前へ     目次     索引     DocHome     次へ     
iPlanet Messaging Server 5.2 プロビジョニングガイド



第 6 章   Messaging Server 管理者のプロビジョニング


この章では、さまざまなタイプの Messaging Server 管理者 (表 6-1) のプロビジョニングを行う方法について説明します。この章には、以下の節があります。



管理者のタイプ

iPlanet Messaging Server 管理者は、次の 2 つの権限のセットによって分類されます。

  • Messaging Server を構成する権限 (サーバ管理者)

  • システム内のユーザやグループを追加、変更、削除する権限 (メッセージングディレクトリ管理者)


表 6-1    Messaging Server 管理者と権限  

管理者

説明と権限の適用範囲

権限付与と作成

サーバ管理者

構成管理者  

すべてのサーバを構成し、トポロジ全体のすべてのディレクトリデータを変更できる。MTA を変更するためのシステムレベルのアクセス権を持つ。

Console 内のすべてのリソースへの無制限のアクセス権を持つ。他の管理者にサーバアクセスを提供できる  

構成管理者のユーザ ID は、Messaging Server が最初に起動されたときに自動的に作成される。詳細は、『Managing Servers with Netscape Console』を参照。

ACI により付与される権限 : o=NetscapeRoot

管理アカウント: uid=admin、ou=adminstrators、ou=topologymanagement、o=NetscapeRoot)

グループ DN : cn=configuration administrators、ou=groups、ou=topologymanagment、o=NetscapeRoot  

Directory Manager  

ディレクトリ内のすべてのものを変更できる。ディレクトリを構成できる。

セキュリティ上の理由から、構成管理者とディレクトリマネージャは異なるユーザにする  

ディレクトリマネージャのユーザ ID は、Directory Server のインストール時に作成される。

ディレクトリマネージャの証明書は、Directory Server の構成ファイル slapd.conf に格納される。一般的なアカウント : cn = Directory Manager  

メッセージストア管理者  

システムレベルの管理者は、メールボックスを表示し、アクセス制御を指定できる。プロキシ認証権限を使用して、任意のユーザとしてログインできるメールボックスのパーティションを指定し、メッセージストアユーティリティを実行できる。

ドメインレベルの管理者は、パーティションを指定できない。メッセージストアユーティリティへのアクセスは制限される  

この管理者は、Messaging Server Console またはコマンドラインユーティリティを使って作成される。

System-wide MS Admin Group DN: store.serviceAdminGroupDN で指定される。

ドメインメッセージストア管理グループの DN : cn=Store Administrators、ou=Groups、<組織ツリードメインのサフィックス>

サーバメッセージストア管理者は、サーバ構成変数 store.admin で指定される  

メッセージングディレクトリ管理者

トップレベル管理者 (サービス管理者とも呼ばれる)  

DA GUI または CLI を使用して、Messaging Server ネームスペース全体のメールユーザ、メーリングリスト、ファミリーアカウント、ドメインを作成、変更、削除する。

トポロジ内のすべてのサーバのすべてのメッセージストア権限を自動的に取得する  

トップレベル管理者は、インストール時に自動的に作成される。

ルートノードに格納された ACI。

グループ DN : cn = Service Administrators、ou=groups、<組織ツリールート>  

ドメイン管理者  

DA GUI または CLI を使用して、ホストドメイン内のメールユーザ、メーリングリスト、ファミリーアカウントを作成、変更、削除する。

デフォルトでは、ホストドメインのメッセージストア管理者が割り当てられる  

トップレベル管理者がドメイン管理者を作成できる。

組織ツリールート、DC ルート、組織ツリードメインノードの ACI。

グループ DN : cn = Domain Administrators、ou=groups、<組織ツリードメイン>  

ドメイン組織管理者  

DA GUI または CLI を使用して、ドメイン組織内のメールユーザとメーリングリストを作成、変更、削除する  

トップレベルの管理者またはドメイン管理者が、ドメイン組織管理者を作成できる。

ルートおよびドメイン組織ノードの ACI。

グループ DN : cn = Organization Administrator、<ドメイン組織 DN>  

ファミリーグループ管理者  

ファミリーグループ内のファミリーメンバーの追加と削除を行う。グループの他のメンバーに管理アクセス権を与えることができる。「ファミリーグループ管理者の作成」を参照  

トップレベル管理者とドメイン管理者が、ファミリーグループ管理者を作成できる。

LDAP に格納された権限。

グループ DN : cn=Family Group Administrators、<ファミリーグループ DN>  

メールリストの所有者  

作成権限と、メーリングリストのメンバーの追加や削除を行う権限の 2 つの権限セットを持つ  

トップレベル管理者、ドメイン管理者、ドメイン組織管理者は、メーリングリスト所有者に権限を与えることができる。

nsDACapability は作成権限を与える (「メーリングリストの作成権限の追加」を参照)。owner は、管理権限を与える (「メーリングリスト所有者の割り当て」を参照)  


Netscape Console の使用方法の詳細は、http://docs.iplanet.com/docs/manuals/console.html にある Netscape Console のマニュアルを参照してください。




構成管理者の作成


構成管理者は、インストール時に自動的に作成されます。構成管理者は、Console を使用して追加の構成管理者を作成できます。詳細は、http://docs.iplanet.com/docs/manuals/console.html にある Netscape Console のマニュアルを参照してください。



メッセージストア管理者の作成


メッセージストア管理者は権限を持ち、権限には適用範囲があります。次のような権限があります。

  • IMAP を使用してユーザのメールボックスの表示と監視を行う

  • IMAP を使用してメッセージストアのアクセス制御を指定する

  • プロキシ認証を必要とするメッセージストアコマンドラインユーティリティ (MoveUser など) を実行する

  • プロキシ認証権限を使用して、任意のユーザとしてログインできる

  • メールボックスのパーティションを指定する

管理者権限の適用範囲は次のように設定できます。

  • 単一ドメイン (さらに、ドメインレベル管理者の場合は、パーティションを指定できず、特定のメッセージストアコマンドへのアクセスが制限されます)

  • 単一のメッセージストア (つまり、1 つの Messaging Server のメッセージストア)

  • メールシステムトポロジ内のすべてのメッセージストア

  • トップレベル管理者には、システム全体のメッセージストア権限が自動的に与えられる

  • インストール時に作成された Messaging Server 管理者には、インストール先のサーバのメッセージストア権限が自動的に与えられる

  • インストール時に作成されたか、または Console で作成されたトップレベル管理者には、トポロジ全体のメッセージストア権限が自動的に与えられる

  • iPlanet Delegated Administrator for Messaging で作成されたドメイン管理者には、インストール先のドメインのユーザのメッセージストア権限が自動的に与えられる


特定の Messaging Server のメッセージストア管理者の作成

必要な権限 : 構成管理者または Messaging Server マシン上の mailsrv アカウントへのアクセス権

構成管理者には、インストール先のサーバのメッセージストア権限が自動的に与えられます。サーバ固有のメッセージストア管理者を作成するには、Console (『iPlanet Message Server 管理者ガイド』を参照) または次のコマンドラインを使用します。

configutil -o store.admin -v "adminlist"

ここでの configutil は設定オプションを変更できるユーティリティです。store.admins はメッセージストア管理者のパラメータです。adminlist は、完全修飾 UID (デフォルトのドメインの場合) または <uid>@<ドメイン> (ホストドメインの場合) の空白で区切られたリストです。詳細は、『iPlanet Messaging Server リファレンスマニュアル』を参照してください。


メールシステムトポロジ全体のメッセージストア管理者の作成

必要な権限 : トップレベル管理者または Messaging Server マシン上の mailsrv アカウントへのアクセス権

「メールシステムトポロジ全体」とは、共通のユーザおよびグループのディレクトリのルート下にあるすべての Messaging Server のすべてのメッセージストアを意味します。デフォルトでは、トポロジ全体のメッセージストアの管理権限は、グループ cn=Service Administrators,ou=groups,<組織ツリーのルート> のメンバーだけに与えられます。ただし、構成値 store.serviceAdminGroupDN を再設定することによって、これらのメッセージストア権限を別のグループに変更できます。変更した場合、cn=Service Administrators,ou=groups,<組織ツリールート> のメンバーを新しいグループに追加しない限り、それらのメンバーのメッセージストア権限はなくなります。

次の例では、システム全体のメッセージストア管理者グループを cn=Service Administrators,ou=groups,o=isp から cn=System-wide Store Administrators,ou=groups,o=isp に変更し、さらに管理者として Biff を追加します。

  1. システム全体のストア管理者グループを作成し、メンバーを追加します。

    初めに、System-wide Store Administrators というグループを作り、uniqueMember 属性を使用してメンバーを追加します。

    コード例 6-1    システム全体のメッセージストア管理者グループの作成
    dn: cn=System-wide Store Administrators,ou=groups,o=isp
    objectclass: groupOfUniqueNames
    cn: System-wide Store Administrators
    uniqueMember: uid=Biff,ou=people,o=sesta.com,o=isp

  2. store.serviceAdminGroupDN をシステム全体のメッセージストア管理者グループ (System-wide Message Store Administrators Group) の DN に設定します。

    configutil -o store.serviceAdminGroupDN -v "cn=System-wide Store Administrators,ou=groups,o=isp"

    この設定は、システム内の各サーバで行う必要があります。

  3. ユーザエントリ内の memberof 属性を設定します。

    コード例 6-2    システム全体のメッセージストア管理者のユーザエントリの例 
    dn: uid=Biff,ou=people,o=sesta.com,o=isp
    objectClass: person
    objectClass: organizationalPerson
    objectClass: inetOrgPerson
    objectClass: inetUser
    objectClass: ipUser
    objectClass: inetMailUser
    objectClass: inetLocalMailRecipient
    objectClass: nsManagedPerson
    objectClass: userPresenceProfile
    cn: Biff Fanning
    sn: fanning
    initials: BTF
    givenName: Biff
    mail: Biff.Fanning@sesta.com
    mailAlternateAddress: bfanning@florizel.com
    mailDeliveryOption: mailbox
    mailHost: manatee.siroe.com
    uid: biff
    dataSource: iMS 5.0 @(#)ims50users.sh 1.5a 02/3/00
    userPassword: {SHA}aluWfd0LYY9ImsJb3h4afrI4AXk=
    mailAllowedServiceAccess: +imap, imaps, pop3, smtp, http:*
    inetUserStatus: active
    mailUserStatus: active
    mailQuota: -1
    mailMsgQuota: 100
    memberOf: cn=System-wide Store Administrators,ou=groups o=sesta.com,o=isp


特定ドメインのメッセージストア管理者の作成

必要な権限 : ドメイン管理者またはトップレベル管理者

ドメインメッセージストア管理者は、次の手順で作成できます。

  • iPlanet Delegated Administrator for Messaging GUI を使用して、ユーザを委任管理者に変更する

  • LDAP を使用してプロビジョニングを行う

次の例では、LDAP を使用して、ユーザ Biff に sesta.com のメッセージストアに対する権限を与えます。

  1. ストア管理者グループを作成し、メンバーを追加します。

    組識ツリーのドメインノード内に Store Administrators というグループを作成します。inetMailAdministrator オブジェクトクラスを追加し、グループエントリに対する mailAdminRole 属性を storeadmin に設定します。uniqueMember 属性を使用してメンバーを追加します。以下の LDIF データを参照してください。

    ACI はインストール時に自動的に作成されます。また、このグループは、Delegated Administrator または Console を使用してドメインを作成すると必ず作成されます。

コード例 6-3    ストア管理者グループの作成
dn: cn=Store Administrators,ou=Groups,o=sesta.com,o=isp
objectclass: groupOfUniqueNames
objectclass: inetMailAdministrator
cn: Store Administrators
mailAdminRole: storeadmin
uniqueMember: uid=Biff,ou=People,o=sesta.com,o=isp

    • objectclass: groupOfUniqueNames
      objectclass: inetMailAdministrator

      groupOfUniqueNames オブジェクトクラスには、ディレクトリエントリ (つまり、ユーザや他のグループ) のコレクションを記述するための属性が含まれます。

      inetMailAdministrator は、管理権限をこのグループに与える属性を指定します。

    • cn: Store Administrators

      これは、メッセージストア管理者が所属している必要があるグループの共通名です。

    • mailAdminRole: storeadmin

      このグループに与えられた管理権限のタイプです。

    • uniqueMember: uid=Biff,ou=People,o=sesta.com,o=isp

      メンバーの DN です。この例では、このグループのメンバーは 1 人だけです。

  1. ユーザのエントリ内の memberOf 属性を次のように指定します。
    cn=Store Administrators,ou=Groups,o=sesta.com,o=isp

    コード例 6-4    ドメイン管理者のユーザエントリの例
    dn: uid=Biff,ou=people,o=sesta.com,o=isp
    objectClass: person
    objectClass: organizationalPerson
    objectClass: inetOrgPerson
    objectClass: inetUser
    objectClass: ipUser
    objectClass: inetMailUser
    objectClass: inetLocalMailRecipient
    objectClass: nsManagedPerson
    objectClass: userPresenceProfile
    cn: Biff Fanning
    sn: fanning
    initials: BTF
    givenName: Biff
    mail: Biff.Fanning@sesta.com
    mailAlternateAddress: bfanning@florizel.com
    mailDeliveryOption: mailbox
    mailHost: manatee.siroe.com
    uid: biff
    dataSource: iMS 5.0 @(#)ims50users.sh 1.5a 02/3/00
    userPassword: {SHA}aluWfd0LYY9ImsJb3h4afrI4AXk=
    mailAllowedServiceAccess: +imap, imaps, pop3, smtp, http:*
    inetUserStatus: active
    mailUserStatus: active
    mailQuota: -1
    mailMsgQuota: 100
    memberOf: cn=Store Administrators,ou=groups o=sesta.com,o=isp

  2. dn: uid=Biff,ou=People,o=sesta.com,o=isp

    このグループのメッセージストア管理者に指名されたユーザの DN です。

  3. memberOf: cn=Store Administrators,ou=groups,o=sesta.com,o=isp

    Biff が所属するグループの DN です。



トップレベル管理者の作成

タスクの権限 : トップレベル管理者

トップレベル管理者は、メッセージシステム全体のディレクトリおよびメッセージストアに対する権限を持ちます。デフォルトのトップレベル管理者はインストール時に作成されますが、以下のグループにユーザを追加することによって、複数のトップレベル管理者を作成できます。

cn=Service Administrators,ou=Groups,o=<組織ツリールート>

さらに、ユーザのエントリ内の memberOf 属性を次のように指定します。
cn=Service Administrators,o=groups,o=<組織ツリールート>

次の例では、Biff Fanning をトップレベル管理者にします。インストーラによって、このエントリ用の適切な ACI が作成されます。ディレクトリを最初から作成する場合は、付録 A「ルートとドメインの ACI の例」を参照してください。

コード例 6-5    トップレベル管理者グループ
dn: cn=Service Administrators,ou=Groups,o=isp
objectclass: groupOfUniqueNames
objectclass: nsManagedDept
cn: Service Administrators
nsNumUsers: 1
nsMaxUsers: Unlimited
uniqueMember: uid=Biff,ou=People,o=sesta.com,o=isp

コード例 6-6    トップレベル管理者のユーザエントリの例 
dn: uid=Biff,ou=people,o=sesta.com,o=isp
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: inetUser
objectClass: ipUser
objectClass: inetMailUser
objectClass: inetLocalMailRecipient
objectClass: nsManagedPerson
objectClass: userPresenceProfile
cn: Biff Fanning
sn: fanning
initials: BTF
givenName: Biff
mail: Biff.Fanning@sesta.com
mailAlternateAddress: bfanning@florizel.com
mailDeliveryOption: mailbox
mailHost: manatee.siroe.com
uid: biff
dataSource: iMS 5.0 @(#)ims50users.sh 1.5a 02/3/00
userPassword: {SHA}aluWfd0LYY9ImsJb3h4afrI4AXk=
mailAllowedServiceAccess: +imap, imaps, pop3, http:*
inetUserStatus: active
mailUserStatus: active
mailQuota: -1
mailMsgQuota: 100
memberOf: cn=Service Administrators,ou=groups,o=isp



ドメイン管理者の作成


Delegated Admin ユーティリティ : imadmin admin add
プロビジョニングのためのタスク権限 : トップレベル管理者

ドメイン管理者は、Delegated Administrator またはコマンドラインユーティリティを使用して、特定ドメイン内のユーザやグループの追加、削除、変更を行う権限を持ったユーザです。トップレベル管理者だけがホストドメインの管理者を作成できます。

ドメイン管理者のグループの作成と ACI 規則の設定を一度実行すれば、その作業を再び実行する必要はありません。新規管理者を作成するには、単にそれらをグループに追加します。次の LDIF の例では、ドメイン管理者グループを作成し、このグループのメンバーとして Biff を追加します。

  1. ドメイン管理者グループを作成し、このグループにユーザを追加します。

    組織ツリーのホストドメインノードに Domain Administrators というグループを作成し、ドメイン管理者に指名するユーザの DN をこのグループに追加します。さらに、オブジェクトクラス inetMailAdministrator と属性値のペア mailadminrole: storeadmin を追加します (Delegated Administrator を使用してドメインを作成した場合は、自動的にこのグループが作成され、ACI が設定されます)。ドメイン管理者グループの uniqueMember 属性を、新しいドメイン管理者の DN に指定します。以下にこの例を示します。

    コード例 6-7    ドメイン管理者グループの作成
    dn: cn=Domain Administrators,ou=groups,o=sesta.com,o=isp
    objectclass: groupOfUniqueNames
    objectClass: nsManagedDept
    objectClass: inetMailAdministrator
    mailadminrole: storeadmin
    cn: Domain Administrators
    uniqueMember: uid=Biff,ou=People,o=sesta.com,o=isp

  2. objectclass: groupOfUniqueNames
    objectClass: nsManagedDept
    objectClass: inetMailAdministrator

    groupOfUniqueNames オブジェクトクラスには、ディレクトリエントリ (つまり、ユーザや他のグループ) のコレクションを記述するための属性が含まれます。

  3. cn: Domain Administrators

    これは、ドメイン管理者が所属している必要があるグループの共通名です。

  4. mailadminrole: storeadmin

    メッセージストア管理者権限をこのグループのメンバーに与えます。

  5. uniqueMember: uid=Biff,ou=People,o=sesta.com,o=isp

    uniqueMember は、このリストのメンバーの識別名を指定します。この例では、このグループのメンバーは 1 人だけです。

  6. ドメイン管理者 ACI 規則を検証します。

    ドメイン管理者 ACI 規則は、Delegated Administrator または imadmin domain create などのコマンドラインユーティリティを使用して、ホストドメインを作成すると、自動的に作成されます。LDAP を使用してホストドメインをプロビジョニングした場合は、ACI 規則を追加する必要があります。この例は、付録 A「ルートとドメインの ACI の例」に記載されています。

  7. ユーザエントリに memberOf を追加します。

    ユーザエントリ内の memberOf 属性を
    cn=Domain Administrators,o=groups,o=sesta.com,o=isp に指定します。

    コード例 6-8    ドメイン管理者のユーザエントリの例 
    dn: uid=Biff,ou=people,o=sesta.com,o=isp
    objectClass: person
    objectClass: organizationalPerson
    objectClass: inetOrgPerson
    objectClass: inetUser
    objectClass: ipUser
    objectClass: inetMailUser
    objectClass: inetLocalMailRecipient
    objectClass: nsManagedPerson
    objectClass: userPresenceProfile
    cn: Biff Fanning
    sn: fanning
    initials: BTF
    givenName: Biff
    mail: Biff.Fanning@sesta.com
    mailAlternateAddress: bfanning@florizel.com
    mailDeliveryOption: mailbox
    mailHost: manatee.siroe.com
    uid: fanning
    dataSource: iMS 5.0 @(#)ims50users.sh 1.5a 02/3/00
    userPassword: password
    mailAllowedServiceAccess: +imap, imaps, pop3, http:*
    inetUserStatus: active
    mailUserStatus: active
    mailQuota: -1
    mailMsgQuota: 100
    memberOf: cn=Domain Administrators,o=groups,o=sesta.com,o=isp

  8. dn: uid=Biff,ou=People,o=sesta.com,o=isp

    このドメインのドメイン管理者に指名されたユーザの DN です。

  9. memberOf: cn=Domain Administrators,o=sesta.com,o=isp

    このユーザが属するグループの DN です。



ドメイン組織管理者の作成

ドメイン組織管理者は、Delegated Administrator またはコマンドラインユーティリティを使用して、特定組織内のユーザやグループの追加、削除、変更を行う権限を持った組織のユーザです。複数のドメイン組織管理者を、1 つのホストドメインに含めることができます。また、ドメイン組織管理者は入れ子にすることができます。トップレベル管理者だけが組織管理者を作成できます。

組織管理者のグループの作成と ACI 規則の設定を一度実行すれば、その作業を再び実行する必要はありません。新規管理者を作成するには、単にそれらをグループに追加します。次の例は、ou=east、o=siroe.com、o=isp に対する組織管理者 Biff の作成方法を示しています。

図 6-1    ドメイン組織管理者の作成

  

ドメイン組織の作成方法については、「ドメイン組織の作成」を参照してください。

  1. 組織ツリーのドメイン組織ノード内に Domain Organization Administrators というグループを作成し、このグループのドメイン組織管理者の DN を追加します。

コード例 6-9    組織管理者グループの作成
dn: cn=Domain Organization Administrators,ou=east,o=siroe.com,o=isp
objectclass: nsManagedDept
objectclass: inetAdmin
objectclass: groupOfUniqueNames
cn: Domain Organization Administrators
uniqueMember: uid=Biff,ou=people,ou=east,o=siroe.com,o=isp

    • dn: cn=Organization Administrators,ou=groups,ou=east,o=siroe.com,o=isp

      組織管理者のグループの名前です。

    • objectclass: nsManagedDept
      objectclass: inetAdmin
      objectclass: groupOfUniqueNames

      nsManagedDept は、Delegated Administrator をサポートするための属性を提供します。inetAdmin は、管理をサポートするための属性を提供します。groupOfUniqueNames オブジェクトクラスには、ディレクトリエントリ (つまり、ユーザや他のグループ) のコレクションを記述するための属性が含まれます。

    • cn: Organization Administrators

      これは、組織管理者が所属している必要があるグループの共通名です。

    • uniqueMember: uid=Biff,ou=People,o=east.siroe.com,o=isp

      uniqueMember は、このリストのメンバーの識別名を指定します。この例では、このグループのメンバーは 1 人だけです。

  1. ドメイン組織管理者 ACI 規則を追加します。

    適切な ACI 規則をドメイン組織に追加して変更する必要があります。この例では、ou=east,o=siroe.com,o=isp です。この例は、付録 A「ルートとドメインの ACI の例」に記載されています。

  2. ドメイン組織管理者のエントリ内の memberOf 属性を指定します。

    memberOf 属性を、uid=Biff,ou=people,o=sesta.com,o=isp 内の cn=Domain Organization Administrators,o=east.siroe.com,o=isp に指定します。

    コード例 6-10    ドメイン管理者のユーザエントリの例 
    dn: uid=Biff,ou=people,o=sesta.com,o=isp
    objectClass: person
    objectClass: organizationalPerson
    objectClass: inetOrgPerson
    objectClass: inetUser
    objectClass: ipUser
    objectClass: inetMailUser
    objectClass: inetLocalMailRecipient
    objectClass: nsManagedPerson
    objectClass: userPresenceProfile
    cn: Otis Fanning
    sn: fanning
    initials: BTF
    givenName: Biff
    mail: Biff.Fanning@sesta.com
    mailAlternateAddress: bfanning@florizel.com
    mailDeliveryOption: mailbox
    mailHost: manatee.siroe.com
    uid: fanning
    dataSource: iMS 5.0 @(#)ims50users.sh 1.5a 02/3/00
    userPassword: {SHA}aluWfd0LYY9ImsJb3h4afrI4AXk=
    mailAllowedServiceAccess: +imap, imaps, pop3, http:*
    inetUserStatus: active
    mailUserStatus: active
    mailQuota: -1
    mailMsgQuota: 100
    memberOf: cn=Domain Organization Administrators,ou=east,o=siroe.com,o=isp

  3. dn: uid=Biff,ou=People,o=eng.siroe.com,o=isp

    このグループのドメイン組織管理者に指名されたユーザの DN です。

  4. memberOf: cn=Organization Administrators,ou=groups,ou=east,o=siroe.com,o=isp

    このユーザが所属するグループの DN です。


前へ     目次     索引     DocHome     次へ     
Copyright © 2000 Sun Microsystems, Inc.

最新更新日 2002 年 2 月 13 日