前へ 目次 索引 DocHome 次へ |
iPlanet Messaging Server プロビジョニングガイド |
第 6 章 メッセージングサーバ管理者のプロビジョニング
この章では、異なるタイプの Messaging Server 管理者 (表 6-1) のプロビジョニングを行う方法を説明します。この章は、次の節で構成されています。
「管理者タイプ」
「特定のメッセージングサーバのメッセージストア管理者を作成する」
「トップレベル管理者の作成」「メールシステムトポロジ全体のメッセージストア管理者を作成する」
管理者タイプ
iPlanet Message Server 管理者は、2 種類の特権セットにより分類されます。
すべてのサーバを構成し、トポロジ全体のすべてのディレクトリデータを修正できます。MTA を修正するシステムレベルのアクセス権があります。
構成管理者ユーザ ID は、メッセージングサーバが最初に起動されたときに自動的に作成されます。詳細については、Managing Servers with Netscape Console を参照してください。
ACI により付与される権限 : o=NetscapeRoot
管理アカウント : uid=admin、ou=adminstrators、ou=topologymanagement、o=NetscapeRoot)
グループDN : cn=configuration administrators、ou=groups、ou=topologymanagment、o=NetscapeRoot
ディレクトリマネージャユーザ ID は、Directory Server がインストールされたときに作成されます。
ディレクトリマネージャ証明書は、ディレクトリ サーバ構成ファイル slapd.conf に保存されます。一般的なアカウント: cn = Directory Manager
システム レベルの管理者は、メールボックスを表示し、アクセスコントロールを指定できます。プロクシ権限を使用して、任意のユーザとしてログインできます。メールボックスのパーティションを指定し、メッセージ ストアユーティリティを実行できます。
ドメインレベルの管理者は、パーティションを指定できません。メッセージ ストアユーティリティへのアクセスには制限があります。
この管理者は、Messaging Server Console またはコマンドラインユーティリティにより作成されます。
システム規模のメッセージ管理グループ DN:store.serviceAdminGroupDN で指定されます。
ドメインメッセージストア管理グループ DN:
cn=Store Administrators、ou=Groups、
<組織ツリードメイン接尾辞>DA GUI または CLI を介して、メッセージング サーバ ネームスペース全体のメールユーザ、メーリングリスト、ファミリアカウント、ドメインを作成、修正、削除します。
DA GUI または CLI を介して、ホストドメイン内のメールユーザ、メーリングリスト、ファミリアカウントを作成、修正、削除します。
ファミリグループにファミリメンバーを追加および削除します。グループの他のメンバーに管理アクセスを付与できます。「ファミリグループ管理者の作成」を参照してください。
トップレベル、ドメインまたはドメイン組織管理者は、メーリングリスト所有者に許可を付与できます。
nsDACapability は作成許可を付与します (「メーリングリストの作成特権を追加する」を参照)。owner は、管理特権を付与します (「メーリングリスト所有者の割り当て」を参照)。
Note Netscape Console についての詳細は、http://docs.iplanet.com/docs/manuals/console.html を参照してください。
構成管理者の作成
構成管理者は、インストール時に自動的に作成されます。別の構成管理者を追加する場合は、Netscape Consol を介して他の構成管理者が作成します。Netscape Consoleの詳細については、http://docs.iplanet.com/docs/manuals/console.html を参照してください。
メッセージストア管理者の作成
メッセージストア管理者には、さまざまな特権があり、特権には適用範囲があります。特権を以下に示します。
IMAP を介してユーザメールボックスを表示および監視します。
管理者特権の範囲を以下に示します。IMAP を介してメッセージストアのアクセスコントロールを指定します。
プロクシ権限を必要とするメッセージストアコマンドラインユーティリティ (たとえば、MoveUser) を実行します。
単一ドメイン (ドメインレベル管理者の場合は、パーティションを指定できず、特定のメッセージストアコマンドへのアクセスが制限されます)
単一のメッセージストア (つまり、単一メッセージングサーバのメッセージ ストア)
トップレベル管理者には、システム規模のメッセージストア特権が自動的に付与されます。
インストール時に作成されたメッセージングサーバ管理者には、インストールサーバのメッセージストア特権が自動的に付与されます。
インストール時または Console で作成されたトップレベル管理者には、トポロジ全体のメッセージストア特権が自動的に付与されます。
iPlanet Delegated Administrator for Messaging で作成されたドメイン管理者には、インストールされたドメインのユーザに対するメッセージストア特権が自動的に付与されます。
特定のメッセージングサーバのメッセージストア管理者を作成する
必要な特権:構成管理者またはメッセージングサーバマシンの mailsrv アカウントへのアクセス構成管理者には、インストールサーバのメッセージストア特権が自動的に付与されます。サーバ固有のメッセージストア管理者は、Console (『iPlanet Message Server 管理ガイド』を参照) または以下のコマンドラインにより作成できます。
ここで、configutil は構成オプションを変更できるようにするユーティリティです。store.admins はメッセージストア管理者パラメータ、adminlist は完全修飾 UID (デフォルトドメインの場合) または <uid>@<ドメイン> (ホストドメインの場合) の空白区切りリストです。詳細については、『iPlanet Messaging Server リファレンスマニュアル』を参照してください。
- configutil -o store.admin -v "adminlist"
メールシステムトポロジ全体のメッセージストア管理者を作成する
必要な特権:トップレベル管理者またはメッセージングサーバマシンの mailsrv アカウントへのアクセス「メール システム トポロジ全体」とは、共通のユーザ / グループディレクトリルート下にあるすべてのメッセージングサーバのすべてのメッセージストアを意味します。デフォルトでは、トポロジ全体のメッセージストア管理特権は、グループ cn=Service Administrators、ou=groups、<組織ツリーツート> のメンバーだけに付与されます。しかし、構成値 store.serviceAdminGroupDN をリセットし、これらのメッセージストア特権を別のグループに変更することができます。変更した場合、cn=Service Administrators、ou=groups、<組織ツリールート> のメンバーは、新規グループに追加されるまで、メッセージストア特権が無効になるので注意してください。
以下の例では、システム全体のメッセージストア管理者グループを cn=Service Administrators、ou=groups、o=isp から cn=System-wide Store Administrators、ou=groups、o=isp に変更し、管理者として Biff を追加します。
システム全体のストア管理者グループを作成し、メンバーを追加します。
store.serviceAdminGroupDN を、システム全体のメッセージストア管理者グループの DN に設定します。
- 最初に、System-wide Store Administrators というグループを作成し、uniqueMember 属性を使用してメンバーを追加します。
ユーザエントリの memberof 属性を設定します。
- configutil -o store.serviceAdminGroupDN -v "cn=System-wide Store Administrators,ou=groups,o=isp"
- これは、システムの各サーバで行う必要があります。
特定のドメインのメッセージストア管理者を作成するには
必要な特権: ドメイン管理者、またはトップレベル管理者
iPlanet Delegated Administrator for Messaging GUI を使用して、ユーザを Delegated Administratorに変更する。
次の例では、LDAP を介して、ユーザ Biff に sesta.com のメッセージ ストア特権を付与します。
ストア管理者グループを作成し、メンバーを追加します。
- 組識ツリーのドメインノードに、Store Administrators というグループを作成します。inetMailAdministrator オブジェクト クラスを追加し、グループエントリに対してmailAdminRole 属性を storeadmin に設定します。uniqueMember 属性を使用して、メンバーを追加します。以下の LDIF データを参照してください。
- ACI はインストール時に自動的に作成されます。また、このグループは、ドメインが Delegated Administrator またはConsole で作成されると、必ず作成されます。
objectclass:groupOfUniqueNames
objectclass:inetMailAdministrator
cn:Store Administrators
- groupOfUniqueNames オブジェクトクラスには、ディレクトリエントリ (つまり、ユーザおよび他のグループ) のコレクションを記述するための属性が含まれます。
- inetMailAdministrator は、管理特権をこのグループに付与する属性を指定します。
mailAdminRole:storeadmin
- メッセージストア管理者がメンバーである必要があるグループの共通名です。
uniqueMember:uid=Biff,ou=People,o=sesta.com,o=isp
- このグループに付与された管理特権のタイプ
- メンバーの DN。この例では、このグループのメンバーは 1 人だけです。
ユーザのエントリの memberOf 属性を、
cn=Store Administrators,ou=groups,o=sesta.com,o=isp に指定します。
dn:uid=Biff,ou=People,o=sesta.com,o=isp
memberOf:cn=Store Administrators,ou=Groups,o=sesta.com,o=isp
- このグループのメッセージストア管理者に指名されたユーザの DN。
- Biff が属するグループの DN。
トップレベル管理者の作成
タスク特権:トップレベル管理者トップレベル管理者には、メッセージシステム全体のディレクトリおよびメッセージストア特権があります。デフォルトのトップレベル位管理者は、インストール時に作成されますが、別のトップレベル管理者は、ユーザを以下のグループに追加することで作成できます。
cn=Service Administrators,ou=Groups,o=<組織ツリールート>
そして、ユーザのエントリの memberOf 属性を次のように指定します。
cn=Service Administrators,o=groups,o=<組織ツリールート>以下の例では、Biff Fanning をトップレベル管理者にします。インストーラにより、このエントリの適切な ACI が作成されます。ディレクトリを最初から作成する場合は、付録 A「ルートおよびドメイン ACI の例」を参照してください。
ドメイン管理者の作成
Delegated Administratorユーティリティ: imadmin admin add
プロビジョニングのタスク特権:トップレベル管理者ドメイン管理者とは、Delegated Administratorまたはコマンドラインユーティリティを使用して、特定のドメインに対してユーザおよびグループを追加、削除、修正する特権があるユーザのことです。ホストドメイン管理者を作成できるのは、トップレベルの管理者だけです。
ドメイン管理者のグループの作成および ACI 規則の設定は、一度だけ行う必要があります。新規管理者を作成するには、単に、グループに管理者を追加します。次の LDIF の例では、ドメイン管理者グループを作成し、このグループのメンバーとして Biff を追加します。
ドメイン管理者グループを作成し、このグループにユーザを追加します。
objectclass:groupOfUniqueNames
- 組織ツリーのホストドメインノードに Domain Administrators というグループを作成し、ドメイン管理者に任命するユーザの DN をこのグループに追加します。また、オブジェクト クラス inetMailAdministrator および属性値ペア mailadminrole: storeadmin を追加します。(ACI の設定されたこのグループは、Delegated Administrator でドメインを作成すると、自動的に作成されます。)ドメイン管理者のグループの uniqueMember 属性を、新規ドメイン管理者の DN に指定します。これを以下に示します。
objectClass:nsManagedDept
objectClass:inetMailAdministrator
cn:Domain Administrators
- groupOfUniqueNames オブジェクトクラスには、ディレクトリエントリ (つまり、ユーザおよび他のグループ) のコレクションを記述するための属性が含まれます。
mailadminrole:storeadmin
- ドメイン管理者がメンバーである必要があるグループの共通名です。
uniqueMember:uid=Biff,ou=People,o=sesta.com,o=isp
- メッセージストア管理者特権をこのグループのメンバーに付与します。
ドメイン管理者 ACI 規則を検証します。
- uniqueMember は、このリストのメンバーの識別名を指定します。この例では、このグループのメンバーは 1 人だけです。
memberOf をユーザエントリに追加します。
- ドメイン管理者 ACI 規則は、Delegated Administrator またはコマンドラインユーティリティ imadmin domain create を使用し、ホストドメインを作成したときに、自動的に作成されます。LDAP を使用してホスト ドメインを作成した場合は、ACI 規則を追加する必要があります。この例を付録 A「ルートおよびドメイン ACI の例」に示します。
dn:uid=Biff,ou=People,o=sesta.com,o=isp
- ユーザのエントリで、memberOf 属性を
cn=Domain Administrators,o=groups,o=sesta.com,o=isp に指定します。
memberOf:cn=Domain Administrators,o=sesta.com,o=isp
- このドメインのドメイン管理者に指名されたユーザの DN。
- このユーザが属するグループの DN。
ドメイン組織管理者の作成
ドメイン組織管理者とは、Delegated Administratorまたはコマンドラインユーティリティを使用して、特定の組織に対してユーザおよびグループを追加、削除、修正する特権がある、組織のユーザのことです。複数のドメイン組織管理者を、ホストドメインに含めることができ、ドメイン組織管理者は入れ子にすることができます。組織管理者を作成できるのは、トップレベルの管理者だけです。組織管理者のグループの作成および ACI 規則の設定は、一度だけ行う必要があります。新規管理者を作成するには、単に、グループに管理者を追加します。次の例に、ou=east,o=siroe.com,o=isp で、組織管理者 Biff を作成する方法を示します。
図 6-1    ドメイン組織管理者の作成
ドメイン組織の作成方法については、「ドメイン組織の作成」を参照してください。
dn:cn=Organization Administrators,ou=groups,ou=east,o=siroe.com,o=isp
objectclass:nsManagedDept
objectclass:inetAdmin
objectclass:groupOfUniqueNames
cn:Organization Administrators
- nsManagedDept 属性は、Delegated Administrator をサポートします。inetAdmin は、管理をサポートする属性を提供します。groupOfUniqueNames オブジェクトクラスには、ディレクトリエントリ (つまり、ユーザおよび他のグループ) のコレクションを記述するための属性が含まれます。
uniqueMember:uid=Biff,ou=People,o=east.siroe.com,o=isp
ドメイン組織管理者 ACI 規則を追加します。
ドメイン組織管理者のエントリの memberOf 属性を指定します。
- 適切な ACI 規則をドメイン組織に追加および修正する必要があります。この例では、ou=east,o=siroe.com,o=isp です。この例を付録 A「ルートおよびドメイン ACI の例」に示します。
dn:uid=Biff,ou=People,o=eng.siroe.com,o=isp
- memberOf 属性を、uid=Biff,ou=people,o=sesta.com,o=isp の cn=Domain Organization Administrators,o=east.siroe.com,o=isp に指定します。
memberOf:cn=Organization Administrators,ou=groups,ou=east,o=siroe.com,o=isp
前へ 目次 索引 DocHome 次へ
Copyright © 2000 Sun Microsystems, Inc. Some preexisting portions Copyright © 2000 Netscape Communications Corp. All rights reserved.
最終更新日時 2001 年 5 月 18 日