![]() |
iPlanet Messaging Server 5.2 プロビジョニングガイド |
第 6 章 Messaging Server 管理者のプロビジョニング
この章では、さまざまなタイプの Messaging Server 管理者 (表 6-1) のプロビジョニングを行う方法について説明します。この章には、以下の節があります。
「管理者のタイプ」
「特定の Messaging Server のメッセージストア管理者の作成」
「トップレベル管理者の作成」「メールシステムトポロジ全体のメッセージストア管理者の作成」
管理者のタイプ
iPlanet Messaging Server 管理者は、次の 2 つの権限のセットによって分類されます。
表 6-1    Messaging Server 管理者と権限
管理者
説明と権限の適用範囲
権限付与と作成
サーバ管理者
すべてのサーバを構成し、トポロジ全体のすべてのディレクトリデータを変更できる。MTA を変更するためのシステムレベルのアクセス権を持つ。
構成管理者のユーザ ID は、Messaging Server が最初に起動されたときに自動的に作成される。詳細は、『Managing Servers with Netscape Console』を参照。
ACI により付与される権限 : o=NetscapeRoot
管理アカウント: uid=admin、ou=adminstrators、ou=topologymanagement、o=NetscapeRoot)
グループ DN : cn=configuration administrators、ou=groups、ou=topologymanagment、o=NetscapeRoot
ディレクトリマネージャのユーザ ID は、Directory Server のインストール時に作成される。
ディレクトリマネージャの証明書は、Directory Server の構成ファイル slapd.conf に格納される。一般的なアカウント : cn = Directory Manager
システムレベルの管理者は、メールボックスを表示し、アクセス制御を指定できる。プロキシ認証権限を使用して、任意のユーザとしてログインできるメールボックスのパーティションを指定し、メッセージストアユーティリティを実行できる。
この管理者は、Messaging Server Console またはコマンドラインユーティリティを使って作成される。
System-wide MS Admin Group DN: store.serviceAdminGroupDN で指定される。
ドメインメッセージストア管理グループの DN : cn=Store Administrators、ou=Groups、<組織ツリードメインのサフィックス>
メッセージングディレクトリ管理者
DA GUI または CLI を使用して、Messaging Server ネームスペース全体のメールユーザ、メーリングリスト、ファミリーアカウント、ドメインを作成、変更、削除する。
DA GUI または CLI を使用して、ホストドメイン内のメールユーザ、メーリングリスト、ファミリーアカウントを作成、変更、削除する。
ファミリーグループ内のファミリーメンバーの追加と削除を行う。グループの他のメンバーに管理アクセス権を与えることができる。「ファミリーグループ管理者の作成」を参照
トップレベル管理者、ドメイン管理者、ドメイン組織管理者は、メーリングリスト所有者に権限を与えることができる。
nsDACapability は作成権限を与える (「メーリングリストの作成権限の追加」を参照)。owner は、管理権限を与える (「メーリングリスト所有者の割り当て」を参照)
注 Netscape Console の使用方法の詳細は、http://docs.iplanet.com/docs/manuals/console.html にある Netscape Console のマニュアルを参照してください。
構成管理者の作成
構成管理者は、インストール時に自動的に作成されます。構成管理者は、Console を使用して追加の構成管理者を作成できます。詳細は、http://docs.iplanet.com/docs/manuals/console.html にある Netscape Console のマニュアルを参照してください。
メッセージストア管理者の作成
メッセージストア管理者は権限を持ち、権限には適用範囲があります。次のような権限があります。
IMAP を使用してユーザのメールボックスの表示と監視を行う
管理者権限の適用範囲は次のように設定できます。IMAP を使用してメッセージストアのアクセス制御を指定する
プロキシ認証を必要とするメッセージストアコマンドラインユーティリティ (MoveUser など) を実行する
単一ドメイン (さらに、ドメインレベル管理者の場合は、パーティションを指定できず、特定のメッセージストアコマンドへのアクセスが制限されます)
単一のメッセージストア (つまり、1 つの Messaging Server のメッセージストア)
トップレベル管理者には、システム全体のメッセージストア権限が自動的に与えられる
インストール時に作成された Messaging Server 管理者には、インストール先のサーバのメッセージストア権限が自動的に与えられる
インストール時に作成されたか、または Console で作成されたトップレベル管理者には、トポロジ全体のメッセージストア権限が自動的に与えられる
iPlanet Delegated Administrator for Messaging で作成されたドメイン管理者には、インストール先のドメインのユーザのメッセージストア権限が自動的に与えられる
特定の Messaging Server のメッセージストア管理者の作成
必要な権限 : 構成管理者または Messaging Server マシン上の mailsrv アカウントへのアクセス権構成管理者には、インストール先のサーバのメッセージストア権限が自動的に与えられます。サーバ固有のメッセージストア管理者を作成するには、Console (『iPlanet Message Server 管理者ガイド』を参照) または次のコマンドラインを使用します。
ここでの configutil は設定オプションを変更できるユーティリティです。store.admins はメッセージストア管理者のパラメータです。adminlist は、完全修飾 UID (デフォルトのドメインの場合) または <uid>@<ドメイン> (ホストドメインの場合) の空白で区切られたリストです。詳細は、『iPlanet Messaging Server リファレンスマニュアル』を参照してください。
- configutil -o store.admin -v "adminlist"
メールシステムトポロジ全体のメッセージストア管理者の作成
必要な権限 : トップレベル管理者または Messaging Server マシン上の mailsrv アカウントへのアクセス権「メールシステムトポロジ全体」とは、共通のユーザおよびグループのディレクトリのルート下にあるすべての Messaging Server のすべてのメッセージストアを意味します。デフォルトでは、トポロジ全体のメッセージストアの管理権限は、グループ cn=Service Administrators,ou=groups,<組織ツリーのルート> のメンバーだけに与えられます。ただし、構成値 store.serviceAdminGroupDN を再設定することによって、これらのメッセージストア権限を別のグループに変更できます。変更した場合、cn=Service Administrators,ou=groups,<組織ツリールート> のメンバーを新しいグループに追加しない限り、それらのメンバーのメッセージストア権限はなくなります。
次の例では、システム全体のメッセージストア管理者グループを cn=Service Administrators,ou=groups,o=isp から cn=System-wide Store Administrators,ou=groups,o=isp に変更し、さらに管理者として Biff を追加します。
システム全体のストア管理者グループを作成し、メンバーを追加します。
store.serviceAdminGroupDN をシステム全体のメッセージストア管理者グループ (System-wide Message Store Administrators Group) の DN に設定します。
- 初めに、System-wide Store Administrators というグループを作り、uniqueMember 属性を使用してメンバーを追加します。
ユーザエントリ内の memberof 属性を設定します。
- configutil -o store.serviceAdminGroupDN -v "cn=System-wide Store Administrators,ou=groups,o=isp"
- この設定は、システム内の各サーバで行う必要があります。
特定ドメインのメッセージストア管理者の作成
必要な権限 : ドメイン管理者またはトップレベル管理者次の例では、LDAP を使用して、ユーザ Biff に sesta.com のメッセージストアに対する権限を与えます。
ストア管理者グループを作成し、メンバーを追加します。
- 組識ツリーのドメインノード内に Store Administrators というグループを作成します。inetMailAdministrator オブジェクトクラスを追加し、グループエントリに対する mailAdminRole 属性を storeadmin に設定します。uniqueMember 属性を使用してメンバーを追加します。以下の LDIF データを参照してください。
- ACI はインストール時に自動的に作成されます。また、このグループは、Delegated Administrator または Console を使用してドメインを作成すると必ず作成されます。
objectclass: groupOfUniqueNames
objectclass: inetMailAdministrator
cn: Store Administrators
- groupOfUniqueNames オブジェクトクラスには、ディレクトリエントリ (つまり、ユーザや他のグループ) のコレクションを記述するための属性が含まれます。
- inetMailAdministrator は、管理権限をこのグループに与える属性を指定します。
mailAdminRole: storeadmin
- これは、メッセージストア管理者が所属している必要があるグループの共通名です。
uniqueMember: uid=Biff,ou=People,o=sesta.com,o=isp
- このグループに与えられた管理権限のタイプです。
- メンバーの DN です。この例では、このグループのメンバーは 1 人だけです。
ユーザのエントリ内の memberOf 属性を次のように指定します。
cn=Store Administrators,ou=Groups,o=sesta.com,o=isp
dn: uid=Biff,ou=People,o=sesta.com,o=isp
memberOf: cn=Store Administrators,ou=groups,o=sesta.com,o=isp
- このグループのメッセージストア管理者に指名されたユーザの DN です。
- Biff が所属するグループの DN です。
トップレベル管理者の作成
タスクの権限 : トップレベル管理者トップレベル管理者は、メッセージシステム全体のディレクトリおよびメッセージストアに対する権限を持ちます。デフォルトのトップレベル管理者はインストール時に作成されますが、以下のグループにユーザを追加することによって、複数のトップレベル管理者を作成できます。
cn=Service Administrators,ou=Groups,o=<組織ツリールート>
さらに、ユーザのエントリ内の memberOf 属性を次のように指定します。
cn=Service Administrators,o=groups,o=<組織ツリールート>次の例では、Biff Fanning をトップレベル管理者にします。インストーラによって、このエントリ用の適切な ACI が作成されます。ディレクトリを最初から作成する場合は、付録 A「ルートとドメインの ACI の例」を参照してください。
ドメイン管理者の作成
Delegated Admin ユーティリティ : imadmin admin add
プロビジョニングのためのタスク権限 : トップレベル管理者ドメイン管理者は、Delegated Administrator またはコマンドラインユーティリティを使用して、特定ドメイン内のユーザやグループの追加、削除、変更を行う権限を持ったユーザです。トップレベル管理者だけがホストドメインの管理者を作成できます。
ドメイン管理者のグループの作成と ACI 規則の設定を一度実行すれば、その作業を再び実行する必要はありません。新規管理者を作成するには、単にそれらをグループに追加します。次の LDIF の例では、ドメイン管理者グループを作成し、このグループのメンバーとして Biff を追加します。
ドメイン管理者グループを作成し、このグループにユーザを追加します。
objectclass: groupOfUniqueNames
- 組織ツリーのホストドメインノードに Domain Administrators というグループを作成し、ドメイン管理者に指名するユーザの DN をこのグループに追加します。さらに、オブジェクトクラス inetMailAdministrator と属性値のペア mailadminrole: storeadmin を追加します (Delegated Administrator を使用してドメインを作成した場合は、自動的にこのグループが作成され、ACI が設定されます)。ドメイン管理者グループの uniqueMember 属性を、新しいドメイン管理者の DN に指定します。以下にこの例を示します。
objectClass: nsManagedDept
objectClass: inetMailAdministrator
cn: Domain Administrators
- groupOfUniqueNames オブジェクトクラスには、ディレクトリエントリ (つまり、ユーザや他のグループ) のコレクションを記述するための属性が含まれます。
mailadminrole: storeadmin
- これは、ドメイン管理者が所属している必要があるグループの共通名です。
uniqueMember: uid=Biff,ou=People,o=sesta.com,o=isp
- メッセージストア管理者権限をこのグループのメンバーに与えます。
ドメイン管理者 ACI 規則を検証します。
- uniqueMember は、このリストのメンバーの識別名を指定します。この例では、このグループのメンバーは 1 人だけです。
ユーザエントリに memberOf を追加します。
- ドメイン管理者 ACI 規則は、Delegated Administrator または imadmin domain create などのコマンドラインユーティリティを使用して、ホストドメインを作成すると、自動的に作成されます。LDAP を使用してホストドメインをプロビジョニングした場合は、ACI 規則を追加する必要があります。この例は、付録 A「ルートとドメインの ACI の例」に記載されています。
dn: uid=Biff,ou=People,o=sesta.com,o=isp
- ユーザエントリ内の memberOf 属性を
cn=Domain Administrators,o=groups,o=sesta.com,o=isp に指定します。
memberOf: cn=Domain Administrators,o=sesta.com,o=isp
- このドメインのドメイン管理者に指名されたユーザの DN です。
- このユーザが属するグループの DN です。
ドメイン組織管理者の作成
ドメイン組織管理者は、Delegated Administrator またはコマンドラインユーティリティを使用して、特定組織内のユーザやグループの追加、削除、変更を行う権限を持った組織のユーザです。複数のドメイン組織管理者を、1 つのホストドメインに含めることができます。また、ドメイン組織管理者は入れ子にすることができます。トップレベル管理者だけが組織管理者を作成できます。組織管理者のグループの作成と ACI 規則の設定を一度実行すれば、その作業を再び実行する必要はありません。新規管理者を作成するには、単にそれらをグループに追加します。次の例は、ou=east、o=siroe.com、o=isp に対する組織管理者 Biff の作成方法を示しています。
図 6-1    ドメイン組織管理者の作成 ![]()
  
ドメイン組織の作成方法については、「ドメイン組織の作成」を参照してください。
dn: cn=Organization Administrators,ou=groups,ou=east,o=siroe.com,o=isp
objectclass: nsManagedDept
objectclass: inetAdmin
objectclass: groupOfUniqueNames
cn: Organization Administrators
- nsManagedDept は、Delegated Administrator をサポートするための属性を提供します。inetAdmin は、管理をサポートするための属性を提供します。groupOfUniqueNames オブジェクトクラスには、ディレクトリエントリ (つまり、ユーザや他のグループ) のコレクションを記述するための属性が含まれます。
uniqueMember: uid=Biff,ou=People,o=east.siroe.com,o=isp
ドメイン組織管理者 ACI 規則を追加します。
ドメイン組織管理者のエントリ内の memberOf 属性を指定します。
- 適切な ACI 規則をドメイン組織に追加して変更する必要があります。この例では、ou=east,o=siroe.com,o=isp です。この例は、付録 A「ルートとドメインの ACI の例」に記載されています。
dn: uid=Biff,ou=People,o=eng.siroe.com,o=isp
- memberOf 属性を、uid=Biff,ou=people,o=sesta.com,o=isp 内の cn=Domain Organization Administrators,o=east.siroe.com,o=isp に指定します。
memberOf: cn=Organization Administrators,ou=groups,ou=east,o=siroe.com,o=isp
前へ 目次 索引 DocHome 次へ
Copyright © 2000 Sun Microsystems, Inc.
最新更新日 2002 年 2 月 13 日