制定用户管理规范

安装和配置 Java ES 组件时，将会创建 LDAP 模式和 LDAP 目录树。本节介绍如何通过安装和配置解决方案时的输入值来建立目录模式和目录树结构。必须在安装开始之前制定模式和目录树结构的规范，并且必须在安装规划中列出用于创建指定模式和目录树结构的输入值。

目录树结构和模式必须支持解决方案所提供的服务。本节提供了可用选项及每个选项所支持服务的基本说明。但是，本节的主要目的是介绍如何为安装和配置工具选择输入值，以便创建指定模式和目录树结构。

有关选择模式和设计目录树的更多信息，参见附加文档，如《Sun Java System Directory Server 5 2005Q1 Deployment Plannning Guide》和《Sun Java System Access Manager 7 2005Q4 Deployment Planning Guide》。

为解决方案指定 LDAP 模式

使用 Directory Server 的 Java ES 解决方案可以使用两个标准 LDAP 模式版本中的任一版本，这两个版本称为模式 1 和模式 2。解决方案的用户管理规范将指定解决方案使用的是模式 1 还是模式 2。安装规划中的配置值可确保安装过程创建正确的模式。

模式 2 支持使用 Access Manager 和 Access Manager 的单点登录功能。如果解决方案使用单点登录，则它必须使用模式 2。

安装过程按如下方式为指定模式配置目录：

• 要建立模式 1 目录，只需安装 Directory Server 即可。模式 1 是默认的模式版本。

• 要建立模式 2 目录，请安装 Directory Server 和 Access Manager。安装 Access Manager 时会修改目录并将其转换为模式 2 目录。

  ---

  提示 –

  如果在一个安装程序会话期间在一台计算机上安装了 Directory Server 和 Access Manager，则会为模式 2 配置目录。

  如果解决方案是分布式的，则会首先在一台计算机上安装 Directory Server。接着在另一台计算机上安装 Access Manager。Access Manager 安装时的安装程序输入值指定了现有目录，而且会修改目录的模式。

  ---

视解决方案而定，扩展模式时可能需要执行以下过程：

• 如果解决方案使用 Messaging Server 和/或 Calendar Server，则安装过程必须使用 Directory Preparation Tool 应用某些附加的模式扩展。将在安装 Messaging Server 或 Calendar Server 之前应用这些扩展。它们可以应用于模式 1 或模式 2 目录。有关向安装规划添加 Directory Preparation Tool 运行说明的更多信息，参见Messaging Server。安装规划包括 Directory Preparation Tool 的运行说明。

• 如果解决方案使用模式 2，则安装过程必须使用 Delegated Administrator 应用某些附加的模式扩展，以支持消息传送及日历服务的 Access Manager 验证及授权。有关应用这些模式扩展的命令示例，参见《Sun Java Enterprise System 2005Q1 部署示例系列：评估方案》中的第 7  章 “评估解决方案的用户管理”。安装规划包括这些模式扩展的说明。将在安装和配置 Delegated Administrator 之后，且在 Delegated Administrator 添加任何用户数据之前应用这些扩展。有关向安装规划添加模式扩展说明的更多信息，参见将 Delegated Administrator 的过程添加到您的安装规划中。

LDAP 模式规范指明了解决方案中使用的模式以及解决方案所需的任何模式扩展。安装规划包括建立正确模式和执行任何指定模式扩展的过程。

为解决方案指定目录树结构

Java ES 解决方案的 LDAP 目录可以很简单，也可以很复杂，这取决于解决方案对组织用户数据的需要。结构灵活是 LDAP 目录的本质特征。Java ES 对目录结构没有影响，而是在安装和配置过程中实现指定的结构。必须在安装和配置过程开始之前指定结构，并且安装规划必须列出用于创建指定目录结构的输入值。

安装和配置过程按如下方式建立目录结构：

1. 通过运行安装程序来安装 Directory Server，需要目录基本后缀（又称为根后缀或根 DN）的输入值。Java ES 安装程序将使用该输入值建立目录的基本后缀。安装规划包括基本后缀名。

   ---

   提示 –

   目录树简单的解决方案（不使用 Messaging Server 或 Calendar Server）可直接在基本后缀下存储用户及组数据。

   ---

2. 通过运行 Messaging Server 配置向导来创建 Messaging Server 实例，需要 LDAP 组织 DN 的输入值。配置向导会使用向导中的 DN 输入为目录树建立分支，并创建 LDAP 组织。此组织代表受 Messaging Server 实例管理的电子邮件域。该向导还会配置 Messaging Server 实例，以便对用户及组数据使用该电子邮件域。安装规划包括电子邮件域组织的 DN。有关此过程所创建的目录树结构的示例，参见图 2–3。在此例中，安装程序创建的基本后缀为 o=examplecorp。Messaging Server 配置向导创建的电子邮件域组织为 o=examplecorp.com,o=examplecorp。

3. Calendar Server、Communications Express、Instant Messaging 和 Delegated Administrator 的配置向导需要 LDAP DN 的输入值。（这些向导中所出现的名称会有所不同。）如果解决方案使用单点登录，则会在所有配置向导中输入相同的值。输入值为 Messaging Server 向导创建的电子邮件域组织。此配置的结果是，所有组件均在同一 LDAP 组织中存储和查找用户数据。可将有关用户的所有信息存储在单个目录条目中，并可使用 Access Manager 单点登录功能。

图 2–3 具体给出了此过程所创建的目录树结构的一个示例。在本例中，Java ES 安装程序建立了基本后缀 o=examplecorp，并且 Messaging Server 配置向导添加了组织 o=examplecorp.com,o=examplecorp。此组织代表名为 examplecorp.com 的电子邮件域。该电子邮件域的用户数据存储在 ou=people,o=examplecorp.com,o=examplecorp 中。解决方案中的其他 Java ES 组件也被配置成在 ou=people,o=examplecorp.com,o=examplecorp 中查找用户数据。

图 2–3 LDAP 目录树示例

要创建图 2–3 所示的目录树，需为基本后缀以及代表电子邮件域的组织选择相应名称，并将其添加到用户管理规范中。准备安装规划时，安装规划中要包括将指定 LDAP 名称输入到适当安装程序字段和配置向导字段的说明。有关向安装规划添加 LDAP 名称的信息，参见为 Directory Server 选择配置值、为 Access Manager 选择配置值、为 Messaging Server 选择配置值、为 Calendar Server 选择配置值、为 Communications Express 选择配置值、为 Instant Messaging 选择配置值以及为 Delegated Administrator 选择配置值。

示例目录树仅包括一个电子邮件域。许多解决方案需要更为复杂的树来组织用户数据。可以使用相同的基本安装及配置过程来建立更为复杂的目录结构。例如，如果解决方案需要，可将目录配置成支持多个电子邮件域。

要建立多个电子邮件域，请配置多个 Messaging Server 实例。每个实例管理一个电子邮件域。

如果 Java ES 解决方案使用 Access Manager 与目录进行交互，可以在该解决方案中使用其他 LDAP 目录。目录服务器必须为 LDAP 版本 3 (LDAP v3) 兼容的目录服务器。有关此类解决方案所需目录树结构的更多信息，参见《Sun Java System Access Manager 7 2005Q4 Technical Overview》。