Sun Java Enterprise System 2003Q4 Installation Guide |
Ap�ndice G
Provisi�n de usuarios con Identity ServerLa informaci�n contenida en este ap�ndice incluye conceptos y tareas generales acerca de la provisi�n de usuarios de Messaging Server y Calendar Server mediante Identity Server.
Este ap�ndice incluye los siguientes apartados:
Nota
Este ap�ndice proporciona una provisi�n m�nima de entradas de usuarios LDAP de Messaging Server y Calendar Server mediante los servicios de Identity Server. Debido a que la interfaz no proporciona validaciones de las entradas, las entradas de usuarios que no pueden recibir mensajes de correo electr�nico o que no funcionan por alguna raz�n, se crear�n sin que se notifique ning�n fallo. Por ello, esta interfaz s�lo debe utilizarse para realizar demostraciones.
La interfaz commadmin, descrita en Sun ONE Messaging and Collaboration 1.0 User Management Utility Installation and Reference Guide (http://docs.sun.com/doc/817-4216-10), es el mecanismo recomendado para la provisi�n de los usuarios de Messaging Server y Calendar Server.
Visi�n general acerca de la provisi�n de usuarios con Identity ServerEn las versiones anteriores, la provisi�n de los usuarios de Messaging Server y Calendar Server se llevaba a cabo mediante operaciones con ldapmodify o con iPlanet Delegated Administrator. En Identity Server 6.1, las tareas de provisi�n de usuarios de Messaging Server y Calendar Server se han migrado paulatinamente a esta utilidad compartida. Java Enterprise System proporciona la herramienta de provisi�n User Management Utility (utilidad de administraci�n de usuarios) para Sun ONE LDAP Schema, v.2, que se denomina commadmin.
Identity Server 6.1 proporciona funciones para gestionar las necesidades b�sicas de provisi�n de calendario y de correo. Identity Server lleva a cabo la provisi�n mediante su mecanismo ampliable de gesti�n de datos LDAP, que se denomina servicios de Identity Server. Al definir un servicio de Identity Server, se automatizan operaciones arbitrarias de atributos y de clases de objetos LDAP y se incorporan a la estructura de Identity Server. Los requisitos de los servicios son:
Sun ONE Messaging and Collaboration 6.0 Schema Reference Manual (http://docs.sun.com/doc/816-6710-10) recoge las clases de objetos y los valores de atributos para Messaging Server y Calendar Server. Puede usar esta gu�a, junto con Sun ONE Identity Server 6.1 Customization and API Guide (http://docs.sun.com/doc/816-6774-10), para automatizar necesidades b�sicas de provisi�n de usuarios definiendo sus propios servicios de calendario y de correo en Identity Server.
Identity Server se distribuye con una definici�n de servicio XML de ejemplo que muestra c�mo efectuar una provisi�n m�nima de usuarios de calendario y de correo mediante la consola de Identity Server. Consulte “Definici�n y extensi�n de un servicio de Identity Server para la provisi�n de Messaging Server” para obtener m�s informaci�n.
Puede proveer de usuarios para todos los productos de componentes asignando el servicio del producto de componente correspondiente a dicho usuario. Puede proveer de usuarios individuales usando la consola de Identity Server, mientras que para los conjuntos de usuarios puede usar los comandos amadmin o ldapmodify.
Acerca de la consola de Identity Server
En t�rminos sencillos, los servicios de Identity Server constituyen una representaci�n HTML de una entrada LDAP. Esta representaci�n HTML aparece como un formulario HTML en la parte derecha de la consola de Identity Server.
Los servicios de Identity Server le permiten agrupar y configurar conjuntos de clases de objetos, adem�s de los atributos con s�lo exponer un subconjunto de los atributos en la interfaz de la consola. Los servicios de Identity Server son una interfaz p�blica destinada a habilitar la ampliaci�n de las utilidades de administraci�n de Identity Server.
Ejemplo de provisi�n de usuarios de Java Enterprise System usando los servicios de Identity ServerEste apartado describe un ejemplo de provisi�n de usuarios de Messaging Server y Calendar Server mediante la consola de Identity Server. Este ejemplo se puede comparar con el del servicio de Messaging Server de muestra que se distribuye con Identity Server. Puede encontrar este servicio de ejemplo en el directorio is_svr_base/ SUNWam/samples/integration/user.
Este ejemplo proporciona informaci�n sobre c�mo personalizar la consola de Identity Server para efectuar provisiones LDAP gen�ricas. El ejemplo proporciona s�lo las clases de objetos y los atributos b�sicos que se requieren para habilitar a un usuario creado en Identity Server para que pueda iniciar sesi�n en Messaging Server y Calendar Server. No se pretende proporcionar una representaci�n completa de la provisi�n de los productos de comunicaciones.
Para que este ejemplo funcione, debe instalar Calendar Server, Identity Server y Messaging Server en el mismo Directory Server y todos deben estar usando el mismo DIT de Sun ONE LDAP Schema v.2.
Este ejemplo explica c�mo agregar nuevos atributos a los usuarios de Java Enterprise System de forma que pueda administrar los atributos nuevos usando la p�gina “Usuario” de Identity Server. Puede usar estos dos m�todos:
Las instrucciones que aparecen en este apartado usan el m�todo descrito en el segundo punto. Las instrucciones describen dos servicios nuevos a los que se proveer�n de los usuarios m�nimos de Identity Server para Messaging Server y Calendar Server.
Nota
Estos servicios de ejemplo muestran la forma de automatizar las tareas de administraci�n de datos usando Identity Server. Estos servicios est�n destinados a satisfacer las necesidades b�sicas de los usuarios de Calendar Server y Messaging Server, por lo que no constituyen una soluci�n completa de provisi�n.
Para habilitar completamente las funciones de usuario y garantizar la definici�n de los valores correctos, consulte la documentaci�n de Calendar Server y Messaging Server acerca de la provisi�n. Consulte “Referencias sobre provisi�n de usuarios, esquemas y herramientas” para obtener un listado de esta documentaci�n.
Pasos generales para definir un nuevo servicio de provisi�n de Identity Server
La definici�n de un nuevo servicio de provisi�n de Identity Server lleva consigo estas cinco operaciones:
En los siguientes apartados se describen estos pasos generales con mayor detalle.
Identificaci�n de los requisitos LDAP de su aplicaci�n
La mayor�a de las aplicaciones que usan LDAP disponen de ciertos requisitos de entradas, entre los que se incluyen los siguientes:
Para obtener m�s informaci�n acerca de las clases de objetos y sus respectivos conjuntos de atributos, consulte Sun ONE Messaging and Collaboration 6.0 Schema Reference Manual (http://docs.sun.com/doc/816-6710-10).
En la Tabla G-1 se hace uso de los requisitos LDAP de usuario, tal y como se especifica en la documentaci�n del producto Messaging Server. En la parte izquierda de la tabla se muestran las entradas normales de usuario de Messaging Server. Algunas de estas clases de objetos y atributos son b�sicas para Directory Server, por lo que Identity Server ya los administra.
Definici�n de un servicio de Identity Server
Identity Server proporciona una interfaz ampliable para administrar datos LDAP, lo que le permite definir un nuevo servicio de Identity Server para administrar entradas LDAP de usuario. A trav�s de este servicio puede proveer de usuarios de correo y calendario.
Para obtener informaci�n acerca de la creaci�n de un servicio de Identity Server, consulte Sun ONE Identity Server 6.1 Customization and API Guide (http://docs.sun.com/doc/816-6774-10), cap�tulo 6, “Service Management”.
La definici�n de un nuevo servicio de Identity Server lleva consigo estas seis operaciones:
- Composici�n de un archivo XML bas�ndose en los ejemplos.
- Adici�n de las clases de objetos de Messaging Server o Calendar Server que sean necesarias en la secci�n “Global”.
- Adici�n de atributos m�nimos de Messaging Server y Calendar Server en la secci�n “Usuario”.
- Importaci�n de la definici�n del servicio XML.
- Copia del archivo de propiedades de configuraci�n local en el directorio de instalaci�n de Identity Server.
- Reinicio de Identity Server.
Consulte “Definici�n y extensi�n de un servicio de Identity Server para la provisi�n de Messaging Server” para obtener m�s informaci�n.
Creaci�n de un usuario de Java Enterprise System de ejemploEste apartado describe una forma r�pida de crear un usuario de Java Enterprise System de ejemplo para ilustrar la administraci�n de cuentas de usuario de
Java Enterprise System mediante Identity Server. En este apartado se considera que usted conoce los conceptos y las tecnolog�as de Java Enterprise System.Para crear un usuario de Java Enterprise System de ejemplo
- Instale y configure Identity Server, Portal Server, Messaging Server, Calendar Server, Directory Server y Administration Server siguiendo estas secuencias:
- Instale Directory Server antes o durante la instalaci�n de Identity Server.
- Instale Portal Server antes o durante la instalaci�n de Identity Server.
- Instale Administration Server antes o durante las instalaciones de Messaging Server y Calendar Server.
- Para Identity Server, especifique la organizaci�n predeterminada como dc=example,dc=com.
- Ejecute las herramientas de configuraci�n de Messaging Server
y Calendar Server, especificando dcroot como dc=example,dc=com y Default Organization como �rbol de usuarios. Estas acciones crean la siguiente organizaci�n: o=Default Organization,dc=example,dc=com. La configuraci�n de Messaging Server y Calendar Server carga el esquema requerido Messaging and Collaboration en Directory Server.- Actualice la organizaci�n y la unidad de organizaci�n nueva para que alberguen las clases de objetos de Identity Server.
Dado que la secci�n “Default Organization” se cre� fuera de Identity Server, ahora es necesario actualizarla para que Identity Server pueda usarla. Ejecute el comando ldapmodify de la forma que sigue para marcar ou=People,o=Default Organization,dc=example,dc=com con la clase de objeto iplanet-am-managed-people-container:
- Cargue el servicio de Messaging Server de ejemplo en Identity Server. El archivo XML de ejemplo se incluye en el directorio ra�z de instalaci�n de Identity Server.
Por ejemplo:
cd /opt/SUNWam/samples/integration
/opt/SUNWam/bin/amadmin --runasdn "uid=amAdmin,ou=People,o=Default Organization,dc=example,dc=com" --password password --schema sampleMailServerService.xml
- Copie el archivo de propiedades asociado, que hace posible la traducci�n, en el directorio locale.
cp sampleMailServerService.properties /opt/SUNWam/locale
- Acceda a la consola de Identity Server desde la URL siguiente:
http://webserver:port/amconsole
- Registre el nuevo servicio en la ficha “Servicios”.
- Registre el nuevo servicio con cada organizaci�n en o=Default Organization,dc=example,dc=com.
El nuevo servicio debe estar visible en la opci�n “Servicios” para la organizaci�n example->Default Organization.
Cuando cree un nuevo servicio usando Identity Server, agregue el servicio de Messaging Server y aseg�rese de que se han rellenado todos los atributos requeridos de Messaging Server.
Provisi�n de usuarios usando el comando de modificaci�n de LDAPLa utilidad de l�nea de comando ldapmodify, que se proporciona con Solaris y con Directory Server, funciona con entradas LDAP usando el formato ligero de intercambio de directorios (LDIF, del ingl�s Lightweight Directory Interchange Format). En el ejemplo de este apartado se considera que:
- Identity Server y Messaging Server est�n instalados en la misma estructura de directorio;
- todas las entradas de organizaci�n se han actualizado para que tanto Identity Server como Messaging Server tengan las clases de objetos necesarias;
- se ha creado un usuario user1 usando la consola de Identity Server.
Antes de realizar cambios, la entrada del usuario en LDAP tiene este aspecto. (Las clases de objetos en negrita son espec�ficas de Identity Server.)
./ldapsearch -b dc=example,dc=com -D "cn=directory manager" -w password -h localhost -s sub "uid=user1"
uid=user1,ou=People,o=DefaultMailOrg,dc=example,dc=com
sn=user1
cn=user1
iplanet-am-modifiable-by=cn=Top-level Admin Role,dc=example,dc=com
inetUserStatus=Active
uid=user1
objectClass=iplanet-am-user-service
objectClass=inetAdmin
objectClass=iPlanetPreferences
objectClass=inetOrgPerson
objectClass=organizationalPerson
objectClass=person
objectClass=iplanet-am-managed-person
objectClass=inetuser
objectClass=top
userPassword={SSHA}yitmE0+srF68Q7u52ggzxqnkAUY0FxMc+jkXYA==
iplanet-am-user-login-status=Active
Al comparar las clases de objetos con la lista de clases de objetos requeridas (consulte la Tabla 11-4), se observa que el usuario s�lo est� configurado para acceder a Identity Server.
# ldapmodify -D "cn=directory manager" -w password dn: uid=user1,ou=People,o=DefaultMailOrg,dc=example,dc=com
changetype: modify
add: objectclass
objectclass: ipuser
objectclass: userpresenceprofile
objectclass: inetmailuser
objectclass: inetlocalmailrecipient
-
modifying entry uid=user1,ou=People,o=DefaultMailOrg,dc=example,dc=com
Despu�s de realizar los cambios, la entrada del usuario en LDAP tiene este aspecto. (Las clases de objetos en negrita son espec�ficas de Messaging Server.)
uid=user1,ou=People,o=DefaultMailOrg,dc=example,dc=com
sn=user1
cn=user1
iplanet-am-modifiable-by=cn=Top-level Admin Role,dc=example,dc=com
inetUserStatus=Active
uid=user1
objectClass=iplanet-am-user-service
objectClass=inetAdmin
objectClass=iPlanetPreferences
objectClass=inetOrgPerson
objectClass=organizationalPerson
objectClass=person
objectClass=iplanet-am-managed-person
objectClass=inetuser
objectClass=top
objectClass=ipuser
objectClass=userpresenceprofile
objectClass=inetmailuser
objectClass=inetlocalmailrecipient
userPassword={SSHA}yitmE0+srF68Q7u52ggzxqnkAUY0FxMc+jkXYA==
iplanet-am-user-login-status=Active
En este momento, el usuario user1 puede acceder a Messaging Server. Para la creaci�n de usuarios de producci�n, es posible que desee establecer diferentes atributos de correo. Estos atributos son necesarios para habilitar las funciones de Messaging Server. El usuario user1 s�lo tiene funciones limitadas, por lo que se mostrar�n mensajes de error hasta que se definan correctamente estos valores.
Nota
El ejemplo anterior muestra una forma de agregar compatibilidad con Messaging Server a un usuario existente cuya entrada se cre� mediante Identity Server. En una implementaci�n real, puede que desee cargar mediante lotes la base de usuarios creando entradas de usuario con todos estos valores ya establecidos.
Tambi�n, este ejemplo se cre� con el comando ldapsearch de Solaris, y el resultado no es totalmente compatible con LDIF. El resultado utiliza la antigua notaci�n de la universidad de Michigan. Cuando cree lotes LDIF, use la notaci�n est�ndar LDIF, tal y como la genera el comando ldapsearch que se proporciona con Directory Server.
Definici�n y extensi�n de un servicio de Identity Server para la provisi�n de Messaging ServerEl ejemplo que aparece en este apartado define un servicio sencillo de Identity Server que permite proveer de forma m�nima a un usuario existente para que pueda iniciar sesi�n en Messaging Server.
La creaci�n de un servicio para una nueva aplicaci�n requiere:
El siguiente ejemplo se basa en Sun ONE Identity Server 6.1 Customization and API Guide (http://docs.sun.com/doc/816-6774-10), que describe la creaci�n de un servicio. Este ejemplo se puede comparar con el archivo descrito anteriormente y se sirve de Sun ONE Messaging and Collaboration 6.0 Schema Reference Manual (http://docs.sun.com/doc/816-6710-10), que describe las clases de objetos y los atributos de Messaging Server.
Ejemplo de c�digo G-1 Ejemplo de servicio de correo
<?xml version="1.0" encoding="iso-8859-1"?>
<!--
Copyright (c) 2003 Sun Microsystems, Inc. All rights reserved
Use is subject to license terms.
-->
<!DOCTYPE ServicesConfiguration
PUBLIC "=//iPlanet//Service Management Services (SMS) 1.0 DTD//EN"
"jar://com/sun/identity/sm/sms.dtd">
<ServicesConfiguration>
<Service name="sampleMessagingServerService" version="1.0">
<Esquema
serviceHierarchy="/Java Enterprise System/sampleMessagingServerService
i18nFileName="sampleMessagingServerService"
i18nKey="sample-messagingserver-service-description">
<Global>
<AttributeSchema name="serviceObjectClasses"
type="list"
syntax="string"
i18nKey="">
<DefaultValues>
<Value>ipuser</Value>
<Value>inetMailUser</Value>
<Value>inetLocalMailRecipient</Value>
<Value>nsManagedPerson</Value>
<Value>userPresenceProfile</Value>
</DefaultValues>
</AttributeSchema>
</Global>
<User>
<AttributeSchema name="mail"
type="single"
syntax="string"
any="display|required"
<DefaultValues>
<Value>username@domainname</Value>
</DefaultValues>
</AttributeSchema>
<AttributeSchema name="mailAlternateAddress"
type="list"
syntax="string"
any="display|required"
i18nKey="a102">
</AttributeSchema>
<AttributeSchema name="mailDeliveryOption"
type="multiple_choice"
uitype="radio"
syntax="string"
any="display|required"
i18nKey="a103">
<ChoiceValues>
<ChoiceValue>mailbox</ChoiceValue>
<ChoiceValue>native|unix</ChoiceValue>
<ChoiceValue>autoreply</ChoiceValue>
<ChoiceValue>program</ChoiceValue>
<ChoiceValue>forward</ChoiceValue>
</ChoiceValues>
<DefaultValues>
<Value>mailbox</Value>
</DefaultValues>
</AttributeSchema>
<AttributeSchema name="mailHost"
type="single"
syntax="string"
any="display|required"
i18nKey="a104">
<DefaultValues>
<Value>hostname.domain.com</Value>
</DefaultValues>
</AttributeSchema>
<AttributeSchema name="mailUserStatus"
type="single_choice"
syntax="string"
any="display|required"
i18nKey="a106">
<ChoiceValues>
<ChoiceValue>active</ChoiceValue>
<ChoiceValue>inactive</ChoiceValue
</ChoiceValues>
<DefaultValues>
<Value>active</Value>
</DefaultValues>
</AttributeSchema>
<AttributeSchema name="mailQuota"
type="single"
syntax="numeric"
any="display|required"
i18nKey="a107">
<DefaultValues>
<Value>-1</Value>
</DefaultValues>
</AttributeSchema>
<AttributeSchema name="mailMsgQuota"
type="single"
syntax="numeric"
any="display|required"
i18nKey="a107">
<DefaultValues>
<Value>-1</Value>
</DefaultValues>
</AttributeSchema>
<AttributeSchema name="mailMsgQuota"
type="single"
syntax="numeric"
any="display|required"
i18nKey="a108">
<DefaultValues>
<Value>100</Value>
</DefaultValues>
</AttributeSchema>
</User>
</Schema>
</Service>
</ServicesConfiguration>
Ejemplo de c�digo G-2 en_US Mensajes de configuraci�n local del archivo XML de Messaging
sample-messagingserver-service-description=Messaging and Calender Sample - Java Enterprise System
a101=Mail (username@domain)
a102=Mail Alternate Address (username@domain)
a103=Mail Delivery Option (mailbox)
a104=Mail Host (mailservername.domain.com)
a106=Mail User status (active)
a107=Mail Quota (-1)
a108=Mail Msg Quota (100)
a109=extra
Importaci�n y registro de un servicio de ejemplo de Identity ServerEste apartado describe la forma de importar y registrar un servicio de ejemplo de Identity Server.
Para importar un nuevo servicio en Identity Server
Este procedimiento explica c�mo agregar nuevos atributos al usuario creando un nuevo servicio. El servicio que aparece en este ejemplo contiene cuatro atributos de usuario.
- Aseg�rese de que sampleMessagingServerService no se haya cargado previamente. En caso de que se haya cargado, elim�nelo usando el comando amadmin.
is_svr_base/SUNWam/bin/amadmin --runasdn uid=amAdmin,ou=People,default_org,root_suffix --password password --deleteservice sampleMessagingServerService
- Use el comando amadmin para importar el nuevo servicio sampleMessagingServerService a Identity Server.
is_svr_base/SUNWam/bin/amadmin --runasdn uid=amAdmin,ou=People,default_org,root_suffix --password password --schema sampleMessagingServerService.xml
- Copie el archivo de propiedades sampleMessagingServerService.properties al directoriois_svr_base/locale.
- Reinicie Identity Server.
Secuencia de comandos de ejemplo para eliminar e importar un servicio de Identity Server
La siguiente secuencia de comandos se puede usar para eliminar e importar un servicio de Identity Server.
#!/bin/ksh
#
# Sample shell script to automate services import
#
MAIL=sampleMessagingServerService
AMHOME=/opt/SUNWam
SRC=.
ADMINUID="uid=amAdmin,ou=People,dc=example,dc=com"
ADMINPASS=password
#######
# installs service
#######
addService(){
eco
echo "-----------------------"
echo adding service "$1"
$AMHOME/bin/amadmin -u "$ADMINUID" -w $ADMINPASS --deleteservice $1
$AMHOME/bin/amadmin -u "$ADMINUID" -w $ADMINPASS -s $SRC/${1}.xml
echo copying properties file
cp $SRC/${1}.properties $AMHOME/locale
cat $AMHOME/locale/${1}.properties
}
addService $MAIL
$AMHOME/bin/amserver start
Para registrar un servicio nuevo en la organizaci�n
- Inicie sesi�n en la consola de Identity Server como administrador.
- Registre el nuevo servicio de ejemplo en la organizaci�n donde desea agregar nuevos atributos a los usuarios.
Debe hacer clic en el bot�n de registro y seleccionar los servicios nuevos. Cuando haya terminado, podr� ver la nueva categor�a. Debajo de ella ver� el nuevo servicio. Como con este ejemplo s�lo se crean atributos globales y atributos XML de usuario, no es necesario configurar nada para las organizaciones.
Para asignar un servicio nuevo a los usuarios
Para configurar un servicio para cada usuario
- Observe el conjunto de nuevos atributos que est�n disponibles para este usuario y c�mo est�n relacionados con los atributos LDAP identificados en el primer paso. El servidor de correo requiere que la mayor�a de estos atributos est�n configurados correctamente para que los usuarios puedan acceder al correo sin problemas.