iPlanet Messaging Server プロビジョニングガイド: 第 1 章プロビジョニングの概念と技術

前へ目次索引 DocHome 次へ

iPlanet Messaging Server プロビジョニングガイド

第 1 章 プロビジョニングの概念と技術

この章では、iPlanet Messaging Server のプロビジョニングについての概念と技術について説明します。次の節があります。

「iPlanet Messaging Server ネームスペース」

「iPlanet Messaging Server データモデル」

「ACI アーキテクチャ」

「サービスのクラス」

iPlanet Messaging Server のプロビジョニング

プロビジョニングとは、ディレクトリサーバ内の iPlanet Messaging Server ユーザ、メーリングリスト、システム管理者、ドメインエントリを追加、変更、削除することです。メッセージングサーバは、必要に応じてこれらの要素に関する情報をディレクトリに照会します。
iPlanet Messaging Server のプロビジョニングを行うインタフェースには、次の 4 つがあります。

iPlanet Delegated Administration for Messaging コンソール

iPlanet Delegated Administrator for Messaging コマンドラインユーティリティ

iPlanet Messaging Server Administration Console

Messaging Server LDAP ディレクトリ
本書では、LDAP を使用してプロビジョニングを行う方法を説明します。ほかのプロビジョニング方法を参照することがありますが、LDAP を使用したプロビジョニングを中心に説明します。

iPlanet Messaging Server ネームスペース

iPlanet Messaging Server ネームスペースは、組織ツリーとドメイン構成要素 (Domain Component, DC) ツリーの 2 つのディレクトリ情報ツリー (Directory Information Tree, DIT) になります。組織ツリーには、ユーザおよびグループのエントリが含まれます。 DC ツリーはローカル DNS 構造をミラー化し、データエントリを含む組織ツリーへの索引としてシステムで使用されます (図 1-2 を参照)。 DC ツリーには、スマートホスト、ルーティングホスト、ドメインディスク制限容量など、ドメインのオペレーティングパラメータが含まれています。
次の節では、二重ツリー機構の動作と、これを採用した理由について説明します。既存の DIT を iPlanet Messaging Server の二重ツリー機構へ移植する方法の詳細については、『iPlanet Messaging Server マイグレーションガイド』を参照してください。

二重ツリーネームスペース機構の動作

この節では、iPlanet Messaging Server が二重 DIT 機構を使用する方法について説明します。
iPlanet Messaging Server がユーザ/グループエントリを検索する場合は、はじめに DC ツリー内のユーザ/グループのドメインノードを検索し、inetDomainBaseDN 属性の値を抽出します。この属性は、実際のユーザ/グループエントリを含む組織サブツリーへの DN 参照を保持しています。
このモデルを使用して、iPlanet Messaging Server では、DC ツリー内のドメインコンポーネントノードが、このドメイン内のユーザが見つけられる組織ツリー内のノードを指し示す場合、任意のタイプのディレクトリツリー内に格納されているエントリをサポートできます。この関係を、図 1-1 に示します。ここでは、点線が inetDomainBaseDN の値を示しています。組織ツリー内のノード名は、DC ツリー内のノード名と一致する必要はありません。
図 1-1    iPlanet Messaging Server ディレクトリ構造の例

この例では、データエントリが組織ツリーの下で追加および変更されますが、メッセージサーバは実際には DC ツリーを参照します。次の 3 人のユーザについて考えます。

ユーザ 1

ユーザ 2

ユーザ 3

名前:

John Doe

John Doe

Jane Doe

ドメイン:

siroe.com

west.siroe.com

varrius.org

UID:

jdoe

jdoe

jdoe

ログイン:

jdoe@siroe.com

jdoe@west.siroe.com

jdoe@varrius.org

ログインは UID とドメインで構成されます。それぞれの場合において、サーバはログインのドメイン部 (@ マークの後の値) をさがし、対応する DC ノードの inetdomainbasedn 属性から DN を取得します。次に、UID がログインのローカル部 (@ マークの前の値) に等しいユーザエントリを、DN が指しているサブツリーから検索します。
west.siroe.com の John Doe は、ログイン jdoe@west.siroe.com を使用してサーバにログインします。サーバは、west.siroe.com をさがして、DC ノード内の DN 参照 (inetdomainbasedn) をたどり、サブツリー o=west.siroe.com, o=isp に達します。サーバは次に、このサブツリー内の uid=jdoe であるユーザエントリを検索します。
インストール時に、iPlanet Messaging Server では既存の DNS にマップされるデフォルトの DC ツリーと組織ツリーを作成します。ディレクトリドメインノードが Delegated Administrator コマンドの imadmin domoain create を使用して追加されると、対応するノードが DC ツリーと組織ツリーの両方に作成されます。 LDAP インタフェースを使用してノードを作成する場合は、そのドメイン用のノードを DC ツリー内に作成し、データ用のドメインを組織ツリー内に作成する必要があります。詳細は、『iPlanet Messaging Server マイグレーションガイド』で説明しています。

Note メールを配信するには、このドメインが DNS 内に MX レコードを持っていることを確認する必要があります。

なぜ 2 つのディレクトリ情報ツリーが必要か

iPlanet Messaging Server はインストール時、構成情報およびユーザ/グループデータを含む 1 つの DC ツリーをサポートしますが、iPlanet Messaging Server は DC ツリーと組織ツリーの両方を作成します。この二重ツリー機構には次の利点があります。

既存の DIT へマップされる DC ツリーを作成することによって、iPlanet Messaging Server に既存のディレクトリを導入できる

組織固有のアクセスを制御するために、データをパーティショニングできる。つまり各組織は、ユーザとグループのエントリがある DIT 内の別のサブツリーを持つことができます。そのデータへのアクセスは、サブツリーのユーザに制限されます。これにより、iPlanet Delegated Administrator for Messaging のようなローカライズされたアプリケーションを安全に実行することができます。

サブドメイン用に、個別のネームスペースを持つことができる。たとえば、west.siroe.com と siroe.com は別々の組織サブツリーにマップされ、これにより、同じ UID でそれぞれのユーザエントリを作成できるようになります。

既存の DIT を iPlanet Messaging Server へマップする

二重ツリー機構により、既存の DIT をiPlanet Messaging Server へマップすることができます。これを次の図に示します。この図では、既存の NMS DIT (o=siroe.com) が iPlanet Messaging Server 内の DC ツリーへマップされています。このプロセスについては、『iPlanet Messaging Server マイグレーションガイド』で詳細を説明しています。
図 1-2    既存の DIT を iPlanet Messaging Server へマップする例

アクセス制御のためのデータのパーティショニング

二重ツリー機構は各パーティション内でデータパーティショニングとアクセス制御を提供します。この機能は、あるカスタマは同じディレクトリツリー内に格納される他のカスタマに関するデータへはアクセスできないという厳しい要件を持つため、マルチテナントディレクトリにおいては重要です。データパーティショニングとアクセス制御により、安全な方法で別のカスタマ組織にアプリケーションをアウトソーシングすることができ、その結果、各組織のユーザ/グループデータは他の組織とは別に格納することができます。このようなアプリケーションの例が、iPlanet Delegated Administrator for Messaging です。
したがって、アウトソースされたメッセージングカスタマは、全体の DIT の中で完全に定義されたサブツリー (通常はドメイン) 内に表現されます。このサブツリーを使用して、そのカスタマに含まれるすべてのサービスデータを格納します。図 1-3 にこの概念を示します。
図 1-3    TEST アクセス制御のためのデータのパーティショニング例

サブドメイン用識別ネームスペースの提供

二重ツリー機構はサブドメイン用に識別ネームスペースを提供します。これにより、サブドメイン内で同じログイン名を使用することができます。たとえば、jdoe@siroe.com と jdoe@west.siroe.com は 2 つの別々の、有効な電子メールアドレスになります。これについては、図 1-1 に示しています。

iPlanet Messaging Server データモデル

iPlanet Messaging Server オブジェクトクラスの基本データモデルは、ベースエントリの作成に必要な構造的補助オブジェクトクラスであるコアオブジェクトクラスで作成された LDAP エントリタイプ (たとえば、ユーザ、グループ、ドメイン)を共有クラス (複数のサービスで共有できるオブジェクトクラス) およびサービス固有オブジェクトクラス (特定のタイプのサービス専用のクラス) でオーバーレイすることによって LDAP エントリタイプを拡張します。この関係は、次の図に示されています。

表 1-1 エントリタイプと対応するオブジェクトクラス

コアクラス

共有クラス

メッセージングサーバクラス

DC ツリードメイン

domain, inetdomain

mailDomain, nsManagedDomain, icsCalendarDomain

組織ツリードメイン

organization

nsManagedDomain

電子メールユーザ

person, inetUser, organizationalPerson,
inetOrgPerson

ipUser, userPresenceProfile

inetMailUser, inetLocalMailRecipient, nsManagedPerson

グループ

groupOfUniqueNames

inetMailGroup, inetLocalRecipient, inetMailGroupManagement, nsManagedMailList

ファミリアカウント

inetManagedGroup

nsManagedDept

タイプとして電子メールユーザを例として挙げると、次のオブジェクトクラスは次のタイプの属性を提供します。
person では、ユーザを説明する属性を提供します。
organizationalPerson では、組織に属するユーザを説明する属性を提供します。
inetOrgPerson では、基本インターネットユーザ属性を提供します。
ipUser は、個人アドレス帳属性、サービステンプレートのクラス、および該当する場合はファミリアカウントの DN を保持します。
inetUser は、ユーザアカウントを表し、inetMailUser および ipUser とともにメールアカウントの作成に使用されます。
inetSubscriber は、加入者アカウントを表すオプションのオブジェクトクラスです。アカウント ID および challenge/response 属性を提供します。
inetMailUser はメールアカウントを表し、ほとんどのユーザ専用メールアカウント属性を提供します。
inetLocalMailRecipient は、ローカル (組織内) 電子メール受信者を表し、受信者の電子メールアドレスを指定し、受信者に関するルーティング情報を提供します。

ACI アーキテクチャ

アクセスコントロール情報指示 (Access Control Information instructions, AIC) は、ディレクトリへのユーザアクセスを制御します。ディレクトリに異なるタイプのアクセスを必要とするメッセージングサーバユーザには、いくつかのタイプがあります。これらのユーザタイプのいくつかを次に示します。

標準電子メールユーザ。このユーザタイプは、電子メールを単に送受信し、パスワード変更や休暇モードを開始する権限を必要とします。

トップレベル管理者。ディレクトリ内のすべてのエントリに対するすべての実行権限があります。

メッセージストア管理者。システムまたはドメインのメールボックスを見たりメッセージストアを管理する権限を持ちます。

ドメイン管理者。ドメイン内のメールユーザ、メーリングリスト、およびファミリアカウントを作成、変更、削除する権限を持ちます。

ドメイン組織管理者。ドメイン組織内のメールユーザ、メーリングリストを作成、変更、削除する権限を持ちます。

ファミリグループ管理者。ファミリグループエントリ内のファミリメンバーを追加または削除する権限を持ちます。
これらの各ユーザタイプには、特定の ACI が、DC ツリーおよび組織ツリーのルートまたはドメインレベルで割り当てられています (図 1-4)。各ユーザの代わりにルートおよびドメインエントリ内で ACI を割り当てることにより、ドメインまたはシステム全体をアクセス対象とすることができます。したがって、ルートノード上で指定された ACI は、全システム内のエントリに適用され、ドメイン内に指定された ACI は、そのドメイン内のエントリにのみ適用されます (ACI の詳細については、『iPlanet Directory Administration Guide』を参照してください)。
さまざまな管理者用の ACI は、特定のグループで付与されます。管理者を作成するには、ユーザをグループに追加して、グループバックポインタ属性 (memberof) をそのユーザエントリに追加します。たとえば、インストール時、cn=Domain Administrators, ou=groups, <ドメインのDN> というグループが特定の ACI 特権で作成されます。ドメイン管理者を作成するには、単にユーザをそのグループに追加し、そのユーザのエントリに memberof 属性を追加します。
ファミリグループ管理者を作成するには、ユーザをメーリングリスト cn=Family Group Administrators, ou=groups, <ドメインの DN> に追加します。管理者の作成の詳細手順については、第 6 章「メッセージングサーバ管理者のプロビジョニング」を参照してください。
次に示す構成では、 ACI が次のエントリに指定されます。
o=isp
o-sesta.com,o=isp
o=siroe.com,o=isp
o=internet
dc=siroe, dc=com, dc=internet
dc=sesta, dc=com, dc=internet
ドメインおよびルートエントリノード用にインストールされる ACI を、図 1-4 に示します。
図 1-4    ACI の例

サービスのクラス

サービスのクラス (Class of Service, COS) 機能を使用すると、固定の機能セットと、指定されたユーザに適用できる属性を作成できます。また、単一の属性を持つユーザエントリに付与できる属性のテンプレートを作成できます。たとえば、ユーザが ISP の場合は、Hall of Fame および All-Star と呼ばれる 2 つのレベルのメールサービスを作成できます。 Hall of Fame サービスのクラスは、ユーザに IMAP、セキュアIMAP、POP3、セキュア POP3、および HTTP (Web メール) メールサービスと 5 GB のメッセージストアディスクスペースを提供できます。 All-Star サービスのクラスは、POP3 メールサービスと 5 GB のメッセージストアディスクスペースを提供できます。

Note サービスのクラスで定義される属性を参照するフィルタを含む LDAP 検索要求は、サービスを提供されません。たとえば、mailquota のみがサービスのクラステンプレートに定義されていて、ユーザエントリに定義されていない場合は、属性 mailquota 上での検索は正常に実行できません。サーバーは、そのような要求が提示されると、「unwilling to perform」エラーメッセージを返します。

iPlanet Messaging Server 用のサービスのクラスを設定する

サービスのクラス機能を追加する基本手順は、次のとおりです。

COS プラグインを slapd.ldbm.conf に追加します。

COS メールスキームエントリを作成します。 COS メールスキームは、次の項目を定義します。

ディレクトリ内の COS テンプレート定義の場所。

サービスのクラスを適用できるユーザエントリを含むディレクトリ。

ユーザエントリに適用されるサービスのクラステンプレートを指定するために使用される属性 (inetCOS) の名前。

テンプレート内で使用される属性のリスト。

サービスのクラステンプレートのエントリを作成します。

サービスのクラスをユーザエントリに割り当てます。
これらの手順は、次の Web サイトで詳細に説明しています。
http://docs.iplanet.com/docs/manuals/deladmin/45/html/06_cos.htm#25217
特定の iPlanet Messaging Server サービスのクラスの問題と例を次の節で説明します。システムにサービスのクラス機能を実装するときに、「COS スキームの管理」の手順においては、次のパラメータ値を使用してください。

表 1-2 iPlanet Messaging Serverサービスのクラスパラメータ値

パラメータ

値

サービスのクラススキームおよびテンプレート用のコンテナの DN

ou=cos, <ドメインの DN>

メールスキームエントリの DN

cn=mail scheme, ou=cos, <ドメインの DN>

サービスのクラスコンテナの DN (cosTemplateDn)

ou=MailSchemeTemplates,ou=cos,<ドメインの DN>

サービスのクラスをエントリに割り当てる属性 (cosSpecifier)

inetCOS

サービスのクラスの例

前の節で説明した例を使用し、sesta.com というホストドメイン用のメールサービスで、Hall of Fame および All-Star と呼ばれる 2 つのサービスのクラスを作成します。Hall of Fame サービスのクラスは、ユーザに IMAP、セキュア IMAP、POP3、および HTTP (Web メール) メールサービスと 5 G バイトのメッセージストアディスクスペースを提供します。 All-Star サービスのクラスは、POP3 メールサービスと 5 M バイトのメッセージストアメモリを提供します。

ディレクトリサーバに COS プラグインをインストールします。次の URL を参照してください。
http: //home.netscape.com/eng/server/directory/DSRK/4.1/cos.htm

次の LDIF エントリの例を使用して、メールスキーマエントリを作成します。

dn: cn=mail scheme,ou=COS,o=sesta.com, o=isp

objectclass: top

objectclass: cosDefinition

cosTemplateDn: ou=MailSchemeTemplates,ou=COS,o=sesta.com, o=isp

cosTargetTree: ou=People,o=sesta.com, o=isp

cosSpecifier: inetCOS

cosAttribute: mailQuota

cosAttribute: mailAllowedServiceAccess

dn: cn=mail scheme,ou=COS,o=sesta.com, o=isp

COS メールスキーマエントリの DN。

objectclass: cosDefinition

サービスのクラススキーマエントリを定義するオブジェクトクラス。

cosTemplateDn: ou=MailSchemeTemplates,ou=COS,o=sesta.com, o=isp

このスキームの COS テンプレートエントリが格納されるサブツリーを含む複数値を指定できる属性。

cosTargetTree: ou=People,o=sesta.com, o=isp

COS スキーマが適用されるサブツリーを含む複数値を指定できる属性。

cosSpecifier: inetCOS

ユーザエントリに適用される COS テンプレートを指定するために使用される属性の名前。

cosAttribute: mailQuota
cosAttribute: mailAllowedServiceAccess

テンプレートエントリ内で使用される属性。

COS テンプレートエントリを作成します。

次に示すのは、Hall of Fame および All-Star テンプレート用の 2 つのテンプレートエントリの LDIF です。

dn: uid=All-Star,ou=MailSchemeClasses,ou=COS,o=sesta.com, o=isp

objectclass: top

objectclass: inetUser

objectclass: inetMailUser

mailQuota: 5000000

mailAllowedServiceAccess: +pop3:*

dn: uid=Hall of Fame,ou=MailSchemeClasses,ou=COS,o=sesta.com, o=isp

objectclass: top

objectclass: inetUser

objectclass: inetMailUser

mailQuota: 5000000000

mailAllowedServiceAccess: +imap, imaps, pop3, http:*

dn: uid=All-Star,ou=MailSchemeClasses,ou=COS,o=sesta.com, o=isp
dn: uid=Hall of Fame,ou=MailSchemeClasses,ou=COS,o=sesta.com, o=isp

COS テンプレートの DN

objectclass: top
objectclass: inetUser
objectclass: inetMailUser
mailQuota: 5000000
mailAllowedServiceAccess: +pop3:*

All-Star テンプレート内の属性およびオブジェクトクラス。

objectclass: top
objectclass: inetUser
objectclass: inetMailUser
mailQuota: 5000000000
mailAllowedServiceAccess: +imap, imaps, pop3:*

Hall of Fame テンプレート内の属性およびオブジェクトクラス。

サービスのクラステンプレートをユーザに追加します。

dn: uid=Havlicek,ou=People,o=sesta.com, o=isp

objectClass: top

objectClass: person

objectClass: organizationalPerson

objectClass: inetOrgPerson

objectClass: inetUser

objectClass: ipUser

objectClass: userPresenceProfile

objectClass: inetMailUser

objectClass: inetLocalMailRecipient

cn: John Havlicek

sn: Havlicek

initials: JH

givenName: John

mail: john.havlicek@sesta.com

mailAlternateAddress: Havlicek@sesta.com

mailHost: mail.siroe.com

uid: Havlicek

dataSource: iPlanet Messaging Server

userPassword: secret

inetUserStatus: active

mailUserStatus: active

mailMsgQuota: 100

inetCos: Hall of Fame

dn: uid=Hornicek,ou=People,o=sesta.com, o=isp

objectClass: top

objectClass: person

objectClass: organizationalPerson

objectClass: inetOrgPerson

objectClass: inetUser

objectClass: ipUser

objectClass: userPresenceProfile

objectClass: inetMailUser

objectClass: inetLocalMailRecipient

cn: Jeff Hornicek

sn: Hornicek

initials: JH

givenName: Jeff

mail: jeff.hornicek@sesta.com

mailAlternateAddress: Hornicek@sesta.com

mailDeliveryOption: mailbox

mailHost: mail.siroe.com

uid: Hornicek

dataSource: iPlanet Messaging Server 5.0

userPassword: secret

inetUserStatus: active

mailUserStatus: active

mailMsgQuota: 100

inetCos: All-Star

	ユーザ 1	ユーザ 2	ユーザ 3
名前:	John Doe	John Doe	Jane Doe
ドメイン:	siroe.com	west.siroe.com	varrius.org
UID:	jdoe	jdoe	jdoe
ログイン:	jdoe@siroe.com	jdoe@west.siroe.com	jdoe@varrius.org

	コアクラス	共有クラス	メッセージングサーバクラス
DC ツリードメイン	domain, inetdomain		mailDomain, nsManagedDomain, icsCalendarDomain
組織ツリードメイン	organization		nsManagedDomain
電子メールユーザ	person, inetUser, organizationalPerson, inetOrgPerson	ipUser, userPresenceProfile	inetMailUser, inetLocalMailRecipient, nsManagedPerson
グループ	groupOfUniqueNames		inetMailGroup, inetLocalRecipient, inetMailGroupManagement, nsManagedMailList
ファミリアカウント	inetManagedGroup		nsManagedDept

パラメータ	値
サービスのクラススキームおよびテンプレート用のコンテナの DN	ou=cos, <ドメインの DN>
メールスキームエントリの DN	cn=mail scheme, ou=cos, <ドメインの DN>
サービスのクラスコンテナの DN (cosTemplateDn)	ou=MailSchemeTemplates,ou=cos,<ドメインの DN>
サービスのクラスをエントリに割り当てる属性 (cosSpecifier)	inetCOS

前へ目次索引 DocHome 次へ
Copyright © 2000 Sun Microsystems, Inc. Some preexisting portions Copyright © 2000 Netscape Communications Corp. All rights reserved.

最終更新日時 2001 年 5 月 18 日