Sun logo      Pr�c�dent      Sommaire      Index      Suivant     

Sun Java Enterprise System 2003Q4 Manuel d'installation

Chapitre 12
Configuration et concepts de sch�ma pour Messaging Server 6.0

Ce chapitre d�crit les choix que vous effectuez concernant la configuration de Messaging Server 6.0 et comporte �galement des rubriques qui exposent en d�tail les concepts et technologies relatifs � la version 2 du sch�ma LDAP de Sun ONE.

Ce chapitre se compose des sections suivantes :


Arborescence DIT LDAP et Messaging Server

L'arborescence DIT (Directory Information Tree, Arborescence d'informations d'annuaire) constitue un bon syst�me d'organisation des entr�es LDAP sous forme d'arborescence contenant des nœuds, qui peuvent repr�senter des domaines, des sous-domaines, des utilisateurs ou des groupes. Les versions ant�rieures de Messaging Server reposaient sur une structure � double arborescence : arborescence de composants de domaine (DC) compos�e de nœuds de domaine pour lesquels tous les attributs de domaine utiles �taient d�finis et arborescence de l'organisation compos�e de nœuds de domaine pour lesquels tous les attributs d'utilisateurs et de groupes �taient d�finis. Ce type de structure DIT est repr�sent� par la premi�re illustration du Sch�ma 12-1. Dans cette structure, plusieurs nœuds de l'arborescence DC pouvaient faire r�f�rence � un m�me nœud de domaine de l'arborescence de l'organisation en raison des alias d�finis dans l'arborescence DC.

Messaging Server 6.0 propose une structure � arborescence unique, sans l'arborescence DC. De plus, toutes les informations relatives aux domaines sont incluses au niveau des nœuds de domaine dans l'arborescence de l'organisation. Le mod�le � double arborescence est toujours pris en charge, mais a �t� modifi� (reportez-vous � la section « Choix applicables � la version 2 du sch�ma : mode natif ou de compatibilit� »).

La seconde illustration du Sch�ma 12-1 d�crit une structure LDAP � arborescence unique. La d�finition d'alias est compl�tement diff�rente dans la nouvelle structure � arborescence DIT unique. Ce changement concerne notamment l'emplacement des informations relatives au domaine dans l'arborescence.

Sch�ma 12-1  Structures LDAP en mode natif et en mode de compatibilit�

Ce graphique �tablit une comparaison entre la structure LDAP � arborescence unique propos�e par Messaging Server 6.0 et la structure � double arborescence pr�c�demment utilis�e.[D]


Choix d'un sch�ma pour Messaging Server 6.0

Les trois choix de sch�ma possibles pour Messaging Server 6.0 sont les suivants :

Version 2 du sch�ma LDAP de Sun ONE en mode natif

Le mode par d�faut pour les nouvelles installations r�alis�es par les clients qui ne disposent pas encore d'iPlanet™ Messaging Server est la version 2 du sch�ma LDAP de Sun ONE. Il implique l'installation pr�alable d'Identity Server 6.1 avant Messaging Server 6.0.

Vous pouvez en outre choisir ce mode si vous avez d�j� install� iPlanet Messaging Server, mais que cette version vous oblige � migrer votre base de donn�es LDAP vers la structure � arborescence unique.

La configuration et l'administration sont effectu�es par le biais d'une interface de ligne de commande. Vous pouvez �galement proc�der � une configuration LDAP.

Version 2 du sch�ma LDAP de Sun ONE en mode de compatibilit�

Si vous disposez d�j� du logiciel iPlanet Messaging Server, une autre alternative s'offre � vous, � savoir l'utilisation de la version 2 du sch�ma LDAP de Sun ONE en mode de compatibilit�. Avec ce mode, la migration vers une structure � arborescence unique n'est pas n�cessaire. Vous pouvez conserver la double arborescence existante. L'emploi de ce mode suppose tout de m�me l'installation pr�alable d'Identity Server 6.1 avant Messaging Server 6.0.

La configuration et l'administration sont effectu�es par le biais d'une interface de ligne de commande. Vous pouvez �galement proc�der � une configuration LDAP.

Version 1 du sch�ma LDAP de Sun ONE

La version 1 du sch�ma LDAP de Sun ONE constitue le mode par d�faut des nouvelles installations effectu�es par les clients qui ne poss�dent pas Identity Server. Elle n�cessite l'installation d'une structure LDAP � double arborescence.

Les clients disposant d�j� du logiciel iPlanet Messaging Server peuvent d�cider de conserver la version 1 du sch�ma LDAP de Sun ONE et continuer � utiliser l'interface graphique pour la configuration et l'administration, ou pour la configuration LDAP.


Remarque

Ce guide ne d�taille la configuration LDAP que pour la version 2 du sch�ma LDAP de Sun ONE.



Identification des outils de configuration appropri�s

La section ci-apr�s pr�sente les outils de configuration ainsi que la documentation appropri�e � employer une fois le choix du sch�ma effectu�.

Elle contient les informations suivantes :

Matrice de configuration

Le Tableau 12-1 expose une matrice r�capitulant vos choix en mati�re de sch�ma, les outils de configuration disponibles et la documentation qui s'applique � chacun. Ces choix sont expliqu�s dans les sections figurant � la suite du tableau.

Vous devez indiquer, dans la premi�re colonne du tableau, si vous disposez d�j� d'une version ant�rieure de Messaging Server (iPlanet Messaging Server 5.0, 5.1 ou 5.2) et, dans la deuxi�me colonne, si vous avez install� Identity Server (si ce n'est pas le cas, vous devrez le faire avant la configuration).

Tableau 12-1  Matrice de configuration 

iPlanet Messaging Server (5.0, 5.1, 5.2) est-il install� ?

Identity Server est-il install� ?

Type de sch�ma install� par Messaging Server 6.0

Outils de configuration

Documents de r�f�rence

Non

Non

Version 1 du sch�ma LDAP de Sun ONE (par d�faut)

Administrateur d�l�gu�

iPlanet Delegated Administrator for Messaging and Collaboration 1.2 Installation and Administration Guide (http://docs.sun.com/doc/816-6011-10)

Configuration LDAP

iPlanet Messaging Server 5.2 Provisioning Guide (http://docs.sun.com/doc/816-6018-10)

Non

Oui

Version 2 du sch�ma LDAP de Sun ONE en mode natif (par d�faut)

User Management Utility (Utilitaire Gestion des utilisateurs) (commadmin)

Sun ONE Messaging and Collaboration 1.0 User Management Utility Installation and Reference Guide (http://docs.sun.com/doc/817-4216-10)

Configuration LDAP

Dans ce manuel, reportez-vous au chapitre 11, « Configuration des organisations et utilisateurs ».

Oui

Non

Version 1 du sch�ma LDAP de Sun ONE

Administrateur d�l�gu�

iPlanet Delegated Administrator for Messaging and Collaboration 1.2 Installation and Administration Guide (http://docs.sun.com/doc/816-6011-10)

Configuration LDAP

iPlanet Messaging Server 5.2 Provisioning Guide (http://docs.sun.com/doc/816-6018-10)

Oui

Oui

Version 2 du sch�ma LDAP de Sun ONE en mode natif ou de compatibilit� (au choix)

User Management Utility (Utilitaire Gestion des utilisateurs) (commadmin)

Sun ONE Messaging and Collaboration User Management Utility 1.0 Installation and Reference Guide (http://docs.sun.com/doc/817-4216-10)

Configuration LDAP

Dans ce manuel, reportez-vous au chapitre 11, « Configuration des organisations et utilisateurs ».

Identification de votre mod�le de sch�ma

Si vous ne disposez pas d'une version pr�c�dente de Messaging Server et que vous avez commenc� par installer Identity Server, l'installation de Messaging Server 6.0 se fera automatiquement avec la version 2 du sch�ma LDAP de Sun ONE, en mode natif. Si en revanche, Identity Server n'est pas encore install�, Messaging Server sera par d�faut accompagn� de la version 1 du sch�ma LDAP.

Dans le cas o� vous poss�deriez une ancienne version de Messaging Server et souhaiteriez utiliser la version 2 du sch�ma LDAP de Sun ONE, vous avez le choix entre :

Votre choix d�terminera le mod�le de recherche par d�faut qui sera utilis� par le syst�me pour les recherches LDAP, parmi les deux suivants :

Pour plus d'informations sur les deux modes associ�s � la version 2 du sch�ma LDAP de Sun ONE, reportez-vous � la section « Choix applicables � la version 2 du sch�ma : mode natif ou de compatibilit� ».

S�lection de l'outil de configuration � utiliser

Pour la version 2 du sch�ma LDAP de Sun ONE, vous pouvez soit avoir recours � l'utilitaire User Management Utility (Utilitaire Gestion des utilisateurs) de Sun ONE (commadmin), soit proc�der � une configuration LDAP en entrant directement dans l'annuaire LDAP des enregistrements LDIF.

Pour la version 1 du sch�ma, utilisez iPlanet™ Delegated Administrator ou effectuez une configuration LDAP.

Obtention d'informations compl�mentaires concernant la configuration

Pour proc�der � une configuration LDAP pour la version 2 du sch�ma LDAP de Sun ONE (aussi bien pour le mode natif que le mode de compatibilit�), consultez le pr�sent manuel. Pour plus d'informations, reportez-vous au chapitre 11, « Configuration des organisations et utilisateurs ». Si la configuration LDAP s'applique � la version 1 du sch�ma, consultez le manuel iPlanet Messaging Server 5.2 Provisioning Guide (http://docs.sun.com/doc/816-6018-10).

Si vous pr�voyez d'employer l'outil de configuration User Management Utility (Utilitaire Gestion des utilisateurs), pour la version 2 du sch�ma LDAP de Sun ONE, reportez-vous au manuel Sun ONE Messaging and Collaboration 1.0 User Management Utility Installation and Reference Guide (http://docs.sun.com/doc/817-4216-10). Si vous envisagez plut�t de vous servir de l'outil de configuration Administrateur d�l�gu�, pour la version 1 du sch�ma LDAP, consultez le manuel iPlanet Messaging Server 5.2 Provisioning Guide (http://docs.sun.com/doc/816-6018-10).


Choix applicables � la version 2 du sch�ma : mode natif ou de compatibilit�

Vous pouvez structurer votre annuaire LDAP de deux mani�res avec la version 2 du sch�ma LDAP de Sun ONE : en mode natif (conseill� car il ne comprend que l'arborescence de l'organisation) ou en mode de compatibilit� (constitu� � la fois d'une arborescence DC et d'une arborescence d'organisation et qui garantit la compatibilit� descendante avec les versions ant�rieures des produits LDAP de Sun ONE ou d'iPlanet). La configuration de votre annuaire LDAP varie suivant le mode choisi.

Avant d'opter pour l'un des modes associ�s � la version 2 du sch�ma, il vous faut prendre en compte les points suivants :

Pourquoi la structure LDAP a-t-elle �t� modifi�e ?

Java Enterprise System apporte une modification essentielle � la structure de l'annuaire LDAP en proposant une arborescence unique. Les deux principaux avantages de cette arborescence unique (mode natif) sont les suivants :

En effet, la structure LDAP � arborescence unique est nettement moins complexe que la structure � double arborescence. Comme vous pouvez le constater dans le sch�ma ci-dessous, certains nœuds de la structure � double arborescence faisaient directement r�f�rence � un nœud de l'arborescence de l'organisation (� l'aide de l'attribut inetDomainBaseDN). Les autres �taient des nœuds disposant d'un alias qui, au lieu de faire directement r�f�rence � un nœud de l'arborescence de l'organisation, �taient reli�s � un autre nœud de l'arborescence DC par le biais de l'attribut aliasedObjectName.

Sch�ma 12-2  D�finition d'alias dans la structure � double arborescence avec aliasedDomainName et inetDomainBaseDN

Ce graphique montre la structure LDAP � double arborescence, l'attribut aliasedObjectName �tant d�fini ; le nœud sesta de l'arborescence DC fait r�f�rence au nœud siroe de DC, qui lui-m�me est reli� au nœud r�el de l'arborescence de l'organisation.

Dans le sch�ma ci-dessus, le nœud sesta.com de l'arborescence DC fait r�f�rence, � l'aide de l'attribut aliasedObjectName, au nœud siroe.com de cette m�me arborescence, qui � son tour fait r�f�rence au nœud portant le m�me nom dans l'arborescence de l'organisation, � l'aide de l'attribut inetDomainBaseDN.

Par ailleurs, comme dans le sch�ma suivant, un ou plusieurs nœuds de l'arborescence DC pouvaient recourir � l'attribut inetDomainBaseDN pour faire directement r�f�rence au nœud portant un nom identique dans l'arborescence de l'organisation. Dans ce cas, il �tait indispensable de d�finir un attribut d�cisif (tie-breaker), inetCanonicalDomainName, pour l'un des nœuds de l'arborescence DC afin de d�signer le nom de domaine r�el, en d'autres termes celui du domaine dans lequel les messages �taient stock�s et vers lequel ils seraient achemin�s.

Sch�ma 12-3  Alias dans la double arborescence avec l'attribut inetCanonicalDomainName

La structure LDAP suivante comprend 2 nœuds de l'arbor. DC pointant vers le m�me nœud de celle de l'organ., l'attribut inetCanonicalDomainName �tant d�fini pour le nœud de la premi�re arbor. qui renvoie par d�faut au nœud corresp. dans celle de l'organ.

En comparaison, la nouvelle structure LDAP est beaucoup plus simple : elle ne comprend que l'arborescence de l'organisation, comme le montre le Sch�ma 12-4.

Dans cette structure � arborescence unique, les nœuds de domaine de l'arborescence de l'organisation contiennent l'ensemble des attributs de domaine qui figuraient jusqu'alors dans l'arborescence DC. Chaque nœud de domaine est identifi� par la classe d'objets sunManagedOrganization ainsi que par l'attribut sunPreferredDomain, qui inclut le nom du domaine DNS. Un nœud de domaine peut en outre disposer d'un ou de plusieurs attributs associatedDomain, qui r�pertorient les alias sous lesquels ce domaine est connu. À l'inverse de la structure � double arborescence, la structure � arborescence unique n'autorise pas les nœuds en double portant le m�me alias.

Sch�ma 12-4  Alias dans l'arborescence unique avec l'attribut associatedDomain

Ce graphique illustre le mode de traitement simplifi� des alias dans la version 2 du sch�ma de Sun ONE. L'arborescence de l'organisation comporte l'attribut associatedDomain qui agit sensiblement de la m�me mani�re que l'ancien attribut aliasedObjectName.

Mode natif : avantages et r�gression

Pour les nouvelles installations de Messaging Server, les donn�es LDAP sont d�sormais organis�es sous la forme d'une structure DIT unique. Il s'agit, en fait, de l'arborescence de l'organisation. Cette arborescence contient des entr�es utilisateur, de groupes et de domaines, ainsi que des mod�les de recherche.

Avantages d'une structure DIT � arborescence unique

L'atout d'une structure DIT � arborescence unique est la possibilit� de cr�er des partitions de donn�es en vue d'un contr�le d'acc�s propre � l'organisation. En d'autres termes, dans cette structure, chaque organisation peut �tre repr�sent�e par une sous-arborescence distincte dans laquelle figurent les entr�es utilisateur et de groupes. L'acc�s � ces donn�es peut �tre restreint aux utilisateurs qui d�pendent de cette partie de la sous-arborescence. Ainsi, les applications localis�es fonctionnent en toute s�curit�.

Par ailleurs, pour les nouveaux d�ploiements de Messaging Server 6.0, une arborescence unique est plus appropri�e pour une correspondance avec les applications LDAP DIT uniques existantes.

R�gression du mode natif

Dans une structure � double arborescence, deux nœuds de domaine de l'arborescence DC pouvaient faire r�f�rence � un m�me nœud de domaine de l'arborescence de l'organisation. Il �tait possible d'affecter des valeurs d'attribut de routage diff�rentes � chacun des deux domaines de l'arborescence DC. Ce syst�me permettait, selon l'alias de domaine indiqu�, de traiter les messages et de les acheminer de fa�on diff�rente pour le m�me domaine de l'arborescence de l'organisation. �tant donn� que cette m�thode de cr�ation d'alias n'est plus valide dans une structure � arborescence unique, la fonctionnalit� n'est plus disponible.

La cr�ation d'alias s'effectue � pr�sent � l'aide de l'attribut associatedDomain et s'apparente au fonctionnement, en mode de compatibilit�, des domaines d'alias auxquels a �t� affect� l'attribut aliasedObjectName. En effet, le domaine d'alias ne poss�dait pas d'attributs de routage de domaine, mais utilisait les attributs affect�s au domaine assimil� (et dont le dn �tait inclus dans l'attribut aliasedObjectName), de sorte que l'acheminement des messages �tait identique pour le domaine d'alias et le domaine assimil�.

Conversion en mode natif

Si vous disposez d�j� de la version 1 du sch�ma de Sun ONE et d'une structure LDAP � double arborescence et que vous souhaitiez convertir celle-ci en arborescence fonctionnant en mode natif, vous devez effectuer les modifications suivantes dans l'arborescence de l'organisation.

Pour plus d'informations sur les classes d'objets et les attributs, reportez-vous au manuel Sun ONE Messaging and Collaboration 6.0 Schema Reference Manual (http://docs.sun.com/doc/816-6710-10).


Remarque

L'arborescence DC devient obsol�te, mais il n'est pas n�cessaire de la supprimer de la base de donn�es LDAP.


Mode de compatibilit� : structure � double arborescence toujours prise en charge

S'il vous faut conserver la structure � double arborescence des anciennes versions de Messaging Server, sachez que Messaging Server 6.0 la prend toujours en charge. Cela peut �tre le cas si certaines de vos applications d�pendent de cette structure LDAP � double arborescence.

Si vous d�cidez de conserver cette structure, Messaging Server utilise un mod�le compatible RFC 2247 pour rechercher les entr�es utilisateur.

La migration de la version 1 du sch�ma de Sun ONE vers le mode de compatibilit� de la version 2 est soumise aux conditions suivantes :


Mod�les de donn�es pour les modes natif et de compatibilit�

Le mod�le de donn�es de base pour les classes d'objets Sun ONE consiste � �tendre les types d'entr�e LDAP (utilisateur, groupe ou domaine) cr��s par les classes d'objets principales en les recouvrant de classes partag�es (les classes d'objets peuvent �tre partag�es par plusieurs services) et de classes d'objets propres � un service (classes applicables � un type de service particulier).

Cette relation est d�crite dans les tableaux ci-apr�s. Pour la structure LDAP � arborescence unique (arborescence de l'organisation) en mode natif, reportez-vous au tableau suivant. Dans le cas d'une structure LDAP � double arborescence (arborescence DC et arborescence de l'organisation) fonctionnant en mode de compatibilit�, consultez le Tableau 12-3.

Tableau 12-2  Types d'entr�e et classes d'objets correspondantes en mode natif 

Types

Classes principales

Classes partag�es

Classes propres � un service

Domaine

organization

domain

sunManagedOrganization

sunNameSpace

 

mailDomain

icsCalendarDomain

Utilisateur

person

inetUser

organizationalPerson

inetOrgPerson

ipUser

userPresenceProfile

iplanet-am-managed-
person

inetMailUser

inetLocalMailRecipient

Groupe

groupOfUniqueNames

iplanet-am-managed-group

iplanet-am-managed-
filtered-group

iplanet-am-managed-
assignable-group

iplanet-am-managed-
static-group

inetMailGroup

inetLocalRecipient

inetMailGroupManagement

Tableau 12-3  Types d'entr�e et classes d'objets correspondantes en mode de compatibilit� 

Types

Classes principales

Classes partag�es

Classes propres � un service

Domaine de
l'arborescence DC

domain

inetDomain

 

mailDomain

icsCalendarDomain

Domaine de
l'arborescence de l'org.

organization

 

 

Utilisateur

person

inetUser

organizationalPerson

inetOrgPerson

ipUser

userPresenceProfile

inetMailUser

inetLocalMailRecipient

Groupe

groupOfUniqueNames

 

inetMailGroup

inetLocalRecipient

inetMailGroupManagement

Si, par exemple, vous employez le type d'entr�e Utilisateur, les classes d'objets suivantes fournissent les types d'attribut ci-dessous :

person     Fournit les attributs relatifs � la description d'une personne.

organizationalPerson     Fournit les attributs relatifs � la description d'un membre d'une organisation.

inetOrgPerson     Fournit les attributs de base relatifs � un internaute.

ipUser     Contient l'attribut concernant le carnet d'adresses personnel, la classe du mod�le de service ainsi que le DN du compte familial (le cas �ch�ant).

inetUser     Repr�sente un compte d'utilisateur et est accompagn� des attributs inetMailUser et ipUser pour la cr�ation d'un compte de messagerie.

inetSubscriber     Classe d'objets facultative qui repr�sente le compte d'un abonn� et qui fournit un ID de compte et des attributs de stimulation/r�ponse.

inetMailUser     Symbolise un compte de messagerie et comprend la plupart des attributs de compte de messagerie propres � l'utilisateur.

inetLocalMailRecipient     Repr�sente un destinataire de messagerie local (interne � l'organisation) puisqu'il pr�cise ses adresses e-mail et lui communique les informations d'acheminement utiles.


Remarque

Les noms des classes d'objets marqueurs d'Identity Server commencent g�n�ralement par iplanet-am- ou par sun. Certaines classes d'objets et certains attributs d'Identity Server ne sont pas employ�s par Messaging Server lui-m�me, mais doivent tout de m�me �tre inclus dans vos entr�es utilisateur, de groupes et de domaines pour qu'Identity Server puisse fonctionner.



D�claration d'espaces de noms

Les espaces de noms permettent de d�finir des entit�s d'organisation pour lesquelles un ou plusieurs attributs doivent �tre uniques parmi l'ensemble des entr�es.

Pour configurer une organisation (un domaine, en r�gle g�n�rale) en tant qu'espace de noms, ajoutez la classe d'objets sunNameSpace � l'entr�e correspondant � l'organisation. L'organisation est alors marqu�e comme �tant un espace de noms unique, mais la fonctionnalit� d'unicit� n'est pas activ�e. Plus pr�cis�ment, la classe d'objets sunNameSpace ne modifie pas, � elle seule, le comportement du syst�me.

Si vous souhaitez activer la fonctionnalit� d'unicit�, vous devez ajouter l'attribut sunNameSpaceUniqueAttrs � l'entr�e de l'organisation. Cet attribut comporte le nom d'un autre attribut qui sert � distinguer les entr�es uniques au sein de l'organisation. La fonctionnalit� d'unicit� permet l'utilisation de plusieurs attributs.

En ajoutant cette fonctionnalit� � un domaine, vous avez l'assurance qu'aucune sous-arborescence d�pendant de ce domaine ne peut �tre d�clar�e comme un espace de noms utilisant des attributs identiques.

L'unicit� est appliqu�e � l'aide de l'outil de configuration qu'est l'utilitaire de ligne de commande commadmin. Cet utilitaire ne vous autorise pas � ajouter une entr�e en double, ce qui serait contraire � la fonctionnalit� d'unicit�. En revanche, lorsque vous proc�dez � une configuration directe avec la commande LDAP, il vous faut appliquer le principe d'unicit� vous-m�me. La commande LDAP, ldapmodify, ne le fait pas. Elle n'interdit pas la saisie d'enregistrements en double.

L'unicit� des attributs est une fonctionnalit� d'Identity Server qui est employ�e par Messaging Server. Pour qu'Identity Server soit en mesure de g�rer votre base de donn�es LDAP, vous devez configurer celle-ci de telle sorte que les contraintes d'unicit� impos�es par les attributs sunNameSpace et sunNameSpaceUniqueAttrs soient respect�es.


Remarque

Dans les versions pr�c�dentes de Messaging Server, on supposait de mani�re implicite que tous les domaines correspondaient � des espaces de noms distincts et n'avaient pas besoin d'�tre explicitement d�clar�s. Comme l'explique la pr�sente section, ce n'est plus le cas avec Messaging Server 6.0.


Le sch�ma ci-dessous montre un exemple d'utilisation de domaines en tant qu'espaces de noms.

Sch�ma 12-5  Domaines utilis�s en tant qu'espaces de noms

Dans ce graphique, trois domaines sont situ�s sous le nœud racine. Chacun repr�sente un espace de noms et emploie l'uid comme attribut afin de garantir l'unicit�.

Dans le sch�ma ci-dessus, les trois domaines pr�sents sont associ�s � la classe d'objets sunNameSpace et � l'attribut sunNameSpaceUniqueAttrs, qui a pour valeur uid. Chaque domaine constitue un espace de noms dans lequel l'uid de chaque entr�e est unique. Plusieurs domaines peuvent toutefois disposer d'entr�es portant un identificateur unique identique, sans pour cela ne pas se conformer aux contraintes d'unicit� des autres domaines. Par exemple, chacun des trois domaines comporte une entr�e dont l'uid est jdurand. Ce syst�me est autoris� dans la mesure o� chaque organisation repr�sente un espace de noms ind�pendant. Dans cet exemple, pour pouvoir rechercher l'un des utilisateurs jdurand, le mod�le de recherche doit conna�tre le nom de l'organisation (du domaine) dont il fait partie.

Des attributs suppl�mentaires peuvent �tre affect�s � chaque domaine. Par exemple, il peut s'av�rer n�cessaire de d�finir un attribut telephoneNumber unique pour chacun des utilisateurs d'un domaine. Dans ce cas, l'entr�e correspondant � ce domaine inclut �galement la ligne sunNameSpaceUniqueAttrs=telephoneNumber, pour �viter que deux utilisateurs ne se voient attribuer le m�me num�ro de t�l�phone.

Superposition d'espaces de noms et du nœud racine

Bien qu'il soit possible de d�finir des espaces de noms superpos�s � l'aide de la version 2 du sch�ma LDAP de Sun ONE, il est vivement d�conseill� de convertir le nœud racine en espace de noms.

Si vous envisagez d'inclure plusieurs domaines dans votre installation, n'appliquez pas l'attribut sunNameSpaceUniqueAttrs au nœud du suffixe de racine (en l'occurrence, DN_de_base), car aucun domaine figurant sous la racine ne serait autoris� � employer les attributs d�sign�s dans l'entr�e de la racine du fait de l'application du principe d'unicit�.

Par exemple, si la ligne sunNameSpaceUniqueAttrs=uid est d�finie au niveau du nœud racine, aucun des autres domaines ne peut utiliser l'uid en tant qu'attribut d'unicit�.

Identity Server configure automatiquement le nœud racine avec l'attribut sunNameSpace, mais n'ajoute pas ce dernier. La fonctionnalit� d'unicit� n'�tant pas activ�e en l'absence de l'attribut sunNameSpaceUniqueAttrs, le nœud racine ne fonctionne en tant qu'espace de noms que si vous ajoutez explicitement cet attribut.


Remarque

Pour le bon fonctionnement de Messaging Server, n'ajoutez pas sunNameSpaceUniqueAttrs au niveau du nœud racine.



Mod�les de recherche

Cette section expose les actions et le format des mod�les de recherche.


Remarque

Le format des mod�les de recherche peut �tre modifi�. La gestion de ces mod�les s'effectue par l'interm�diaire d'Identity Server.


Pr�sentation des mod�les de recherche

Les mod�les sont des entr�es sp�ciales de l'arborescence de l'organisation. Ils sont utilis�s par Messaging Server pour localiser les entr�es LDAP relatives aux domaines, aux utilisateurs et aux groupes, de la mani�re suivante :

Deux types de mod�le de recherche sont disponibles.

Pour plus d'informations sur les classes d'objets et les attributs, reportez-vous au manuel Sun ONE Messaging and Collaboration 6.0 Schema Reference Manual (http://docs.sun.com/doc/816-6710-10).

Format des mod�les de recherche

Les mod�les de recherche disposent des �l�ments suivants :


Groupes (listes de diffusion)

Les groupes, d�sign�s sous le concept de « listes de diffusion » dans Messaging Server, permettent aux utilisateurs de services de contacter un groupe d'autres utilisateurs sans avoir � nommer chacun d'entre eux. Cela se traduit, dans Messaging Server, par l'envoi d'e-mails � diverses bo�tes aux lettres sans indication de l'adresse e-mail de chacun des destinataires. Messaging Server prend en charge les listes de diffusion (groupes) � la fois statiques et dynamiques. Chaque type de liste poss�de une entr�e LDAP compatible avec la classe d'objets inetMailGroup.

Dans une liste de diffusion statique, les membres de la liste sont indiqu�s directement dans l'entr�e LDAP du groupe. En revanche, pour les listes de diffusion dynamiques, les membres sont s�lectionn�s par le biais d'un filtre de recherche LDAP (RFC-2254).

Il est possible d'effectuer, au sein des groupes dynamiques, une scission suppl�mentaire : un groupe dynamique peut �tre affect� ou filtr�. Par ailleurs, chacun de ces types de groupe peut �tre ouvert (abonnement possible) ou ferm� (abonnement impossible). Seul le groupe dynamique filtr� ne peut pas �tre ouvert.

Il peut �tre utile de visualiser les diff�rentes combinaisons, qui sont d�crites dans le tableau ci-dessous :

Ouvert/Ferm�

Statique

Dynamique pouvant �tre affect�

Dynamique filtr�

Ouvert
(abonnement possible)

Oui

Oui

Non

Ferm�
(abonnement impossible)

Oui

Oui

Oui

Types de groupe

Il existe trois types de groupe.

En outre, des membres dynamiques peuvent �galement �tre inclus dans un groupe statique, en ajoutant l'attribut mgrpDeliverTo � l'entr�e LDAP du groupe statique.


Remarque

V�rifiez que les attributs utilis�s dans le filtre de recherche LDAP sont index�s. Si ce n'est pas le cas, la proc�dure d'�valuation des listes de membres dynamiques risque de prendre du temps et de monopoliser le serveur d'annuaires.


Chaque type de groupe poss�de sa propre classe d'objets Identity Server. Le tableau suivant dresse la liste des types de groupe, ainsi que des classes d'objets Identity Server utilis�es pour leur configuration.

Type de groupe

Classe d'objets Identity Server

Statique

iplanet-am-managed-static-group

Dynamique pouvant �tre affect�

iplanet-am-managed-assignable-group

Dynamique filtr�

iplanet-am-managed-filtered-group


Remarque

La classe d'objets iplanet-am-managed-group est sup�rieure � ces trois classes, mais son insertion dans l'entr�e LDAP d'un groupe est facultative.


Groupes ouverts et groupes ferm�s

Les groupes ouverts sont des groupes auxquels tout utilisateur peut s'abonner. Si l'attribut iplanet-am-group-subscribable figure dans l'entr�e LDAP du groupe avec pour valeur true, le groupe est ouvert (l'abonnement � celui-ci est possible). Cet attribut est facultatif. S'il est manquant, les groupes sont consid�r�s comme ferm�s (abonnement impossible). Cet attribut peut aussi �tre param�tr� sur false, auquel cas le groupe est ferm�.


Cat�gorie de service (CoS)

Le syst�me de gestion avanc�e des entr�es CoS vous permet de cr�er des attributs virtuels qui ne sont pas stock�s dans les entr�es. Au lieu de cela, ces attributs sont g�n�r�s par le syst�me CoS au moment de l'envoi de l'entr�e � l'application cliente. À l'instar des groupes et des r�les, le syst�me CoS repose sur des entr�es d'aide dans l'annuaire.

Les trois m�canismes disponibles sont les suivants :

Le m�canisme Classic CoS est recommand� pour Messaging Server ; il est d�crit dans la pr�sente section.

Pour en savoir plus sur les syst�mes de gestion avanc�e des entr�es, consultez les manuels Sun ONE Directory Server 5.2 Administration Guide et Sun ONE Directory Server 5.2 Reference Manual. Ces manuels se trouvent sur le site Web de la documentation Sun :

http://docs.sun.com/prod/s1dirsrv

CoS pour Messaging Server

La fonctionnalit� CoS vous permet de cr�er un ensemble de fonctionnalit�s et d'attributs fixes que vous nommez et que vous pouvez appliquer � des utilisateurs donn�s. Elle entra�ne �galement la cr�ation d'un mod�le d'attributs qui peut �tre associ� aux entr�es utilisateur avec un seul attribut. Par exemple, si vous �tes un fournisseur de services Internet, vous pouvez d�cider de cr�er deux niveaux de service de messagerie, � savoir MS1 et MS2, de la fa�on suivante :

Configuration du syst�me CoS dans Messaging Server

La pr�sentation de haut niveau pour l'ajout de la fonctionnalit� Cat�gorie de service implique les op�rations suivantes :

  1. Activation du plug-in Cat�gorie de service
  2. Le plug-in Cat�gorie de service est automatiquement install� avec Directory Server. Pour l'activer, et ainsi activer la fonctionnalit� CoS, il vous faut modifier le fichier de configuration SLAPD.

    Pour obtenir des informations concernant la configuration du plug-in Cat�gorie de service, reportez-vous au manuel Sun ONE Directory Server 5.2 Administration Guide (http://docs.sun.com/doc/816-6698-10).

  3. Red�marrage de Directory Server
  4. Cr�ation du conteneur CoS pour les mod�les et d�finitions correspondants
  5. Cr�ation d'un syst�me de messagerie CoS sous le conteneur de m�me type
  6. Chaque entr�e du syst�me de messagerie comporte les �l�ments ci-apr�s :

    • un DN (avec ou:CoS) ;
    • une classe d'objets d�terminant l'entr�e du syst�me Cat�gorie de service (objectClass:cosClassicDefinition) ;
    • un attribut � valeurs multiples qui contient les sous-arborescences (noms de r�pertoire) dans lesquelles sont stock�es les entr�es du mod�le CoS pour ce syst�me (cosTemplateDN) ;
    • un attribut � valeurs multiples qui inclut la sous-arborescence � laquelle s'applique le syst�me CoS (cosTargetTree) ;
    • le nom de l'attribut utilis� pour d�signer le mod�le CoS appliqu� � une entr�e utilisateur (cosSpecifier:inetCOS) ;
    • les attributs � employer dans une entr�e de mod�le (cosAttribute, valeurs multiples).
  7. Cr�ation d'un conteneur pour les mod�les CoS
  8. Cr�ation des mod�les CoS
  9. Affectation d'une cat�gorie de service aux entr�es utilisateur
    Exemple de cr�ation d'une cat�gorie de service (CoS)

Cet exemple est fond� sur l'hypoth�se selon laquelle le plug-in CoS est d�j� install� et configur� et Directory Server en cours d'ex�cution. Il illustre la proc�dure de cr�ation d'un service de messagerie pour deux cat�gories de service, MS1 et MS2, dans le domaine h�berg� sesta.com. Les deux cat�gories de service ont les fonctions suivantes :



Pr�c�dent      Sommaire      Index      Suivant     


Copyright 2003 Sun Microsystems, Inc. Tous droits r�serv�s.