Sun logo      Anterior      Contenido      �ndice      Siguiente     

Sun Java Enterprise System 2003Q4 Installation Guide

Ap�ndice G
Provisi�n de usuarios con Identity Server

La informaci�n contenida en este ap�ndice incluye conceptos y tareas generales acerca de la provisi�n de usuarios de Messaging Server y Calendar Server mediante Identity Server.

Este ap�ndice incluye los siguientes apartados:


Visi�n general acerca de la provisi�n de usuarios con Identity Server

En las versiones anteriores, la provisi�n de los usuarios de Messaging Server y Calendar Server se llevaba a cabo mediante operaciones con ldapmodify o con iPlanet Delegated Administrator. En Identity Server 6.1, las tareas de provisi�n de usuarios de Messaging Server y Calendar Server se han migrado paulatinamente a esta utilidad compartida. Java Enterprise System proporciona la herramienta de provisi�n User Management Utility (utilidad de administraci�n de usuarios) para Sun ONE LDAP Schema, v.2, que se denomina commadmin.

Identity Server 6.1 proporciona funciones para gestionar las necesidades b�sicas de provisi�n de calendario y de correo. Identity Server lleva a cabo la provisi�n mediante su mecanismo ampliable de gesti�n de datos LDAP, que se denomina servicios de Identity Server. Al definir un servicio de Identity Server, se automatizan operaciones arbitrarias de atributos y de clases de objetos LDAP y se incorporan a la estructura de Identity Server. Los requisitos de los servicios son:

Sun ONE Messaging and Collaboration 6.0 Schema Reference Manual (http://docs.sun.com/doc/816-6710-10) recoge las clases de objetos y los valores de atributos para Messaging Server y Calendar Server. Puede usar esta gu�a, junto con Sun ONE Identity Server 6.1 Customization and API Guide (http://docs.sun.com/doc/816-6774-10), para automatizar necesidades b�sicas de provisi�n de usuarios definiendo sus propios servicios de calendario y de correo en Identity Server.

Identity Server se distribuye con una definici�n de servicio XML de ejemplo que muestra c�mo efectuar una provisi�n m�nima de usuarios de calendario y de correo mediante la consola de Identity Server. Consulte “Definici�n y extensi�n de un servicio de Identity Server para la provisi�n de Messaging Server” para obtener m�s informaci�n.

Puede proveer de usuarios para todos los productos de componentes asignando el servicio del producto de componente correspondiente a dicho usuario. Puede proveer de usuarios individuales usando la consola de Identity Server, mientras que para los conjuntos de usuarios puede usar los comandos amadmin o ldapmodify.


Nota

El mecanismo de servicios de Identity Server s�lo permite satisfacer las necesidades de provisi�n m�nimas de Messaging Server y Calendar Server. Los mecanismos de servicios de Identity Server no pueden responder a todas las necesidades de Messaging Server y Calendar Server de esta versi�n. En general, no debe usar la interfaz gr�fica de usuario de la consola de Identity Server para proveer de cientos de usuarios. El mecanismo preferido para gestionar grandes conjuntos de usuarios sigue siendo el comando ldapmodify.


Acerca de la consola de Identity Server

En t�rminos sencillos, los servicios de Identity Server constituyen una representaci�n HTML de una entrada LDAP. Esta representaci�n HTML aparece como un formulario HTML en la parte derecha de la consola de Identity Server.

Los servicios de Identity Server le permiten agrupar y configurar conjuntos de clases de objetos, adem�s de los atributos con s�lo exponer un subconjunto de los atributos en la interfaz de la consola. Los servicios de Identity Server son una interfaz p�blica destinada a habilitar la ampliaci�n de las utilidades de administraci�n de Identity Server.


Ejemplo de provisi�n de usuarios de Java Enterprise System usando los servicios de Identity Server

Este apartado describe un ejemplo de provisi�n de usuarios de Messaging Server y Calendar Server mediante la consola de Identity Server. Este ejemplo se puede comparar con el del servicio de Messaging Server de muestra que se distribuye con Identity Server. Puede encontrar este servicio de ejemplo en el directorio is_svr_base/ SUNWam/samples/integration/user.

Este ejemplo proporciona informaci�n sobre c�mo personalizar la consola de Identity Server para efectuar provisiones LDAP gen�ricas. El ejemplo proporciona s�lo las clases de objetos y los atributos b�sicos que se requieren para habilitar a un usuario creado en Identity Server para que pueda iniciar sesi�n en Messaging Server y Calendar Server. No se pretende proporcionar una representaci�n completa de la provisi�n de los productos de comunicaciones.

Para que este ejemplo funcione, debe instalar Calendar Server, Identity Server y Messaging Server en el mismo Directory Server y todos deben estar usando el mismo DIT de Sun ONE LDAP Schema v.2.

Este ejemplo explica c�mo agregar nuevos atributos a los usuarios de Java Enterprise System de forma que pueda administrar los atributos nuevos usando la p�gina “Usuario” de Identity Server. Puede usar estos dos m�todos:

Las instrucciones que aparecen en este apartado usan el m�todo descrito en el segundo punto. Las instrucciones describen dos servicios nuevos a los que se proveer�n de los usuarios m�nimos de Identity Server para Messaging Server y Calendar Server.


Nota

Estos servicios de ejemplo muestran la forma de automatizar las tareas de administraci�n de datos usando Identity Server. Estos servicios est�n destinados a satisfacer las necesidades b�sicas de los usuarios de Calendar Server y Messaging Server, por lo que no constituyen una soluci�n completa de provisi�n.

Para habilitar completamente las funciones de usuario y garantizar la definici�n de los valores correctos, consulte la documentaci�n de Calendar Server y Messaging Server acerca de la provisi�n. Consulte “Referencias sobre provisi�n de usuarios, esquemas y herramientas” para obtener un listado de esta documentaci�n.


Pasos generales para definir un nuevo servicio de provisi�n de Identity Server

La definici�n de un nuevo servicio de provisi�n de Identity Server lleva consigo estas cinco operaciones:

  1. Identificaci�n de los requisitos LDAP de su aplicaci�n
  2. Definici�n de un servicio de Identity Server
  3. Importaci�n del nuevo servicio a Identity Server
  4. Registro de nuevo servicio en las organizaciones
  5. Asignaci�n de los nuevos servicios a los usuarios

En los siguientes apartados se describen estos pasos generales con mayor detalle.

Identificaci�n de los requisitos LDAP de su aplicaci�n

La mayor�a de las aplicaciones que usan LDAP disponen de ciertos requisitos de entradas, entre los que se incluyen los siguientes:

Para obtener m�s informaci�n acerca de las clases de objetos y sus respectivos conjuntos de atributos, consulte Sun ONE Messaging and Collaboration 6.0 Schema Reference Manual (http://docs.sun.com/doc/816-6710-10).

En la Tabla G-1 se hace uso de los requisitos LDAP de usuario, tal y como se especifica en la documentaci�n del producto Messaging Server. En la parte izquierda de la tabla se muestran las entradas normales de usuario de Messaging Server. Algunas de estas clases de objetos y atributos son b�sicas para Directory Server, por lo que Identity Server ya los administra.

Tabla G-1  Entrada LDAP normal para un usuario de Messaging Server 

Entrada LDAP

Cambios LDIF necesarios para modificar una entrada de usuario existente

dn: uid=scott,ou=People, dc=example,dc=com

objectClass: person

objectClass: organizationalPerson

objectClass: inetOrgPerson

objectClass: inetUser

objectClass: ipUser

objectClass: inetMailUser

objectClass: inetLocalMailRecipient

objectClass: userPresenceProfile

cn: scott mcduke

sn: mcduke

givenName: scott

mail: scott.mcduke@example.com

mailAlternateAddress: scott@domain1.example.com

mailDeliveryOption: mailbox

mailHost: mailhost.example.com

uid: scott

mailUserStatus: active

inetUserStatus: active

mailQuota: -1

mailMsgQuota: 100

userPassword:

dn:uid=scott,ou=people,dc=example,dc=com

changetype: modify

add: objectclass

objectClass: ipUser

objectClass: inetMailUser

objectClass: inetLocalMailRecipient

objectClass: userPresenceProfile

-

replace: mail

mail: scott.mcduke@example.com

-

replace: mailAlternateAddress

mailAlternateAddress: scott@domain1.example.com

-

replace: mailDeliveryOption

mailDeliveryOption: mailbox

-

replace: mailHost

mailHost: mailhost.example.com

-

replace: inetUserStatus

inetUserStatus: active

-

replace: mailUserStatus

mailUserStatus: active

-

replace: mailQuota

mailQuota: -1

-

replace: mailMsgQuota

mailMsgQuota: 100

Definici�n de un servicio de Identity Server

Identity Server proporciona una interfaz ampliable para administrar datos LDAP, lo que le permite definir un nuevo servicio de Identity Server para administrar entradas LDAP de usuario. A trav�s de este servicio puede proveer de usuarios de correo y calendario.

Para obtener informaci�n acerca de la creaci�n de un servicio de Identity Server, consulte Sun ONE Identity Server 6.1 Customization and API Guide (http://docs.sun.com/doc/816-6774-10), cap�tulo 6, “Service Management”.

La definici�n de un nuevo servicio de Identity Server lleva consigo estas seis operaciones:

  1. Composici�n de un archivo XML bas�ndose en los ejemplos.
  2. Adici�n de las clases de objetos de Messaging Server o Calendar Server que sean necesarias en la secci�n “Global”.
  3. Adici�n de atributos m�nimos de Messaging Server y Calendar Server en la secci�n “Usuario”.
  4. Importaci�n de la definici�n del servicio XML.
  5. Copia del archivo de propiedades de configuraci�n local en el directorio de instalaci�n de Identity Server.
  6. Reinicio de Identity Server.

Consulte “Definici�n y extensi�n de un servicio de Identity Server para la provisi�n de Messaging Server” para obtener m�s informaci�n.


Creaci�n de un usuario de Java Enterprise System de ejemplo

Este apartado describe una forma r�pida de crear un usuario de Java Enterprise System de ejemplo para ilustrar la administraci�n de cuentas de usuario de
Java Enterprise System mediante Identity Server. En este apartado se considera que usted conoce los conceptos y las tecnolog�as de Java Enterprise System.

    Para crear un usuario de Java Enterprise System de ejemplo
  1. Instale y configure Identity Server, Portal Server, Messaging Server, Calendar Server, Directory Server y Administration Server siguiendo estas secuencias:
    • Instale Directory Server antes o durante la instalaci�n de Identity Server.
    • Instale Portal Server antes o durante la instalaci�n de Identity Server.
    • Instale Administration Server antes o durante las instalaciones de Messaging Server y Calendar Server.
    • Para Identity Server, especifique la organizaci�n predeterminada como dc=example,dc=com.
    • Ejecute las herramientas de configuraci�n de Messaging Server
      y Calendar Server, especificando dcroot como dc=example,dc=com y Default Organization como �rbol de usuarios. Estas acciones crean la siguiente organizaci�n: o=Default Organization,dc=example,dc=com. La configuraci�n de Messaging Server y Calendar Server carga el esquema requerido Messaging and Collaboration en Directory Server.
  2. Actualice la organizaci�n y la unidad de organizaci�n nueva para que alberguen las clases de objetos de Identity Server.
  3. Dado que la secci�n “Default Organization” se cre� fuera de Identity Server, ahora es necesario actualizarla para que Identity Server pueda usarla. Ejecute el comando ldapmodify de la forma que sigue para marcar ou=People,o=Default Organization,dc=example,dc=com con la clase de objeto iplanet-am-managed-people-container:

    ldapmodify -D ”cn=Directory Manager” -w password -h directory.example.com
    dn: ou=People, o=Default Organization, dc=example,dc=com
    changetype: modify
    add: objectclass
    objectClass: iplanet-am-managed-people-container

  4. Cargue el servicio de Messaging Server de ejemplo en Identity Server. El archivo XML de ejemplo se incluye en el directorio ra�z de instalaci�n de Identity Server.
  5. Por ejemplo:

    cd /opt/SUNWam/samples/integration

    /opt/SUNWam/bin/amadmin --runasdn "uid=amAdmin,ou=People,o=Default Organization,dc=example,dc=com" --password password --schema sampleMailServerService.xml

  6. Copie el archivo de propiedades asociado, que hace posible la traducci�n, en el directorio locale.
  7. cp sampleMailServerService.properties /opt/SUNWam/locale

  8. Acceda a la consola de Identity Server desde la URL siguiente:
  9. http://webserver:port/amconsole

  10. Registre el nuevo servicio en la ficha “Servicios”.
  11. Registre el nuevo servicio con cada organizaci�n en o=Default Organization,dc=example,dc=com.
  12. El nuevo servicio debe estar visible en la opci�n “Servicios” para la organizaci�n example->Default Organization.

Cuando cree un nuevo servicio usando Identity Server, agregue el servicio de Messaging Server y aseg�rese de que se han rellenado todos los atributos requeridos de Messaging Server.


Provisi�n de usuarios usando el comando de modificaci�n de LDAP

La utilidad de l�nea de comando ldapmodify, que se proporciona con Solaris™ y con Directory Server, funciona con entradas LDAP usando el formato ligero de intercambio de directorios (LDIF, del ingl�s Lightweight Directory Interchange Format). En el ejemplo de este apartado se considera que:

Antes de realizar cambios, la entrada del usuario en LDAP tiene este aspecto. (Las clases de objetos en negrita son espec�ficas de Identity Server.)

./ldapsearch -b dc=example,dc=com -D "cn=directory manager" -w password -h localhost -s sub "uid=user1"

uid=user1,ou=People,o=DefaultMailOrg,dc=example,dc=com

sn=user1

cn=user1

iplanet-am-modifiable-by=cn=Top-level Admin Role,dc=example,dc=com

inetUserStatus=Active

uid=user1

objectClass=iplanet-am-user-service

objectClass=inetAdmin

objectClass=iPlanetPreferences

objectClass=inetOrgPerson

objectClass=organizationalPerson

objectClass=person

objectClass=iplanet-am-managed-person

objectClass=inetuser

objectClass=top

userPassword={SSHA}yitmE0+srF68Q7u52ggzxqnkAUY0FxMc+jkXYA==

iplanet-am-user-login-status=Active

Al comparar las clases de objetos con la lista de clases de objetos requeridas (consulte la Tabla 11-4), se observa que el usuario s�lo est� configurado para acceder a Identity Server.

# ldapmodify -D "cn=directory manager" -w password dn: uid=user1,ou=People,o=DefaultMailOrg,dc=example,dc=com

changetype: modify

add: objectclass

objectclass: ipuser

objectclass: userpresenceprofile

objectclass: inetmailuser

objectclass: inetlocalmailrecipient

-

modifying entry uid=user1,ou=People,o=DefaultMailOrg,dc=example,dc=com

Despu�s de realizar los cambios, la entrada del usuario en LDAP tiene este aspecto. (Las clases de objetos en negrita son espec�ficas de Messaging Server.)

uid=user1,ou=People,o=DefaultMailOrg,dc=example,dc=com

sn=user1

cn=user1

iplanet-am-modifiable-by=cn=Top-level Admin Role,dc=example,dc=com

inetUserStatus=Active

uid=user1

objectClass=iplanet-am-user-service

objectClass=inetAdmin

objectClass=iPlanetPreferences

objectClass=inetOrgPerson

objectClass=organizationalPerson

objectClass=person

objectClass=iplanet-am-managed-person

objectClass=inetuser

objectClass=top

objectClass=ipuser

objectClass=userpresenceprofile

objectClass=inetmailuser

objectClass=inetlocalmailrecipient

userPassword={SSHA}yitmE0+srF68Q7u52ggzxqnkAUY0FxMc+jkXYA==

iplanet-am-user-login-status=Active

En este momento, el usuario user1 puede acceder a Messaging Server. Para la creaci�n de usuarios de producci�n, es posible que desee establecer diferentes atributos de correo. Estos atributos son necesarios para habilitar las funciones de Messaging Server. El usuario user1 s�lo tiene funciones limitadas, por lo que se mostrar�n mensajes de error hasta que se definan correctamente estos valores.


Nota

El ejemplo anterior muestra una forma de agregar compatibilidad con Messaging Server a un usuario existente cuya entrada se cre� mediante Identity Server. En una implementaci�n real, puede que desee cargar mediante lotes la base de usuarios creando entradas de usuario con todos estos valores ya establecidos.

Tambi�n, este ejemplo se cre� con el comando ldapsearch de Solaris, y el resultado no es totalmente compatible con LDIF. El resultado utiliza la antigua notaci�n de la universidad de Michigan. Cuando cree lotes LDIF, use la notaci�n est�ndar LDIF, tal y como la genera el comando ldapsearch que se proporciona con Directory Server.



Definici�n y extensi�n de un servicio de Identity Server para la provisi�n de Messaging Server

El ejemplo que aparece en este apartado define un servicio sencillo de Identity Server que permite proveer de forma m�nima a un usuario existente para que pueda iniciar sesi�n en Messaging Server.

La creaci�n de un servicio para una nueva aplicaci�n requiere:

El siguiente ejemplo se basa en Sun ONE Identity Server 6.1 Customization and API Guide (http://docs.sun.com/doc/816-6774-10), que describe la creaci�n de un servicio. Este ejemplo se puede comparar con el archivo descrito anteriormente y se sirve de Sun ONE Messaging and Collaboration 6.0 Schema Reference Manual (http://docs.sun.com/doc/816-6710-10), que describe las clases de objetos y los atributos de Messaging Server.

Ejemplo de c�digo G-1  Ejemplo de servicio de correo 

<?xml version="1.0" encoding="iso-8859-1"?>

<!--

  Copyright (c) 2003 Sun Microsystems, Inc. All rights reserved

  Use is subject to license terms.

-->

<!DOCTYPE ServicesConfiguration

  PUBLIC "=//iPlanet//Service Management Services (SMS) 1.0 DTD//EN"

  "jar://com/sun/identity/sm/sms.dtd">

<ServicesConfiguration>

  <Service name="sampleMessagingServerService" version="1.0">

    <Esquema

      serviceHierarchy="/Java Enterprise System/sampleMessagingServerService

      i18nFileName="sampleMessagingServerService"

      i18nKey="sample-messagingserver-service-description">

    <Global>

      <AttributeSchema name="serviceObjectClasses"

        type="list"

        syntax="string"

       i18nKey="">

      <DefaultValues>

        <Value>ipuser</Value>

        <Value>inetMailUser</Value>

        <Value>inetLocalMailRecipient</Value>

        <Value>nsManagedPerson</Value>

        <Value>userPresenceProfile</Value>

      </DefaultValues>

    </AttributeSchema>

    </Global>

    <User>

      <AttributeSchema name="mail"

        type="single"

        syntax="string"

      any="display|required"

      <DefaultValues>

      <Value>username@domainname</Value>

      </DefaultValues>

    </AttributeSchema>

    <AttributeSchema name="mailAlternateAddress"

      type="list"

      syntax="string"

      any="display|required"

      i18nKey="a102">

    </AttributeSchema>

  <AttributeSchema name="mailDeliveryOption"

      type="multiple_choice"

      uitype="radio"

      syntax="string"

      any="display|required"

      i18nKey="a103">

      <ChoiceValues>

        <ChoiceValue>mailbox</ChoiceValue>

        <ChoiceValue>native|unix</ChoiceValue>

        <ChoiceValue>autoreply</ChoiceValue>

        <ChoiceValue>program</ChoiceValue>

        <ChoiceValue>forward</ChoiceValue>

      </ChoiceValues>

      <DefaultValues>

    <Value>mailbox</Value>

    </DefaultValues>

      </AttributeSchema>

  <AttributeSchema name="mailHost"

      type="single"

      syntax="string"

      any="display|required"

      i18nKey="a104">

      <DefaultValues>

    <Value>hostname.domain.com</Value>

    </DefaultValues>

      </AttributeSchema>

      <AttributeSchema name="mailUserStatus"

      type="single_choice"

      syntax="string"

      any="display|required"

      i18nKey="a106">

      <ChoiceValues>

        <ChoiceValue>active</ChoiceValue>

        <ChoiceValue>inactive</ChoiceValue

      </ChoiceValues>

      <DefaultValues>

    <Value>active</Value>

    </DefaultValues>

      </AttributeSchema>

      <AttributeSchema name="mailQuota"

        type="single"

        syntax="numeric"

        any="display|required"

        i18nKey="a107">

        <DefaultValues>

    <Value>-1</Value>

    </DefaultValues>

      </AttributeSchema>

      <AttributeSchema name="mailMsgQuota"

        type="single"

        syntax="numeric"

        any="display|required"

        i18nKey="a107">

        <DefaultValues>

    <Value>-1</Value>

    </DefaultValues>

      </AttributeSchema>

      <AttributeSchema name="mailMsgQuota"

        type="single"

        syntax="numeric"

        any="display|required"

        i18nKey="a108">

        <DefaultValues>

    <Value>100</Value>

    </DefaultValues>

      </AttributeSchema>

    </User>

  </Schema>

 </Service>

</ServicesConfiguration>

Ejemplo de c�digo G-2  en_US Mensajes de configuraci�n local del archivo XML de Messaging

sample-messagingserver-service-description=Messaging and Calender Sample - Java Enterprise System

a101=Mail (username@domain)

a102=Mail Alternate Address (username@domain)

a103=Mail Delivery Option (mailbox)

a104=Mail Host (mailservername.domain.com)

a106=Mail User status (active)

a107=Mail Quota (-1)

a108=Mail Msg Quota (100)

a109=extra


Importaci�n y registro de un servicio de ejemplo de Identity Server

Este apartado describe la forma de importar y registrar un servicio de ejemplo de Identity Server.

    Para importar un nuevo servicio en Identity Server

Este procedimiento explica c�mo agregar nuevos atributos al usuario creando un nuevo servicio. El servicio que aparece en este ejemplo contiene cuatro atributos de usuario.

  1. Aseg�rese de que sampleMessagingServerService no se haya cargado previamente. En caso de que se haya cargado, elim�nelo usando el comando amadmin.
  2. is_svr_base/SUNWam/bin/amadmin --runasdn uid=amAdmin,ou=People,default_org,root_suffix --password password --deleteservice sampleMessagingServerService

  3. Use el comando amadmin para importar el nuevo servicio sampleMessagingServerService a Identity Server.
  4. is_svr_base/SUNWam/bin/amadmin --runasdn uid=amAdmin,ou=People,default_org,root_suffix --password password --schema sampleMessagingServerService.xml

  5. Copie el archivo de propiedades sampleMessagingServerService.properties al directoriois_svr_base/locale.
  6. Reinicie Identity Server.

Secuencia de comandos de ejemplo para eliminar e importar un servicio de Identity Server

La siguiente secuencia de comandos se puede usar para eliminar e importar un servicio de Identity Server.

#!/bin/ksh

#

# Sample shell script to automate services import

#

MAIL=sampleMessagingServerService

AMHOME=/opt/SUNWam

SRC=.

ADMINUID="uid=amAdmin,ou=People,dc=example,dc=com"

ADMINPASS=password

#######

# installs service

#######

addService(){

eco

echo "-----------------------"

echo adding service "$1"

$AMHOME/bin/amadmin -u "$ADMINUID" -w $ADMINPASS --deleteservice $1

$AMHOME/bin/amadmin -u "$ADMINUID" -w $ADMINPASS -s $SRC/${1}.xml

echo copying properties file

cp $SRC/${1}.properties $AMHOME/locale

cat $AMHOME/locale/${1}.properties

}

addService $MAIL

$AMHOME/bin/amserver start

    Para registrar un servicio nuevo en la organizaci�n
  1. Inicie sesi�n en la consola de Identity Server como administrador.
  2. Registre el nuevo servicio de ejemplo en la organizaci�n donde desea agregar nuevos atributos a los usuarios.
  3. Debe hacer clic en el bot�n de registro y seleccionar los servicios nuevos. Cuando haya terminado, podr� ver la nueva categor�a. Debajo de ella ver� el nuevo servicio. Como con este ejemplo s�lo se crean atributos globales y atributos XML de usuario, no es necesario configurar nada para las organizaciones.

    Para asignar un servicio nuevo a los usuarios
    Para configurar un servicio para cada usuario


Anterior      Contenido      �ndice      Siguiente     


Copyright 2003 Sun Microsystems, Inc. Todos los derechos reservados.