Kapitel 11 Bereitstellen von Organisationen und Benutzern

In diesem Kapitel finden Sie Informationen zu konzeptionellen und anspruchsvollen Aufgaben in Bezug auf das Erstellen und Verwalten von Java Enterprise System-Organisationen und -Benutzern. Au�erdem werden Verwendung und Zugriff der Sun ONE-Produktkomponenten erl�utert.

Grundlegende Erl�uterungen zu Directory Server

In diesem Abschnitt finden Sie grundlegende Erl�uterungen zu Directory Server und der Bereitstellung von Benutzern f�r Java Enterprise System-Produktkomponenten. In diesem Abschnitt werden die g�ngige Benutzerbereitstellung f�r alle Produktkomponenten sowie das Konzept eines system�bergreifenden Java Enterprise System-Benutzerkontos erl�utert.

�berblick �ber Verzeichnisorganisationen und -benutzer

Java Enterprise System-Produktkomponenten, beispielsweise Portal Server, Messaging Server und Calendar Server, verwenden Directory Server zur Speicherung von Benutzerinformationen in Form von LDAP-Eintr�gen. Java Enterprise System Directory Server ist eine hierarchische Lightweight Directory Access Protocol-(LDAP-)Datenbank. Die Hierarchie wird im Allgemeinen als Verzeichnisinformationsbaum (Directory Information Tree, DIT) bezeichnet. Der grundlegende Baustein eines LDAP-Verzeichnisservers ist ein Eintrag.

Der DIT entspricht dem Baummodell, das vom Gro�teil der Dateisysteme verwendet wird, mit dem Root bzw. ersten Eintrag des Baums an oberster Stelle der Hierarchie. Bei der Installation erstellt Directory Server einen standardm��igen Verzeichnisbaum.

Der Root des Baums tr�gt die Bezeichnung Root-Suffix. Zum Installationszeitpunkt enth�lt das Verzeichnis drei Teilb�ume unterhalb des Root-Suffix:


Hinweis	F�r Messaging Server- und Calendar Server-Installationen f�hren Sie das Directory Server-Installationsskript, comm_dssetup.pl aus, um das Verzeichnis vorzubereiten. Mit diesem Skript werden das Basis-Suffix f�r „Users/Groups“ konfiguriert, der Schema-Typ ausgew�hlt, der DC-Root konfiguriert und weitere Aktivit�ten in Bezug auf das Verzeichnis ausgef�hrt. Weitere Informationen finden Sie unter „So konfigurieren Sie Calendar Server nach der Installation“ und „So konfigurieren Sie Messaging Server nach der Installation“.

In der nachfolgenden Abbildung ist ein Beispiel-DIT dargestellt. In dieser Abbildung wurde das Suffix o=userRoot in dc=example,dc=com umbenannt, und es wurden zus�tzliche Teilb�ume hinzugef�gt, um die Organisationshierarchie widerzuspiegeln.

Der Baum in obiger Abbildung stellt einen grundlegenden gemeinsam genutzten Identity Server- und Messaging-Sun ONE LDAP Schema v.2-DIT dar. Sun ONE LDAP Schema v.2 erm�glicht die problemlosere Integration in Identity Server und andere LDAP-f�hige Drittherstelleranwendungen als Sun ONE LDAP Schema v.1. Weitere Informationen zu Sun ONE LDAP Schema v.2 finden Sie in Kapitel 12, „Bereitstellung und Schema-Konzepte f�r Messaging Server 6.0“.

Informationen f�r die Java Enterprise System-Benutzerkonten werden in Benutzereintr�gen gespeichert, die in Abbildung 11–1 mit uid= bezeichnet werden. Benutzereintr�ge sind nach Dom�nenkomponenten organisiert und werden mit dc= bezeichnet. Organisationen werden mit o= bezeichnet, Organisationseinheiten mit ou=.

Erl�utern von Java Enterprise System-Benutzern

Einen einzelnen Endbenutzer, der beliebige der folgenden Anwendungen verwenden kann: Identity Server, Portal Server, Messaging Server, Calendar Server oder Instant Messaging Server.

Endbenutzerdaten, die in einem LDAP-Datenbankeintrag gespeichert werden. Im einfachsten Szenario lesen und schreiben alle Produktkomponenten in dieselben bzw. aus denselben Benutzereintr�gen.

Ein Endbenutzer, der nur dann Zugriff auf Anwendungen der Produktkomponenten hat, wenn die richtigen Werte im Eintrag des Benutzers festgelegt sind.

Ein Benutzerkonto, bei dem es sich um den LDAP-Benutzereintrag bzw. die -eintr�ge handelt, die alle Benutzerdaten enthalten, die von den Anwendungen der Produktkomponenten ben�tigt werden.

Allgemeine Organisationsbaumstrukturen

Durch Java Enterprise System k�nnen s�mtliche Produktkomponenten gemeinsam eine allgemeine Gruppe von LDAP-Benutzereintr�gen nutzen. Der Zugriff auf die Anwendungsfunktionen wird �ber dieselben Eintr�ge gesteuert. Die Interaktion mit einem allgemeinen Benutzereintrag ist �ber die Identity Server-Konsole und weitere Tools f�r Bereitstellung und Benutzerverwaltung m�glich.

Vorteile von Java Enterprise System

Java Enterprise System erm�glicht die Erstellung eines einzelnen Benutzerkontos in LDAP, das die Anwendungen aller Produktkomponenten unterst�tzt. Durch ein Benutzerkonto dieser Art reduzieren sich die Systemkosten erheblich, da nicht mehrere Benutzerverzeichnisse mit redundanten Informationen verwaltet werden m�ssen und auch die Synchronisierung von Verzeichnissen dieser Art wegf�llt. All dies f�hrt zu geringerem Arbeitsaufwand bei der Administration und geringeren Gesamtkosten.

�berblick �ber Bereitstellungsoberfl�chen

Als Bereitstellungsvorgang wird das Hinzuf�gen, �ndern oder L�schen von Eintr�gen in Directory Server bezeichnet. Folgende Bereitstellungsoberfl�chen stehen f�r Verzeichniseintr�ge zur Verf�gung:

Die Identity Server-Konsole und -Befehlszeilendienstprogramme (f�r Sun ONE LDAP Schema v.2)

LDAP-(Lightweight Directory Access Protocol-)Befehlszeilendienstprogramme

Sun ONE Administration Server-Benutzeroberfl�che f�r Directory Server

�berlegungen hinsichtlich des Verzeichnisinformationsbaums (DIT)

In diesem Abschnitt werden die Informationen erl�utert, die Sie ben�tigen, um Ihren Verzeichnisinformationsbaum (Directory Information Tree, DIT) als Bestandteil der Java Enterprise System-Bereitstellung zu planen.

�berlegungen hinsichtlich des Produktkomponenten-DIT

Bei der Planung umfangreicherer Java Enterprise System-Bereitstellungen m�ssen Sie sich �ber die LDAP-Anforderungen f�r jede Produktkomponente im Klaren sein. In diesem Abschnitt finden Sie Hintergrundinformationen, die Ihnen hierbei helfen.

Java Enterprise System hat sich aus der Verschmelzung zweier allgemeiner verzeichnisserverf�higer Technologien heraus entwickelt:

Die Kommunikations-Produktkomponenten, zu denen Sun ONE Calendar Server und Sun ONE Messaging Server z�hlen.

Die Sun ONE Portal Server- und Sun ONE Identity Server-Technologien, zu denen Sun ONE Portal Server, Secure Remote Access und Sun ONE Instant Messaging z�hlen.

Bei jeder Technologie und Produktkomponente gibt es hinsichtlich ihrer Verwendung von Directory Server bestimmte Feinheiten zu beachten. Ziehen Sie zun�chst die nachfolgende Tabelle zurate, um sich mit diesen Feinheiten vertraut zu machen und die Bereitstellung zu planen.

Tabelle 11–1 �berlegungen hinsichtlich der DIT-Planung
�berlegung	Identity Server, Portal Server, Secure Remote Access und Instant Messaging	Messaging Server und Calendar Server
Kommunikation	Kommunizieren �ber die API (Application Programming Interface, Anwendungsprogrammierschnittstelle)-Schicht von Identity Server f�r Directory Server.	Kommunizieren direkt mit Directory Server.
Identity-Abh�ngigkeiten	Eine Laufzeitvoraussetzung. Identity ist die Grundlage all dieser Produktkomponenten.	Nur Single Sign-On. Beide Produkte kommunizieren zur Laufzeit direkt mit Directory Server.
Vererbung	Ziehen den gr��tm�glichen Nutzen aus dem Vererbungsmechanismus von Identity Server hinsichtlich Organisations- und Rollenattributwerten. Der Zugriff auf Dienststufe (Class of Service, CoS) und Rollen auf Verzeichnisebene erfolgt im Hintergrund �ber die Identity Server-API.	Keine gem�� Identity Server-Definition. Beide Produkte machen jedoch explizit Gebrauch von Directory Server-Dienststufe und -Rollen.
Sitzungsverwaltung	Alle Produkte nutzen dieselben Identity Server-Benutzersitzungen.	In beiden Produkten werden interne Benutzersitzungen verwaltet, die mit Identity Server-SSO-Mechanismen synchronisiert werden.
Zugriffssteuerung	Handhabung �ber die Identity Server-Richtlinienschicht f�r Directory Server-Zugriffssteuerungsregeln.	Werden mit expliziten Directory Server-Zugriffssteuerungsregeln verwaltet.
Organisationsaspekte	F�r die ordnungsgem��e Funktion ist der managed People-Container von Identity Server (ou=People) erforderlich.	In spezifischen Organisationen ist das Konzept einer Maildom�ne erforderlich.
Directory-Root	Erkennen nur einen einzigen DIT-Root.	Erkennen mehrere DIT-Roots.
DIT	Werden in einem einzelnen DIT unterhalb eines einzigen Directory-Roots ausgef�hrt.	Werden in mehreren DITs unterhalb unterschiedlicher Directory-Roots ausgef�hrt. (Beispiele hierf�r sind Adressb�cher, Dom�nen in Sun ONE LDAP Schema v.1 usw.)
Sun ONE LDAP Schema v.1 im Vergleich zu Sun ONE LDAP Schema v.2	Identity Server verwendet Schema v.2 mit einem einzelnen DIT. Die Unterst�tzung eines DIT gem�� Schema v.1 ist m�glich, sobald Objektklassen und Attribute f�r die Schema v.2-Kompatibilit�t hinzugef�gt wurden. Bei der Erstellung von Schema v.2 wurde jedoch von der Integration eines einzelnen DIT ausgegangen.	Bieten uneingeschr�nkte Unterst�tzung beider Schema-Modelle und des Hybrid-Kompatibilit�tsmodells. Durch den Schema-Modus wird beeinflusst, wie Maildom�nen in Directory Server konfiguriert werden, wie Mail-Dom�nen von Messaging Server und Calendar Server aufgel�st werden und wie viele DITs verwaltet werden m�ssen. Die Beispiele in diesem Kapitel beziehen sich auf Schema v.2.
Eindeutigkeit von Benutzern	Nach dem Benutzer wird in der standardm��igen Organisation gesucht, es sei denn, auf der Identity Server-Anmeldeseite wurden andere Angaben gemacht. In Identity Server gelten Benutzer als eindeutig, wenn sie �ber einen eindeutigen DN verf�gen.	Die Eindeutigkeit wird stets innerhalb einer Dom�ne bewertet. Sowohl bei Schema v.1 als auch bei Schema v.2 wird jede Dom�ne letzlich in einen Teilbaum im Verzeichnis aufgel�st. Innerhalb des Teilbaums einer Dom�ne darf eine bestimmte eindeutige ID nicht in mehr als einem Benutzereintrag vorkommen, und eine bestimmte E-Mail-Adresse innerhalb dieser Dom�ne darf nicht in mehr als einem Benutzereintrag vorkommen. F�r die Bereitstellungstools von Schema v.2 m�ssen Namespaces explizit markiert werden, um die Eindeutigkeit des Attributs f�r die eindeutige ID zu erzwingen.

Single Sign-On (SSO) und Benutzer

Wenn Sie SSO �ber s�mtliche Produktkomponenten testen m�chten, m�ssen Sie den Testbenutzer f�r jede Anwendung bereitstellen. Die Benutzer k�nnen SSO nur dann nutzen, wenn sie sich anmelden und die Anwendungen verwenden k�nnen.

Eine gemeinsam genutzte Verzeichnisstruktur ist nicht erforderlich, um SSO zwischen den Java Enterprise System-Servern zu aktivieren. Wenn jedoch ein gemeinsam genutzer Eintrag mit gemeinsam genutzten Attributwerten vorhanden ist, kann SSO problemloser umgesetzt werden, da sich der Vorgang weniger komplex gestaltet. SSO ist zwischen zwei Sun ONE-Anwendungen m�glich, die zwei separate Verzeichnisserver verwenden. Wenn die gemeinsam genutzten Attributwerte (z. B. das Benutzerbenennungsattribut cn=, uid= usw.) in den beiden Datenbanken nicht identisch sind, m�ssen Sie sicherstellen, dass keine Benennungsprobleme auftreten.

Verwalten von Java Enterprise System-Benutzern

Neue Benutzer werden erstellt, indem der LDAP-Datenbank ein neuer Benutzereintrag hinzugef�gt und dieser Benutzereintrag dann zur Zusammenarbeit mit den einzelnen Sun ONE-Anwendungen konfiguriert wird.


Hinweis	Obwohl Benutzereintr�ge erstellt wurden, k�nnen neue Benutzer eine Anwendung erst dann verwenden, wenn ihre Eintr�ge f�r diese Anwendung konfiguriert wurden. F�r jede Sun ONE-Anwendung gelten eigene Anforderungen, die in diesem Abschnitt zusammengefasst sind.

F�r die Erstellung und Konfiguration von Benutzereintr�gen zur Verwendung mit allen Anwendungen steht eine Reihe von grafischen Tools und Befehlszeilentools zur Verf�gung. Weitere Informationen finden Sie unter „Referenz f�r Benutzerbereitstellung, Schema und Tools“.

Das Verwalten von Java Enterprise System-Benutzern umfasst das Erstellen der Organisationsbaumstruktur in LDAP, das Hinzuf�gen von Benutzern unterhalb dieses Organisationsbaums und das Konfigurieren von Eintr�gen f�r die Zusammenarbeit mit unterschiedlichen Sun ONE-Anwendungen.

Die Implementierung einer grundlegenden zentralen Benutzerverwaltung umfasst vier Schritte:

Planen von Benutzern und Organisationen

Festlegen des Aussehens der Benutzerorganisationsstruktur

Festlegen der Anwendungen, auf die die Benutzer zugreifen k�nnen sollen

Ermitteln der Datenanforderungen der einzelnen Anwendungen

Installieren von Benutzern (Erstellen des gew�nschten LDAP-Baums)

Konfigurieren von Benutzern (Markieren der Organisationseinheiten zur ordnungsgem��en Verwendung des LDAP-Baums durch die Anwendungen)

Durchf�hren von benutzerbezogenen Administrationsaufgaben

Erstellen von Benutzereintr�gen

Markieren der Benutzereintr�ge f�r den ordnungsgem��en Zugriff auf die Anwendungen

In den nachfolgenden Abschnitten werden diese Schritte ausf�hrlicher erl�utert.

Planen von Benutzern und Organisationen

Die Planung von Benutzern und Organisationen umfasst folgende anspruchsvolle Schritte:

�berpr�fen der LDAP-Schl�sselkonventionen, einschlie�lich:

LDAP-Datenbank. Der Verarbeitungs- und Datenspeicher, in dem Organisations- und Benutzerinformationen verwaltet werden.

Baumstruktur. LDAP-Datenbanken sind Hierarchien von Organisationen, Dom�nenkomponenten, Ressourcen und Benutzern.

Eintr�ge. Daten werden in den Eintr�gen gespeichert.

Schema. Definiert, welche Typen von Werten in LDAP-Eintr�gen zul�ssig sind.

Objektklassen. Spezieller Datentyp, der den Zweck eines Eintrags und die zul�ssigen Attribute f�r diesen Eintrag definiert.

Attribute. Atomare Datentypen.

Benutzerbereitstellung. Das Ausarbeiten der Verzeichnisstruktur und das anschlie�ende Zuweisen von Objektklassen und Attributwerten zu Eintr�gen.

Zurateziehen von Sun ONE Directory Server 5.2 Getting Started Guide (http://docs.sun.com/doc/816-6696-10) f�r weitere Informationen.

�berpr�fen der Verwendung von Sun ONE-Produktkomponenten von LDAP

S�mtliche Produktkomponenten weisen eigene Abh�ngigkeiten von bestimmten Objektklassen und Attributwerten auf. F�r jedes Produkt m�ssen bestimmte Objektklassen zu Organisationseintr�gen (o=) und Benutzereintr�gen (uid=) hinzugef�gt werden. Die Objektklassen dienen folgendem Zweck:

Markieren des Eintrags als durch die Anwendung verwendbar

Erm�glichen der Aufnahme einer neuen Gruppe von Attributen in einem Eintrag

Benutzer k�nnen erst auf Anwendungen zugreifen, wenn:

Ihre �bergeordneten Organisationseinheiten mit den erforderlichen Werten �bermittelt wurden. (Dieser Schritt wird normalerweise vom Installationsprogramm durchgef�hrt.)

Bei Host-Organisationen und -Dom�nen m�ssen Sie jedes Mal, wenn Sie in Identity Server eine neue Organisation erstellen, den Dienst der Dom�ne zuweisen und die Dom�ne mit den dienstspezifischen Objektklassen und Attributen kennzeichnen. Das Installationsprogramm f�hrt diesen Schritt nur f�r die Standard- oder Anfangsorganisation durch.

Ihre eigenen Benutzereintr�ge mit den erforderlichen Werten �bermittelt wurden. (Dies wird f�r jeden Benutzer durchgef�hrt.)

Aus der nachfolgenden Tabelle geht hervor, was geschieht, wenn einem Benutzereintrag die richtigen Objektklassen hinzugef�gt werden. Sehen Sie sich die beiden Benutzereintr�ge mit unterschiedlichen Objektklassen an. Nur user2 hat die richtigen Eintragswerte zur Verwendung von Identity Server, Messaging Server und Portal Server.

Tabelle 11–2 Beispiele f�r Benutzereintr�ge und Objektklassen
Benutzereintrag	Allgemeine Objektklassen	Verf�gbare Dienste
		Identity	Messaging	Calendar	Portal
user1	Verzeichnisserver-Basisobjektklassen
user2	Verzeichnisserver-Basisobjektklassen und Identity Server-, Messaging Server- und Portal Server-Objektklassen	X	X		X

In der Dokumentation zur jeweiligen Produktkomponente wird erl�utert, welche LDAP-Anforderungen die einzelnen Produkte aufweisen. In Tabelle 11–4 sind diese Anforderungen aufgef�hrt.

Treffen von organisationsbezogenen Entscheidungen

W�hrend der Installation und der anschlie�enden Konfiguration von Java Enterprise System m�ssen Sie ein Root-Suffix, einen LDAP-Root bzw. eine Benutzergruppenorganisation angeben. Damit alle Produktkomponenten mit denselben Benutzereintr�gen arbeiten, m�ssen Sie sicherstellen, dass alle Produkte denselben Verzeichnisbaum verwenden.

Wenn es um das Definieren von Organisationsnamen und die Tiefe des Verzeichnisbaums geht, bieten die meisten Produkte eine hohe Flexibilit�t.

Festlegen der zu installierenden Produkkomponenten

Beachten Sie bei der Auswahl der zu installierenden Produkte die ausgew�hlte gemeinsam genutzte Baumstruktur. Je nach Produktkomponente werden LDAP-Werte entweder im Java Enterprise System-Installationsprogramm oder im nach der Installation zum Einsatz kommenden Konfigurationsskript angegeben.



Hinweis	Die Werte f�r das Installationsprogramm m�ssen abgestimmt werden. Durch die nach der Konfiguration zum Einsatz kommenden Tools von Java Enterprise System k�nnen die Benutzer flexibel ihre eigenen DIT-Strukturen angeben, unabh�ngig von anderen Produktkomponenten. Wenn alle Produkte so installiert werden sollen, dass allgemeine Benutzereintr�ge gemeinsam genutzt werden, m�ssen Sie die DIT-spezifischen Werte abstimmen, die w�hrend der unterschiedlichen Schritte der Komponentenkonfiguration angegeben werden.

In der nachfolgenden Tabelle sind Beispiele f�r LDAP-Werte des Installationsprogramms aufgelistet. Beachten Sie die Beispiel-Eingabewerte. Wie Sie sehen, ist das Root-Suffix f�r alle Produktkomponenten identisch. In dieser Tabelle ersetzt default domain den Wert Default Organization.

Tabelle 11–3 Beispiele f�r Eingabewerte des Installationsprogramms
Produktkomponente	Konfigurationsmethode	Eingabefeld	Standard	Beispieleingabewert
Identity Server	Java Enterprise System-Installationsprogramm	Basis-DN	Standard-DNS- Dom�ne	dc=example,dc=com
Portal Server	Java Enterprise System-Installationsprogramm	(Vererbt durch Identity Server)	Identity Server-Basis-DN	dc=example,dc=com
Instant Messaging	Skript der Produktkomponente	(Identisch mit Identity Server)	(Identisch mit Identity Server)	(Identisch mit Identity Server)
Messaging Server	Skript der Produktkomponente	Basis-DN	Root	dc=example,dc=com
Messaging Server	Skript der Produktkomponente	Benutzergruppen- organisation	Standard-Mail- Organisation	o=default domain,dc=example, dc=com
Calendar Server	Skript der Produktkomponente	Benutzergruppen- organisation	Standardorganisation	o=default domain,dc=example, dc=com



Hinweis	Das configure-Dienstprogramm stellt einen Organisationsbaum mit zwei Ebenen zur Verf�gung, o=Default Organization,dc=example,dc=com. Weder f�r Messaging Server noch f�r Calendar Server ist diese Art von Organisationsbaum erforderlich. Sie ben�tigen diese beiden Ebenen f�r den Fall, dass Sie zus�tzliche Mail- oder Kalenderdom�nen aus derselben Bereitstellung planen. Wenn Sie im Root-Knoten eine Dom�ne definieren, wird verhindert, dass Sie zus�tzliche Dom�nen unterhalb des Roots erstellen. Dies w�rde zu verschachtelten Namespaces f�hren, die in Sun ONE LDAP Schema v.2 nicht zul�ssig sind. Nach dem ersten Konfigurationsschritt k�nnen Sie jede beliebige LDAP-Struktur definieren.

Installieren und Konfigurieren von Produktkomponenten

Die im vorherigen Abschnitt erw�hnten DIT-spezifischen Werte stellen Sie im Rahmen der Installation und der nachfolgenden Konfiguration zur Verf�gung. Die Angabe von Werten kann in folgenden sechs F�llen erfolgen:

Ausf�hren des Java Enterprise System-Installationsprogramms

Ausf�hren des comm_dssetup.pl-Skripts im Verzeichnis /opt/SUNWmsgsr/lib

Ausf�hren des Messaging Server configure-Skripts im Verzeichnis ms_svr_base/sbin/

Ausf�hren des Calendar Server csconfigurator.sh-Dienstprogramms im Verzeichnis cs_svr_base/SUNWics5/cal/sbin

Ausf�hren des Instant Messaging-Konfigurationsprogramms im Verzeichnis ims_svr_base/SUNWiim/opt

In Administration Server, f�r Messaging. (Anforderung des Konfigurationsprogramms)

Weitere Informationen zur Installation und Konfiguration von Produktkomponenten finden Sie im vorliegenden Handbuch.

Bereitstellen von Benutzern

Das Bereitstellen von Benutzern umfasst das F�llen von Datenbankeintr�gen mit den erforderlichen Werten, sodass eine Anwendung f�r Benutzer und Organisationen ausgef�hrt werden kann. Wenn bei einem Eintrag eine erforderliche Objektklasse oder ein Attributwert fehlt, steht die Anwendung f�r diesen Benutzer nicht zur Verf�gung.

Zur Bereitstellung f�r die einzelnen Produkte sind zwei anspruchsvolle Schritte erforderlich:

Vorbereiten der Datenbankstruktur zur Verwendung durch alle Anwendungen

Sicherstellen, dass Benutzereintr�ge alle Daten aufweisen, die zur Verwendung der einzelnen Anwendungen erforderlich sind, was bei LDAP-Datenbankvorg�ngen Folgendes bedeutet:

Markieren der Organisationseintr�ge (und ggf. Erstellen weiterer Organisationseintr�ge)

Markieren der Benutzereintr�ge (entweder durch Erstellen neuer Benutzereintr�ge oder �ndern vorhandener Eintr�ge)

�berpr�fen der Datenanforderungen

In der nachfolgenden Tabelle sind die Objektklassen- und Attributanforderungen der einzelnen Produktkomponenten aufgelistet. Bei jeder Anwendung m�ssen Sie dem Eintrag des Benutzers alle markierten Objektklassen hinzuf�gen, bevor der jeweilige Benutzer diese Anwendung verwenden kann.

Tabelle 11–4 Objektklassen- und Attributanforderungen f�r Produktkomponenten
Eintragstyp	Objektklasse	Messaging Server	Calendar Server	Identity Server
Organisation dc=,o=	Domain	X	X
	InetDomain	X	X	X
	Organisation	X	X
	SunManagedOrganization	X	X	X
	SunNameSpace	X	X	X
	MailDomain	X
	IcsCalendarDomain		X
Organisationseinheit ou=	Iplanet-am-managed-org-unit			X
Benutzer ou=people	Iplanet-am-managed-people-container			X
Benutzer cn=,uid= usw.	person	X	X
	InetUser	X	X	X
	OrganizationalPerson	X	X
	InetOrgPerson	X	X	X
	IpUser	X	X
	UserPresenceProfile	X
	InetMailUser	X
	InetLocalMailRecipient	X
	IcsCalendarUser		X
	Inetadmin			X
	Iplanet-am-managed-person			X
	Iplanet-am-user-service			X
	iplanetPreferences			X

Zus�tzlich zu den obigen Objektklassen m�ssen bei den meisten Anwendungen weitere Attribute festgelegt werden, um den Benutzer zu aktivieren.


Hinweis	Portal Server und Instant Messaging basieren auf Identity Server. F�r sie sind unbedingt alle Identity Server-Attribute erforderlich. W�hrend Portal Server Benutzerdaten im selben LDAP-Eintrag speichert, sollte die Bereitstellung von Portal Server-Benutzern �ber die Identity Server-Konsole bzw. den Befehl amadmin und den Portal Server-Befehl dpadmin erfolgen. Da Portal Server den gr��tm�glichen Nutzen aus den Identity Server-Vererbungsmechanismen hinsichtlich Organisationen und Rollen zieht, ist kein oder nur ein geringer Benutzerkonfigurationsaufwand erforderlich. Nachdem Sie Identity Server-Benutzer mithilfe von LDAP oder Identity Server erstellt haben, erben die Benutzereintr�ge die meisten Attributwerte von ihrer Rolle oder Organisation.

Einige dieser Objektklassen werden �ber die Produktkomponenten definiert. Bei anderen handelt es sich um Internetstandards, die im Lieferumfang von Directory Server enthalten waren. InetOrgPerson ist beispielsweise die grundlegende Benutzereintrag-Objektklasse, durch die Attribute wie uid, mail und givenName definiert werden.

Nicht f�r alle Produkte sind Core-Klassen bzw. gemeinsam genutzte Klassen erforderlich. Ziehen Sie hinsichtlich Informationen eines minimalen Satzes an Objektklassen f�r individuelle Produkte die Dokumentation folgender Produktkomponenten zurate:

Sun ONE Messaging and Collaboration 6.0 Schema Reference Manual (http://docs.sun.com/doc/816-6710-10).

Sun ONE Identity Server 6.1 Installation and Configuration Guide, Kapitel 5 „Installing Identity Server Against an Existing Directory Server“ (http://docs.sun.com/doc/816-6771-10)

Sun ONE Portal Server 6.2 Administrator’s Guide (http://docs.sun.com/doc/816-6748-10)

Erste Schritte – Ausw�hlen einer LDAP-Administrationsoption

Die Objektklassen in Tabelle 11–4 m�ssen den richtigen Eintr�gen in der LDAP-Datenbank hinzugef�gt werden. Wenn Sie alle Produkte so konfigurieren, dass die Installation unter Verwendung derselben Verzeichnisstruktur erfolgt, wird der Gro�teil der ben�tigten Werte den Organisationseintr�gen hinzugef�gt. Je nachdem, in welcher Reihenfolge die Installation vorgenommen wird, sind m�glicherweise nicht alle Werte zur Unterst�tzung aller Benutzer vorhanden. Stellen Sie vor dem Bereitstellen von Benutzern stets sicher, dass die Bereitstellung des Organisationsbaums ordnungsgem�� durchgef�hrt wurde.

In der nachfolgenden Tabelle sind die vier M�glichkeiten zum Anzeigen, Erstellen und �ndern von LDAP-Eintr�gen zusammengefasst. Unter „Bereitstellen von Benutzern �ber den LDAP Modify-Befehl“ finden Sie ein Beispiel daf�r, wie Benutzer mithilfe des Befehls ldapmodify ge�ndert werden k�nnen.

Tabelle 11–5 M�glichkeiten zum Anzeigen, Erstellen und �ndern von LDAP-Eintr�gen
Komplexit�tsstufe	Tools und Methode	Mindestanzahl der Toolsets1	Bezugspunkt in der Sun ONE-Dokumentation
Standard	Identity Server-Konsole oder amadmin und commadmin	2	Sun ONE Identity Server 6.1 Administration Guide (http://docs/sun.com/doc/816-6773-10) und Sun ONE Messaging and Collaboration 1.0 User Management Utility Installation and Reference Guide (http://docs.sun.com/doc/817-4216-10)
Mittel	Sun ONE Administration Server (ein grafisches Tool zur direkten Bearbeitung der LDAP-Datenbankeintr�ge)	1	Sun ONE Directory Server 5.2 Getting Started Guide, Kapitel 3 „A Quick Look at Directory Server Console“, Managing Entries (http://docs.sun.com/doc/816-6696-10)
Erweitert	ldapmodify ldif_input_file	1	Sun ONE Directory Server 5.2 Getting Started Guide, Kapitel 4 „A Quick Look at Directory Server Command-Line Utilities“, Adding, Changing and Deleting Entries (http://docs.sun.com/doc/816-6696-10)
Anspruchsvoll	Identity Server mit benutzerdefinierten Diensten	1	Sun ONE Identity Server 6.1 Administration Guide (http://docs.sun.com/doc/816-6773-10) und Sun ONE Identity Server 6.1 Customization and API Guide (http://docs.sun.com/doc/816-6774-10), Kapitel 6 „Service Management“, Service Definition Weitere Informationen finden Sie unter „Beispiel einer Java Enterprise System-Benutzerbereitstellung mithilfe von Identity Server-Diensten“.

1Toolsets von Produktkomponenten �ndern Benutzereintr�ge nur f�r eigene Zwecke. Wenn Sie Java Enterprise System-Benutzereintr�ge auf diese Weise verwalten m�chten, m�ssen Tools aus mehreren Produkten ausgef�hrt werden.


Hinweis	In Identity Server sollten ldif-Vorg�ngen nur ausschlie�lich f�r Benutzereintr�ge durchgef�hrt werden.

Referenz f�r Benutzerbereitstellung, Schema und Tools

Dieser Abschnitt dient als Referenz f�r die Bereitstellungs- und Schema-Dokumentation sowie die Tools, die f�r Calendar Server, Identity Server, Messaging Server und Portal Server zur Verf�gung stehen.

Produktkomponenten-Dokumentation

In Tabelle 11–6 werden die Informationstypen und die Speicherorte in Java Enterprise System und der Sun ONE-Produktkomponente erl�utert. Diese Angaben ben�tigen Sie, um die Bereitstellung von Benutzern durchzuf�hren und sich mit schemabezogenen Aspekten auseinander zu setzen.

Tabelle 11–6 Produktkomponenten- Bereitstellungs- und Schema-Dokumentation
Buchtitel	Kapitel und Abschnitt	Inhalt
Sun ONE Identity Server 6.1 Migration Guide (http://docs.sun.com/doc/816-6771-10)	Kapitel 3, „Configuring Identity Server with a Provisioned Directory“	In diesem Kapitel finden Sie Anweisungen zur Installation von Identity Server in einem vorhandenen Verzeichnis, das Benutzerdaten enth�lt. Au�erdem wird hier erl�utert, wie Identity Server zur Zusammenarbeit mit dem Verzeichnisinformationsbaum (Directory Information Tree, DIT) konfiguriert wird und wie die erforderlichen �nderungen am bestehenden Directory Server und an Verzeichniseintr�gen vorgenommen werden.
Sun ONE Identity Server 6.1 Customization and API Guide (http://docs.sun.com/doc/816-6774-10)	Kapitel 6, „Service Management“	In diesem Kapitel finden Sie Informationen zur Definition eines Dienstes, der Struktur der XML-Dateien und der API (Application Programming Interface, Anwendungsprogrammierschnittstelle) f�r die Dienstverwaltung.
Sun ONE Messaging and Collaboration 1.0 User Management Utility Installation and Reference Guide (http://docs.sun.com/doc/817-4216-10)	Kapitel 3, „Command-Line Utilities“	In diesem Handbuch werden Installation und Konfiguration von User Management Utility f�r Sun ONE Messaging and Collaboration erl�utert. Au�erdem werden in diesem Handbuch die Befehle des User Management Utility (commadmin), einem Dienstprogramm zur Benutzerverwaltung, erl�utert, einschlie�lich Syntax und Beispiele. Bei User Management Utility handelt es sich um eine Gruppe von Befehlszeilentools zur Bereitstellung von Benutzern, Gruppen, Dom�nen und Ressourcen f�r Messaging Server und Calendar Server mit Identity Server 6.1.
Sun ONE Messaging and Collaboration 6.0 Schema Reference Manual (http://docs.sun.com/doc/816-6710-10)	Kapitel 1, „Overview“ – Data Model for Sun ONE LDAP Schema, v.2	Lesen Sie dieses Handbuch, wenn Sie Sun ONE Messaging Server oder Sun ONE Calendar Server �ber LDAP bereitstellen m�chten. Dieses Handbuch richtet sich an folgende Zielgruppe: Systemarchitekten, die benutzerdefinierte Bereitstellungstools entwickeln m�chten, die als Schnittstelle zwischen Messaging und Collaboration-Produkteintr�gen im LDAP-Verzeichnis und der entsprechenden Quelle von Benutzern, Gruppen und Dom�neninformationen fungieren (z. B. einer Unternehmensdatenbank oder einem Rechnungssystem). Siteadministratoren, die erfahren m�chten, wie Dom�nen-, Benutzer-, Gruppen- oder Ressourceneintr�ge mit LDAP erstellt werden.
Sun ONE Calendar Server 6.0 Administrator’s Guide (http://docs.sun.com/doc/816-6708-10)	Kapitel 2, „Managing Calendar Server Users and Calendars“ – Provisioning New Calendar Server Users	Dieser Abschnitt enth�lt folgende Informationen hinsichtlich der Bereitstellung neuer Calendar Server-Benutzer: Directory Server-Anforderungen Calendar-Bezeichner (calids) �berpr�fen der Aktivierung eines Benutzers f�r Kalender-Funktionen Bereitstellen eines neuen Benutzers Erstellen eines neuen Kalenders
Sun ONE Calendar Server 6.0 Release Notes (http://docs/sun.com/doc/816-6715-10)	„New LDAP Schema Version“	In diesem Dokument finden Sie Informationen zur Unterst�tzung f�r Schema v.2 und Verweise auf das Messaging Server 6.0 Schema Reference Manual.
Sun ONE Messaging Server 6.0 Release Notes (http://docs.sun.com/doc/816-6736-10)	Gesamtes Dokument	In diesem Dokument werden brandaktuelle Entwicklungen hinsichtlich des commadmin-Dienstprogramms erl�utert.

Produktkomponenten-Bereitstellungstools

In der nachfolgenden Tabelle werden die Bereitstellungstools f�r Sun ONE-Produktkomponenten erl�utert.

Tabelle 11–7 Produktkomponenten-Bereitstellungstools
Produktkomponente	Tools	Beschreibung
Calendar Server und Messaging Server	commadmin	Erm�glicht Ihnen die Verwaltung unterschiedlicher Kommunikationsdienste f�r Benutzer, Gruppen, Dom�nen und Organisationen. F�r die Minimalbereitstellung k�nnen Sie auch ldapmodify, und Identity Server-Dienste verwenden.
Directory Server	ldapmodify	�ber den Befehl ldapmodify k�nnen Sie Verzeichnisinhalte hinzuf�gen, bearbeiten und l�schen. Verwenden Sie ldapmodify, um sowohl die Konfigurationseinstr�ge des Servers als auch die Daten in den Benutzereintr�gen zu verwalten. Mit ldapmodify k�nnen Sie Skripten f�r die Sammelverwaltung von einem oder mehreren Verzeichnissen schreiben.
Directory Server	Sun ONE Server Console	Sun ONE Server Console erm�glicht Ihnen die grafische Verwaltung von Sun ONE-Software in Ihrem Unternehmen.
Identity Server	amadmin	Mit dem Befehl amadmin k�nnen Sie den DIT aktualisieren, indem Sie XML-Dienstdateien in Directory Server laden. Mit dem Befehl amadmin k�nnen Sie au�erdem Batch-Administrationsaufgaben f�r den DIT durchf�hren.
Identity Server	Identity Server-Konsole	In der Identity Server-Konsole wird die XML (eXtensible Markup Language) grafisch dargestellt, die zur Aktualisierung des DIT verwendet wird. Hinweis: Der Befehl ldapmodify kann auch anstelle des Befehls amadmin verwendet werden.
Portal Server	dpadmin	Erm�glicht das Abrufen, Hinzuf�gen, �ndern und Entfernen von Anzeigeprofilobjekten aus einem Anzeigeprofildokument. S�mtliche Interaktionen mit den Anzeigeprofilobjekten m�ssen im jeweiligen nativen XML-Format erfolgen. Der Befehl dpadmin muss stets in Kombination mit den Identity Server-Tools verwendet werden.