Delegated Administrator 主控台提供新的管理員角色 (服務提供者管理員 [SPA]),以及可以在目錄中建立的新類型組織。
本附錄說明以下主題:
本附錄說明服務提供者管理員角色和新的組織類型,並說明如何在 Delegated Administrator 中建立它們。
Delegated Administrator 主控台可讓您將管理作業委託給新的角色 (服務提供者管理員 [SPA]),該角色可以建立和管理新類型的從屬組織。
SPA 的權限範圍介於頂層管理員 (TLA) 和組織管理員 (OA) 的權限之間。
使用 SPA,您可以建立三階式管理階層,如第 1 章, Delegated Administrator 簡介中的三階式階層所述。
此第二層級的委託可使對大型 LDAP 目錄支援的大型用戶基底的管理變得容易。例如,ISP 可以為數以百計或數以千計的小型企業提供服務,其中的每個企業都需要其自己的組織。每天都有許多新的組織應增加至目錄中。
如果您使用兩階式階層,則 TLA 應建立所有這些新組織。現在,TLA 可以將這些作業委託給 SPA。
SPA 可以為新用戶建立從屬組織,並指定 OA 來管理這些組織中的使用者。
圖 A–1 顯示了三階式組織階層範例的邏輯視圖。
圖 A–1 中的範例顯示了一個提供者組織。然而,目錄可以包含多個提供者組織。
在此範例中,按如下方式委託管理作業:
SPA 具有管理 VIS 提供者組織及其下所有組織的權限。將 SPA 角色指定給 DEF 組織中的使用者1。
名為 OA1 的組織管理員管理 DEF (一個共用組織)。將此 OA 角色指定給 DEF 組織中的使用者2。
OA2 管理 HIJ (一個共用組織)。將此 OA 角色指定給 HIJ 組織中的使用者4。
OA3 管理 SESTA (一個完整組織)。將此 OA 角色指定給 SESTA 組織中的使用者1 。
SESTA 是完整組織,具有其自己的唯一名稱空間。SESTA (位於 sesta.com 網域中) 中的使用者 1 具有唯一使用者 ID。
如需提供者和從屬組織的定義,請參閱服務提供者管理員管理的組織。
在 SPA 具有管理權限的提供者組織中,建立、刪除和修改共用組織和完整組織。
在圖 A–1 所示的範例中,VIS 提供者組織的 SPA 可以
修改或刪除 DEF、HIJ 和 SESTA 組織
在 VIS 提供者組織下建立其他組織。
建立、刪除和修改提供者組織下任何組織中的使用者。
建立、刪除和修改提供者組織下任何組織中的群組。
建立、刪除和修改提供者組織下任何組織中的行事曆資源。
將 OA 角色指定給使用者。
例如,在圖 A–1 所示的組織範例中,SPA 可以將 OA 角色指定給 SESTA 組織中的使用者 2。然後,使用者 2 便可以管理 SESTA 組織中的使用者。
SPA 也可以移除使用者的 OA 角色。
將 SPA 角色指定給提供者組織下的其他合法使用者 (以及移除 SPA 角色)。
將服務套裝軟體配置給組織。
如需有關服務套裝軟體的資訊,請參閱第 1 章, Delegated Administrator 簡介中服務套裝軟體。
SPA 可以為組織指定特定類型的服務套裝軟體,並確定該組織中可以使用的每種套裝軟體的最大數目。
例如,SPA 可以指定以下服務套裝軟體:
在 DEF 組織中:
1,000 gold packages 500 platinum packages |
在 HIJ 組織中:
2,500 topaz packages 500 platinum packages 500 emerald packages 1,000 ruby packages |
在 SESTA 組織中:
2,000 silver packages 1,500 gold packages 100 platinum packages |
SPA 可以使用 Delegated Administrator 主控台執行這些作業。在此發行版本中,Delegated Administrator 公用程式不包含用於執行這些作業的指令選項。
TLA 可修改或刪除任何現有的共用組織或完整組織。TLA 還可以管理這些組織中的使用者。
TLA 可以透過主控台移除使用者的 SPA 角色,但無法指定 SPA 角色。如需此發行版本的 Delegated Administrator 中的限制清單,請參閱此發行版本的注意事項。
如需有關 TLA 執行的管理作業的完整說明,請參閱第 1 章, Delegated Administrator 簡介中的管理員角色和目錄階層。
必須將 SPA 角色指定給符合以下條件的組織中的使用者:為 SPA 而指定,且從屬於 SPA 將管理的提供者組織。
在圖 A–1 所示的範例中,假設您需要為名為 VIS 的提供者組織建立 SPA。您可以將 SPA 角色指定給 DEF 組織中的使用者1。
SPA 必須在從屬組織中,因為提供者組織節點不包含任何使用者。
因此,必須先在提供者組織下至少建立一個組織,然後 SPA 才可對其進行管理。應該指定此組織來保留被指定 SPA 角色的使用者。如需更多資訊,請參閱建立提供者組織和服務提供者管理員。
在此發行版本的 Delegated Administrator 中,您無法使用 Delegated Administrator 主控台或公用程式建立 SPA 或提供者組織。
若要建立 SPA 或提供者組織,您必須手動修改自訂服務提供者範本 da.provider.skeleton.ldif。
如需有關使用自訂服務提供者範本執行這些作業的說明,請參閱本附錄後面部分的建立提供者組織和服務提供者管理員。
SPA 可以建立、修改和刪除從屬於 SPA 的提供者組織的以下類型組織:
接下來的各小節中說明了提供者組織、完整組織和共用組織。
提供者組織是 LDAP 目錄中的節點,邏輯上包含完整組織和共用組織 。提供者組織節點的屬性可讓 SPA 管理從屬組織。
在 LDAP 目錄中,提供者組織必須在郵件網域之下。如需範例,請參閱本附錄後面部分的服務提供者組織資料範例。
提供者組織不能包含使用者項目。然而,可以在提供者組織下建立的組織中佈建使用者。
提供者組織儲存有關在其下建立的組織的目錄資訊。例如:
提供者組織是包含共用組織、完整組織還是同時包含二者
在此提供者組織下建立的共用組織可以使用的網域名稱
可供此提供者組織下建立的組織使用的服務類別套裝軟體的類型和數目
指定為提供者組織的 SPA 之家的組織。
從屬於提供者組織,由 SPA 建立。
可以在完整組織中佈建使用者。
在圖 A–1 所示的範例中,使用者2 屬於 sesta.com 網域,且其郵件位址為 user2@sesta.com。
完整組織具有自己的網域 (其他組織無法共用該網域),並且具有自己的唯一名稱空間。
在圖 A–1 所示的範例中,完整組織 SESTA 的網域名稱為 sesta.com。
從屬於提供者組織,由 SPA 建立。
可以在共用組織中佈建使用者。
在圖 A–1 所示的範例中,使用者5 屬於 siroe.com 網域,且其郵件位址為 user5@siroe.com。
其使用提供者組織提供的清單中的一個或多個共用網域名稱。
在圖 A–1 所示的範例中,共用組織 DEF 使用網域名稱 siroe.com。
其他共用組織可以共用此組織使用的網域名稱。
在圖 A–1 所示的範例中,DEF 和 HIJ 組織都屬於 siroe.com 網域。
共用組織不具有唯一名稱空間。
在此發行版本的 Delegated Administrator 中,您必須使用 Delegated Administrator 提供的自訂服務提供者範本 (da.provider.skeleton.ldif) 來建立您自己的提供者組織和 SPA。
您也可以在執行 Delegated Administrator 配置程式時,在目錄中安裝提供者組織 (帶有從屬組織) 範例和 SPA 範例。您可以透過選擇配置程式中的 [載入組織範例] 來執行此作業。
但是,組織範本範例 (da.sample.data.ldif) 僅用做範例,而非建立自己的提供者組織的範本。如需有關此範例的詳細資訊,請參閱本附錄後面部分的服務提供者組織資料範例。
建立提供者組織和 SPA 後,SPA 即可登入 Delegated Administrator 主控台、建立和管理從屬組織以及將 SPA 角色指定給 SPA 組織中的其他使用者。但是,這些 SPA 只能管理同一提供者組織。
若要建立其他提供者組織和管理該組織的 SPA,您應再次使用自訂服務提供者範本。
本小節包含以下主題:
範本建立的項目顯示在目錄中安裝已編輯的範本時建立的組織之範例。
建立提供者組織、從屬組織和 SPA 所需的資訊定義範本中建立提供者組織、從屬共用組織和 SPA 所需的參數。
建立提供者組織和服務提供者管理員的步驟說明如何在目錄中編輯範本以及安裝資訊。
自訂服務提供者範本是範本清單。
提供者組織
被指定保留 SPA 使用者的從屬共用組織
從屬共用組織中一個被指定 SPA 角色的使用者
可以在其下建立完整組織的預留位置節點。這些完整組織將由此提供者組織的 SPA 管理。
圖 A–2 顯示了透過安裝範本建立的項目範例。其為組織的目錄資訊樹狀結構 (DIT) 視圖。
圖 A–2 只是一個範例。您的組織名稱、SPA 使用者名稱和 DIT 結構應該特定於您自己的安裝。
圖 A–2 所示範例中的節點如下:
o=usergroup - 使用者/群組資料的根字尾。
o=siroe.com - 提供者組織使用的郵件網域。
o=MyProviderOrg - 提供者組織節點。
o=MySPAUserOrg - 指定保留提供者組織使用者 (包含被指定 SPA 角色的使用者) 的從屬共用組織。
ou=people - 包含使用者所需的標準 LDAP 組織單位。
uid=user1 - MySPAUserOrg 組織中被指定為 SPA 的使用者的 uid。
o=MyProviderOrgDomainsRoot - 用於保留從屬於 MyProviderOrg 提供者組織的完整組織的預留位置節點。
若要建立提供者組織、從屬組織和 SPA,您需要使用您的安裝的特定資訊替代自訂服務提供者範本中的參數。
若要瞭解這些參數,可以查看自訂服務提供者範本中所示的 da.provider.skeleton.ldif 清單。或開啟實際 ldif 檔案,該檔案位於以下目錄中:
da_base/lib/config-templates
如需與這些參數相關之屬性的定義,請參閱「Sun Java System Communications Services Schema Reference」中的「Chapter 5: Communications Services Delegated Administrator Classes and Attributes (Schema 2)」和「Chapter 3: Messaging Server and Calendar Server Attributes」。
若要建立提供者組織和從屬組織,請編輯以下參數:
ugldapbasedn
目錄中使用者/群組資料的根字尾。
範例:
o=usergroup
dc=red,dc=iplanet,dc=com
maildomain_dn
將在其下建立提供者組織的郵件網域的完整 DN。
範例:
o=siroe.com, o=usergroup
o=sesta.com,o=SharedDomainsRoot,o=Business,dc=red, \ dc=iplanet,dc=com |
maildomain_dn_str
郵件網域 DN 中的所有逗號 (,) 都由底線 (_) 替代。
例如,如果郵件網域 DN 為
o=siroe.com,o=SharedDomainsRoot,o=Business,dc=red, \ dc=iplanet,dc=com |
郵件網域 DN 字串將為
o=siroe.com_o=SharedDomainsRoot_o=Business_dc=red_ \ dc=iplanet_dc=com |
providerorg
提供者組織的名稱。將為提供者組織所在的目錄節點指定此名稱。
此參數多次在 da.provider.skeleton.ldif 範本中使用。
範例:
sunProviderOrgDN: o=MyProviderOrg,o=siroe.com,o=usergroup
o=MyProviderOrg
sunBusinessOrgBase: o=MyProviderOrgdomainsroot, o=usergroup
servicepackage
可以指定給從屬於提供者組織的組織中使用者的服務套裝軟體的名稱。這是一個多值參數。
在 da.provider.skeleton.ldif 檔案的 [提供者組織] 區段中,您將看到以下屬性:
sunIncludeServices: <servicepackage>
針對您要包含在提供者組織中的每個服務套裝軟體,增加一個 sunIncludeServices 屬性和 servicepackage 參數的實例。僅可將此處列出的這些服務套裝軟體指定給從屬組織中的使用者。
範例:
sunIncludeServices: gold sunIncludeServices: platinum sunIncludeServices: ruby sunIncludeServices: silver |
如果您未使用 sunIncludeServices 屬性 (如果您刪除包含 servicepackage 參數的行),則可以指定目錄中的所有服務套裝軟體。
domain_name
可以指定給提供者組織中的從屬組織的網域名稱。這是一個多值參數。
在 da.provider.skeleton.ldif 檔案的 [提供者組織] 區段中,您將看到以下屬性:
sunAssignableDomains: <domain_name>
sunAssignableDomains 屬性中的網域名稱是郵件網域組織的 sunPreferredDomain 和 associatedDomain 屬性中列出的名稱之子集 (一些或全部)。(郵件網域是其下建立此提供者組織的組織。)
針對您要包含在提供者組織中的每個網域名稱,增加一個 sunAssignableDomains 屬性和 domain_name 參數的實例。僅可將此處列出的網域名稱指定給從屬組織。
範例:
sunAssignableDomains: siroe.com sunAssignableDomains: siroe.net sunAssignableDomains: varrius.com sunAssignableDomains: sesta.com sunAssignableDomains: sesta.net |
provider_sub_org
SPA 使用者所在的共用組織的名稱。在目錄中安裝已編輯的 ldif 資訊時,會將該組織建立為提供者組織的共用組織和從屬組織。該組織會被指定為包含 SPA 使用者的組織。此提供者組織中被指定 SPA 角色的其他使用者必須在此從屬共用組織中。
在 da.provider.skeleton.ldif 檔案的 [提供者組織] 區段中,您將看到以下屬性:
sunProviderOrgDN: o=<provider_sub_org>,o=<providerorg>,<maildomain_dn> |
sunProviderOrgDN 屬性可識別為提供者組織使用者,特別是 SPA 使用者指定的組織。
範例:
sunProviderOrgDN: o=MySPAUserOrg,o=MyProviderOrg,o=siroe.com,o=usergroup |
preferredmailhost
提供者組織的從屬組織 (SPA 使用者所在的組織) 之喜好郵件主機的機器名稱。您必須使用完全合格的網域名稱 (FQDN)。
在 da.provider.skeleton.ldif 檔案的 [共用從屬組織] 區段中,您將看到以下屬性:
preferredMailHost: <preferredmailhost>
範例:
preferredMailHost: mail.siroe.com
available_domain_name
可以指定給特定從屬組織中使用者的網域名稱。這是一個多值參數。
available_domain_name 的值是為 sunAssignableDomains: <domain_name> 屬性和參數指定的值的適當子集。domain_name 套用於整個提供者組織,而 available_domain_name 套用於單一從屬組織。
在 da.provider.skeleton.ldif 檔案的 [共用從屬組織] 區段中,您將看到以下屬性:
sunAvailableDomainNames: <available_domain_name>
針對您希望此從屬組織從提供者組織之 sunAssignableDomains 屬性中的網域名稱清單繼承的每個網域名稱,增加一個 sunAvailableDomains 屬性和 available_domain_name 參數的實例。僅可將此處列出的網域名稱指定給從屬組織。
範例:
sunAvailableDomainNames: siroe.com sunAvailableDomainNames: siroe.net sunAvailableDomainNames: varrius.com |
available_services
可用於特定從屬組織的服務套裝軟體。這是一個多值參數。
指定給從屬組織的服務套裝軟體是使用 sunIncludeServices 屬性指定給整個提供者組織的服務套裝軟體的子集。
在 da.provider.skeleton.ldif 檔案的 [共用從屬組織] 區段中,您將看到以下屬性:
sunAvailableServices: <available_services>
available_services 參數的格式為
service package name: count |
其中,count 為整數。如果缺少 count,則預設值為無限制的數。
針對您希望此從屬組織從提供者組織的 sunIncludeServices 屬性中可用的服務套裝軟體繼承之每個服務套裝軟體,增加一個 sunAvailableServices 屬性和 available_services 參數的實例。
範例:
sunAvailableServices: gold:1500 sunAvailableServices: platinum:2000 sunAvailableServices: silver:5000 |
若要建立 SPA,請編輯以下參數:
spa_uid
SPA 使用者的使用者 ID。
範例:
uid: user1
spa_password
SPA 使用者的密碼。
範例:
userPassword: x12P3&qrS
spa_firstname
SPA 使用者的名字。
範例:
givenname: John
spa_lastname
SPA 使用者的姓氏。
範例:
sn: Smith
spa_servicepackage
指定給 SPA 使用者的服務套裝軟體。如需有關服務套裝軟體的資訊,請參閱第 1 章, Delegated Administrator 簡介中的服務套裝軟體。
範例:
inetCos: platinum
spa_mailaddress
SPA 使用者的郵件位址。郵件位址的網域部分必須是替代 available_domain_name 參數的網域值之一。亦即必須是可用於從屬組織 (SPA 使用者所在的組織) 中的網域。如需更多資訊,請參閱定義提供者組織和從屬組織的參數。
範例:
mail: user1@siroe.com
如需有關如何在目錄中編輯自訂服務提供者範本和安裝資訊的說明,請參閱建立提供者組織和服務提供者管理員的步驟。
您可以使用 ldif 檔案 da.provider.skeleton.ldif 執行以下程序。
在目錄中建立郵件網域。
如果您尚未建立郵件網域,請在目錄中執行此作業。提供者組織及其從屬共用組織將使用此郵件網域。
複製並重新命名 da.provider.skeleton.ldif 檔案。
安裝 Delegated Administrator 時,da.provider.skeleton.ldif 檔案會安裝在以下目錄中:
da_base /lib/config-templates
在 da.provider.skeleton.ldif 檔案副本中編輯以下參數。使用對於您的安裝正確的值替代這些參數。
如需參數的定義,請參閱建立提供者組織、從屬組織和 SPA 所需的資訊。
某些參數在 ldif 檔案中使用多次。您必須搜尋並替代每個參數的所有實例。
一些參數代表多值屬性的值。您可以複製和編輯這些參數及其關聯屬性名稱,以允許 ldif 檔案中存在這些屬性的多個實例。以下註明了多值參數。
<ugldapbasedn>
<maildomain_dn>
<maildomain_dn_str>
<providerorg>
<servicepackage> (多值)
<domain_name> (多值)
<provider_sub_org>
<preferredmailhost>
<available_domain_name> (多值)
<available_services> (多值)
<spa_uid>
<spa_password>
<spa_firstname>
<spa_lastname>
<spa_servicepackage>
<spa_mailaddress>
如需與這些參數相關之屬性的定義,請參閱「Sun Java System Communications Services Schema Reference」中的「Chapter 5: Communications Services Delegated Administrator Classes and Attributes (Schema 2)」和「Chapter 3: Messaging Server and Calendar Server Attributes」。
使用 LDAP 目錄工具 ldapmodify 在目錄中安裝提供者組織和 SPA。
例如,您可以執行以下指令:
ldapmodify -D <directory manager> -w <password> \ -f <da.provider.finished.ldif> |
其中,
<directory manager> 是 Directory Server 管理員的名稱。
<password> 是 Directory Service 管理員的密碼。
<da.provider.finished.ldif> 是要做為新的提供者組織和 SPA 安裝在目錄中的已編輯 ldif 檔案的名稱。
範本 (da.provider.skeleton.ldif) 包含您必須修改以建立新的提供者組織和 SPA 的參數。
下面的清單顯示 ldif 檔案中具有參數的區段。該清單未包含整個檔案。此處未包含支援 Access Manager 所需的項目和 ACI。
您應僅修改 ldif 檔案中的參數。請勿修改與 Access Manager 相關的檔案區段。
# # The following parameterized values must be replaced. # # <ugldapbasedn> :: Root suffix for user/group data # <maildomain_dn> :: Complete dn of the mail domain underneath # which the provider organization will be # created. # <maildomain_dn_str> :: The maildomain dn with all ',' replaced # by '_'. E.g. # dn --\> o=siroe.com,o=SharedDomainsRoot, # o=Business,dc=red,dc=iplanet,dc=com # dn_str --> o=siroe.com_o=SharedDomainsRoot_ # o=Business_dc=red_dc=iplanet_dc=com # <providerorg> : Organization value for provider node. # <servicepackage> :: One for each service package to include. # All service packages in the system # may be assigned by leaving this value empty. # <domain_name> :: One for each DNS name which may be assigned # to a subordinate organization. # These names form a proper subset (some or # all) of the names listed in the <maildomain> # organization's sunpreferreddomain # and associateddomain attributes. # <provider_sub_org> :: Organization value for the shared subordinate # organization in which the Provider # Administrator resides. # <preferredmailhost> :: Name of the preferred mail host for the # provider's subordinate organization. # <available_domain_name> :: one for each DNS name that an organization # allows an organization admin to use when # creating a user's mail address. This is # a proper subset of the values given for # <domain_name> (sunAssignableDomains attribute). # <available_services> :: One for each service packags available to an # organization (sunAvailableServices attribute). # These service packages form a proper subset # of the ones assigned to a provider organization # - <servicepackage> (sunIncludeServices # attribute). Form is # <service package name>:<count> # where count is an integer. If count is absent # then default is unlimited. # <spa_uid> :: The uid for the service provider administrator. # <spa_password> :: The password for the service provider # administrator. # <spa_firstname> :: First name of the service provider # administrator. # <spa_lastname> :: Last name of the service provider # administrator. # <spa_servicepackage> :: Service package assigned to the service # provider administrator. # <spa_mailaddress> :: The spa's mail address. The domain part of the # mail address must be one of the values used for # <available_domain_name>. # # # Provider Organization # dn: o=<providerorg>,<maildomain_dn> changetype: add o: <providerorg> objectClass: top objectClass: sunismanagedorganization objectClass: sunmanagedorganization objectClass: organization objectClass: sunManagedProvider sunAllowBusinessOrgType: full sunAllowBusinessOrgType: shared sunBusinessOrgBase: o=<providerorg>domainsroot,<ugldapbasedn> sunIncludeServices: <servicepackage> sunAssignableDomains: <domain_name> sunAllowMultipleDomains: true sunAllowOutsideAdmins: false sunProviderOrgDN: o=<provider_sub_org>,o=<providerorg>,<maildomain_dn> # . # . # [Entries and ACIs required by Access Manager] # . # . # # Full Organizations node # dn: o=<providerorg>DomainsRoot,<ugldapbasedn> changetype: add o: <providerorg>DomainsRoot objectClass: top objectClass: organization objectClass: sunmanagedorganization # . # . # [Entries and ACIs required by Access Manager] # . # . # # Provider Admin Role shared organizations # dn: cn=Provider Admin Role,o=<providerorg>,<maildomain_dn> changetype: add cn: Provider Admin Role objectClass: ldapsubentry objectClass: nssimpleroledefinition objectClass: nsroledefinition objectClass: nsmanagedroledefinition objectClass: iplanet-am-managed-role objectClass: top iplanet-am-role-description: Provider Admin # # Provider Admin Role full organizations # dn: cn=Provider Admin Role,o=<providerorg>DomainsRoot,<ugldapbasedn> changetype: add cn: Provider Admin Role objectClass: ldapsubentry objectClass: nssimpleroledefinition objectClass: nsroledefinition objectClass: nsmanagedroledefinition objectClass: iplanet-am-managed-role objectClass: top iplanet-am-role-description: Provider Admin # # Shared Subordinate Organization. Includes 1 user who is # the Provider Administrator. # dn: o=<provider_sub_org>,=<providerorg>,<maildomain_dn> changetype: add preferredMailHost: <preferredmailhost> sunNameSpaceUniqueAttrs: uid o: <provider_sub_org> objectClass: inetdomainauthinfo objectClass: top objectClass: sunismanagedorganization objectClass: sunnamespace objectClass: sunmanagedorganization objectClass: organization objectClass: sunDelegatedOrganization objectClass: sunMailOrganization sunAvailableDomainNames: <available_domain_name> sunAvailableServices: <available_services> sunOrgType: shared sunMaxUsers: -1 sunNumUsers: 1 sunMaxGroups: -1 sunNumGroups: 0 sunEnableGAB: true sunAllowMultipleServices: true inetDomainStatus: active sunRegisteredServiceName: GroupMailService sunRegisteredServiceName: DomainMailService sunRegisteredServiceName: UserMailService sunRegisteredServiceName: iPlanetAMAuthService sunRegisteredServiceName: UserCalendarService sunRegisteredServiceName: iPlanetAMAuthLDAPService sunRegisteredServiceName: DomainCalendarService # . # . # [Entries and ACIs required by Access Manager] # . # . dn: ou=People,o=<provider_sub_org>,o=<providerorg>,<maildomain_dn> changetype: add ou: People objectClass: iplanet-am-managed-people-container objectClass: organizationalUnit objectClass: top dn: ou=Groups,o=<provider_sub_org>,o=<providerorg>,<maildomain_dn> changetype: add ou: Groups objectClass: iplanet-am-managed-group-container objectClass: organizationalUnit objectClass: top # . # . # [Entries and ACIs required by Access Manager] # . # . # # User - provider administrator # dn: uid=<spa_uid>,ou=People,o=<provider_sub_org>,o=<providerorg>, \ <maildomain_dn> changetype: add sn: <spa_lastname> givenname: <spa_firstname> cn: <spa_firstname> <spa_lastname> uid: <spa_uid> iplanet-am-modifiable-by: cn=Top-level Admin Role,<ugldapbasedn> objectClass: inetAdmin objectClass: top objectClass: iplanet-am-managed-person objectClass: iplanet-am-user-service objectClass: iPlanetPreferences objectClass: person objectClass: organizationalPerson objectClass: inetuser objectClass: inetOrgPerson objectClass: ipUser objectClass: inetMailUser objectClass: inetLocalMailRecipient objectClass: inetSubscriber objectClass: userPresenceProfile objectClass: icsCalendarUser mailhost: <preferredmailhost> mail: <spa_mailaddress> maildeliveryoption: mailbox mailuserstatus: active inetCos: <spa_servicepackage> inetUserStatus: Active nsroledn: cn=Provider Admin Role,o=<providerorg>,<maildomain_dn> userPassword: <spa_password>
建立提供者組織和 SPA 之後,SPA 即可建立和管理從屬於該提供者組織的共用組織和完整組織。SPA 使用 Delegated Administrator 主控台完成這些作業。
以下作業概述建立共用組織或完整組織的關鍵步驟。此作業未說明如何輸入使用 [建立新組織] 精靈建立組織時顯示的所有資訊。如需 [建立新組織] 精靈的詳細說明,請參閱 Delegated Administrator 主控台線上說明。
啟動 Delegated Administrator 主控台。
請至以下 URL:
http://host: port/da/DA/Login
其中,
host 是 Web 容器主機電腦
port 是 Web 容器連接埠
例如:
http://siroe.com:8080/da/DA/Login
螢幕上將顯示 Delegated Administrator 主控台登入視窗。
使用 SPA 登入 ID 和密碼登入 Delegated Administrator 主控台。
前面的小節建立提供者組織和服務提供者管理員說明了如何建立 SPA。
螢幕上將顯示 [服務提供者管理員] 頁面。依預設,選取 [組織] 標籤。此頁面顯示從屬於 SPA 的提供者組織的組織。
按一下 [新建組織]。
螢幕上將顯示 [建立新組織] 精靈。如需有關在 [建立新組織] 精靈中輸入和選取資訊的詳細資訊,請參閱 Delegated Administrator 主控台線上說明。
在 [組織資訊] 面板中輸入資訊,然後按 [下一步]。
螢幕上將顯示 [聯絡人資訊] 面板。
在 [聯絡人資訊] 面板中輸入資訊,然後按 [下一步]。
螢幕上將顯示 [帳號資訊] 面板。
選擇建立共用組織還是完整組織。
在 [帳號資訊] 面板中,您可以確定新組織是共用組織還是完整組織。
共用組織使用與其他組織共用的現有網域。
完整組織具有其自己的唯一網域。
若要建立共用組織,請按一下 [從可用網域中選取] 單選按鈕。
從下拉式清單中選擇網域。
建立共用組織時,會從現有父系網域繼承行事曆服務詳細資訊。因此,您不必為新組織輸入行事曆服務資訊。[行事曆服務詳細資訊] 面板將不會顯示在 [建立新組織] 精靈中。而且建立共用組織之後,[行事曆服務詳細資訊] 不會顯示在組織的 [特性] 頁面中。
若要建立完整組織,請按一下 [新建網域] 單選按鈕。
在文字方塊中,輸入新的郵件網域名稱。例如:siroe.com。
如果願意,您可以在 [新網域的別名] 文字方塊中為新網域輸入別名。
在 [建立新組織] 精靈的剩餘面板中輸入資訊。
如需有關這些面板的詳細資訊,請參閱 Delegated Administrator 主控台線上說明。
執行 Delegated Administrator 配置程式 config-commda 時,您可以選擇在目錄中安裝組織資料 (在 ldif 檔案中定義) 範例。(執行配置程式時,選取 [服務套裝軟體和組織範例] 面板中的 [載入組織範例]。)配置程式將 da.sample.data.ldif 檔案增加至 LDAP 目錄樹狀結構中。
此 ldif 檔案僅用做範例,而非建立您自己的提供者組織的範本。若要建立新的提供者組織,請參閱建立提供者組織、從屬組織和 SPA 所需的資訊。
圖 A–1 顯示了 ldif 檔案範例提供的組織結構的邏輯視圖。(圖 A–1 增加了檔案中不存在的共用組織 HIJ。)
ldif 檔案範例在根字尾節點下包含以下組織:
VIS 提供者組織。VIS 提供者組織的 SPA 管理以下組織:
完整組織 SESTA。SESTA 組織具有其自己的網域 sesta.com。
共用組織 DEF。DEF 組織使用共用網域 siroe.com。
ESG 提供者組織。沒有為此提供者組織定義任何從屬組織。
ldif 檔案為這些組織定義以下管理員角色:
VIS 提供者組織 (user2@abc.com) 的 SPA
ESG 提供者組織 (user2_def) 的 SPA
SESTA 組織 (user1@abc.com) 的 OA
DEF 組織 (user1_def) 的 OA
在三階式目錄階層中,目錄資訊樹狀結構 (DIT) 與圖 A–1 中所示的邏輯視圖不完全一樣。組織在稍微不同的階層的 DIT 中實作。
例如,在 DIT 中,完整網域必須直接在根字尾之下。因此,網域節點會增加至根字尾下,以儲存共用網域 (由共用組織使用) 和完整組織 (具有其自己的網域) 的 LDAP 資訊。
圖 A–3 顯示了組織資料範例的目錄資訊樹狀結構 (DIT) 視圖。
如圖 A–1 中所示的邏輯視圖一樣,圖 A–3 中所示的範例包含以下組織:
VIS 和 ESG (提供者組織)
DEF,從屬於 VIS 提供者組織的共用組織
SESTA,從屬於 VIS 提供者組織的完整組織
組織檔案範例 (da.sample.data.ldif) 中的節點如下:
ugldapbasedn - 此參數代表根字尾。
o=business - 包含目錄中所有企業的節點。
o=SharedDomainsRoot - 包含共用組織使用的網域所需的節點。
在此目錄資訊樹狀結構中,從屬於不同服務提供者組織的共用組織可以使用同一共用網域。這是因為,兩個提供者組織在 SharedDomainsRoot 節點下都有節點。
o=ESGDomainsRoot 和 o=VISDomainsRoot - 這兩個節點包含從屬於 ESG 和 VIS 提供者組織的所有完整組織。
管理完整組織的每個提供者組織在此層級 (在根字尾下) 都必須具有節點。
ESGDomainsRoot 或 VISDomainsRoot 下可以存在多個完整組織,每個都有其自己的網域。
o=siroe.com - 共用網域。其由共用組織 DEF 使用。
o=VIS 和 o=ESG - 這兩個提供者組織節點包含從屬於 VIS 和 ESG 提供者組織的所有共用組織。
例如,共用組織 DEF 從屬於 VIS 提供者組織。
o=SESTA - 完整組織。其具有自己的網域 sesta.com。
o=DEF - 共用組織。其使用網域 siroe.com。
ou=people - 包含使用者所需的標準 LDAP 組織單位。
圖 A–3 所示的組織檔案範例中的某些使用者 DN 如下:
對於屬於 DEF 組織的名為 user1_def 的使用者:
dn: uid=user1_def,ou=People,o=DEF,o=VIS,o=siroe.com, o=SharedDomainsRoot,o=Business,ugldapbasedn |
對於屬於 SESTA 組織的名為 user1 的使用者:
dn: uid=user1,ou=People,o=SESTA,o=VISDomainsRoot, o=Business,ugldapbasedn |