第 3 章   ファミリアカウントのプロビジョニング


ファミリアカウントは、同じドメイン内の電子メールユーザのグループです。ファミリアカウントは、ファミリグループ管理者の管理制御下にあり、1 人のユーザを請求先ユーザとして指定できます。このユーザは、このユーザグループの電子メールアカウントに対して請求された代金を支払う責任があるユーザです。ファミリグループ管理者は、グループにユーザを作成したり、グループからユーザを削除したり、別のユーザをファミリの管理者に昇進させたりする責任があるユーザです。メンバーは、ファミリグループ管理者の管理制御下にあるユーザで、その電子メールアカウントの代金は、請求先ユーザが支払います。ファミリアカウントは、通常は家族アカウントですが、ローカルの管理責任や請求責任が必要な部門組織の場合もあります。この章には次の節があります。

• 「ファミリアカウントの作成」

• 「ファミリグループ管理者の作成」

ファミリアカウントの作成

---

ファミリアカウントは、imadmin コマンドラインインタフェース (『iPlanet Messaging Server リファレンスマニュアル』を参照)、iPlanet Delegated Administrator for Messaging、または LDAP を使用して管理、作成ができます。この節では、LDAP によるプロビジョニング方法を説明します。

LDAP を使用してファミリアカウントのユーザのプロビジョニングを行うには、2 つの手順が必要です。

1. ファミリアカウントエントリを作成します (コード例 3-1)。

2. memberOfManagedGroup: <ファミリグループDN>" という属性をファミリアカウント内の各ユーザのエントリに追加します (コード例 3-2)。

コード例 3-1 に、ファミリアカウントエントリの例を示します。 コード例 3-1 ファミリアカウントエントリ

---

dn: cn=gsWarriors, ou=groups,o=sesta.com,o=ISP

objectclass: inetManagedGroup

objectclass: nsManagedDept

mnggrpbillableuser: uid=attles,ou=People,o=sesta.com,o=ISP

mnggrpmailquota: 1024000

mnggrpcurrentusers: 0

mnggrpdeletionpolicy: delete

cn: gsWarriors

mnggrpstatus: active

mnggrpmaxusers: 1000

nsdamodifiableby: cn=Family Group Administrators,cn=gsWarriors,ou=groups,o=sesta.com,o=ISP

• dn: cn=gsWarriors, ou=groups,o=sesta.com,o=ISP

  ファミリアカウントの識別名。

• objectclass: inetManagedGroup
  objectclass: nsManagedDept

  inetManagedGroup は、ファミリアカウントを表します。nsManagedDept は、iPlanet Delegated Administrator for Messaging によって使用される情報を格納します。

• mnggrpbillableuser: uid=attles,ou=People,o=sesta.com,o=ISP

  このユーザグループの請求に対して支払いを行うユーザの DN。

• mnggrpmailquota: 1024000

  グループ内のすべてのユーザに許可される累積ディスク制限容量。

• mnggrpcurrentusers: 0

  グループ内の現在のユーザ数。

• cn: gswarriors

  ファミリアカウントの共通名。

• mnggrpstatus: active

  グループの現在の状態 − active、inactive、deletedのいずれか。 inactive は、一時的に操作を停止します。 deleted は、エントリに削除マークを付けますが、ユーザに削除マークは付けません。 値がない場合は、状態が active であることを示します。 不正な値は inactive として処理されます。

• mnggrpmaxusers: 1000

  グループ内に許可されるユーザ数。

• nsdamodifiableby: cn=Domain Organization Adminstrators, cn=gsWarriors,ou=groups,o=sesta.com,o=ISP

  このファミリグループを管理できるメンバーを持つグループを指定します。「ファミリグループ管理者の作成」を参照してください。

ファミリアカウントのエントリが作成されると、ユーザエントリ内の memberOfManagedGroup 属性がファミリアカウント DN に設定され、メンバーが追加されます。 次に例を示します。

コード例 3-2 ファミリグループのメンバーの LDIF レコード

---

dn: uid=Antwan,ou=people,o=sesta.com,o=ISP

objectClass: person

objectClass: organizationalPerson

objectClass: inetOrgPerson

objectClass: inetUser

objectClass: ipUser

objectClass: inetMailUser

objectClass: inetLocalMailRecipient

objectClass: nsManagedPerson

objectClass: userPresenceProfile

cn: Antwan

sn: James

initials: AJ

givenName: Ant

mail: aj@sesta.com

mailAlternateAddress: ant@sesta.com

mailDeliveryOption: mailbox

mailHost: manatee.siroe.com

uid: Antwan

dataSource: iMS 5.0 @(#)ims50users.sh 1.5a 02/3/00

userPassword: {SHA}aluWfd0LYY9ImsJb3h4afrI4AXk=

mailAllowedServiceAccess: +imap, imaps, pop3, smtp, http:*

inetUserStatus: active

mailUserStatus: active

mailQuota: -1

mailMsgQuota: 100

memberOfManagedGroup: cn=gsWarriors, ou=groups,o=sesta.com,o=ISP

ファミリグループ管理者の作成

---

Delegated Administrator タスクユーティリティ: imadmin family-admin add
タスクの特権: 上位レベル管理者、ドメイン管理者、またはファミリグループ管理者

ファミリグループ管理者は、ファミリグループにユーザを作成したり、グループからユーザを削除したりすることに責任を持つユーザです。ファミリグループが Delegated Administrator で作成されると、ファミリグループ管理者と呼ばれる別のグループがファミリグループエントリの DN の下に作成されます。たとえば、ファミリグループが以下のような場合、

cn=gsWarriors,ou=groups,o=sesta.com,o=isp

ファミリ管理者のグループも作成され、その DN は次のようになります。

cn=Family Group Administrators,cn=gsWarriors,ou=groups,o=sesta.com,o=isp

このグループのメンバーは、ファミリグループについて管理特権を持っています。次の例は、ファミリグループ管理者のプロビジョニングを行う方法を示します。

1. Family Group Administratorsというグループが、ファミリグループエントリの DN の下に作成されていることを確認し、ファミリグループ管理者の DN を追加します。Delegated Administrator でファミリグループを作成すると、これは自動的に作成されます。

   コード例 3-3 ファミリ管理者グループエントリ
   

   ---

   dn: cn=Family Group Administrators,cn=gsWarriors,ou=groups,o=sesta.com,o=isp

   objectclass: groupOfUniqueNames

   objectclass: nsManagedDept

   cn: Organization Administrators

   nsNumUsers: 1

   nsMaxUsers: Unlimited

   uniqueMember: uid=Dave,ou=people,ou=sesta.com,o=isp

2. memberof 属性を新しいファミリグループ管理者のエントリ(Family Group Administrators)へ追加します。

   コード例 3-4 ファミリグループ管理者用エントリ
   

   ---

   dn: uid=Dave,ou=people,o=sesta.com,o=isp

   objectClass: person

   objectClass: organizationalPerson

   objectClass: inetOrgPerson

   objectClass: inetUser

   objectClass: ipUser

   objectClass: inetMailUser

   objectClass: inetLocalMailRecipient

   objectClass: nsManagedPerson

   objectClass: userPresenceProfile

   cn: Dave Cowins

   sn: cowins

   initials: DC

   givenName: Dave

   mail: Dave.Cowins@sesta.com

   mailAlternateAddress: dcowins@florizel.com

   mailDeliveryOption: mailbox

   mailHost: manatee.siroe.com

   uid: Dave

   dataSource: iMS 5.0 @(#)ims50users.sh 1.5a 02/3/00

   userPassword: {SHA}aluWfd0LYY9ImsJb3h4afrI4AXk=

   mailAllowedServiceAccess: +imap, imaps, pop3, http:*

   inetUserStatus: active

   mailUserStatus: active

   mailQuota: -1

   mailMsgQuota: 100

   memberOf: cn=Family Group Administrators,cn=gsWarriors,ou=groups,o=sesta.com,o=isp

3. ACI はルート接尾辞の上位レベルに設定されます。付録 A「ルートおよびドメイン ACI の例」を参照してください。