|
| |
| Sun Java System Communications Services 6 2005Q1 Delegated Administrator 管理ガイド | |
第 3 章
Delegated Administrator の設定Delegated Administrator の設定プログラム (config-commda) は、個々の要件に従って新しい設定を作成します。この最初の実行時設定プログラムでは、最小限の設定が行われます。
プログラムの実行後、「設定後の作業」で説明するステップに従って初期設定を完了します。
さらに、「Delegated Administrator のカスタマイズ」で説明する作業を行い、Delegated Administrator の設定をカスタマイズできます。
『Sun Java System Messaging Server 管理ガイド』で説明しているように、追加設定が必要になる場合があります。
この章では、次の項目を説明します。
設定コンポーネントの選択設定プログラムの 3 番目のパネルでは、設定が必要な Delegated Administrator コンポーネントの指定が要求されます。
選択したコンポーネントに応じて、設定プログラムで表示されるパネルは異なります。
次のステップに設定の選択肢をまとめています。後述の要約された各ステップは、以降の特定の項にリンクし、各項で実際の設定パネルを説明していきます。
パネルで要求される情報を入力し、設定を開始します。
このステップ内のパネルは、「Select Components to Configure」パネルに続いて表示されます。パネルでは、Delegated Administrator ユーティリティの設定に使用される情報の入力が要求されます。
Delegated Administrator ユーティリティは必須であり、Delegated Administrator コンポーネント (サーバーまたはコンソール) をインストールするすべてのマシンで設定する必要があります。
したがって、常にこれらのパネルへの情報入力が必要になります。
このステップ内のパネルは、ユーティリティ設定パネルに続いて表示されます。
Delegated Administrator コンソールを設定するかどうかを選択できます。
- 同じマシンに Delegated Administrator のコンソールとサーバーを配備する場合、「Select Components to Configure」パネルでコンソールとサーバーを選択します。
- また Delegated Administrator のコンソールとサーバーを別のマシンに配備することもできます。
コンソールを配備するマシンでは、コンソールは「Select Components to Configure」パネルからのみ選択できます。このユーティリティは常に選択されています。
この場合、サーバーを配備するマシンで、再び設定プログラムを実行する必要があります。
コンソールとサーバーを異なるマシンに配備する場合、このユーティリティはいずれのマシンにも設定されます。
コンソールに選択した Web コンテナに応じて、設定プログラムで表示されるパネルは異なります。次の Web コンテナのいずれかに配備できます。
- Sun Java System Web Server
- Sun Java System Application Server 7.x
- Sun Java System Application Server 8.x
1 台のマシンで Delegated Administrator のサーバーとコンソールを設定する場合、説明する手順を 2 回 (サーバーとコンソールに 1 回ずつ) 実行します。
このステップ内のパネルは、コンソール設定パネルに続いて表示されます。
特定のマシンに Delegated Administrator サーバーを設定するかどうかを選択できます。
特定のマシンにサーバーを設定しない場合、設定プログラムから別のマシンにサーバーを設定するように警告されます。サーバーコンポーネントは、ユーティリティとコンソールの実行に必要です。
その他のサーバーの配備に必要な注意事項はすべて、「Delegated Administrator コンソールの設定」で説明しているコンソールの注意事項と同じです。
また、サーバーは Access Manager と同じ Web コンテナを使用することに注意してください。設定プログラムは Access Manager 基本ディレクトリの設定を要求したあと、Web コンテナ情報の入力を要求します。
これらのパネルで要求される情報を入力し、設定を終了します。
設定プログラムの実行この項で説明するステップに従って、Delegated Administrator を設定します。
設定プログラムを実行するには、ルートでログインするか、またはルートになって /opt/SUNWcomm/sbin ディレクトリに進みます。そのあとに、次のコマンドを入力します。
# ./config-commda
config-commda コマンドを実行すると、設定プログラムが起動します。
以降の項では、設定パネルについて順番に説明しています。
設定の開始
次のステップに従います。
- Welcome
設定プログラムの最初のパネルは、著作権ページです。「Next」をクリックして続行するか、「Cancel」をクリックして終了します。
- 設定およびデータファイルを保存するディレクトリの選択
Delegated Administrator の設定およびデータファイルを保存するディレクトリを選択してください。デフォルト設定ディレクトリは /var/opt/SUNWcomm です。このディレクトリは、da_base ディレクトリ (/opt/SUNWcomm) と区別する必要があります。
ディレクトリ名を入力するかデフォルトをそのまま使い、「Next」をクリックして作業を続けます。
ディレクトリが存在しない場合、ディレクトリを作成するか、新しいディレクトリを選択するか指定を要求するダイアログが表示されます。「Create Directory」をクリックしてディレクトリを作成するか、「Choose New」をクリックして新規ディレクトリを入力します。
コンポーネントのロード中を示すダイアログが表示されます。コンポーネントの読み込みには数分かかることがあります。
- 設定するコンポーネントの選択
コンポーネントパネルで、設定する 1 つまたは複数のコンポーネントを選択します。
- Delegated Administrator Utility (client) - commadmin で呼び出されるコマンド行インタフェース。このコンポーネントは必須であり、デフォルトで選択されます。選択の解除はできません。
- Delegated Administrator Server - Delegated Administrator コンソールを実行するのに必要な Delegated Administrator サーバーコンポーネント。
- Delegated Administrator コンソール - Delegated Administrator グラフィカルユーザーインタフェース (GUI)。
「Next」をクリックして続行するか、「Back」をクリックして前のパネルに戻るか、または「Cancel」をクリックして終了します。
コンポーネントの選択方法については、「設定コンポーネントの選択」を参照してください。
Delegated Administrator サーバーを設定しない場合、Delegated Administrator サーバーを別のマシンで設定するように注意するダイアログボックスが表示されます。サーバーを設定し、Delegated Administrator のユーティリティとコンソールの動作を有効にする必要があります。
Delegated Administrator ユーティリティの設定
次のステップに従います。
- Access Manager のホスト名とポート番号
Access Manager (以前の Identity Server) のホスト名とポート番号を入力します。Delegated Administrator サーバーコンポーネントをインストールする場合、Access Manager と同じホストにインストールする必要があります。
「Next」をクリックして続行するか、「Back」をクリックして前のパネルに戻るか、または「Cancel」をクリックして終了します。
- デフォルトドメイン
最上位管理者のデフォルトドメインを入力します。commadmin コマンド行ユーティリティを実行する場合に、ドメインが -n オプションにより明示的に指定されないときに使用されるドメインです。これはデフォルト組織として知られます。指定したドメインがディレクトリに存在しない場合、作成されます。
「Next」をクリックして続行するか、「Back」をクリックして前のパネルに戻るか、または「Cancel」をクリックして終了します。
- クライアントのデフォルト SSL ポート
Delegated Administrator ユーティリティが使用するデフォルト SSL ポートを入力します。
「Next」をクリックして続行するか、「Back」をクリックして前のパネルに戻るか、または「Cancel」をクリックして終了します。
- Delegated Administrator ユーティリティのみを設定する場合、次の項目に進みます。
Delegated Administrator コンソールとサーバーの両方を設定する場合、またはコンソールのみを設定する場合、次の項目に進みます。
Delegated Administrator コンソールの設定
Delegated Administrator サーバーおよび必須 Delegated Administrator ユーティリティのみを設定する場合、次の項目に進みます。
Delegated Administrator コンソールの設定
設定プログラムには、次のパネルが表示されます。
Delegated Administrator の Web コンテナを選択
Delegated Administrator コンソールを配備する Web コンテナを選択します。Delegated Administrator は次のプラットフォームに設定できます。
「Next」をクリックして続行するか、「Back」をクリックして前のパネルに戻るか、または「Cancel」をクリックして終了します。
このパネルと以降のパネルは、Delegated Administrator コンソールの Web コンテナに関する情報を収集します。該当する項の指示に従ってください。
Delegated Administrator のコンソールとサーバーは、2 つの異なる Web コンテナ、Web コンテナの 2 つの異なるインスタンス、または同じ Web コンテナに配備できます。
パネル 3 で、Delegated Administrator コンソールと Delegated Administrator サーバーを設定する場合、2 番目に表示される一連のパネルで、サーバーの Web コンテナに関する情報の指定が要求されます。
この場合、Web コンテナの設定パネルが 2 度表示されます。Delegated Administrator の各コンポーネントを配備するための指示に従います。
Web コンテナの設定パネルを終了する際、次の手順に従います。
Web Server の設定
Web Server に Delegated Administrator サーバーまたはコンソールを配備する場合、次のステップに従います。
- Web Server の設定の詳細
Web Server の Delegated Administrator サーバーまたはコンソール向け設定情報を指定するかどうか、パネルテキストを参照してください。
Web Server ルートディレクトリを入力します。ディレクトリを参照して選択します。
Web Server インスタンス識別子を入力します。これは west.sesta.com などの host.domain 名で指定できます。
仮想サーバー識別子を入力します。これは https-west.sesta.com などの https-host.domain 名で指定できます。
Web Server インスタンス識別子と仮想サーバー識別子の詳細については、Web Server のマニュアルを参照してください。
Web Server インスタンスのファイルは、/opt/SUNWwbsvr/https-west.sesta.com など、Web Server インストールディレクトリ内の https-host.domain ディレクトリに格納されます。
Web Server の HTTP ポート番号を入力します。
「Next」をクリックして続行するか、「Back」をクリックして前のパネルに戻るか、または「Cancel」をクリックして終了します。
設定プログラムは、指定した値が有効かどうかを確認します。ディレクトリまたは識別子が無効か、存在しない場合、新しい値の選択を指示するダイアログが表示されます。
次に、設定プログラムは、Web Server インスタンス接続が稼働中かどうかを確認します。稼働していない場合、設定プログラムが指定されたインスタンスに接続できず、設定が終了しない場合があることがダイアログボックスで警告されます。指定された値を使用するか、新しい Web Server 設定値を選択します。
- デフォルトのドメイン区切り文字
このパネルが表示されるのは、Delegated Administrator コンソールを設定する場合のみです。ドメイン区切り文字は、コンソールの設定に必要になります。この情報は Web コンテナとは関係がありません。
ログオン時の認証に使用するデフォルトのドメイン区切り文字を入力します。
例: @ドメイン区切り文字の値は、daconfig.properties ファイル内にあります。プログラムの実行後に、このプロパティ値を変更できます。詳細については、「Delegated Administrator のカスタマイズ」を参照してください。
- Delegated Administrator コンソールを設定する場合、次の手順に従います。
- Delegated Administrator コンソールとサーバーの両方を設定する場合、次の項目に進みます。
Delegated Administrator サーバーの設定
- Delegated Administrator コンソールおよび必須 Delegated Administrator ユーティリティのみを設定する場合、次の項目に進みます。
Delegated Administrator サーバーを設定する場合、次の手順に従います。
次の項目に進みます。
Application Server 7.x の設定
Application Server 7. x に Delegated Administrator サーバーまたはコンソールを配備する場合、次のステップに従います。
- Application Server 7.x の設定の詳細
Application Server 7. x の Delegated Administrator サーバーまたはコンソール向け設定情報を指定するかどうか、パネルテキストを参照してください。
Application Server インストールディレクトリを入力します。デフォルトでは、このディレクトリは /opt/SUNWappserver7 になります。
Application Server ドメインディレクトリを入力します。デフォルトでは、このディレクトリは /var/opt/SUNWappserver7/domains/domain1 になります。
Application Server ドキュメントルートディレクトリを入力します。デフォルトでは、このディレクトリは次のとおりになります。
/var/opt/SUNWappserver7/domains/domain1/server1/docrootディレクトリのいずれかを参照して選択します。
Application Server インスタンス名を入力します。
例: server1Application Server 仮想サーバー識別子を入力します。
例: server1Application Server インスタンスの HTTP ポート番号を入力します。
「Next」をクリックして続行するか、「Back」をクリックして前のパネルに戻るか、または「Cancel」をクリックして終了します。
設定プログラムは、指定した値が有効かどうかを確認します。ディレクトリが無効か存在しない場合、新しいディレクトリの選択を指示するダイアログが表示されます。
次に、設定プログラムは、Application Server インスタンス接続が稼働中かどうかを確認します。稼働していない場合、設定プログラムが指定されたインスタンスに接続できず、設定が終了しない場合があることがダイアログボックスで警告されます。指定された値を使用するか、新しい Application Server 設定値を選択します。
- Application Server 7.x: 管理インスタンスの詳細
Administration Server ポート番号を入力します。
例: 4848Administrator Server 管理者ユーザー ID を入力します。例: admin
管理者のユーザーパスワードを入力します。
安全な Administration Server インスタンスを使用する場合、「Secure Administration Server Instance」のチェックボックスを選択します。使用しない場合、チェックボックスのチェックを外します。
「Next」をクリックして続行するか、「Back」をクリックして前のパネルに戻るか、または「Cancel」をクリックして終了します。
- デフォルトのドメイン区切り文字
このパネルが表示されるのは、Delegated Administrator コンソールを設定する場合のみです。ドメイン区切り文字は、コンソールの設定に必要になります。この情報は Web コンテナとは関係がありません。
ログオン時の認証に使用するデフォルトのドメイン区切り文字を入力します。
例: @- Delegated Administrator コンソールを設定する場合、次の手順に従います。
- Delegated Administrator コンソールとサーバーの両方を設定する場合、次の項目に進みます。
Delegated Administrator サーバーの設定
- Delegated Administrator コンソールおよび必須 Delegated Administrator ユーティリティのみを設定する場合、次の項目に進みます。
Delegated Administrator サーバーを設定する場合、次の手順に従います。
次の項目に進みます。
Application Server 8.x の設定
Application Server 8. x に Delegated Administrator サーバーまたはコンソールを配備する場合、次のステップに従います。
- Application Server 8.x の設定の詳細
Application Server 8. x の Delegated Administrator サーバーまたはコンソール向け設定情報を指定するかどうか、パネルテキストを参照してください。
Application Server インストールディレクトリを入力します。デフォルトでは、このディレクトリは /opt/SUNWappserver/appserver になります。
Application Server ドメインディレクトリを入力します。デフォルトでは、このディレクトリは /var/opt/SUNWappserver/domains/domain1 になります。
Application Server ドキュメントルートディレクトリを入力します。デフォルトでは、このディレクトリは次のとおりになります。
/var/opt/SUNWappserver/domains/domain1/docroot.ディレクトリのいずれかを参照して選択します。
Application Server ターゲット名を入力します。
例: serverApplication Server 仮想サーバー識別子を入力します。
例: serverApplication Server ターゲット HTTP ポート番号を入力します。
「Next」をクリックして続行するか、「Back」をクリックして前のパネルに戻るか、または「Cancel」をクリックして終了します。
設定プログラムは、指定した値が有効かどうかを確認します。ディレクトリが無効か存在しない場合、新しいディレクトリの選択を指示するダイアログが表示されます。
次に、設定プログラムは、Application Server ターゲット接続が稼働中かどうかを確認します。稼働していない場合、設定プログラムが指定されたターゲットに接続できず、設定が終了しない場合があることがダイアログボックスで警告されます。指定された値を使用するか、新しい Application Server 設定値を選択します。
- Application Server 8.x: 管理インスタンスの詳細
Administration Server ポート番号を入力します。
例: 4849Administrator Server 管理者ユーザー ID を入力します。
例: admin管理者のユーザーパスワードを入力します。
安全な Administration Server インスタンスを使用する場合、「Secure Administration Server Instance」のチェックボックスを選択します。使用しない場合、チェックボックスのチェックを外します。
「Next」をクリックして続行するか、「Back」をクリックして前のパネルに戻るか、または「Cancel」をクリックして終了します。
- デフォルトのドメイン区切り文字
このパネルが表示されるのは、Delegated Administrator コンソールを設定する場合のみです。ドメイン区切り文字は、コンソールの設定に必要になります。この情報は Web コンテナとは関係がありません。
ログオン時の認証に使用するデフォルトのドメイン区切り文字を入力します。
例: @- Delegated Administrator コンソールを設定する場合、次の手順に従います。
- Delegated Administrator コンソールとサーバーの両方を設定する場合、次の項目に進みます。
Delegated Administrator サーバーの設定
- Delegated Administrator コンソールおよび必須 Delegated Administrator ユーティリティのみを設定する場合、次の項目に進みます。
Delegated Administrator サーバーを設定する場合、次の手順に従います。
次の項目に進みます。
Delegated Administrator サーバーの設定
Delegated Administrator サーバーを設定する場合、設定プログラムに次のパネルが表示されます。要求される情報を入力します。
- Access Manager ベースディレクトリ
Access Manager ベースディレクトリを入力します。デフォルトディレクトリは /opt/SUNWam です。
「Next」をクリックして続行するか、「Back」をクリックして前のパネルに戻るか、または「Cancel」をクリックして終了します。
設定プログラムは、有効な Access Manager ベースディレクトリが指定されているかどうかを確認します。指定されていない場合、既存の Access Manager ベースディレクトリの選択を指示するダイアログボックスが表示されます。
- 次に、Web コンテナの「Configuration Details」パネルが表示されます。
コンソールとサーバーを設定する場合、この Web コンテナの「Configuration Details」パネルが表示されるのは 2 度目です。
Delegated Administrator サーバーは、Access Manager と同じ Web コンテナに配備されます。Delegated Administrator サーバーには Web コンテナを選択できません。
該当する項の指示に従ってください。
- ディレクトリ (LDAP) サーバー
このパネルでは、ユーザー/グループのサフィックスに対する LDAP ディレクトリサーバーへの接続に関する情報が要求されます。
各テキストボックスにユーザーおよびグループの Directory Server LDAP URL (LdapURL)、Directory Manager (バインド)、およびパスワードを入力します。
ディレクトリマネージャーには、ディレクトリサーバー、およびディレクトリサーバーを使用するすべての Sun Java System サーバー (Delegated Administrator など) に対する包括的な管理権限が付与されており、ディレクトリサーバー内のすべてのエントリに対する完全な管理アクセス権が与えられています。推奨されるデフォルトの識別名 (DN) は cn=Directory Manager です。
「Next」をクリックして続行するか、「Back」をクリックして前のパネルに戻るか、または「Cancel」をクリックして終了します。
- Access Manager 最上位管理者
Access Manager 最上位管理者のユーザー ID とパスワードを入力します。ユーザー ID とパスワードは、Access Manager のインストール時に作成されます。デフォルトユーザー ID は amadmin です。
「Next」をクリックして続行するか、「Back」をクリックして前のパネルに戻るか、または「Cancel」をクリックして終了します。
- Access Manager 内部 LDAP 認証パスワード
Access Manager 内部 LDAP 認証ユーザーのパスワードを入力します。
認証ユーザー名は、amldapuser としてハードコードされています。認証ユーザー名は Access Manager インストーラで作成され、LDAP サービスのバインド DN ユーザーです。
「Next」をクリックして続行するか、「Back」をクリックして前のパネルに戻るか、または「Cancel」をクリックして終了します。
- 組織識別名 (DN)
デフォルトドメインの組織 DN を入力します。たとえば、組織 DN が o=siroe.com であれば、その組織のすべてのユーザーは LDAP DN の "o=siroe.com, o=usergroup" 内に置かれます。o=usergroup はルートサフィクスです。
デフォルトでは、設定プログラムは LDAP ディレクトリ内のルートサフィックスの下にデフォルトドメインを追加します。
ルートサフィックスの下ではなく、ルートサフィックスと同じレベルでデフォルトドメインを作成する場合、「Organization Distinguished Name (DN)」テキストボックスに表示される DN から組織名を削除します。
たとえば、組織の DN が o=siroe.com、ルートサフィックスが o=usergroupであれば、テキストボックスで DN から "o=siroe.com" を削除し、o=usergroup のみを残します。
ルートサッフィクスでデフォルトドメインを作成すると、あとでホストドメインを使用するときに、ホストドメインの設定に移行するのが難しい場合があります。config-commda プログラムが次の注意を表示します。
「選択した DN は、ユーザー/グループサフィックスです。この選択は有効ですが、ホストドメインを使用する場合は、移行の問題が生じます。ホストドメインを使用する場合は、ユーザー/グループサフィックスの 1 つ下のレベルの DN を指定してください」
詳細については、第 1 章「Delegated Administrator の概要」の「単層階層をサポートするディレクトリ構造」を参照してください。
「Next」をクリックして続行するか、「Back」をクリックして前のパネルに戻るか、または「Cancel」をクリックして終了します。
- デフォルト組織の最上位管理者
デフォルトドメインで作成される最上位管理者のユーザー ID とパスワードを入力します。
「Next」をクリックして続行するか、「Back」をクリックして前のパネルに戻るか、または「Cancel」をクリックして終了します。
- サービスパッケージと組織サンプル
サンプルサービスパッケージとサンプル組織を、LDAP ディレクトリに追加できます。
「Load sample service packages」サービスパッケージのサンプルテンプレートを使用または変更して、独自のサービスクラスパッケージを作成するときは、このオプションを選択してください。Delegated Administrator では、LDAP ディレクトリの各ユーザーに 1 つ以上のサービスクラスパッケージを割り当てる必要があります。
「Load sample organizations」このオプションを選択するのは、LDAP ディレクトリツリーにサンプルのサービスプロバイダ組織のノードとビジネス組織のノードを含める場合です。
次のいずれかを選択できます。
- サンプルサービスパッケージとサンプル組織の両方
- オプションのいずれか
- オプションをどれも選択しない
「Preferred Mailhost for Sample」Messaging Server がインストールされているマシンの名前を入力します。
例: mymachine.siroe.com
LDAP ディレクトリにサンプル組織をロードする場合、これらのサンプルの優先メールホスト名を入力する必要があります。
サービスパッケージと組織についての詳細は、第 2 章「Delegated Administrator の概要」を参照してください。
設定プログラムを実行したあと、サービスパッケージテンプレートを変更し、独自のサービスクラスパッケージを作成します。この設定後の作業についての詳細は、「サービスパッケージの作成」を参照してください。
設定の完了
設計を完了するには、次の手順に従います。
- 設定準備完了
確認パネルに、設定される項目が表示されます。
「Configure Now」をクリックして設定を開始するか、「Back」をクリックして前のパネルに戻り情報を変更するか、または「Cancel」をクリックして終了します。
- 作業の順序
実行する作業の順序は、「作業の順序」パネルに表示されます。このときに実際の設定作業を実行されます。
パネルに「All tasks passed」が表示されたら、「Next」をクリックして作業を続けるか、「Cancel」をクリックして作業の実行を停止して終了します。
設定変更を有効にするために Web コンテナの再起動を要求するダイアログボックスが表示されます。
- インストールの概要
「Installation Summary」パネルには、インストールされた製品と、この設定に関する詳細情報を示した「Details...」ボタンが表示されます。
config-commda プログラムのログファイルは、/opt/SUNWcomm/install ディレクトリ内に作成されます。ログファイル名は、commda-config_YYYYMMDDHHMMSS.log です。YYYYMMDDHHMMSS は設定の 4 桁の年、月、日、時間、分、秒を表します。
「Close」をクリックして設定を終了します。
Web コンテナの再起動
Delegated Administrator の設定が完了したら、Delegated Administrator が配備されている次のいずれかの Web コンテナを再起動する必要があります。
config-commda プログラムで作成された設定ファイルとログファイル
設定ファイル
各パネルに指定した情報に基づき、config-commda プログラムは 3 つの Delegated Administrator コンポーネントに次の設定ファイルを作成します。
これらのファイルと、ファイル内のプロパティ、およびプロパティを編集して設定をカスタマイズする方法については、「Delegated Administrator のカスタマイズ」を参照してください。
ログファイル
Delegated Administrator コンソールは実行時ログファイルを作成します。
Delegated Administrator の実行時ログファイルとその他のログファイルについては、付録 C 「Delegated Administrator のデバッグ」を参照してください。
サイレントインストールの実行Delegated Administrator ユーティリティの初期実行時設定プログラムは、サイレントインストールの状態ファイル (saveState と呼ばれる) を自動的に作成します。このファイルには、設定プログラムに関する内部情報が収められ、サイレントインストールの実行に使用されます。
サイレントインストールの saveState ファイルは、/opt/SUNWcomm/data/setup/commda-config_YYYYMMDDHHMMSS/ ディレクトリに保存されます。YYYYMMDDHHMMSS は、saveState ファイルの 4 桁の年、月、日、時、分、および秒を示します。
たとえば、config-commda プログラムを 1 度実行すると、サイレントインストールモードでプログラムを実行できます。
fullpath 変数は saveState ファイルが置かれている完全ディレクトリパスです。
Delegated Administrator コンソールとユーティリティの実行コンソールの起動
Delegated Administrator コンソールを起動するには、次の手順に従います。
- 次の URL に進みます。
http://host:port/da/DA/Login
各表記の意味は次のとおりです。
host は、Web コンテナのホストマシンです。
port は、Web コンテナのポートです。
例:
http://siroe.com:8080/da/DA/Login
Delegated Administrator コンソールのログインウインドウが表示されます。
- Delegated Administrator コンソールにログインします。
Delegated Administrator 設定プログラムで指定した最上位管理者 (TLA) のユーザー ID とパスワードを使用します。この情報は、次のパネルで要求されたものです。
デフォルト組織の最上位管理者
コマンド行ユーティリティの実行
Delegated Administrator ユーティリティ commadmin を実行するには、次の手順に従います。
設定後の作業Delegated Administrator 設定プログラムを実行したあとは、次の作業を行います。
次の作業を実行するのは、Schema 2 互換モードで LDAP ディレクトリを使用している場合のみです。
デフォルトドメインへのメールサービスとカレンダサービスの追加
config-commda プログラムはデフォルトドメインを作成します。
メールサービスまたはカレンダサービスをデフォルトドメインのユーザーに追加する場合は、まずドメインにメールサービスとカレンダサービスを追加する必要があります。
これは、commadmin domain modify コマンドおよびそのオプション -S mail と -S cal を使って行います。
次の例は、commadmin domain modify を使ってデフォルトドメインにメールサービスとカレンダサービスを追加する方法を示しています。
commadmin domain modify -D chris -w bolton -n sesta.com -d siroe.com
-S mail, cal -H test.siroe.comcommadmin コマンドの構文およびその他の詳細については、第 5 章「コマンド行ユーティリティ」を参照してください。
サービスパッケージの作成
Delegated Administrator で LDAP ディレクトリにプロビジョニングされたユーザーは、それぞれサービスパッケージを保有している必要があります。ユーザーは複数のサービスパッケージを保有できます。
定義済みサービスクラステンプレート
Delegated Administrator 設定プログラム (config-commda) を実行すると、デフォルトのサービスクラステンプレート (defaultmail) が LDAP ディレクトリにインストールされます。プログラム config-commda を使ってディレクトリにインストールできるサービスクラスのサンプルテンプレートは 8 つあります。
サービスクラスのサンプルテンプレートとサービスパッケージで使用できるメール属性については、第 1 章「Delegated Administrator の概要」の「サービスパッケージ」を参照してください。
サービスクラスのサンプルテンプレートは、サービスパッケージとして使用できます。ただし、これらのテンプレートはあくまでも例です。
独自のサービスパッケージの作成
実際のインストールにあたっては、適切な属性値で独自のサービスパッケージを作成する必要があります。
独自のサービスパッケージは、da.cos.skeleton.ldif ファイルに保存されているサービスクラステンプレートを使用して作成します。
このファイルは、サービスパッケージのテンプレートとして使用するために作成されたものです。このファイルは、Delegated Administrator を設定するときには、LDAP ディレクトリにインストールされません。
da.cos.skeleton.ldif ファイルのサービスクラステンプレートは次のとおりです。
独自のパッケージを作成するには、次の手順に従います。
- da.cos.skeleton.ldif ファイルをコピーし、名前を変更します。
Delegated Administrator をインストールすると、da.cos.skeleton.ldif ファイルが次のディレクトリにインストールされます。
da_base/lib/config-templates
- da.cos.skeleton.ldif ファイルのコピーにある次のエントリを編集します。
- <rootSuffix>
ルートサフィックスのパラメータ <rootSuffix> をユーザーのルートサフィックス (o=usergroup など) に変更します。
<rootSuffix> パラメータは、DNに表示されます。
- <service package name>
<service package name> パラメータを独自のサービスパッケージ名に変更します。
<service package name> パラメータは、DN と cn に表示されます。
- メール属性値:
<mailMsgMaxBlocksValue>
<mailQuotaValue>
<mailMsgQuotaValue>
<mailAllowedServiceAccessValue>ユーザーの指定に従って値を編集します。
たとえば、次のようなメール属性の値を入力します。
mailMsgMaxBlocks: 400
mailQuota: 400000000
mailMsgQuota: 5000
mailAllowedServiceAccess: +imap:ALL$+pop:ALL$+smtp:ALL$+http:ALLこれらの属性の詳細については、『Sun Java System Communications Services Schema Reference』の第 3 章「Attributes」を参照してください。
サービスパッケージ内の 4 つのメール属性すべてを使用する必要はありません。パッケージから 1 つまたは複数の属性を削除できます。
- LDAP ディレクトリツール ldapmodify を使用して、サービスパッケージをディレクトリにインストールします。
コマンド実行の例を次に示します。
ldapmodify -D <directory manager> -w <password>
-f <cos.finished.template.ldif>各表記の意味は次のとおりです。
<directory manager> はディレクトリサーバーの管理者の名前です。
<password> は、Directory Service 管理者のパスワードです。
<cos.finished.template.ldif> は、サービスパッケージとしてディレクトリにインストールされる編集後の ldif ファイルの名前です。
Schema 2 互換モードの ACI の追加
Schema 2 互換モードで LDAP ディレクトリを使用する場合、ディレクトリに ACI を手動で追加し、ディレクトリ内での Delegated Administrator のプロビジョニングを有効にする必要があります。次の手順に従います。
- OSI ルートに次の 2 つの ACI を追加します。/opt/SUNWcomm/config ディレクトリの usergroup.ldif ファイル内に次の 2 つの ACI が見つかります。
必ず ugldapbasedn を各ユーザーのユーザーグループサフィックスに置き換えてください。編集した usergroup.ldif を LDAP ディレクトリに追加します。
#
# acis to limit Org Admin Role
#
########################################
# dn:<local.ugldapbasedn>
########################################
dn: <ugldapbasedn>
changetype:modifyadd aci
aci: (target="ldap:///($dn),<ugldapbasedn>")(targetattr="*")
(version 3.0; acl "Organization Admin Role access deny to org node"; deny (write,add,delete) roledn = "ldap:///cn=Organization Admin Role,($dn),<ugldapbasedn>";)dn: <ugldapbasedn>
changetype:modifyadd aci
aci: (target="ldap:///($dn),<ugldapbasedn>")(targetattr="*") (version 3.0; acl "Organization Admin Role access allow read to org node"; allow (read,search) roledn = "ldap:///cn=Organization Admin Role,($dn),<ugldapbasedn>";)- DC ツリーのルートサフィックスに次の 2 つの ACI を追加します。/opt/SUNWcomm/config ディレクトリの dctree.ldif ファイル内に次の 2 つの ACI が見つかります。
必ず dctreebasedn を各ユーザーの DC ツリーのルートサフィックスに、ugldapbasedn を各ユーザーのユーザーグループサフィックスに置き換えてください。編集した dctree.ldif を LDAP ディレクトリに追加します。
#
# acis to limit Org Admin Role
#
########################################
# dn: <dctreebasedn>
########################################
dn: <dctreebasedn>
changetype:modifyadd aci
aci: (target="ldap:///($dn),<dctreebasedn>")(targetattr="*")
(version 3.0; acl "Organization Admin Role access deny to dc node";
deny (write,add,delete) roledn = "ldap:///cn=Organization Admin Role,($dn),<ugldapbasedn>";)dn: <dctreebasedn>
changetype:modifyadd aci
aci: (target="ldap:///($dn),<dctreebasedn>")(targetattr="*")
(version 3.0; acl "Organization Admin Role access allow read to dc node"; allow (read,search) roledn = "ldap:///cn=Organization Admin Role,($dn),<ugldapbasedn>";)- DC ツリーのルートサフィックスに次の ACI を追加します。これらの ACI は dctree.ldif ファイル内にありません。
dn:<dctreebasedn>
changetype: modify
add: aci
aci: (target="ldap:///<dctreebasedn>")(targetattr="*")
(version 3.0; acl "S1IS Proxy user rights"; allow (proxy)
userdn = "ldap:///cn=puser,ou=DSAME Users,<ugldapbasedn>";)dn:<dctreebasedn>
changetype: modify
add: aci
aci: (target="ldap:///<dctreebasedn>")(targetattr="*")
(version 3.0; acl "S1IS special dsame user rights for all under the root suffix"; allow (all) userdn ="ldap:///cn=dsameuser,ou=DSAME Users,<ugldapbasedn>";)dn:<dctreebasedn>
changetype: modify
add: aci
aci: (target="ldap:///<dctreebasedn>")(targetattr="*")
(version 3.0; acl "S1IS Top-level admin rights";
allow (all) roledn = "ldap:///cn=Top-level Admin Role,<ugldapbasedn>";)- AMConfig.properties ファイルの com.iplanet.am.domaincomponent プロパティを各ユーザーの DC ツリーのルートサフィックスに設定します。たとえば、<IS_base_directory>/lib/AMConfig.properties ファイルの次の行を変更します。
com.iplanet.am.domaincomponent=o=isp
から
com.iplanet.am.domaincomponent=o=internet- Access Manager (以前の Identity Server) の互換モードを有効にします。Access Manager コンソールの「管理」コンソールサービスページで、「ドメインコンポーネントツリーの有効」チェックボックスを選択して、有効にします。
- 次の例に従って、inetdomain オブジェクトクラスをすべての DC ツリーのノード (dc=com,o=internet など) に追加します。
/var/mps/serverroot/shared/bin 298% ./ldapmodify -D "cn=Directory Manager" -
w password
dn:dc=com,o=internet
changetype:modifyaddobjectclass
objectclass:inetdomain- Web コンテナを再起動します。