前へ     目次     索引     DocHome     次へ     
iPlanet Messaging Server プロビジョニングガイド



第 6 章   メッセージングサーバ管理者のプロビジョニング


この章では、異なるタイプの Messaging Server 管理者 (表 6-1) のプロビジョニングを行う方法を説明します。この章は、次の節で構成されています。



管理者タイプ

iPlanet Message Server 管理者は、2 種類の特権セットにより分類されます。

  • メッセージングサーバの構成特権 (サーバ管理者)

  • システムのユーザおよびグループを追加、修正、削除する特権 (メッセージングディレクトリ管理者)


表 6-1 メッセージングサーバ管理者と特権 (1/2)

管理者

説明/特権の範囲

許可 / 作成

サーバ管理者

構成管理者  

すべてのサーバを構成し、トポロジ全体のすべてのディレクトリデータを修正できます。MTA を修正するシステムレベルのアクセス権があります。

Console のすべてのリソースへの無制限のアクセス。他の管理者にサーバ アクセスを提供できます。  

構成管理者ユーザ ID は、メッセージングサーバが最初に起動されたときに自動的に作成されます。詳細については、Managing Servers with Netscape Console を参照してください。

ACI により付与される権限 : o=NetscapeRoot

管理アカウント : uid=admin、ou=adminstrators、ou=topologymanagement、o=NetscapeRoot)

グループDN : cn=configuration administrators、ou=groups、ou=topologymanagment、o=NetscapeRoot  

ディレクトリマネージャ  

ディレクトリ内のすべてのものを修正できます。ディレクトリを構成できます。

セキュリティについては、構成管理者は、ディレクトリマネージャと同じであってはなりません。  

ディレクトリマネージャユーザ ID は、Directory Server がインストールされたときに作成されます。

ディレクトリマネージャ証明書は、ディレクトリ サーバ構成ファイル slapd.conf に保存されます。一般的なアカウント: cn = Directory Manager  

メッセージ ストア管理者  

システム レベルの管理者は、メールボックスを表示し、アクセスコントロールを指定できます。プロクシ権限を使用して、任意のユーザとしてログインできます。メールボックスのパーティションを指定し、メッセージ ストアユーティリティを実行できます。

ドメインレベルの管理者は、パーティションを指定できません。メッセージ ストアユーティリティへのアクセスには制限があります。  

この管理者は、Messaging Server Console またはコマンドラインユーティリティにより作成されます。

システム規模のメッセージ管理グループ DN:store.serviceAdminGroupDN で指定されます。

ドメインメッセージストア管理グループ DN:
cn=Store Administrators、ou=Groups、
<組織ツリードメイン接尾辞>

サーバメッセージストア管理者は、サーバ構成変数 store.admin で指定されます。  

メッセージング ディレクトリ管理者:

トップレベル管理者 (サービス管理者とも言う)  

DA GUI または CLI を介して、メッセージング サーバ ネームスペース全体のメールユーザ、メーリングリスト、ファミリアカウント、ドメインを作成、修正、削除します。

トポロジ内のすべてのサーバのすべてのメッセージストア特権を自動的に取得します。  

トップレベルの管理者は、インストール時に自動的に作成されます。

ルートノードに格納された ACI

グループ DN: cn = Service Administrators、ou=groups、<組織ツリールート>  

ドメイン管理者  

DA GUI または CLI を介して、ホストドメイン内のメールユーザ、メーリングリスト、ファミリアカウントを作成、修正、削除します。

デフォルトでは、ホストドメインのメッセージストア管理者です。  

トップレベルの管理者は、ドメイン管理者を作成できます。

組織ツリールートおよび DC ルートの ACI、および組織ツリードメインノード

グループ DN: cn = Domain Administrators、ou=groups、<組織ツリードメイン>  

ドメイン組織管理者  

DA GUI または CLI を介して、ドメイン組織内のメール ユーザおよびメーリングリストを作成、修正、削除します。  

トップレベルの管理者またはドメイン管理者は、ドメイン組織管理者を作成できます。

ルートおよびドメイン組織ノードの ACI

グループ DN: cn = Organization Administrator、
<ドメイン組織 DN>  

ファミリ グループ管理者  

ファミリグループにファミリメンバーを追加および削除します。グループの他のメンバーに管理アクセスを付与できます。「ファミリグループ管理者の作成」を参照してください。  

トップレベルおよびドメイン管理者は、ファミリグループ管理者を作成できます。

LDAP に格納された許可

グループ DN: cn=Family Group Administrators、<ファミリグループDN>  

メーリングリスト所有者  

2 つの権限セット:作成権限、およびメーリングリストへのメンバーの追加や削除を行う権限  

トップレベル、ドメインまたはドメイン組織管理者は、メーリングリスト所有者に許可を付与できます。

nsDACapability は作成許可を付与します (「メーリングリストの作成特権を追加する」を参照)。owner は、管理特権を付与します (「メーリングリスト所有者の割り当て」を参照)。  


Note Netscape Console についての詳細は、http://docs.iplanet.com/docs/manuals/console.html を参照してください。




構成管理者の作成


構成管理者は、インストール時に自動的に作成されます。別の構成管理者を追加する場合は、Netscape Consol を介して他の構成管理者が作成します。Netscape Consoleの詳細については、http://docs.iplanet.com/docs/manuals/console.html を参照してください。



メッセージストア管理者の作成


メッセージストア管理者には、さまざまな特権があり、特権には適用範囲があります。特権を以下に示します。

  • IMAP を介してユーザメールボックスを表示および監視します。

  • IMAP を介してメッセージストアのアクセスコントロールを指定します。

  • プロクシ権限を必要とするメッセージストアコマンドラインユーティリティ (たとえば、MoveUser) を実行します。

  • プロクシ権限を使用して、任意のユーザとしてログインできます。

  • メールボックスのパーティションを指定します。

管理者特権の範囲を以下に示します。

  • 単一ドメイン (ドメインレベル管理者の場合は、パーティションを指定できず、特定のメッセージストアコマンドへのアクセスが制限されます)

  • 単一のメッセージストア (つまり、単一メッセージングサーバのメッセージ ストア)

  • メールシステムトポロジのすべてのメッセージ ストア

  • トップレベル管理者には、システム規模のメッセージストア特権が自動的に付与されます。

  • インストール時に作成されたメッセージングサーバ管理者には、インストールサーバのメッセージストア特権が自動的に付与されます。

  • インストール時または Console で作成されたトップレベル管理者には、トポロジ全体のメッセージストア特権が自動的に付与されます。

  • iPlanet Delegated Administrator for Messaging で作成されたドメイン管理者には、インストールされたドメインのユーザに対するメッセージストア特権が自動的に付与されます。


特定のメッセージングサーバのメッセージストア管理者を作成する

必要な特権:構成管理者またはメッセージングサーバマシンの mailsrv アカウントへのアクセス

構成管理者には、インストールサーバのメッセージストア特権が自動的に付与されます。サーバ固有のメッセージストア管理者は、Console (『iPlanet Message Server 管理ガイド』を参照) または以下のコマンドラインにより作成できます。

configutil -o store.admin -v "adminlist"

ここで、configutil は構成オプションを変更できるようにするユーティリティです。store.admins はメッセージストア管理者パラメータ、adminlist は完全修飾 UID (デフォルトドメインの場合) または <uid>@<ドメイン> (ホストドメインの場合) の空白区切りリストです。詳細については、『iPlanet Messaging Server リファレンスマニュアル』を参照してください。


メールシステムトポロジ全体のメッセージストア管理者を作成する

必要な特権:トップレベル管理者またはメッセージングサーバマシンの mailsrv アカウントへのアクセス

メール システム トポロジ全体」とは、共通のユーザ / グループディレクトリルート下にあるすべてのメッセージングサーバのすべてのメッセージストアを意味します。デフォルトでは、トポロジ全体のメッセージストア管理特権は、グループ cn=Service Administratorsou=groups<組織ツリーツート> のメンバーだけに付与されます。しかし、構成値 store.serviceAdminGroupDN をリセットし、これらのメッセージストア特権を別のグループに変更することができます。変更した場合、cn=Service Administratorsou=groups<組織ツリールート> のメンバーは、新規グループに追加されるまで、メッセージストア特権が無効になるので注意してください。

以下の例では、システム全体のメッセージストア管理者グループを cn=Service Administratorsou=groupso=isp から cn=System-wide Store Administratorsou=groupso=isp に変更し、管理者として Biff を追加します。

  1. システム全体のストア管理者グループを作成し、メンバーを追加します。

    最初に、System-wide Store Administrators というグループを作成し、uniqueMember 属性を使用してメンバーを追加します。

    コード例 6-1 システム全体のメッセージストア管理者グループの作成
    dn:cn=System-wide Store Administrators,ou=groups,o=isp
    objectclass:groupOfUniqueNames
    cn:System-wide Store Administrators
    uniqueMember:uid=Biff,ou=people,o=sesta.com,o=isp

  2. store.serviceAdminGroupDN を、システム全体のメッセージストア管理者グループの DN に設定します。

    configutil -o store.serviceAdminGroupDN -v "cn=System-wide Store Administrators,ou=groups,o=isp"

    これは、システムの各サーバで行う必要があります。

  3. ユーザエントリの memberof 属性を設定します。

    コード例 6-2 システム全体のメッセージ ストア管理者のユーザエントリ例
    dn:uid=Biff,ou=people,o=sesta.com,o=isp
    objectClass:person
    objectClass:organizationalPerson
    objectClass:inetOrgPerson
    objectClass:inetUser
    objectClass:ipUser
    objectClass:inetMailUser
    objectClass:inetLocalMailRecipient
    objectClass:nsManagedPerson
    objectClass:userPresenceProfile
    cn:Biff Fanning
    sn:fanning
    initials:BTF
    givenName:Biff
    mail:Biff.Fanning@sesta.com
    mailAlternateAddress:bfanning@florizel.com
    mailDeliveryOption:mailbox
    mailHost:manatee.siroe.com
    uid:biff
    dataSource:iMS 5.0 @(#)ims50users.sh 1.5a 02/3/00
    userPassword:{SHA}aluWfd0LYY9ImsJb3h4afrI4AXk=
    mailAllowedServiceAccess:+imap, imaps, pop3, smtp, http:*
    inetUserStatus:active
    mailUserStatus:active
    mailQuota: -1
    mailMsgQuota: 100
    memberOf:cn=System-wide Store Administrators,ou=groups o=sesta.com,o=isp


特定のドメインのメッセージストア管理者を作成するには

必要な特権: ドメイン管理者、またはトップレベル管理者

ドメインメッセージストア管理者は、次のように作成します。

  • iPlanet Delegated Administrator for Messaging GUI を使用して、ユーザを Delegated Administratorに変更する。

  • LDAP を介してプロビジョニングを行う。

次の例では、LDAP を介して、ユーザ Biff に sesta.com のメッセージ ストア特権を付与します。

  1. ストア管理者グループを作成し、メンバーを追加します。

    組識ツリーのドメインノードに、Store Administrators というグループを作成します。inetMailAdministrator オブジェクト クラスを追加し、グループエントリに対してmailAdminRole 属性を storeadmin に設定します。uniqueMember 属性を使用して、メンバーを追加します。以下の LDIF データを参照してください。

    ACI はインストール時に自動的に作成されます。また、このグループは、ドメインが Delegated Administrator またはConsole で作成されると、必ず作成されます。

コード例 6-3 ストア管理者グループの作成
dn:cn=Store Administrators,ou=Groups,o=sesta.com,o=isp
objectclass:groupOfUniqueNames
objectclass:inetMailAdministrator
cn:Store Administrators
mailAdminRole:storeadmin
uniqueMember:uid=Biff,ou=People,o=sesta.com,o=isp

    • objectclass:groupOfUniqueNames
      objectclass:inetMailAdministrator

      groupOfUniqueNames オブジェクトクラスには、ディレクトリエントリ (つまり、ユーザおよび他のグループ) のコレクションを記述するための属性が含まれます。

      inetMailAdministrator は、管理特権をこのグループに付与する属性を指定します。

    • cn:Store Administrators

      メッセージストア管理者がメンバーである必要があるグループの共通名です。

    • mailAdminRole:storeadmin

      このグループに付与された管理特権のタイプ

    • uniqueMember:uid=Biff,ou=People,o=sesta.com,o=isp

      メンバーの DN。この例では、このグループのメンバーは 1 人だけです。

  1. ユーザのエントリの memberOf 属性を、
    cn=Store Administrators,ou=groups,o=sesta.com,o=isp に指定します。

    コード例 6-4 ドメイン管理者のユーザエントリ例
    dn:uid=Biff,ou=people,o=sesta.com,o=isp
    objectClass:person
    objectClass:organizationalPerson
    objectClass:inetOrgPerson
    objectClass:inetUser
    objectClass:ipUser
    objectClass:inetMailUser
    objectClass:inetLocalMailRecipient
    objectClass:nsManagedPerson
    objectClass:userPresenceProfile
    cn:Biff Fanning
    sn:fanning
    initials:BTF
    givenName:Biff
    mail:Biff.Fanning@sesta.com
    mailAlternateAddress:bfanning@florizel.com
    mailDeliveryOption:mailbox
    mailHost:manatee.siroe.com
    uid:biff
    dataSource:iMS 5.0 @(#)ims50users.sh 1.5a 02/3/00
    userPassword:{SHA}aluWfd0LYY9ImsJb3h4afrI4AXk=
    mailAllowedServiceAccess:+imap, imaps, pop3, smtp, http:*
    inetUserStatus:active
    mailUserStatus:active
    mailQuota: -1
    mailMsgQuota: 100
    memberOf:cn=Store Administrators,ou=groups o=sesta.com,o=isp

  2. dn:uid=Biff,ou=People,o=sesta.com,o=isp

    このグループのメッセージストア管理者に指名されたユーザの DN。

  3. memberOf:cn=Store Administrators,ou=Groups,o=sesta.com,o=isp

    Biff が属するグループの DN。



トップレベル管理者の作成

タスク特権:トップレベル管理者

トップレベル管理者には、メッセージシステム全体のディレクトリおよびメッセージストア特権があります。デフォルトのトップレベル位管理者は、インストール時に作成されますが、別のトップレベル管理者は、ユーザを以下のグループに追加することで作成できます。

cn=Service Administrators,ou=Groups,o=<組織ツリールート>

そして、ユーザのエントリの memberOf 属性を次のように指定します。
cn=Service Administrators,o=groups,o=<組織ツリールート>

以下の例では、Biff Fanning をトップレベル管理者にします。インストーラにより、このエントリの適切な ACI が作成されます。ディレクトリを最初から作成する場合は、付録 A「ルートおよびドメイン ACI の例」を参照してください。

コード例 6-5 トップレベル管理者グループ
dn:cn=Service Administrators,ou=Groups,o=isp
objectclass:groupOfUniqueNames
objectclass:nsManagedDept
cn:Service Administrators
nsNumUsers: 1
nsMaxUsers:Unlimited
uniqueMember:uid=Biff,ou=People,o=sesta.com,o=isp

コード例 6-6 トップレベル管理者のユーザエントリ例
dn:uid=Biff,ou=people,o=sesta.com,o=isp
objectClass:person
objectClass:organizationalPerson
objectClass:inetOrgPerson
objectClass:inetUser
objectClass:ipUser
objectClass:inetMailUser
objectClass:inetLocalMailRecipient
objectClass:nsManagedPerson
objectClass:userPresenceProfile
cn:Biff Fanning
sn:fanning
initials:BTF
givenName:Biff
mail:Biff.Fanning@sesta.com
mailAlternateAddress:bfanning@florizel.com
mailDeliveryOption:mailbox
mailHost:manatee.siroe.com
uid:biff
dataSource:iMS 5.0 @(#)ims50users.sh 1.5a 02/3/00
userPassword:{SHA}aluWfd0LYY9ImsJb3h4afrI4AXk=
mailAllowedServiceAccess:+imap, imaps, pop3, http:*
inetUserStatus:active
mailUserStatus:active
mailQuota: -1
mailMsgQuota: 100
memberOf:cn=Service Administrators,ou=groups,o=isp



ドメイン管理者の作成


Delegated Administratorユーティリティ: imadmin admin add
プロビジョニングのタスク特権:トップレベル管理者

ドメイン管理者とは、Delegated Administratorまたはコマンドラインユーティリティを使用して、特定のドメインに対してユーザおよびグループを追加、削除、修正する特権があるユーザのことです。ホストドメイン管理者を作成できるのは、トップレベルの管理者だけです。

ドメイン管理者のグループの作成および ACI 規則の設定は、一度だけ行う必要があります。新規管理者を作成するには、単に、グループに管理者を追加します。次の LDIF の例では、ドメイン管理者グループを作成し、このグループのメンバーとして Biff を追加します。

  1. ドメイン管理者グループを作成し、このグループにユーザを追加します。

    組織ツリーのホストドメインノードに Domain Administrators というグループを作成し、ドメイン管理者に任命するユーザの DN をこのグループに追加します。また、オブジェクト クラス inetMailAdministrator および属性値ペア mailadminrole: storeadmin を追加します。(ACI の設定されたこのグループは、Delegated Administrator でドメインを作成すると、自動的に作成されます。)ドメイン管理者のグループの uniqueMember 属性を、新規ドメイン管理者の DN に指定します。これを以下に示します。

    コード例 6-7 ドメイン管理者グループの作成
    dn:cn=Domain Administrators,ou=groups,o=sesta.com,o=isp
    objectclass:groupOfUniqueNames
    objectClass:nsManagedDept
    objectClass:inetMailAdministrator
    mailadminrole:storeadmin
    cn:Domain Administrators
    uniqueMember:uid=Biff,ou=People,o=sesta.com,o=isp

  2. objectclass:groupOfUniqueNames
    objectClass:nsManagedDept
    objectClass:inetMailAdministrator

    groupOfUniqueNames オブジェクトクラスには、ディレクトリエントリ (つまり、ユーザおよび他のグループ) のコレクションを記述するための属性が含まれます。

  3. cn:Domain Administrators

    ドメイン管理者がメンバーである必要があるグループの共通名です。

  4. mailadminrole:storeadmin

    メッセージストア管理者特権をこのグループのメンバーに付与します。

  5. uniqueMember:uid=Biff,ou=People,o=sesta.com,o=isp

    uniqueMember は、このリストのメンバーの識別名を指定します。この例では、このグループのメンバーは 1 人だけです。

  6. ドメイン管理者 ACI 規則を検証します。

    ドメイン管理者 ACI 規則は、Delegated Administrator またはコマンドラインユーティリティ imadmin domain create を使用し、ホストドメインを作成したときに、自動的に作成されます。LDAP を使用してホスト ドメインを作成した場合は、ACI 規則を追加する必要があります。この例を付録 A「ルートおよびドメイン ACI の例」に示します。

  7. memberOf をユーザエントリに追加します。

    ユーザのエントリで、memberOf 属性を
    cn=Domain Administrators,o=groups,o=sesta.com,o=isp に指定します。

    コード例 6-8 ドメイン管理者のユーザエントリ例
    dn:uid=Biff,ou=people,o=sesta.com,o=isp
    objectClass:person
    objectClass:organizationalPerson
    objectClass:inetOrgPerson
    objectClass:inetUser
    objectClass:ipUser
    objectClass:inetMailUser
    objectClass:inetLocalMailRecipient
    objectClass:nsManagedPerson
    objectClass:userPresenceProfile
    cn:Biff Fanning
    sn:fanning
    initials:BTF
    givenName:Biff
    mail:Biff.Fanning@sesta.com
    mailAlternateAddress:bfanning@florizel.com
    mailDeliveryOption:mailbox
    mailHost:manatee.siroe.com
    uid:fanning
    dataSource:iMS 5.0 @(#)ims50users.sh 1.5a 02/3/00
    userPassword:password
    mailAllowedServiceAccess:+imap, imaps, pop3, http:*
    inetUserStatus:active
    mailUserStatus:active
    mailQuota: -1
    mailMsgQuota: 100
    memberOf:cn=Domain Administrators,o=groups,o=sesta.com,o=isp

  8. dn:uid=Biff,ou=People,o=sesta.com,o=isp

    このドメインのドメイン管理者に指名されたユーザの DN。

  9. memberOf:cn=Domain Administrators,o=sesta.com,o=isp

    このユーザが属するグループの DN。



ドメイン組織管理者の作成

ドメイン組織管理者とは、Delegated Administratorまたはコマンドラインユーティリティを使用して、特定の組織に対してユーザおよびグループを追加、削除、修正する特権がある、組織のユーザのことです。複数のドメイン組織管理者を、ホストドメインに含めることができ、ドメイン組織管理者は入れ子にすることができます。組織管理者を作成できるのは、トップレベルの管理者だけです。

組織管理者のグループの作成および ACI 規則の設定は、一度だけ行う必要があります。新規管理者を作成するには、単に、グループに管理者を追加します。次の例に、ou=east,o=siroe.com,o=isp で、組織管理者 Biff を作成する方法を示します。

図 6-1    ドメイン組織管理者の作成

ドメイン組織の作成方法については、「ドメイン組織の作成」を参照してください。

  1. 組織ツリーのドメイン組織ノードに、Domain Organization Administrators というグループを作成し、このグループのドメイン組織管理者の DN を追加します。

コード例 6-9 組織管理者グループの作成
dn:cn=Domain Organization Administrators,ou=east,o=siroe.com,o=isp
objectclass:nsManagedDept
objectclass:inetAdmin
objectclass:groupOfUniqueNames
cn:Domain Organization Administrators
uniqueMember:uid=Biff,ou=people,ou=east,o=siroe.com,o=isp

    • dn:cn=Organization Administrators,ou=groups,ou=east,o=siroe.com,o=isp

      組織管理者のグループの名前。

    • objectclass:nsManagedDept
      objectclass:inetAdmin
      objectclass:groupOfUniqueNames

      nsManagedDept 属性は、Delegated Administrator をサポートします。inetAdmin は、管理をサポートする属性を提供します。groupOfUniqueNames オブジェクトクラスには、ディレクトリエントリ (つまり、ユーザおよび他のグループ) のコレクションを記述するための属性が含まれます。

    • cn:Organization Administrators

      組織管理者がメンバーである必要があるグループの共通名です。

    • uniqueMember:uid=Biff,ou=People,o=east.siroe.com,o=isp

      uniqueMember は、このリストのメンバーの識別名を指定します。この例では、このグループのメンバーは 1 人だけです。

  1. ドメイン組織管理者 ACI 規則を追加します。

    適切な ACI 規則をドメイン組織に追加および修正する必要があります。この例では、ou=east,o=siroe.com,o=isp です。この例を付録 A「ルートおよびドメイン ACI の例」に示します。

  2. ドメイン組織管理者のエントリの memberOf 属性を指定します。

    memberOf 属性を、uid=Biff,ou=people,o=sesta.com,o=ispcn=Domain Organization Administrators,o=east.siroe.com,o=isp に指定します。

    コード例 6-10 ドメイン管理者のユーザエントリ例
    dn:uid=Biff,ou=people,o=sesta.com,o=isp
    objectClass:person
    objectClass:organizationalPerson
    objectClass:inetOrgPerson
    objectClass:inetUser
    objectClass:ipUser
    objectClass:inetMailUser
    objectClass:inetLocalMailRecipient
    objectClass:nsManagedPerson
    objectClass:userPresenceProfile
    cn:Otis Fanning
    sn:fanning
    initials:BTF
    givenName:Biff
    mail:Biff.Fanning@sesta.com
    mailAlternateAddress:bfanning@florizel.com
    mailDeliveryOption:mailbox
    mailHost:manatee.siroe.com
    uid:fanning
    dataSource:iMS 5.0 @(#)ims50users.sh 1.5a 02/3/00
    userPassword:{SHA}aluWfd0LYY9ImsJb3h4afrI4AXk=
    mailAllowedServiceAccess:+imap, imaps, pop3, http:*
    inetUserStatus:active
    mailUserStatus:active
    mailQuota: -1
    mailMsgQuota: 100
    memberOf:cn=Domain Organization Administrators,ou=east,o=siroe.com,o=isp

  3. dn:uid=Biff,ou=People,o=eng.siroe.com,o=isp

    このグループのドメイン組織管理者に指名されたユーザの DN。

  4. memberOf:cn=Organization Administrators,ou=groups,ou=east,o=siroe.com,o=isp

    このユーザが属するグループの DN。


前へ     目次     索引     DocHome     次へ     
Copyright © 2000 Sun Microsystems, Inc. Some preexisting portions Copyright © 2000 Netscape Communications Corp. All rights reserved.

最終更新日時 2001 年 5 月 18 日