| Sun ONE Web Server 6.1 管理员指南 |
第 3 章
管理用户和组本章介绍如何添加、删除和编辑可以访问 Sun ONE Web Server 的用户和组。
本章包括以下部分:
访问用户和组的信息使用 Administration Server 可以访问您的应用程序数据,例如用户帐号、组列表、访问权限、组织单位以及用户和组的其他特定信息。
用户和组信息存储在文本格式的文本文件或支持轻量目录访问协议 (LDAP) 的目录服务器(如 Sun ONE Directory Server)中。LDAP 是一种开放的目录访问协议,它通过 TCP/IP 运行,可以缩放到全局大小,甚至上百万个条目。
由于 Sun ONE Web Server 不支持本地 LDAP,因而必须先安装一个目录服务器,然后才能够添加用户和组。
关于目录服务目录服务器(如 Sun ONE Directory Server)使您可以从一个源管理所有的用户信息。您还可以配置目录服务器,允许您的用户从多个易于访问的网络位置检索目录信息。
在 Sun ONE Web Server 6.1 中,可以配置三种不同类型的目录服务来验证并授权用户和组。如果没有配置其他目录服务,新创建的目录服务的值将被设置为 default,而不管其类型为何。
创建目录服务时,将使用该目录服务的详细资料更新 server-root/userdb/dbswitch.conf 文件。
目录服务的类型
Sun ONE Web Server 6.1 支持的各种目录服务类型包括:
如果 LDAP 服务是缺省服务,将按照下面的示例更新 dbswitch.conf 文件:
directory default ldap://draco.india.sun.com:589/dc%3Dindia%2Cdc%3Dsun%2Cdc%3Dcom
default:binddn cn=Directory Manager
default:encoded bindpw YWRtaW5hZG1pbg==
如果 LDAP 服务不是缺省服务,将按照下面的示例更新 dbswitch.conf 文件:
directory ldap ldap://draco.india.sun.com:589/dc%3Dindia%2Cdc%3Dsun%2Cdc%3Dcom
ldap:binddn cn=Directory Manager
ldap:encoded bindpw YWRtaW5hZG1pbg==
- 密钥文件。密钥文件是一个文本文件,其中包含散列格式的用户口令以及该用户所属的组的列表。存储在密钥文件中的用户和组仅供 file 区域用来进行验证和授权,与系统用户和组无关。有关 file 区域的详细信息,请参见 File 区域。
配置目录服务要配置目录服务首选项,请执行以下步骤:
创建并配置目录服务后,您可以基于每个虚拟服务器来指定目录服务。以后,服务器将使用与目录服务相关联的权限来评估并强制执行访问控制规则。有关详细信息,请参见选择虚拟服务器的目录服务
理解独特的名称(Distinguished Name,DN)
使用 Administration Server 的“Users & Groups”选项卡来创建或修改用户、组和组织单位。用户是您 LDAP 数据库中的个人,例如您公司的雇员。组是共享某个常用属性的两个或多个用户。组织单位是您公司内的部门,它使用 organizationalUnit 对象类。用户、组和组织单位将在本章后面进行详述。
您公司中的每个用户和组都由一个识别名 (DN) 属性来表示。DN 属性是一个文本字符串,它包含关联的用户、组或对象的标识信息。每当您更改用户或组目录条目时,就需要使用 DN。例如,每次为应用程序(如邮件或发布)创建或修改目录条目、设置访问控制以及设置用户帐户时,均需要指定 DN 信息。Sun ONE Web Server 管理控制台的用户和组界面可帮助您创建或修改 DN。
以下示例显示了 Sun Microsystems 公司某个雇员的典型 DN:
uid=doe,e=doe@sun.com,cn=John Doe,o=Sun Microsystems Inc.,c=US
该示例中每个等号前面的缩写的含义如下:
DN 可能包括多种名称/值对。它们用于在支持 LDAP 的目录中标识证书主题和条目。
使用 LDIF
如果您目前还没有目录,或者您要向现有目录中添加一个子树,则可以使用目录服务器的 Administration Server LDIF 导入功能。此功能将接受一个包含 LDIF 的文件并尝试由 LDIF 条目生成一个目录或新子树。您还可以使用目录服务器的 LDIF 导出功能将您的当前目录导出到 LDIF。此功能将创建一个 LDIF 格式的文件,用来表示您的目录。可以使用 ldapmodify 命令和相应的 LDIF 更新语句来添加或编辑条目。
要使用 LDIF 向数据库中添加条目,请先在某个 LDIF 文件中定义条目,然后从目录服务器中导入该 LDIF 文件。
创建用户使用 Administration Server 中的“Users & Groups”选项卡来创建或修改用户条目。用户条目包含有关数据库中的单个用户或对象的信息。
创建用户时,必须确保用户对资源不具有未经授权的访问权限,以保护服务器的安全。Sun ONE Web server 6.1 提供了多种选择来增强安全性:
- 有关如何使用基于 J2EE/Servlet 的区域验证来验证和授权用户的信息,请参见基于区域的安全性。
- 有关如何使用基于访问控制列表 (ACL) 的验证和授权技术的信息,请参见访问控制的工作原理。
- 有关使用本地区域 (Native Realm) 功能(用于在基于 Java 的安全模式和基于 ACL 的安全模式之间建立连接)的信息,请参见配置 Native 区域。
本部分包括以下主题:
在基于 LDAP 的验证数据库中创建新用户
向基于 LDAP 的目录服务添加用户条目时,将使用一个基于 LDAP 的目录服务器的服务来验证和授权用户。本节提供了某些使用基于 LDAP 的验证数据库时需要考虑的指导原则,并说明如何通过 Administration Server 来添加用户。
创建基于 LDAP 的用户条目的指导原则
使用管理员表单在基于 LDAP 的目录服务中创建新用户条目时,请考虑以下指导原则:
- 如果输入名和姓,表单将自动为您填写用户的全名和用户 ID。用户 ID 由用户名字的第一个字母后跟姓组成。例如,如果用户的姓名为 Billie Holiday,则用户 ID 将自动设置为 bholiday。如果您愿意,可以用您喜欢的 ID 代替该用户 ID。
- 用户 ID 必须是唯一的。Administration Server 通过从搜索基础(基本 DN)开始向下搜索整个目录来查看该用户 ID 是否已被使用,以确保用户 ID 的唯一性。但是,请注意,如果使用目录服务器的 ldapmodify 命令行实用程序(如果可用)创建用户,将不能确保用户 ID 的唯一性。如果您的目录中存在重复的用户 ID,受影响的用户将无法在该目录中得到验证。
- 请注意,基本 DN 指定的识别名是缺省情况下由其开始查找目录的位置,也是您的目录树中放置所有 Sun ONE Web Administration Server 条目的位置。“DN”是表示目录服务器中的条目名称的字符串。
- 请注意,创建新用户条目时,必须至少指定以下用户信息:
- 如果您的目录定义了任何组织单位,则可以使用“Add New User To list”指定要放置新用户的位置。缺省位置是您的目录的基本 DN(或根节点)。
如何创建新用户条目
要创建用户条目,请阅读创建基于 LDAP 的用户条目的指导原则中的指导原则,然后执行以下步骤:
- 访问 Administration Server 并选择“Users & Groups”选项卡。
- 单击“New User”链接。
- 从“Select Directory Service”下拉列表中选择“LDAP Directory Service”并单击“Select”。
- 在随后显示的页面中添加所需的信息。
有关详细信息,请参见目录服务器用户条目。
- 单击“OK”。
有关详细信息,请参见联机帮助中的“New User”页面。
目录服务器用户条目
目录管理员可能需要注意以下有关用户条目的提示:
在基于文件的验证数据库中创建新用户
Sun ONE Web Server 6.1 引入了对本地验证数据库的支持,该数据库将用户信息以文本格式存储在中间文件中。基于文件的验证数据库与以下文件类型兼容:
创建新用户条目
要在基于文件的验证数据库中创建用户条目,请执行以下步骤:
在基于摘要的验证数据库中创建新用户
要在基于摘要的验证数据库(以加密形式存储用户和组信息)中创建用户条目,请执行以下步骤:
管理用户您可以通过 Administration Server 的“Manage Users”表单编辑用户属性。在该表单中,您可以查找、更改、重命名或删除用户条目,管理用户许可证,或许还可以更改产品的特定信息。
有些(但不是全部)Sun ONE 服务器在此区域中添加了其他表单,使您可以管理产品的特定信息。例如,如果您的 Administration Server 下安装了一个消息服务器,则会添加一个附加表单,使您可以编辑消息服务器的特定信息。有关这些附加管理功能的详细信息,请参见服务器文档。
本部分包括以下主题:
查找用户信息
在编辑用户条目之前,您必须先显示关联的信息。要查找特定用户信息,请执行以下步骤:
- 访问 Administration Server 并选择“Users & Groups”选项卡。
- 单击“Manage Users”链接。
- 在“Find User”字段中,为您要编辑的条目输入一些描述性的值。您可以在搜索字段中输入以下任何值:
- 名称。输入全名或部分名称。将返回与搜索字符串完全匹配的所有条目。如果未找到这样的条目,将返回包含该搜索字符串的所有条目。如果仍未找到这样的条目,将返回与该搜索字符串类似的所有条目。
- 用户 ID。
- 电话号码。如果您只输入部分号码,将返回结尾号码与搜索号码相同的所有条目。
- Email 地址。包含 @ 符号的任何搜索字符串均被认为是 Email 地址。如果找不到精确的匹配,将执行搜索并返回以该搜索字符串开头的所有 Email 地址。
- 使用星号 (*) 可以查看当前目录中的所有条目。保留该字段为空白也可以实现这一目的。
- 任意 LDAP 搜索过滤器。包含等号 (=) 的任何字符串均被认为是搜索过滤器。
还可以使用“Find all users whose”字段中的下拉菜单来缩小搜索结果的范围。
- 在“Look Within”字段中,选择您要在其中搜索条目的组织单位。
缺省为目录的根节点(最顶层条目)。
- 在“Format”字段中,选择“On-Screen”或“Printer”。
- 单击“Find”。
将显示选定组织单位中的所有用户。
- 在显示的结果表中,单击您要编辑的条目名称。
将显示用户编辑表单。
- 根据需要更改显示的字段,然后单击“Save Changes”。
将立即进行更改。
生成自定义搜索查询
“Find all users whose”字段允许您生成自定义搜索过滤器。使用此字段可以缩小使用“Find User”搜索的搜索结果。
“Find all users whose”字段提供了以下搜索条件:
下表说明了可用的搜索属性选项:
下表说明了可用的搜索类型选项:
要显示“Look Within”目录中包含的所有用户条目,请输入星号 (*) 或保留该文本字段为空。
编辑用户信息
要更改用户的条目,请执行以下步骤:
- 访问 Administration Server 并选择“Users & Groups”选项卡。
- 如查找用户信息中所述显示用户条目。
- 编辑与您要更改的属性对应的字段。
有关详细信息,请参见联机帮助中的“Edit Users”页面。
此外还要注意,虽然您可以在此表单中更改用户的名、姓及全名,但是要完全重命名该条目(包括条目的识别名),则需要使用“Rename User”表单。有关如何重命名条目的详细信息,请参见重新命名用户。
管理用户口令
您为用户条目设置的密码将被各种服务器用来进行用户验证。
要更改或创建用户口令,请执行以下步骤:
- 访问 Administration Server 并选择“Users & Groups”选项卡。
- 如查找用户信息中所述显示用户条目。
- 进行所需的更改并单击“OK”。
有关详细信息,请参见联机帮助中的“Manage Users”页面。
注
您可以将根位置处的 Administration Server 用户更改为操作系统上的另一个用户,以使多个用户(属于同一组)能够编辑/管理配置文件。但是,请注意,在 UNIX/Linux 平台上,安装程序可以授予某个组对配置文件的“rw(读写)”权限,而在 Windows 平台上,用户必须属于“Administrators”组。
您还可以通过单击“Disable Password”按钮来禁用用户的口令。这样可以禁止该用户登录服务器而不必删除其目录条目。您可以使用“Password Management”表单输入新密码,从而再次授予该用户访问权限。
管理用户许可证
使用 Administration Server 可以跟踪您的用户被许可使用的 Sun ONE 服务器产品。
要管理可供用户使用的许可证,请执行以下步骤:
- 访问 Administration Server 并选择“Users & Groups”选项卡。
- 如查找用户信息中所述显示用户条目。
- 单击“User Edit”表单顶部的“Licenses”链接。
- 进行所需的更改并单击“OK”。
有关详细信息,请参见联机帮助中的“Manage Users”页面。
重新命名用户
重新命名功能只更改用户的姓名而不影响任何其他字段。此外,用户的旧名称仍被保留,因此按旧名称进行搜索仍会找到新条目。
当您重命名某个用户条目时,只能更改该用户的姓名;您不能使用重命名功能将条目从一个组织单位移动到另一个组织单位。例如,假设有两个组织单位,分别为 Marketing 和 Accounting,并且 Marketing 组织单位下有一个名为 Billie Holiday 的条目。您可以将该条目从 Billie Holiday 重命名为 Doc Holiday,但是不能通过重命名条目使 Marketing 组织单位下的 Billie Holiday 变成 Accounting 组织单位下的 Billie Holiday。
要重命名用户条目,请执行以下步骤:
- 访问 Administration Server 并选择“Users & Groups”选项卡。
- 如查找用户信息中所述显示用户条目。
请注意,如果您使用的是基于公共名称的 DN,请指定用户的全名。如果您使用的是基于 uid 的 DN,请输入要用于该条目的新 uid 值。
- 单击“Rename User”按钮。
- 相应更改“Given Name”、“Surname”、“Full Name”或“UID”字段以匹配该条目的新 DN。
- 重命名条目时,您可以通过将 keepOldValueWhenRenaming 参数设置为 false 来指定 Administration Server 不再保留旧的全名或 uid 值。您可以在以下文件中找到此参数:
有关详细信息,请参见联机帮助中的“Manage Users”页面。
删除用户
要删除用户条目,请执行以下步骤:
- 访问 Administration Server 并选择“Users & Groups”选项卡。
- 如查找用户信息中所述显示用户条目。
- 单击“Delete User”。
有关详细信息,请参见联机帮助中的“Manage Users”页面。
创建组组是 LDAP 数据库中用来描述一组对象的对象。Sun ONE Web Server 组由共享某个通用属性的用户组成。例如,对象集可以是您公司市场部的一些雇员。这些雇员可能属于一个名为 Marketing 的组。
定义组成员的方法有两种:静态和动态。静态组可明确枚举出其成员对象。静态组是一个 CN,包含 uniqueMembers 和/或 memberURLs 和/或 memberCertDescriptions。对于静态组,其成员并不共享某个通用属性,但 CN=<Groupname> 属性除外。
动态组允许您使用一个 LDAP URL 来定义一组仅适用于组成员的规则。动态组的成员共享某个或一组在 memberURL 过滤器中定义的通用属性。例如,如果您需要一个包含 Sales 中的所有雇员的组,并且这些雇员已经位于 LDAP 数据库中的
““ou=Sales,o=Airius.com”之下,则可以使用以下 memberurl 定义一个动态组:
随后,该组将包含“ou=Sales,o=sun”点下的树中具有 uid 属性的所有对象,即所有 Sales 成员。
对于静态组和动态组,如果您使用 memberCertDescription,则其成员可以通过证书共享某个通用属性。请注意,这仅在 ACL 使用 SSL 方法时才适用。
创建新组后,您可以向其中添加用户或成员。
本部分包括以下主题:
静态组
使用 Administration Server,您可以通过在任意数量的用户的 DN 中指定相同的组属性来创建静态组。静态组不会改变,除非您向其中添加用户或从中删除用户。
创建静态组的指导原则
使用 Administration Server 表单创建新静态组时,请考虑以下指导原则:
- 静态组可以包含其他静态或动态组。
- 可以选择为新组添加说明。
- 如果您的目录定义了任何组织单位,则可以使用“Add New Group To”列表指定要放置新组的位置。缺省位置为目录的根节点(最顶层条目)。
- 输入所需的信息后,单击“Create Group”添加该组,将立即返回到“New Group”表单。也可以单击“Create and Edit Group”来添加组,然后继续为刚刚添加的组执行“Edit Group”表单中的操作。有关编辑组的详细信息,请参见编辑组属性。
创建静态组
要创建静态组条目,请执行以下步骤:
有关详细信息,请参见联机帮助中的“New Group”。
动态组
动态组具有一个 groupOfURLs 对象类 (objectclass),可以没有也可以具有多个 memberURL 属性,每个属性都是一个描述一组对象的 LDAP URL。
如果您希望基于任何属性自动将用户分组,或者希望将 ACL 应用到包含匹配 DN 的特定组,则 Sun ONE Web Server 允许您创建动态组。例如,您可以创建一个组,该组将自动包括任何包含属性 department=marketing 的 DN。如果您为 department=marketing 应用一个搜索过滤器,搜索将返回一个组,其中包含具有属性 department=marketing 的所有 DN。然后,您可以从基于此过滤器的搜索结果中定义一个动态组。随后,您可以为所获得的动态组定义一个 ACL。
本部分包括以下主题:
Sun ONE Web Server 如何实现动态组
Sun ONE Web Server 在 LDAP 服务器模式中以 objectclass = groupOfURLs 的方式实现动态组。groupOfURLS 类可以有多个 memberURL 属性,每个属性都包含一个 LDAP URL,用于枚举出目录中的一组对象。组的成员是这些对象集的总和。例如,下面的组只包含一个成员 URL:
ldap:///o=mcom.com??sub?(department=marketing)
该示例描述了一个包含“o=mcom.com”下的所有对象的集合,属于 Marketing 部门。LDAP URL 可以包含一个搜索基本 DN,一个范围和一个过滤器;但是,不包含主机名和端口。这意味着您只能引用同一个 LDAP 服务器上的对象。LDAP URL 支持所有范围。
DN 会自动包含在内,因而不需要您向组中添加每个 DN。组是动态变化的,因为每次 ACL 验证需要查找组时,Sun ONE Web Server 都将执行一个 LDAP 服务器搜索。ACL 文件中使用的用户和组名称与 LDAP 数据库中的对象的 cn 属性相对应。
从 ACL 到 LDAP 数据库的映射同时在 dbswitch.conf 配置文件(将 ACL 数据库名称与实际的 LDAP 数据库 URL 相关联)和 ACL 文件(定义要为每个 ACL 使用的数据库)中定义。例如,如果您想让名为“staff”的组中的成员具有基本访问权限,ACL 代码将查找对象类为 groupOf<anything> 且 CN 被设置为“staff”的对象。该对象可通过两种方法来定义组的成员,即明确枚举出成员 DN(与静态组的 groupOfUniqueNames 的操作相同),或指定 LDAP URL(例如,groupOfURLs)。
组可以同时为动态和静态
组对象可以同时包含 objectclass = groupOfUniqueMembers 和 objectclass = groupOfURLs;因此,“uniqueMember”和“memberURL”属性都是有效的。组成员是其静态和动态成员的总和。
动态组对服务器性能的影响
使用动态组对服务器的性能有所影响。如果您正在测试组成员资格,而该 DN 不是静态组的成员,则 Sun ONE Web Server 将检查数据库基本 DN 中的所有动态组。要完成此任务,Sun ONE Web Server 需要检查每个 memberURL 是否匹配,方法是检查每个 memberURL 的 baseDN 并与用户的 DN 相比较,然后使用用户的 DN 作为 baseDN 并使用 memberURL 作为过滤器来执行一个基本搜索。这一过程将产生大量的单个搜索操作。
创建动态组的指导原则
使用 Administration Server 表单创建新动态组时,请考虑以下指导原则:
下表说明了必需的参数:
请注意,<attributes>、<scope> 和 <(filter)> 参数是根据它们在 URL 中的位置来标识的。因此,即使不想指定任何属性,也需要使用问号来分隔该字段。
- 可以选择为新组添加说明。
- 如果您的目录定义了任何组织单位,则可以使用“Add New Group To”列表指定要放置新组的位置。缺省位置为目录的根节点(最顶层条目)。
- 输入所需的信息后,单击“Create Group”添加该组,将立即返回到“New Group”表单。也可以单击“Create and Edit Group”来添加组,然后继续为刚刚添加的组执行“Edit Group”表单中的操作。有关编辑组的信息,请参见编辑组属性。
创建动态组
要在目录中创建动态组条目,请执行以下步骤:
有关详细信息,请参见联机帮助中的“New Group”。
管理组使用 Administration Server,您可以通过“Manage Group”表单来编辑组及管理组全体成员。本部分包括以下主题:
查找组条目
在编辑组条目之前,您必须先查找并显示条目。
要查找组条目,请执行以下步骤:
“Find all groups whose”字段
“Find all groups whose”字段允许您生成自定义的搜索过滤器。使用此字段可以缩小由“Find Group”返回的搜索结果。
要显示“Look Within”目录中包含的所有组条目,请输入星号 (*) 或保留该字段为空。
有关如何生成自定义搜索过滤器的详细信息,请参见生成自定义搜索查询。
编辑组属性
要编辑组条目,请执行以下步骤:
有关如何查找特定条目的详细信息,请参见查找组条目中介绍的概念。
有关编辑组属性的详细信息,请参见联机帮助中的“Manage Groups”。
添加组成员
要向组中添加成员,请执行以下步骤:
- 访问 Administration Server 并选择“Users & Groups”选项卡。
- 单击“Manage Groups”链接。
- 如查找组条目中所述找到您要管理的组,然后单击“Group Members”下的“Edit”按钮。
Sun ONE Web Server 将显示一个新表单,从中可以搜索条目。如果您要向列表中添加用户条目,请确保“Find”下拉列表中显示“Users”。如果您要向组中添加组条目,请确保显示“Group”。
- 在最右侧的文本字段中,输入搜索字符串。请输入以下选项之一:
- 名称。输入全名或部分名称。将返回其名称与搜索字符串完全匹配的所有条目。如果未找到这样的条目,将返回包含该搜索字符串的所有条目。如果仍未找到这样的条目,将返回与该搜索字符串类似的所有条目。
- 用户 ID,如果您正在搜索用户条目。
- 电话号码。如果您只输入部分号码,将返回结尾号码与搜索号码相同的所有条目。
- Email 地址。包含 @ 符号的任何搜索字符串均被认为是 Email 地址。如果找不到精确的匹配,将执行搜索并返回以该搜索字符串开头的所有 Email 地址。
- 输入星号 (*) 或保留该文本字段为空可以查看当前驻留在目录中的所有条目或组。
- 任意 LDAP 搜索过滤器。包含等号 (=) 的任何字符串均被认为是搜索过滤器。
- 单击“Find and Add”查找所有匹配的条目并将其添加到组中。
如果您不希望将搜索返回的某些条目添加到组中,请单击“Remove from list?”列中的相应的框。您还可以构建一个搜索过滤器以匹配要删除的条目,然后单击“Find and Remove”。
- 完成组成员列表后,单击“Save Changes”。
现在,当前显示的条目即成为组的成员。
有关添加组成员的详细信息,请参见联机帮助中的“Edit Members”页面。
向组成员列表中添加组
您可以向组成员列表中添加组(而不是单个成员)。这样,所添加的组的成员将成为该接收组的成员。例如,如果 Neil Armstrong 是 Engineering Managers 组的成员,而您使 Engineering Managers 组成为 Engineering Personnel 组的成员,则 Neil Armstrong 也将成为 Engineering Personnel 组的成员。
要将组添加到另一个组的组成员列表中,可以像添加用户条目一样添加该组。有关详细信息,请参见添加组成员。
从组成员列表中删除条目
要从组成员列表中删除条目,请执行以下步骤:
管理所有者
您可以像管理组成员列表一样管理组的所有者列表。下表列出了有关详细信息所对应的小节:
管理“See Alsos”
“See alsos”是对可能与当前组相关的其他目录条目的引用。这使用户可以很容易地找到与当前组相关的人员和组。
管理“See Alsos”的方法与管理组成员列表相同。下表列出了有关详细信息所对应的章节:
删除组
要删除组,请执行以下步骤:
- 访问 Administration Server 并选择“Users & Groups”选项卡。
- 单击“Manage Groups”链接,找到您要管理的组(如查找组条目中所述),然后单击“Delete Group”。
重命名组
要重命名组,请执行以下步骤:
- 访问 Administration Server 并选择“Users & Groups”选项卡。
- 单击“Manage Groups”链接,找到您要管理的组(如查找组条目中所述)。
- 单击“Rename Group”按钮,在出现的对话框中键入新的组名称。
当您重命名某个组条目时,只能更改该组的名称;不能使用“Rename Group”功能将条目从一个组织单位移动到另一个组织单位。例如,一个公司可能具有以下组织单位:
在本例中,您可以将 Online Sales 重命名为 Internet Investments,但是不能通过重命名条目使 Marketing 组织单位下的 Online Sales 变成 Product Management 组织单位下的 Online Sales。
创建组织单位组织单位可以包含许多组,通常代表一个科室、部门或其他零散的业务组。DN 可以存在于多个组织单位中。
要创建组织单位,请执行以下步骤:
有关详细信息,请参见联机帮助中的“New Organizational Unit”页面。
目录管理员可能需要注意以下提示:
例如,如果您在组织单位 West Coast 中创建一个名为 Accounting 的新组织单位,并且您的基本 DN 为“o=Ace Industry, c=US”,则新组织单位的 DN 为:
管理组织单位您可以通过“Organizational Unit Edit”表单编辑和管理组织单位。本部分包括以下主题:
查找组织单位
要查找组织单位,请执行以下步骤:
“Find all units whose”字段
“Find all units whose”字段允许您生成自定义的搜索过滤器。使用此字段可以缩小由“Find organizational unit”返回的搜索结果。
要显示“Look Within”目录中包含的所有组条目,请输入星号 (*) 或保留该字段为空。
有关如何生成自定义搜索过滤器的详细信息,请参见生成自定义搜索查询。
编辑组织单位属性
要更改某个组织单位条目,请访问 Administration Server 并执行以下步骤:
- 如查找组织单位中所述找到您要编辑的组织单位。
将显示组织单位编辑表单。
- 根据需要更改显示的字段,然后单击“Save Changes”。
将立即进行更改。
重命名组织单位
要重命名组织单位条目,请访问 Administration Server 并执行以下步骤:
删除组织单位
要删除组织单位条目,请访问 Administration Server 并执行以下步骤:
- 确保在目录中您要删除的组织单位下没有任何其他条目。
- 如查找组织单位中所述找到您要编辑的组织单位。
- 单击“Delete”按钮。
- 在显示的确认框中,单击“OK”。
组织单位将被立即删除。
