\> /etc/opt/SUNWics5/config/
-
移除 config 符號連結:
# rm config
-
建立新的 config 位置的新符號連結:
# ln -s ../config config
-
驗證新連結:
# ls -l config ... config -\> ../config/
若要變更 /opt/SUNWics5/sbin 中的符號連結,請:
-
在 /global/cal/opt/SUNWics5/cal/sbin 目錄中,檢查 config 是否為 /etc/opt/SUNWics5/config 的符號連結。
# cd /global/cal/opt/SUNWics5/cal/sbin # ls -l config ... config -\> /etc/opt/SUNWics5/config/
-
移除 config 符號連結:
# rm config
-
建立新的 config 位置的新符號連結:
# ln -s ../config config
-
驗證新連結:
# ls -l config ... config -\> ../config/
備註 –如果需要解除安裝 Calendar Server,請使用 Java Enterprise System 解除安裝程式,該程式可移除 SUNWics5 與 SUNWica5 套裝軟體。
但是,對於 Calendar Server HA 配置,您必須先移除已遷移的 config 目錄及其所有內容,然後再執行解除安裝程式。例如:
# cd /global/cal/opt/SUNWics5/cal/ # rm -rf config
如果您未移除配置目錄,SUNWics5 套裝軟體解除安裝作業會失敗。
編輯 Calendar Server ics.conf 檔案
在 /opt/SUNWics5/cal/config 目錄中,按照以下說明編輯 ics.conf 配置檔案:
-
增加以下參數:
local.server.ha.enabled="yes" local.server.ha.agent="SUNWscics"
-
將 service.listenaddr 參數重新命名為 service.http.listenaddr,然後將該參數設定為邏輯主機的 IP 位址。例如:
service.http.listenaddr = "cal-logical-host-ip"
其中 “cal-logical-host-ip” 為邏輯主機的數字 IP 位址。例如:123.321.12.2。
-
變更所有參照本地主機名稱的參數為參照此邏輯主機名稱。例如:
local.hostname="cal-logical-host" local.servername="cal-logical-host" service.ens.host="cal-logical-host" service.http.calendarhostname="cal-logical-host.sesta.com"
啟動 HA Calendar Server
啟動 HA Calendar Server 之前,請按照以下說明註冊行事曆資源類型 SUNWscics 並建立行事曆資源:
-
註冊行事曆資源類型:
# scrgadm -a -t SUNW.scics
-
建立行事曆資源:
# scrgadm -a -j cal-resource -g cal-resource-group -t SUNW.scics -x Confdir_list=/global/cal/cal-resource-group -y Resource_dependencies=cal-resource-group-store -y Port_list=80/tcp -
啟用此資源並啟動 Calendar Server:
# scswitch -e -j cal-resource
驗證 HA 配置
啟動 Calendar Server 之後,請檢查所有需要的程序或常駐程式 (csadmind、enpd、csnotifyd 以及 cshttpd) 是否正在執行。
此外,將服務切換至備份節點,以確保高可用性。例如,如果服務在 cal-node-1 上執行,請發出以下指令以將服務切換至 cal-node-2。
# scswitch -z -g cal-resource-group
-h cal-node-2
然後,檢查所有的程序是否在 cal-node-2 上啟動。
為進行疑難排解,錯誤訊息會被寫入主控台和 /var/adm/messages 中。
/var/cluster/rgm/rt/SUNW.scics/loglevel 檔案包含記錄層級。請使用「9」做為最大詳細度。
如需有關使用記錄功能的資訊,請參閱相關文件。
啟動與停止 Calendar Server HA 服務
若要啟動與停止 Calendar Server HA 服務,請使用 Sun Cluster scswitch 指令。請勿使用 Calendar Server start-cal、csstart、stop-cal 或 csstop 公用程式。例如:
啟動 Calendar Server HA 服務:
# scswitch -e -j cal-resource
停止 Calendar Server HA 服務:
# scswitch -n -j cal-resource
重新啟動 Calendar Server HA 服務:
# scswitch -R -j cal-resource
如需有關 Sun Cluster scswitch 指令的資訊,請參閱「Sun Cluster Reference Manual for Solaris OS」。
相關文件
-
「Sun Cluster 概念指南 (適用於 Solaris 作業系統)」,提供有關 Sun Cluster 軟體、資料服務以及相關術語 (資源類型、資源以及資源群組) 的一般背景。
-
「Sun Cluster Data Services Planning and Administration Guide for Solaris OS」,提供有關資料服務規劃與管理的一般資訊。
-
「Sun Cluster 系統管理指南 (適用於 Solaris 作業系統)」,提供管理 Sun Cluster 配置的軟體程序。
-
「Sun Cluster Reference Manual for Solaris OS」,說明 Sun Cluster 軟體所提供的指令和公用程式,包括僅在 SUNWscman 與 SUNWccon 套裝軟體中提供的指令。
第 8 章 配置 SSL
Calendar Server 支援安全套接層 (SSL) 協定,以加密行事曆用戶端一般使用者與 Calendar Server 之間的資料。為支援 SSL,Calendar Server 使用 Netscape 安全服務 (NSS) 的 SSL 程式庫,Sun Java System Messaging Server 也使用這些程式庫。
您可以在 ics.conf 檔案中將 Calendar Server 配置為僅加密 Calendar Server 登入與密碼或加密整個行事曆階段作業。
本章包含配置 SSL 必需的三項工作和疑難排解:
備註 –
Calendar Server 不支援基於用戶端的 SSL 認證。
為 Calendar Server 配置 SSL
建立憑證資料庫
用於 Calendar Server 的 SSL 實作需要憑證資料庫。憑證資料庫必須定義認證機構 (CA) 和用於 Calendar Server 的憑證。本小節包含概念資訊和工作資訊:
開始之前
建立憑證資料庫之前,請先熟悉以下內容:
-
Mozilla 工具 — 此發行版本包含以下 Mozilla 工具:
-
憑證資料庫工具 (certutil),用於建立與管理憑證資料庫。如需相關資訊,請參閱以下網站:
http://mozilla.org/projects/security/pki/ nss/tools/certutil.html
提示 –嘗試產生您的憑證資料庫之前,請熟悉該工具的語法。
-
安全模組資料庫工具 (modutil),用於顯示有關可用安全模組的資訊。如需相關資訊,請參閱以下網站:
http://mozilla.org/projects/security/pki/ nss/tools/modutil.html這些公用程式位於以下目錄中:
/opt/SUNWics5/cal/lib
或從網站下載最新版本。
-
-
程式庫路徑變數 — 使用 Mozilla 工具之前,請適當設定您的 LD_LIBRARY_PATH 變數。例如:
setenv LD_LIBRARY_PATH /opt/SUNWics5/cal/lib
-
範例檔案和目錄 — 本章中的範例使用以下檔案和目錄:
步驟
-
以超級使用者的身份登入或成為超級使用者 (root)。
-
在 /etc/opt/SUNWics5/config/sslPasswordFile 中為 certutil 指定憑證資料庫密碼。例如:
# echo "password" /etc/opt/SUNWics5/config/sslPasswordFile其中 password 為您的特定密碼。
-
建立憑證資料庫 alias 目錄。例如:
# cd /var/opt/SUNWics5 # mkdir alias
-
移至 bin 目錄,並產生憑證資料庫 (cert8.db) 和金鑰資料庫 (key3.db)。例如:
# cd /opt/SUNWics5/cal/bin # ./certutil -N -d /var/opt/SUNWics5/alias -f /etc/opt/SUNWics5/config/sslPasswordFile
備註 –當您必須執行 certutil 公用程式時,請完全依照範例,或者查閱 certutil 說明頁面以瞭解語法。
例如,在這種情況下,沒有指定 -d /file 資訊,請勿執行帶有 -N 選項的此公用程式。
-
產生預設的自我簽署的根認證機構憑證。例如:
# ./certutil -S -n SampleRootCA -x -t "CTu,CTu,CTu" -s "CN=My Sample Root CA, O=sesta.com" -m 25000 -o /var/opt/SUNWics5/alias/SampleRootCA.crt -d /var/opt/SUNWics5/alias -f /etc/opt/SUNWics5/config/sslPasswordFile -z /etc/passwd
-
產生用於主機的憑證。例如:
# ./certutil -S -n SampleSSLServerCert -c SampleRootCA -t "u,u,u" -s "CN=hostname.sesta.com, O=sesta.com" -m 25001 -o /var/opt/SUNWics5/alias/SampleSSLServer.crt -d /var/opt/SUNWics5/alias -f /etc/opt/SUNWics5/config/sslPasswordFile -z /etc/passwd
其中 hostname.sesta.com 為伺服器主機名稱。
-
驗證憑證。例如:
# ./certutil -V -u V -n SampleRootCA -d /var/opt/SUNWics5/alias # ./certutil -V -u V -n SampleSSLServerCert -d /var/opt/SUNWics5/alias -
列出憑證。例如:
# ./certutil -L -d /var/opt/SUNWics5/alias # ./certutil -L -n SampleSSLServerCert -d /var/opt/SUNWics5/alias
-
使用 modutil 列出可用的安全模組 (secmod.db)。例如:
# ./modutil -list -dbdir /var/opt/SUNWics5/alias
-
將 alias 檔案的所有者變更為 icsuser 與 icsgroup (或 Calendar Server 執行時將使用的使用者與群組身份)。例如:
# find /var/opt/SUNWics5/alias -exec chown icsuser {}; # find /var/opt/SUNWics5/alias -exec chgrp icsgroup {};
請求與匯入來自根認證機構的憑證
以下步驟告訴您如何產生憑證請求,並將其提交至公開金鑰基礎架構 (PKI) 網站,然後匯入該憑證。
步驟
-
以超級使用者的身份登入或成為超級使用者 (root)。
-
移至 bin 目錄:
# cd /opt/SUNWics5/cal/bin
-
使用 certutil 根據認證機構或公開金鑰基礎架構 (PKI) 網站來產生憑證請求。例如:
# ./certutil -R -s "CN=hostname.sesta.com, OU=hostname/ SSL Web Server, O=Sesta, C=US" -p "408-555-1234" -o hostnameCert.req -g 1024 -d /var/opt/SUNWics5/alias -f /etc/opt/SUNWics5/config/sslPasswordFile -z /etc/passwd -a
其中 “hostname.sesta.com” 是主機名稱。
-
向認證機構或公開金鑰基礎架構 (PKI) 網站為 SSL Web 伺服器請求一個測試憑證。複製 hostnameCert.req 檔案的內容,並將其貼至憑證請求中。
當您的憑證被簽署並可取得時您會收到通知。
-
將認證機構憑證鏈與 SSL 伺服器憑證複製至文字檔案中。
-
將認證機構憑證鏈匯入憑證資料庫以建立授權鏈。例如:
# ./certutil -A -n "GTE CyberTrust Root" -t "TCu,TCu,TCuw" -d /var/opt/SUNWics5/alias -a -i /export/wspace/Certificates/CA_Certificate_1.txt -f /etc/opt/SUNWics5/config/sslPasswordFile # ./certutil -A -n "Sesta TEST Root CA" -t "TCu,TCu,TCuw" -d /var/opt/SUNWics5/alias -a -i /export/wspace/Certificates/CA_Certificate_2.txt -f /etc/opt/SUNWics5/config/sslPasswordFile -
匯入已簽署的伺服器憑證:
# ./certutil -A -n "hostname SSL Server Test Cert" -t "u,u,u" -d /var/opt/SUNWics5/alias -a -i /export/wspace/Certificates/SSL_Server_Certificate.txt -f /etc/opt/SUNWics5/config/sslPasswordFile -
列出憑證資料庫中的憑證:
# ./certutil -L -d /var/opt/SUNWics5/alias
-
在 ics.conf 檔案中將 SSL 伺服器暱稱配置為已簽署的 SSL 伺服器憑證,例如:“hostname SSL Server Test Cert”。
注意 ics.conf 檔案中用於 service.http.calendarhostname 與 service.http.ssl.sourceurl 參數的主機名稱應符合 SSL 憑證上的主機名稱 (假定您的系統擁有數個別名)。例如:calendar.sesta.com
在 ics.conf 檔案中配置 SSL 參數
若要將 SSL 與 Calendar Server 配合實作,必須在 ics.conf 檔案中設定特定的參數。如果 ics.conf 檔案中沒有下表中列出的某些參數,則請在該檔案中增加這些參數,並指定其值。由於 ics.conf 在系統啟動時 (發出 start-cal 時) 處於唯讀狀態,因此新值將在 Calendar Server 重新啟動後才會生效。如需這些 SSL 參數的說明,請參閱SSL 配置。
步驟
-
以擁有變更配置權限的管理員身份登入。
-
變更至 /etc/opt/SUNWics5/cal/config 目錄。
-
透過複製及重新命名,儲存舊的 ics.conf 檔案。
-
如下表中所示編輯一個或多個參數︰
參數
值
encryption.rsa.nssslactivation
“on”
encryption.rsa.nssslpersonalityssl
“SampleSSLServerCert”
encryption.rsa.nsssltoken
“internal”
service.http.tmpdir
“/var/opt/SUNWics5/tmp”
service.http.uidir.path
“html”
service.http.ssl.cachedir
“.”
service.http.ssl.cachesize
“10000”
service.http.ssl.certdb.password
" "(Supply an appropriate password)
service.http.ssl.certdb.path
“/var/opt/SUNWics5/alias”
service.http.ssl.port.enable
“yes”
service.http.ssl.port
"443" (預設 SSL 連接埠)
備註 –而非在連接埠 "80" (HTTP 預設連接埠) 上。
service.http.securesession
"yes" (整個階段作業已加密)
service.http.ssl.sourceurl
“https”//localhost:port” (提供您本地主機的名稱和 service.http.ssl.port 值。)
service.http.ssl.ssl2.ciphers
““
service.http.ssl.ssl2.sessiontimeout
“0”
service.http.ssl.ssl3.ciphers
"rsa_red_40_md5,
rsa_rc2_40_md5,
rsa_des_sha,
rsa_rc4_128_md5,
rsa_3des_sha"
service.http.ssl.ssl3.sessiontimeout
“0”
service.http.sslusessl
“yes”
-
將檔案儲存為 ics.conf。
-
重新啟動 Calendar Server 以使變更生效。
cal_svr_base/SUNWics5/cal/sbin/start-cal
SSL 的疑難排解
首先,請定期備份您的憑證資料庫,以免發生無法回復的問題。如果您的 SSL 發生問題,可以考量以下一些內容:
檢查 cshttpd 程序
SSL 要求 Calendar Server cshttpd 程序正在執行。若要確定 cshttpd 是否正在執行,請使用以下指令:
# ps -ef | grep cshttpd
驗證憑證
若要列出憑證資料庫中的憑證並檢查其有效日期,請使用以下指令:
# ./certutil -L -d /var/opt/SUNWics5/alias
查閱 Calendar Server 記錄檔
檢查 Calendar Server 記錄檔,以找出所有的 SSL 錯誤。如需更多資訊,請參閱使用 Calendar Server 記錄檔。
連線至 SSL 連接埠
使用瀏覽器和以下 URL 連線至 SSL 連接埠:
https://server-name:ssl-port-number
其中:
server-name 為執行 Calendar Server 的伺服器之名稱。
ssl-port-number 為 ics.conf 檔案中 service.http.ssl.port 參數指定的 SSL 連接埠號碼。預設為 443。
使 cshttpd 停止偵聽一般 HTTP 連接埠
HTTP 和 HTTPS 偵聽不同的連接埠 (SSL 偵聽 443,HTTP 偵聽 80),因此您絕不可能讓二者偵聽同一連接埠。目前,沒有告知 cshttpd 停止偵聽一般 HTTP 連接埠的方法。然而,管理員可以將 service.http.port 變更為未公開的號碼。
注意 – 請勿設定 service.http.enable ="no" 來嘗試阻止 cshttpd 偵聽 HTTP。執行此作業會導致 HTTPS 也失敗。service.http.enable 和 service.http.ssl.port.enable 均必須設定為 "yes",以便正確配置 SSL。
第 9 章 配置單次登入
本章說明如何配置單次登入 (SSO)。
單次登入 (SSO) 允許使用者認證一次,即可使用多個信任的應用程式,而無需再次認證。Sun Java System 通訊伺服器 (包括 Calendar Server 和 Messaging Server) 可以按照以下說明實作 SSO:
透過 Access Manager 配置 SSO
Sun Java Enterprise System 伺服器 (包括 Calendar Server 和 Messaging Server) 可以使用 Sun Java System Access Manager (發行版本 6 2003Q4 或更高版本) 實作 SSO。
Access Manager 充當 Sun Java Enterprise System 伺服器的 SSO 閘道。也就是說,只要其他 Sun Java Enterprise System 伺服器被正確配置為使用 SSO,使用者登入 Access Manager 後便可存取這些伺服器。
將 SSO 用於 Calendar Server
步驟
-
確定已安裝和配置 Access Manager 與 Directory Server。如需有關安裝和配置這些產品的資訊,請參閱「Sun Java Enterprise System 2005Q4 Installation Guide for UNIX」。
-
透過設定透過 Access Manager 配置 SSO中所示的參數為 Calendar Server 配置 SSO,然後重新啟動 Calendar Server 以使這些值生效。如有必要,請在設定各參數時移除註釋字元 (!)。
備註 –設定 local.calendar.sso.amnamingurl 參數時,您必須使用完全合格的 Access Manager 名稱。
-
若要為 Messaging Server 配置 SSO,請參閱「Sun Java System Messaging Server 6 2005Q4 Administration Guide」。
-
使用者使用其 Directory Server LDAP 使用者名稱和密碼登入 Access Manager。(透過另一台伺服器 [如 Calendar Server 或 Messaging Server] 登入的使用者將無法使用 SSO 來存取其他 Sun Java Enterprise System 伺服器。)
-
登入之後,使用者可以使用相應的 URL 透過 Communications Express 存取 Calendar Server。如果其他 Sun Java Enterprise System 伺服器 (如 Messaging Server) 被正確配置為使用 SSO,使用者也可以存取這些伺服器。
透過 Access Manager 使用 SSO 的注意事項
-
只要 Access Manager 階段作業有效,行事曆階段作業就有效。如果使用者登出 Access Manager,則行事曆階段作業會自動關閉 (單次登出)。
-
SSO 應用程式必須位於同一網域中。
-
SSO 應用程式必須具有對 Access Manager 驗證 URL (命名服務) 的存取權限。
-
瀏覽器必須支援 cookie。
-
如果您使用的是 Sun Java System Portal Server 閘道,請設定以下 Calendar Server 參數:
-
service.http.ipsecurity="no"
-
render.xslonclient.enable="no"
-
透過通訊伺服器信任圈技術配置 SSO
透過通訊伺服器信任圈技術 (即不透過 Access Manager) 配置 SSO 時,請考量以下幾點:
-
每個信任的應用程式必須配置為使用 SSO。
-
如果 default.html 頁面位於瀏覽器的快取記憶體中,則 SSO 無法正常工作。使用 SSO 之前,請務必重新載入瀏覽器中的 default.html 頁面。例如,在 Netscape Navigator 中,按住 Shift 鍵,然後按 [重新載入]。
-
SSO 僅作用於主幹 URL。例如,SSO 可作用於:http://servername。
下表說明透過通訊伺服器信任圈技術使用 SSO 的 Calendar Server 配置參數。
表 9–1 透過通訊伺服器信任圈技術使用的 Calendar Server SSO 參數
下表說明透過通訊伺服器信任圈技術使用 SSO 的 Messaging Server 配置參數。
表 9–2 透過通訊伺服器信任圈技術使用的 Messaging Server SSO 參數
如需有關配置 Messaging Server 以使用 SSO 的更多資訊,請參閱「Sun Java System Messaging Server 6 2005Q4 Administration Guide」。
第 10 章 配置自動備份 (csstored)
配置時您有機會啟用自動備份。然而,以後您也可以隨時啟用或停用自動備份。出色的備份系統對於保護資料和降低作業當機時間至觀重要。
本章的資訊說明如何配置 Calendar Server 服務 csstored 來執行自動備份。其中包含以下小節:
備註 –
如果您選擇不使用此處說明的自動備份程序,則必須實作自己的備份戰略來保護資料。如需有關如何使用其他 Calendar Server 工具保護資料的資訊,請參閱第 17 章, 備份與復原 Calendar Server 資料 。
如需有關 csstored 的簡介,請參閱「Sun Java System Communications Services 6 2005Q4 Deployment Planning Guide」。
自動備份概況
本小節包含以下主題:
自動備份如何運作
Calendar Server 系統在作業事件記錄檔中記錄行事曆資料庫的每項作業事件 (增加、修改或刪除行事曆及其特性)。在某個預定間隔內,該記錄檔會關閉以進行寫入,同時建立另一個記錄檔。時間允許時,系統會將最早關閉的作業事件記錄之作業事件套用至即時行事曆資料庫。記錄中的所有作業事件均已套用至資料庫時,該記錄標記為「已套用」。
配置緊急備份後,會每隔 24 小時對即時資料庫拍攝一次快照。然後,已套用的記錄會套用至資料庫的緊急備份副本。緊急備份資料庫與仍等待套用的作業事件數目同步更新。
csstored 如何運作
在啟動階段就啟動的 Calendar Server 服務包括 csstored。配置後,此服務會執行行事曆資料庫的自動備份 (緊急備份或/和歸檔檔案備份)。
執行配置程式 csconfigurator.sh 時,您可以配置 csstored 以進行自動備份。如果您選擇兩種自動備份中的一種或全部,則無需執行其他配置步驟。
如果您在配置程式中未選擇自動備份,則自動備份處於停用狀態,但 csstored 程序仍會執行。但是,在啟用自動備份之前,csstored 執行的唯一功能是每隔 24 小時產生一條說明未配置 csstored (表示尚未啟用自動備份) 的資訊性管理員訊息。
備註 –
停用自動備份後,循環記錄 ics.conf 參數 caldb.berkeley.circularlogging 應設定為 “yes”。這將啟用清除舊的資料庫作業事件記錄,從而節省磁碟空間。
循環備份如何運作
啟用自動備份後,csstored 會使用循環備份系統自動管理備份資料庫檔案中保留的備份副本數目。
csstored 會在備份資料庫目錄中儲存備份,直至累積到備份副本的最大數目或達到允許的最大磁碟空間。屆時,它將清除備份副本 (從最舊的副本開始),直至達到保留副本的最小數目且磁碟空間處於臨界值之內。
有諸多 ics.conf 參數均可用於控制循環備份。這些參數具有預設值,並不需要進一步自訂。若要調校備份在系統中的工作方式,請參閱�屐宴梓忘卉�。
啟用自動備份的高階步驟
以下是用於啟用自動備份的高階工作清單︰
設置作業事件記錄檔
本小節包含以下主題:
瞭解作業事件記錄檔
Calendar Server 使用作業事件記錄檔擷取從上一個快照起對行事曆資料庫所做的增加、修改和刪除。實際上,在記錄檔關閉以進行寫入之後,作業事件才套用到即時資料庫。間隔參數指定關閉舊記錄檔和建立新記錄檔的頻率。
記錄檔名稱由一個末尾附有唯一編號的可配置名稱組成。
記錄檔在關閉後就可以套用至即時資料庫。這是非同步發生的,即建立記錄檔和將作業事件寫入這些記錄檔是「即時」完成的,而將作業事件套用至資料庫的程式在獨立執行,與將作業事件寫入記錄檔無關。如果系統很忙,則等待套用至資料庫的記錄檔數目會增加。如果系統有空閒時期,套用作業事件的程式有時間「趕上」,或者可能實際上處於閒置狀態,等待下一個作業事件記錄。
作業事件在套用至即時資料庫之後會套用至緊急備份快照 (如果已啟用)。記錄檔也會寫入至快照常駐的歸檔目錄。
設置作業事件記錄檔
步驟
-
在指令行變更至 ics.conf 所在的目錄︰
cd/etc/opt/SUNWics5/config
-
指定作業事件記錄名稱︰
logfile.store.logname= storename.log
-
指定作業事件記錄目錄的目錄路徑︰
預設值為:logfile.logdir="logs"
-
完成編輯 ics.conf 檔案之後,請重新啟動 Calendar Server︰
cal_svr_base /SUNWics5/cal/sbin/start-cal
無需停止行事曆服務即可編輯 ics.conf 檔案,但是您必須重新啟動服務以使變更生效。
指定管理員的電子郵件位址
本小節包含以下主題:
傳送給管理員的電子郵件訊息
當發生某些事件或錯誤時,透過電子郵件通知管理員。可產生電子郵件訊息的事件是︰
-
未啟用或未正確配置自動備份。
在拍攝快照時,如果自動備份未啟用,csstored 程序會每隔 24 小時報告一次自動備份未正確配置。
-
已超過磁碟空間的臨界值。
將定期傳送此訊息,直到問題解決為止。
-
某項服務已停止且無法重新啟動。
通知電子郵件將說明啟動該服務之前所需要執行的動作。
設定管理員的電子郵件位址
步驟
-
以擁有變更配置權限的管理員身份登入。
-
變更至 /etc/opt/SUNWics5/cal/config 目錄。
-
透過複製及重新命名,儲存舊的 ics.conf 檔案。
-
編輯以下 ics.conf 參數以指定管理員的電子郵件位址:
alarm.msgalarmnoticercpt=” admin@email_address”
-
將檔案儲存為 ics.conf。
-
重新啟動 Calendar Server。
cal_svr_base /SUNWics5/cal/sbin/start-cal
無需停止行事曆服務即可編輯 ics.conf 檔案,但是您必須重新啟動服務以使變更生效。
啟用緊急備份
本小節包含以下主題:
何為緊急備份?
原則上,緊急備份由已套用所有作業事件記錄 (目前正在寫入的作業事件記錄除外) 的最新快照組成。系統可根據其忙碌程度稍後再套用作業事件記錄。可能會有數個記錄檔尚未套用至資料庫或緊急備份。
這種「幾乎複製」即時資料庫的做法之意義在於:發生災難性事件或偵測到資料庫損毀時,最大限度地減少當機時間和資料遺失。
拍攝新快照時,會每隔 24 小時啟動一次新的緊急備份。驗證並保留舊的緊急備份,直至將其清除。如需更多資訊,請參閱循環備份如何運作。
啟用緊急備份
步驟
-
在指令行變更至 ics.conf 所在的目錄︰
cd /etc/opt/SUNWics5/config
-
透過將以下 ics.conf 參數設定為 “yes”,啟用緊急備份︰
caldb.berkeleydb.hotbackup.enable=”yes”
-
指定緊急備份目錄的目錄路徑︰
caldb.berkeleydb.hotbackup.path= /var/opt/SUNWics5/hotbackup_directory
當主磁碟機上發生硬體故障時,您可以選擇將緊急備份放置在替代磁碟或磁碟子系統上。這樣做也可減少主磁碟機或子系統上的輸入-輸出競爭。
如果您擁有高可用性 (HA) 配置,請將此路徑指定為共用儲存中的子目錄 (/global/cal/)。另請參閱第 7 章, 配置為具有高可用性 (防故障備用服務)。
-
完成編輯 ics.conf 檔案之後,請重新啟動 Calendar Server︰
cal_svr_base /SUNWics5/cal/sbin/start-cal
無需停止行事曆服務即可編輯 ics.conf 檔案,但是您必須重新啟動服務以使變更生效。
啟用歸檔備份
本小節包含以下主題:
何為歸檔備份?
歸檔備份由一個快照及為其建立的記錄檔組成。記錄檔並非套用至快照。歸檔資料庫在清除之前一直保留於磁碟上。請參閱循環備份如何運作。
啟用歸檔檔案備份
步驟
-
在指令行變更至 ics.conf 所在的目錄︰
cd /etc/opt/SUNWics5/config
-
透過將以下 ics.conf 參數設定為 “yes”,啟用歸檔檔案備份︰
caldb.berkeleydb.archive.enable=”yes”
-
指定歸檔檔案目錄的目錄路徑︰
caldb.berkeleydb.archive.path= /var/opt/SUNWics5/archive_backup_directory
當主磁碟機上發生硬體故障時,您可以選擇將歸檔備份放置在替代磁碟或磁碟子系統上。這樣做也可減少主磁碟機或子系統上的 I/O 競爭。
如果您擁有高可用性 (HA) 配置,請將此路徑指定為共用儲存中的子目錄 (/global/cal/)。另請參閱第 7 章, 配置為具有高可用性 (防故障備用服務)。
-
完成編輯 ics.conf 檔案之後,請重新啟動 Calendar Server︰
cal_svr_base/SUNWics5/cal/sbin/start-cal
無需停止行事曆服務即可編輯 ics.conf 檔案,但是您必須重新啟動服務以使變更生效。
停用警告訊息
本小節說明未配置的 csstored 程序的每日警告訊息以及如何將其停止。本小節包含以下主題:
為何會發出訊息?
依預設,start-cal 程式會啟動 csstored 程序。如果您選擇不在後端機器上配置 csstored 以進行備份,或者您擁有一台不包含需要備份的資料庫的前端機器,您仍會每隔 24 小時收到一次來自每台未配置機器的資訊性訊息。如果您不希望 csstored 發出這些訊息,則必須停止執行 csstored。
如何停止執行 csstored
步驟
-
以擁有變更配置權限的管理員身份登入。
-
變更至 /etc/opt/SUNWics5/cal/config 目錄。
-
透過複製及重新命名,儲存舊的 ics.conf 檔案。
-
將以下參數增加至 ics.conf 檔案以停止執行 csstored:
service.store.enable="no"
-
將檔案儲存為 ics.conf。
-
重新啟動 Calendar Server。
cal_svr_base/SUNWics5/cal/sbin/start-cal
無需停止行事曆服務即可編輯 ics.conf 檔案,但是您必須重新啟動服務以使變更生效。
備註 –在配置 csstored 以進行自動備份的機器上,請勿停用 csstored。
第 11 章 設定託管網域
Calendar Server 支援託管 (或虛擬) 網域。在託管網域安裝中,各個網域共用同一 Calendar Server 實例,該實例允許多個網域存在於單台伺服器上。每個網域定義一個名稱空間,該名稱空間內所有使用者、群組和資源都是唯一的。每個網域還擁有您特別設定的一組屬性和喜好設定。
本章說明以下主題:
備註 –
「Sun Java System Communications Services 6 2005Q4 Deployment Planning Guide」論述準備安裝以使用託管網域所需的所有步驟。
注意 – 如果您的站點目前被配置用於 Calendar Server 的多個實例或有限虛擬網域模式,請聯絡您的 Sun Microsystems 銷售客戶代表,以取得對您遷移需求的評估。
託管網域的簡介
本小節提供託管網域的簡介,包括:
LDAP 目錄的組織結構
透過託管網域安裝,LDAP 目錄組織為各個不同的非交叉區段,每個區段代表網域名稱系統 (DNS) 中的一個網域。使用者、群組和資源 uid 在每個網域中都是唯一的。例如,每個網域中只可以有一個 uid 為 jdoe 的使用者。識別名稱 (DN) 說明每個網域的根。
Calendar Server 支援用於託管網域的以下兩個 LDAP 目錄模式版本:
-
Sun LDAP Schema 2 (compatibility or native mode)
執行 Directory Server 設定程序檔 (comm_dssetup.pl) 時,您可以選擇 LDAP Schema 1 或 LDAP Schema 2。以下是數條注意事項:
-
新安裝 — 如果您的站點要將 Calendar Server 6 2005Q4 做為新安裝來進行安裝,請使用 LDAP Schema 2。
-
升級 — 如果您的站點要從 Calendar Server 版本 5 升級,請按照以下說明使用模式版本:
-
如果您要使用 Access Manager 功能 (例如單次登入 [SSO]),或者您要使用 Delegated Administrator,請選擇 LDAP Schema 2。
-
如果您沒有託管網域,不想使用 Access Manager 功能,或者您不想使用 Delegated Administrator 佈建使用者,則可以使用任一模式版本。但是,如有可能,請使用 LDAP Schema 2。
-
Sun LDAP Schema 2
下圖顯示了使用 Sun LDAP Schema 2 的託管網域安裝之 LDAP 目錄組織。
圖 11–1 使用 LDAP Schema 2 的 LDAP 目錄組織結構
LDAP Schema 2 使用平面 LDAP 目錄組織,亦即所有網域均位於同一層級,而不是巢式的。對於託管網域安裝,第一層級項目 (如圖中的 varriusDomain、sestaDomain 和 siroeDomain) 在目錄組織中必須平行。這些項目不可被嵌套。
如果您要使用 Access Manager 功能 (例如單次登入 [SSO]),或者您要使用 Delegated Administrator 佈建使用者,則需要 Schema 2。但是,存在一種混合變化,同時使用 DC 樹狀結構和組織樹狀結構的雙樹狀結構模式 (類似於 Schema 1) 使用 Schema 2 物件類別和屬性。此為 Schema 2 相容性模式,在配置程式 (csconfigurator.sh) 中稱為 Schema 1.5。
Sun LDAP Schema 1
下圖顯示了使用 Sun LDAP Schema 1 的託管網域安裝之 LDAP 目錄組織的範例。
該組織包含用於網域管理的兩個樹狀結構:DC 樹狀結構和組織樹狀結構 (OSI)
-
DC 樹
-
組織 (OSI) 樹
圖 11–2 使用 LDAP Schema 1 的 LDAP 目錄組織結構
DC 樹狀結構 (節點) 類似於 DNS,可在給定網域名稱的情況下確定網域項目。inetdomainbasedn LDAP 屬性指向基底 DN,基底 DN 是 組織樹狀結構 (節點) 中網域使用者、資源和群組的根。在每個網域內,Calendar Server 使用者、資源和群組的識別碼都必須是唯一的。
備註 –
如果您以前的 LDAP 配置不包含 DC 樹狀結構,若要使用 Schema 1 模式或 Schema 2 相容模式,則必須按照設置託管網域環境中的說明自行建立 DC 樹狀結構節點。
在使用 LDAP Schema 1 的託管網域安裝中,目錄搜尋需要以下兩個步驟來尋找項目:
-
在 DC 樹狀結構中,搜尋作業會找到包含指向組織樹狀結構中網域的基底 DN (inetDomainBaseDN 屬性) 之 DN 值的網域項目。
-
在組織樹狀結構中,搜尋作業會找到網域項目,然後從該項目的基底 DN 開始搜尋,以找到該網域中的相應使用者、資源或群組。
Calendar Server 登入
對於託管網域安裝,網域中的每位使用者都必須具有唯一的使用者 ID (uid)。請使用以下格式登入 Calendar Server:
userid[@domain-name]
如果省略 domain-name,Calendar Server 會使用由 ics.conf 檔案中的 service.defaultdomain 參數指定的預設網域名稱。因此,如果使用者要登入預設網域,僅需要 userid。
對於使用非託管網域環境的安裝,則不需要 domain-name。如果指定網域名稱,則其會被忽略。
如果自動佈建已啟用,Calendar Server 會在使用者首次登入時為其建立一個預設行事曆。如需有關建立行事曆的資訊,請參閱第 15 章, 管理行事曆。
登入權限以 icsStatus 或 icsAllowedServiceAccess 屬性為基礎。如需更多資訊,請參閱LDAP 屬性和特性名稱。
交叉網域搜尋
依預設,使用者僅可在自己的網域內搜尋使用者與群組,以邀請其參與事件。但是,只要滿足以下需求,交叉網域搜尋便允許一個網域中的使用者在其他網域中搜尋使用者和群組:
-
每個網域都可在 icsExtendedDomainPrefs 屬性的 domainAccess 特性中指定存取控制清單 (ACL),以允許或拒絕從其他網域進行交叉網域搜尋。因此,網域可以允許或不允許特定網域或所有網域對其進行搜尋。
如需有關 domainAccess 的說明,請參閱LDAP 屬性和特性名稱。如需有關 ACL 的一般資訊,請參閱存取控制清單 (ACL)。
-
每個網域可以指定其使用者可以搜尋的外部網域。icsDomainNames LDAP 屬性指定某個網域的使用者查找使用者和群組時可以搜尋的外部網域 (只要外部網域的 ACL 允許執行此種搜尋)。
例如,如果 various.org 網域的 icsDomainNames 列出 sesta.com 和 siroe.com,則 various.org 中的使用者便可在 sesta.com 和 siroe.com 中執行交叉網域搜尋。如需 icsDomainNames 的說明,請參閱LDAP 屬性和特性名稱。
如需有關如何啟用交叉網域搜尋的說明,請參閱啟用交叉網域搜尋。
對非託管網域環境的支援
Calendar Server 仍支援非託管網域 (亦即擁有單一網域) 環境中的作業。例如,如果您擁有現有的 Calendar Server 版本 5 或更早的舊版安裝,則透過將 ics.conf 參數 service.virtualdomain.support 設定為 "no",您仍可在單一網域環境中作業。另請參閱啟用託管網域。
但是,您仍需將舊版元件資料庫遷移至目前版本。如需遷移資訊,請參閱第 4 章, 資料庫遷移公用程式。
設置託管網域環境
本小節包含在 LDAP 中建立新的託管網域項目之前可能需要執行的以下基本工作:
-
執行資料庫遷移公用程式。
如果您要從 Calendar Server 版本 5 遷移,請確定您在嘗試設定託管網域之前已執行 cs5migrate、csmig 和 csvdmig。您可從 Sun 的技術支援部門獲得最新版本的 cs5migrate。如需有關這些遷移公用程式的更多資訊,請參閱第 4 章, 資料庫遷移公用程式。
-
如果您尚未執行 comm_dsseetup.pl,請執行此作業。
它會更新包含支援託管網域所需參數的 ics.conf 檔案。
-
編輯 ics.conf 檔案以啟用託管網域。
下表列出並說明了 ics.conf 檔案中用於託管網域支援的配置參數。如果此表中列出的任何參數不在 ics.conf 檔案中,請將該參數及其關聯值增加至該檔案,然後重新啟動 Calendar Server 以使這些值生效。
參數
說明
啟用 ("yes") 或停用 ("no") 託管 (虛擬) 網域模式的支援。預設為 "no"。
指定 LDAP 模式的版本:
-
指定Sun LDAP Schema 1的版本為 "1"。另請參閱 service.dcroot。
-
指定Sun LDAP Schema 2的版本為 "2"。另請參閱 service.schema2root。
預設為 "1"。
service.dcroot
指定 LDAP 目錄中 DC 樹狀結構的根目錄字尾 (如果 local.schemaversion="1")。
例如: "o=internet"。
在託管 (虛擬) 網域模式中,Calendar Server 使用 service.dcroot 參數,而非 local.ugldapbasedn 和 local.authldapbasedn 參數。
相反,在非託管 (虛擬) 網域模式中,Calendar Server 使用 local.ugldapbasedn 和 local.authldapbasedn 參數,而非 service.dcroot 參數。
指定所有網域所在的根目錄字尾 (如果 local.schemaversion="2")。
例如: "o=sesta.com"。
指定該 Calendar Server 實例的預設網域。登入期間未提供網域名稱時使用。
例如: "red.sesta.com"。
指定 Calendar Server 剖析 "userid[login-separator]domain" 時用於 login-separator 的分隔符號字串。Calendar Server 會依次嘗試每個分隔字元。
預設為 "@+"。
指定網域管理員的使用者 ID。
例如: DomainAdmin@sesta.com。
控制交叉網域搜尋:
-
"primary" 僅在使用者登入的網域中搜尋。
-
"select" 在任何允許進行這種搜尋的網域中搜尋。
預設為 "select"。
指定網域語言。預設為 "en" (英文)。
-
-
建立預設網域項目。
對於 Schema 2,預設網域由 Delegated Administrator 配置程式 (config-commda) 建立。
對於 Schema 1,在 DC 樹根目錄字尾下建立一個或多個層級的預設網域 (其中一個託管網域),取決於您的 DC 樹結構。例如,如果您的根目錄字尾是 o=internet,則向下一個層級的節點為 com,如Sun LDAP Schema 1中所示。但是,您的預設網域為低一個層級的節點,例如 sesta.com。使用 csdomain 建立 DC 樹狀結構節點,如以下範例所示︰
csdomain -n o=com,dc=com,o=internet create comcsdomain -n o=sesta.com,dc=sesta,dc=com,o=internet create sesta.com -
為預設網域項目啟用行事曆功能服務。
對於 Schema 1:使用 csattribute 在 LDAP 中將 icsCalendarDomain 物件類別增加至 o=sesta.com 網域項目。
對於 Schema 2:配置 Delegated Administrator 後,修改預設網域 (由 Delegated Administrator 配置程式建立) 以增加行事曆 (和郵件) 服務。在以下範例中,行事曆服務和郵件服務均被增加至託管網域:
commadmin domain modify -D admin -w passwd -d defaultdomain -S cal,mail
-
在系統上建立所需的託管網域。
如需有關如何在 Schema 2 模式中增加託管網域的說明,請參閱建立新的託管網域。
若要建立 Schema 1 託管網域,請使用 csdomain create,如以下範例所示:
csdomain -n o=red.sesta.com,dc=red,dc=sesta,dc=com create red.sesta.com
-
按照設置託管網域環境中的說明,為新託管網域啟用行事曆功能服務。
-
如果尚不存在 calmaster 網站管理員使用者,請建立該使用者。
對於 Schema 2,使用 commadmin user create 指令建立 calmaster 使用者,如以下範例所示:
commadmin user create -D admin -w passwd -F Calendar -L Administrator -l calmaster -W calmasterpasswd -d sesta.com -S cal
備註 –若要使用 Delegated Administrator 主控台的 [Create New User] 精靈建立 calmaster,請參閱 Delegated Administrator 線上說明。
對於 Schema 1,使用 csuser 在組織樹狀結構上建立 calmaster 使用者,如以下範例所示:
csuser o=sesta.com,o=rootsuffix -d sesta.com -g Calendar -s Administrator -ycalmasterpasswordcreate calmaster -
如果 calmaster 網站管理員使用者已存在於以前的非託管網域環境 (Schema 1) 中,請執行以下步驟,以將其移至預設網域︰
-
執行現有 calmaster LDAP 項目的 LDAP 傾印,並將其儲存至暫存檔,例如 /tmp/calmaster.ldif。
-
使用 ldapdelete 刪除組織樹狀結構根目錄字尾上的現有 calmaster LDAP 項目,如下所示:
#ldapdelete -D "cn=Directory Manager" -w password uid=calmaster,ou=People,o=rootsuffix
-
修改行事曆管理員的群組項目 (更新 uniqueMember 屬性),以反映所做的變更,如以下 LDIF 範例所示:
dn:cn=Calendar Administrators,ou=Groups,o=rootsuffix changetype:modifyreplace:uniqueMember uniqueMember:uid=calmaster,ou=People,o=sesta.com,o=rootsuffix
無須將群組項目移至託管網域。
-
-
更新您擁有的所有管理程序檔,以使 WCAP 指令中的 calid 完全合格。亦即每個 calid 現在均必須包含網域名稱。例如: jsmith@sesta.com 。
使用由 Messaging Server 建立的網域
如果 Messaging Server 建立了託管網域,則可以針對 Schema 1 或 Schema 2 為它們啟用行事曆。本小節包括以下主題:
在 Schema 1 郵件傳送網域中啟用行事曆功能
若要在網域中啟用行事曆功能,請將以下物件類別和兩個屬性增加至每個您要啟用行事曆的網域之 LDAP 網域項目:
-
物件類別:icsCalendarDomain。
-
屬性:icsStatus。將值設定為 “active”。
-
屬性:icsExtendedDomainPrefs。將屬性選項 domainAccess 的值設定為您要用於存取控制的 ACL。
您可以使用以下兩種方法之一來執行此動作:使用 csattribute add 指令或使用 ldapmodify,如以下範例所示:
dn:dc=sesta,dc=com,o=internet
changetype:modify
add:objectclass
objectClass:icsCalendarDomain
add:icsStatus
icsStatus:active
add:icsExtendedDomainPrefs
icsExtendedDomainPrefs:domainAccess=@@d^a^slfrwd^g;anonymous^a^r^g;@^a^s^g
|
在 Schema 2 郵件傳送網域中啟用行事曆功能
如果您已將現有 Messaging Server LDAP 項目遷移至 Schema 2 (使用 commdirmig),或者您原來在 Schema 2 模式中建立了 Messaging Server LDAP 項目,請執行以下兩個步驟,以啟用行事曆功能:
-
使用 Delegated Administrator 公用程式帶有 -S 選項的指令 commadmin domain modify 將行事曆服務增加至每個網域。
或者,您可以使用 Delegated Administrator 主控台將包含行事曆服務的服務套裝軟體配置給受影響的網域。若要執行此作業,請使用 [組織清單] 頁面上的 [配置服務套裝軟體] 按鈕。
-
使用 Delegated Administrator 公用程式帶有 -S 選項的指令 commadmin user modify 將行事曆服務增加至每個啟用行事曆功能的網域中的每個使用者。
或者,您可以使用 Delegated Administrator 主控台將包含行事曆服務的服務套裝軟體指定給受影響網域中的每個使用者。若要執行此作業,請在每個受影響的組織中使用 [使用者清單] 頁面上的 [指定服務套裝軟體] 按鈕。
如需有關 commadmin 指令的資訊,請參閱「Sun Java System Communications Services 6 2005Q4 Delegated Administrator Guide」。
如需有關 Delegated Administrator 主控台的更多資訊,請參閱其線上說明。
如需有關 commdirmig 的資訊,請參閱「Sun Java System Communications Services 6 2005Q4 Schema Migration Guide」。
- © 2010, Oracle Corporation and/or its affiliates