| Sun Java Enterprise System 2003Q4 Manuel d'installation |
Annexe G
Configuration d'utilisateurs avec Identity ServerCette annexe inclut des informations sur les concepts et les t�ches importantes associ�s � la configuration d'utilisateurs dans Messaging Server et Calendar Server � l'aide d'Identity Server.
Elle se compose des sections suivantes :
Remarque
Cette annexe explique comment proc�der � une configuration minimale des entr�es utilisateur LDAP de Messaging Server et Calendar Server avec les services Identity Server. �tant donn� que l'interface ne permet pas de valider les saisies, des entr�es utilisateur ne pouvant pas recevoir d'e-mails ou pr�sentant d'autres dysfonctionnements peuvent �tre cr��es sans qu'aucune erreur ne soit g�n�r�e. Pour cette raison, cette interface ne doit �tre utilis�e qu'� des fins de d�monstration.
L'interface commadmin, d�crite dans le manuel Sun ONE Messaging and Collaboration 1.0 User Management Utility Installation and Reference Guide (http://docs.sun.com/doc/817-4216-10), est recommand�e pour la configuration des utilisateurs de Messaging Server et Calendar Server.
Pr�sentation de la configuration d'utilisateurs avec Identity ServerDans les versions pr�c�dentes, les utilisateurs de Messaging Server et Calendar Server �taient configur�s � l'aide des commandes ldapmodify ou d'iPlanet Delegated Administrator. Dans Identity Server 6.1, les t�ches de configuration des utilisateurs de Messaging Server et Calendar Server sont progressivement transf�r�es vers ce composant partag�. Java Enterprise System s'accompagne, pour la version 2 du sch�ma LDAP de Sun ONE, de l'outil de configuration User Management Utility (Utilitaire Gestion des utilisateurs) d�nomm� commadmin.
Identity Server 6.1 offre suffisamment de fonctionnalit�s pour r�pondre aux besoins �l�mentaires de configuration des agendas et de la messagerie. Il r�alise cette configuration gr�ce � son m�canisme extensible de gestion des donn�es LDAP, appel� services Identity Server. En d�finissant un service Identity Server, vous automatisez des op�rations arbitraires sur les attributs et les classes d'objets LDAP et les int�grez � la structure d'Identity Server. Les services doivent disposer des informations suivantes :
Le manuel Sun ONE Messaging and Collaboration 6.0 Schema Reference Manual (http://docs.sun.com/doc/816-6710-10) d�taille les classes d'objets et valeurs d'attribut requises pour Messaging Server et Calendar Server. À l'aide de ce manuel et du guide Sun ONE Identity Server 6.1 Customization and API Guide (http://docs.sun.com/doc/816-6774-10), vous pouvez automatiser les op�rations �l�mentaires n�cessaires en mati�re de configuration d'utilisateurs en d�finissant vos propres services d'agenda et de messagerie dans Identity Server.
Identity Server est fourni avec un exemple de d�finition de service XML qui pr�sente comment proc�der � une configuration minimale des utilisateurs d'agenda et de messagerie par l'interm�diaire de la console Identity Server. Pour plus d'informations, reportez-vous � la section « D�finition et extension d'un service Identity Server pour la configuration de la messagerie ».
Vous pouvez configurer les utilisateurs pour chaque composant en leur affectant le service de composant correspondant. Vous pouvez les configurer individuellement via la console Identity Server, et par groupes avec la commande amadmin ou ldapmodify.
À propos de la console Identity Server
Les services Identity Server fournissent une repr�sentation HTML d'une entr�e LDAP. Cette repr�sentation appara�t comme un formulaire HTML dans le cadre de droite de la console Identity Server.
Les services Identity Server vous permettent de regrouper et de configurer des ensembles de classes d'objets, ainsi que des attributs, tout en n'affichant qu'un sous-ensemble d'attributs sur la console. Ils constituent une interface publique dont le but est d'�tendre les fonctionnalit�s d'administration d'Identity Server.
Exemple de configuration des utilisateurs de Java Enterprise System � l'aide des services Identity ServerCette section donne un exemple de proc�dure � suivre pour configurer les utilisateurs de Messaging Server et de Calendar Server � l'aide de la console Identity Server. Cet exemple se base sur un exemple de service Messaging Server fourni avec Identity Server. Cet exemple de service figure dans le r�pertoire base_svr_is/SUNWam/samples/integration/user.
Dans cet exemple, vous trouverez des informations sur la proc�dure de personnalisation de la console Identity Server en vue de r�aliser une configuration LDAP g�n�rique. Il ne fournit que les attributs et classes d'objets de base n�cessaires pour qu'un utilisateur cr�� dans Identity Server puisse se connecter � Messaging Server et � Calendar Server. Il ne vise pas � pr�senter de mani�re exhaustive la configuration des produits Communications.
Afin que cet exemple fonctionne, vous devez installer Calendar Server, Identity Server et Messaging Server sur le m�me serveur Directory Server, et tous doivent utiliser la m�me arborescence DIT compatible avec la version 2 du sch�ma LDAP de Sun ONE.
Cet exemple vous explique comment ajouter de nouveaux attributs � un utilisateur de Java Enterprise System afin de pouvoir les g�rer dans la page Utilisateur d'Identity Server. Deux m�thodes sont mises � votre disposition :
Les instructions de cette section se basent sur la seconde m�thode. Elles d�crivent deux nouveaux services qui permettront de proc�der � une configuration minimale des utilisateurs d'Identity Server pour Messaging Server et Calendar Server.
Remarque
Ces exemples de service vous montrent comment automatiser les t�ches de gestion des donn�es � l'aide d'Identity Server. Ces services ne g�rent que les besoins �l�mentaires de configuration des utilisateurs de Calendar Server et de Messaging Server ; ils n'ont pas pour but d'apporter une solution de configuration compl�te.
Si vous souhaitez activer l'int�gralit� des fonctions utilisateur et �tre s�r de d�finir les valeurs correctes, reportez-vous aux documentations de configuration de Calendar Server et de Messaging Server. Pour conna�tre la liste de ces documentations, consultez la section « R�f�rences en mati�re de configuration d'utilisateurs, de sch�ma et d'outils ».
Principales �tapes � suivre pour d�finir un nouveau service de configuration d'Identity Server
La d�finition d'un service Identity Server implique cinq op�rations :
Les sections suivantes reprennent ces �tapes en d�tail.
Identification de la configuration LDAP de votre application
La plupart des applications utilisant LDAP requi�rent une configuration sp�cifique pour les entr�es utilisateur, notamment :
Pour plus d'informations sur les classes d'objets et les groupes d'attributs qui leur sont associ�s, reportez-vous au manuel Sun ONE Messaging and Collaboration 6.0 Schema Reference Manual (http://docs.sun.com/doc/816-6710-10).
Le Tableau G-1 indique la configuration LDAP utilisateur telle qu'elle est d�finie dans la documentation du composant Messaging Server. Sa colonne de gauche contient une entr�e utilisateur standard de Messaging Server. Certains de ces attributs et classes d'objets sont des donn�es principales de Directory Server et Identity Server les g�re d�j�.
D�finition d'un service Identity Server
Identity Server fournit une interface extensible pour la gestion des donn�es LDAP, vous permettant de d�finir un nouveau service Identity Server pour g�rer les entr�es utilisateur LDAP. Avec ce service, vous configurez les utilisateurs de messagerie et d'agenda.
Pour obtenir des informations sur la cr�ation des services Identity Server, reportez-vous au chapitre 6, « Service Management » (Gestion des services) du manuel Sun ONE Identity Server 6.1 Customization and API Guide (http://docs.sun.com/doc/816-6774-10).
La d�finition d'un service Identity Server implique six op�rations :
- cr�ation d'un fichier XML � partir d'exemples ;
- ajout des classes d'objets requises de Messaging Server ou de Calendar Server sous la section Global ;
- ajout d'un minimum d'attributs de Messaging Server et de Calendar Server sous la section Utilisateur ;
- importation de la d�finition du service XML ;
- copie du fichier des propri�t�s des param�tres r�gionaux (Locale) dans le r�pertoire d'installation d'Identity Server ;
- red�marrage d'Identity Server.
Pour plus d'informations, reportez-vous � la section « D�finition et extension d'un service Identity Server pour la configuration de la messagerie ».
Cr�ation d'un exemple d'utilisateur de Java Enterprise SystemCette section explique comment cr�er rapidement un exemple d'utilisateur de Java Enterprise System afin d'illustrer la gestion d'un compte d'utilisateur de Java Enterprise System via Identity Server. Elle suppose que vous connaissiez les technologies et concepts Java Enterprise System.
Pour cr�er un exemple d'utilisateur de Java Enterprise System
- Installez et configurez Identity Server, Portal Server, Messaging Server, Calendar Server, Directory Server et Administration Server, en respectant l'ordre suivant :
- Installez Directory Server avant ou pendant l'installation d'Identity Server.
- Installez Portal Server avant ou pendant l'installation d'Identity Server.
- Installez Administration Server avant ou pendant l'installation de Messaging Server et de Calendar Server.
- Pour Identity Server, indiquez l'organisation par d�faut sous la forme dc=example,dc=com.
- Ex�cutez les outils de configuration de Messaging Server et de Calendar Server, en sp�cifiant dcroot sous la forme dc=example,dc=com et Default Organization comme arborescence des utilisateurs. L'organisation suivante est alors cr��e : o=Default Organization,dc=example,dc=com. La configuration de Messaging Server et de Calendar Server entra�ne le chargement du sch�ma Messaging and Collaboration requis dans Directory Server.
- Mettez � jour les nouvelles organisation et unit� d'organisation de sorte qu'elles contiennent les classes d'objets d'Identity Server.
La branche Default Organization ayant �t� cr��e en dehors d'Identity Server, vous devez la mettre � jour avant que le composant Identity Server puisse s'en servir. Ex�cutez la commande ldapmodify comme suit pour marquer ou=People,o=Default Organization,dc=example,dc=com avec la classe d'objets iplanet-am-managed-people-container :
- Chargez l'exemple de service Messaging Server dans Identity Server. L'exemple de fichier XML se trouve dans le r�pertoire racine d'installation d'Identity Server.
Par exemple :
cd /opt/SUNWam/samples/integration
/opt/SUNWam/bin/amadmin --runasdn "uid=amAdmin,ou=People,o=Default Organization,dc=example,dc=com" --password mot_de_passe --schema sampleMailServerService.xml
- Copiez le fichier de propri�t�s associ�, qui rend possible la localisation, dans le r�pertoire locale.
cp sampleMailServerService.properties /opt/SUNWam/locale
- Acc�dez � la console Identity Server � l'adresse URL suivante :
http://serveur_Web:port/amconsole
- Enregistrez le nouveau service sous l'onglet Services.
- Enregistrez le nouveau service dans chaque organisation, jusqu'� o=Default Organization,dc=example,dc=com.
Celui-ci doit appara�tre sous l'option Services de l'organisation example->Default Organization.
Lorsque vous cr�ez un service via Identity Server, ajoutez le service Messaging Server et v�rifiez que tous les attributs de Messaging Server requis ont �t� d�finis.
Configuration des utilisateurs � l'aide de la commande LDAP ModifyL'utilitaire de ligne de commande ldapmodify, fourni avec Solaris™ et Directory Server, a une action sur les entr�es LDAP en utilisant le format LDIF (Lightweight Directory Interchange Format). Dans l'exemple de cette section, les hypoth�ses suivantes sont avanc�es :
- Identity Server et Messaging Server ont �t� install�s dans la m�me structure d'annuaires.
- Toutes les entr�es de l'organisation ont �t� mises � jour de sorte qu'Identity Server et Messaging Server disposent des classes d'objets n�cessaires.
- Un utilisateur user1 a �t� cr�� � l'aide de la console Identity Server.
Avant modification, l'entr�e utilisateur de la base LDAP ressemble � ce qui suit (les classes d'objets en caract�res gras sont propres � Identity Server) :
./ldapsearch -b dc=example,dc=com -D "cn=directory manager" -w mot_de_passe -h localhost -s sub "uid=user1"
uid=user1,ou=People,o=DefaultMailOrg,dc=example,dc=com
sn=user1
cn=user1
iplanet-am-modifiable-by=cn=Top-level Admin Role,dc=example,dc=com
inetUserStatus=Active
uid=user1
objectClass=iplanet-am-user-service
objectClass=inetAdmin
objectClass=iPlanetPreferences
objectClass=inetOrgPerson
objectClass=organizationalPerson
objectClass=person
objectClass=iplanet-am-managed-person
objectClass=inetuser
objectClass=top
userPassword={SSHA}yitmE0+srF68Q7u52ggzxqnkAUY0FxMc+jkXYA==
iplanet-am-user-login-status=Active
Si vous comparez les classes d'objets avec celles de la liste des classes requises (voir le Tableau 11-4), vous pouvez constater que l'utilisateur n'est configur� que pour acc�der � Identity Server.
# ldapmodify -D "cn=directory manager" -w mot_de_passe dn: uid=user1,ou=People,o=DefaultMailOrg,dc=example,dc=com
changetype: modify
add: objectclass
objectclass: ipuser
objectclass: userpresenceprofile
objectclass: inetmailuser
objectclass: inetlocalmailrecipient
-
modifying entry uid=user1,ou=People,o=DefaultMailOrg,dc=example,dc=com
Apr�s modification, l'entr�e utilisateur de la base LDAP se pr�sente comme suit (les classes d'objets en caract�res gras sont propres � Messaging Server) :
uid=user1,ou=People,o=DefaultMailOrg,dc=example,dc=com
sn=user1
cn=user1
iplanet-am-modifiable-by=cn=Top-level Admin Role,dc=example,dc=com
inetUserStatus=Active
uid=user1
objectClass=iplanet-am-user-service
objectClass=inetAdmin
objectClass=iPlanetPreferences
objectClass=inetOrgPerson
objectClass=organizationalPerson
objectClass=person
objectClass=iplanet-am-managed-person
objectClass=inetuser
objectClass=top
objectClass=ipuser
objectClass=userpresenceprofile
objectClass=inetmailuser
objectClass=inetlocalmailrecipient
userPassword={SSHA}yitmE0+srF68Q7u52ggzxqnkAUY0FxMc+jkXYA==
iplanet-am-user-login-status=Active
À ce stade, l'utilisateur user1 peut acc�der � Messaging Server. Pour cr�er un utilisateur productif, vous pouvez �galement d�cider de d�finir divers attributs de messagerie. Ces attributs permettent d'activer les fonctions de Messaging Server. Sans eux, l'utilisateur user1 dispose de fonctions limit�es et devra faire face � un certain nombre de messages d'erreur jusqu'� ce que ces valeurs aient �t� correctement d�finies.
Remarque
L'exemple ci-dessus illustre l'une des m�thodes possibles pour ajouter la prise en charge de Messaging Server � un utilisateur existant dont l'entr�e a �t� cr��e via Identity Server. Dans la r�alit�, vous pourriez charger en une seule fois votre base d'utilisateurs en cr�ant les entr�es avec toutes ces valeurs d�j� d�finies.
En outre, cet exemple a �t� r�alis� � l'aide de la commande Solaris ldapsearch et le r�sultat n'est pas totalement compatible avec le format LDIF. Il appartient � l'ancienne notation de l'Universit� du Michigan. Lorsque vous cr�ez des lots LDIF, servez-vous de la notation LDIF standard g�n�r�e par la commande ldapsearch fournie avec Directory Server.
D�finition et extension d'un service Identity Server pour la configuration de la messagerieL'exemple donn� dans cette section permet de d�finir un service Identity Server simple avec lequel vous pouvez configurer, de mani�re minimale, un utilisateur pour qu'il puisse se connecter � Messaging Server.
La cr�ation d'un service pour une nouvelle application suppose :
L'exemple suivant est extrait du manuel Sun ONE Identity Server 6.1 Customization and API Guide (http://docs.sun.com/doc/816-6774-10), qui expose la m�thode de cr�ation d'un service. Il est comparable au fichier pr�c�demment d�crit et se r�f�re au manuel Sun ONE Messaging and Collaboration 6.0 Schema Reference Manual (http://docs.sun.com/doc/816-6710-10), qui pr�sente les classes d'objets et attributs de Messaging Server.
Exemple de code G-1 Exemple de service de messagerie
<?xml version="1.0" encoding="iso-8859-1"?>
<!--
Copyright (c) 2003 Sun Microsystems, Inc. Tous droits r�serv�s
L'utilisation du logiciel est soumise aux conditions de la licence.
-->
<!DOCTYPE ServicesConfiguration
PUBLIC "=//iPlanet//Service Management Services (SMS) 1.0 DTD//EN"
"jar://com/sun/identity/sm/sms.dtd">
<ServicesConfiguration>
<Service name="sampleMessagingServerService" version="1.0">
<Schema
serviceHierarchy="/Java Enterprise System/sampleMessagingServerService
i18nFileName="sampleMessagingServerService"
i18nKey="sample-messagingserver-service-description">
<Global>
<AttributeSchema name="serviceObjectClasses"
type="list"
syntax="string"
i18nKey="">
<DefaultValues>
<Value>ipuser</Value>
<Value>inetMailUser</Value>
<Value>inetLocalMailRecipient</Value>
<Value>nsManagedPerson</Value>
<Value>userPresenceProfile</Value>
</DefaultValues>
</AttributeSchema>
</Global>
<User>
<AttributeSchema name="mail"
type="single"
syntax="string"
any="display|required"
<DefaultValues>
<Value>username@domainname</Value>
</DefaultValues>
</AttributeSchema>
<AttributeSchema name="mailAlternateAddress"
type="list"
syntax="string"
any="display|required"
i18nKey="a102">
</AttributeSchema>
<AttributeSchema name="mailDeliveryOption"
type="multiple_choice"
uitype="radio"
syntax="string"
any="display|required"
i18nKey="a103">
<ChoiceValues>
<ChoiceValue>mailbox</ChoiceValue>
<ChoiceValue>native|unix</ChoiceValue>
<ChoiceValue>autoreply</ChoiceValue>
<ChoiceValue>program</ChoiceValue>
<ChoiceValue>forward</ChoiceValue>
</ChoiceValues>
<DefaultValues>
<Value>mailbox</Value>
</DefaultValues>
</AttributeSchema>
<AttributeSchema name="mailHost"
type="single"
syntax="string"
any="display|required"
i18nKey="a104">
<DefaultValues>
<Value>hostname.domain.com</Value>
</DefaultValues>
</AttributeSchema>
<AttributeSchema name="mailUserStatus"
type="single_choice"
syntax="string"
any="display|required"
i18nKey="a106">
<ChoiceValues>
<ChoiceValue>active</ChoiceValue>
<ChoiceValue>inactive</ChoiceValue
</ChoiceValues>
<DefaultValues>
<Value>active</Value>
</DefaultValues>
</AttributeSchema>
<AttributeSchema name="mailQuota"
type="single"
syntax="numeric"
any="display|required"
i18nKey="a107">
<DefaultValues>
<Value>-1</Value>
</DefaultValues>
</AttributeSchema>
<AttributeSchema name="mailMsgQuota"
type="single"
syntax="numeric"
any="display|required"
i18nKey="a107">
<DefaultValues>
<Value>-1</Value>
</DefaultValues>
</AttributeSchema>
<AttributeSchema name="mailMsgQuota"
type="single"
syntax="numeric"
any="display|required"
i18nKey="a108">
<DefaultValues>
<Value>100</Value>
</DefaultValues>
</AttributeSchema>
</User>
</Schema>
</Service>
</ServicesConfiguration>
Exemple de code G-2 Messages en anglais (en_US) du fichier XML de messagerie
sample-messagingserver-service-description=Messaging and Calendar Sample - Java Enterprise System
a101=Mail (username@domain)
a102=Mail Alternate Address (username@domain)
a103=Mail Delivery Option (mailbox)
a104=Mail Host (mailservername.domain.com)
a106=Mail User status (active)
a107=Mail Quota (-1)
a108=Mail Msg Quota (100)
a109=extra
Importation et enregistrement d'un exemple de service Identity ServerCette section explique comment importer et enregistrer un exemple de service Identity Server.
Pour importer un nouveau service dans Identity Server
Cette proc�dure explique comment ajouter de nouveaux attributs � l'utilisateur par la cr�ation d'un service. L'exemple de service fourni dans cet exemple contient quatre attributs d'utilisateur.
- V�rifiez que le service sampleMessagingServerService n'a pas d�j� �t� charg�. S'il l'a �t�, supprimez-le � l'aide de la commande amadmin.
base_svr_is/SUNWam/bin/amadmin --runasdn uid=amAdmin,ou=People,org_par_d�faut,suffixe_racine --password mot_de_passe --deleteservice sampleMessagingServerService
- Utilisez la commande amadmin pour importer le nouveau service sampleMessagingServerService dans Identity Server.
base_svr_is/SUNWam/bin/amadmin --runasdn uid=amAdmin,ou=People,org_par_d�faut,suffixe_racine --password mot_de_passe --schema sampleMessagingServerService.xml
- Copiez le fichier de propri�t�s sampleMessagingServerService.properties dans le r�pertoire base_svr_is/locale.
- Red�marrez Identity Server.
Exemple de script permettant de supprimer et d'importer un service Identity Server
Le script suivant vous permet de supprimer et d'importer un service Identity Server.
#!/bin/ksh
#
# Sample shell script to automate services import
#
MAIL=sampleMessagingServerService
AMHOME=/opt/SUNWam
SRC=.
ADMINUID="uid=amAdmin,ou=People,dc=example,dc=com"
ADMINPASS=password
#######
# installs service
#######
addService(){
echo
echo "-----------------------"
echo adding service "$1"
$AMHOME/bin/amadmin -u "$ADMINUID" -w $ADMINPASS --deleteservice $1
$AMHOME/bin/amadmin -u "$ADMINUID" -w $ADMINPASS -s $SRC/${1}.xml
echo copying properties file
cp $SRC/${1}.properties $AMHOME/locale
cat $AMHOME/locale/${1}.properties
}
addService $MAIL
$AMHOME/bin/amserver start
Pour enregistrer un nouveau service dans une organisation
- Connectez-vous en tant qu'administrateur � la console Identity Server.
- Enregistrez le nouvel exemple de service dans l'organisation dans laquelle vous souhaitez que les utilisateurs disposent des nouveaux attributs.
Cliquez sur le bouton d'enregistrement et s�lectionnez les nouveaux services. La nouvelle cat�gorie appara�t alors. Sous celle-ci figure le nouveau service. Cet exemple ne cr�ant que les attributs XML Global et Utilisateur, vous n'avez rien � configurer pour les organisations.
Pour attribuer de nouveaux services aux utilisateurs
Pour configurer un service pour chaque utilisateur
