本小節提供託管網域的簡介,包括:
透過託管網域安裝,LDAP 目錄組織為各個不同的非交叉區段,每個區段代表網域名稱系統 (DNS) 中的一個網域。使用者、群組和資源 uid 在每個網域中都是唯一的。例如,每個網域中只可以有一個 uid 為 jdoe 的使用者。識別名稱 (DN) 說明每個網域的根。
Calendar Server 支援用於託管網域的以下兩個 LDAP 目錄模式版本:
Sun LDAP Schema 2 (compatibility or native mode)
執行 Directory Server 設定程序檔 (comm_dssetup.pl) 時,您可以選擇 LDAP Schema 1 或 LDAP Schema 2。以下是數條注意事項:
新安裝 — 如果您的站點要將 Calendar Server 6 2005Q4 做為新安裝來進行安裝,請使用 LDAP Schema 2。
升級 — 如果您的站點要從 Calendar Server 版本 5 升級,請按照以下說明使用模式版本:
如果您要使用 Access Manager 功能 (例如單次登入 [SSO]),或者您要使用 Delegated Administrator,請選擇 LDAP Schema 2。
如果您沒有託管網域,不想使用 Access Manager 功能,或者您不想使用 Delegated Administrator 佈建使用者,則可以使用任一模式版本。但是,如有可能,請使用 LDAP Schema 2。
下圖顯示了使用 Sun LDAP Schema 2 的託管網域安裝之 LDAP 目錄組織。
LDAP Schema 2 使用平面 LDAP 目錄組織,亦即所有網域均位於同一層級,而不是巢式的。對於託管網域安裝,第一層級項目 (如圖中的 varriusDomain、sestaDomain 和 siroeDomain) 在目錄組織中必須平行。這些項目不可被嵌套。
如果您要使用 Access Manager 功能 (例如單次登入 [SSO]),或者您要使用 Delegated Administrator 佈建使用者,則需要 Schema 2。但是,存在一種混合變化,同時使用 DC 樹狀結構和組織樹狀結構的雙樹狀結構模式 (類似於 Schema 1) 使用 Schema 2 物件類別和屬性。此為 Schema 2 相容性模式,在配置程式 (csconfigurator.sh) 中稱為 Schema 1.5。
下圖顯示了使用 Sun LDAP Schema 1 的託管網域安裝之 LDAP 目錄組織的範例。
該組織包含用於網域管理的兩個樹狀結構:DC 樹狀結構和組織樹狀結構 (OSI)
DC 樹
組織 (OSI) 樹
DC 樹狀結構 (節點) 類似於 DNS,可在給定網域名稱的情況下確定網域項目。inetdomainbasedn LDAP 屬性指向基底 DN,基底 DN 是 組織樹狀結構 (節點) 中網域使用者、資源和群組的根。在每個網域內,Calendar Server 使用者、資源和群組的識別碼都必須是唯一的。
如果您以前的 LDAP 配置不包含 DC 樹狀結構,若要使用 Schema 1 模式或 Schema 2 相容模式,則必須按照設置託管網域環境中的說明自行建立 DC 樹狀結構節點。
在使用 LDAP Schema 1 的託管網域安裝中,目錄搜尋需要以下兩個步驟來尋找項目:
在 DC 樹狀結構中,搜尋作業會找到包含指向組織樹狀結構中網域的基底 DN (inetDomainBaseDN 屬性) 之 DN 值的網域項目。
在組織樹狀結構中,搜尋作業會找到網域項目,然後從該項目的基底 DN 開始搜尋,以找到該網域中的相應使用者、資源或群組。
對於託管網域安裝,網域中的每位使用者都必須具有唯一的使用者 ID (uid)。請使用以下格式登入 Calendar Server:
userid[@domain-name]
如果省略 domain-name,Calendar Server 會使用由 ics.conf 檔案中的 service.defaultdomain 參數指定的預設網域名稱。因此,如果使用者要登入預設網域,僅需要 userid。
對於使用非託管網域環境的安裝,則不需要 domain-name。如果指定網域名稱,則其會被忽略。
如果自動佈建已啟用,Calendar Server 會在使用者首次登入時為其建立一個預設行事曆。如需有關建立行事曆的資訊,請參閱第 15 章, 管理行事曆。
登入權限以 icsStatus 或 icsAllowedServiceAccess 屬性為基礎。如需更多資訊,請參閱LDAP 屬性和特性名稱。
依預設,使用者僅可在自己的網域內搜尋使用者與群組,以邀請其參與事件。但是,只要滿足以下需求,交叉網域搜尋便允許一個網域中的使用者在其他網域中搜尋使用者和群組:
每個網域都可在 icsExtendedDomainPrefs 屬性的 domainAccess 特性中指定存取控制清單 (ACL),以允許或拒絕從其他網域進行交叉網域搜尋。因此,網域可以允許或不允許特定網域或所有網域對其進行搜尋。
如需有關 domainAccess 的說明,請參閱LDAP 屬性和特性名稱。如需有關 ACL 的一般資訊,請參閱存取控制清單 (ACL)。
每個網域可以指定其使用者可以搜尋的外部網域。icsDomainNames LDAP 屬性指定某個網域的使用者查找使用者和群組時可以搜尋的外部網域 (只要外部網域的 ACL 允許執行此種搜尋)。
例如,如果 various.org 網域的 icsDomainNames 列出 sesta.com 和 siroe.com,則 various.org 中的使用者便可在 sesta.com 和 siroe.com 中執行交叉網域搜尋。如需 icsDomainNames 的說明,請參閱LDAP 屬性和特性名稱。
如需有關如何啟用交叉網域搜尋的說明,請參閱啟用交叉網域搜尋。
Calendar Server 仍支援非託管網域 (亦即擁有單一網域) 環境中的作業。例如,如果您擁有現有的 Calendar Server 版本 5 或更早的舊版安裝,則透過將 ics.conf 參數 service.virtualdomain.support 設定為 "no",您仍可在單一網域環境中作業。另請參閱啟用託管網域。
但是,您仍需將舊版元件資料庫遷移至目前版本。如需遷移資訊,請參閱第 4 章, 資料庫遷移公用程式。