Chapitre 12 Configuration et concepts de sch�ma pour Messaging Server 6.0

Ce chapitre d�crit les choix que vous effectuez concernant la configuration de Messaging Server 6.0 et comporte �galement des rubriques qui exposent en d�tail les concepts et technologies relatifs � la version 2 du sch�ma LDAP de Sun ONE.

Arborescence DIT LDAP et Messaging Server

L'arborescence DIT (Directory Information Tree, Arborescence d'informations d'annuaire) constitue un bon syst�me d'organisation des entr�es LDAP sous forme d'arborescence contenant des nœuds, qui peuvent repr�senter des domaines, des sous-domaines, des utilisateurs ou des groupes. Les versions ant�rieures de Messaging Server reposaient sur une structure � double arborescence : arborescence de composants de domaine (DC) compos�e de nœuds de domaine pour lesquels tous les attributs de domaine utiles �taient d�finis et arborescence de l'organisation compos�e de nœuds de domaine pour lesquels tous les attributs d'utilisateurs et de groupes �taient d�finis. Ce type de structure DIT est repr�sent� par la premi�re illustration du Sch�ma 12-1. Dans cette structure, plusieurs nœuds de l'arborescence DC pouvaient faire r�f�rence � un m�me nœud de domaine de l'arborescence de l'organisation en raison des alias d�finis dans l'arborescence DC.

Messaging Server 6.0 propose une structure � arborescence unique, sans l'arborescence DC. De plus, toutes les informations relatives aux domaines sont incluses au niveau des nœuds de domaine dans l'arborescence de l'organisation. Le mod�le � double arborescence est toujours pris en charge, mais a �t� modifi� (reportez-vous � la section « Choix applicables � la version 2 du sch�ma : mode natif ou de compatibilit� »).

La seconde illustration du Sch�ma 12-1 d�crit une structure LDAP � arborescence unique. La d�finition d'alias est compl�tement diff�rente dans la nouvelle structure � arborescence DIT unique. Ce changement concerne notamment l'emplacement des informations relatives au domaine dans l'arborescence.

Choix d'un sch�ma pour Messaging Server 6.0

Les trois choix de sch�ma possibles pour Messaging Server 6.0 sont les suivants :

Version 2 du sch�ma LDAP de Sun ONE en mode natif

Version 2 du sch�ma LDAP de Sun ONE en mode de compatibilit�

Version 1 du sch�ma LDAP de Sun ONE



Remarque	Le programme d'installation de Java Enterprise System ne fournit pas � l'utilisateur une option lui permettant de d�finir la prise en charge de la version 1 ou 2 du sch�ma LDAP de Sun ONE. Pour pouvoir utiliser Messaging Server 6.0 avec le sch�ma LDAP (prise en charge de la version 2), vous devez installer Identity Server et Directory Server. À l'heure actuelle, le seul moyen d'obtenir la prise en charge de la version 2 pour Directory Server est d'installer Identity Server.

Version 2 du sch�ma LDAP de Sun ONE en mode natif

Le mode par d�faut pour les nouvelles installations r�alis�es par les clients qui ne disposent pas encore d'iPlanet™ Messaging Server est la version 2 du sch�ma LDAP de Sun ONE. Il implique l'installation pr�alable d'Identity Server 6.1 avant Messaging Server 6.0.

Vous pouvez en outre choisir ce mode si vous avez d�j� install� iPlanet Messaging Server, mais que cette version vous oblige � migrer votre base de donn�es LDAP vers la structure � arborescence unique.

La configuration et l'administration sont effectu�es par le biais d'une interface de ligne de commande. Vous pouvez �galement proc�der � une configuration LDAP.

Version 2 du sch�ma LDAP de Sun ONE en mode de compatibilit�

Si vous disposez d�j� du logiciel iPlanet Messaging Server, une autre alternative s'offre � vous, � savoir l'utilisation de la version 2 du sch�ma LDAP de Sun ONE en mode de compatibilit�. Avec ce mode, la migration vers une structure � arborescence unique n'est pas n�cessaire. Vous pouvez conserver la double arborescence existante. L'emploi de ce mode suppose tout de m�me l'installation pr�alable d'Identity Server 6.1 avant Messaging Server 6.0.

La configuration et l'administration sont effectu�es par le biais d'une interface de ligne de commande. Vous pouvez �galement proc�der � une configuration LDAP.

Version 1 du sch�ma LDAP de Sun ONE

La version 1 du sch�ma LDAP de Sun ONE constitue le mode par d�faut des nouvelles installations effectu�es par les clients qui ne poss�dent pas Identity Server. Elle n�cessite l'installation d'une structure LDAP � double arborescence.

Les clients disposant d�j� du logiciel iPlanet Messaging Server peuvent d�cider de conserver la version 1 du sch�ma LDAP de Sun ONE et continuer � utiliser l'interface graphique pour la configuration et l'administration, ou pour la configuration LDAP.


Remarque	Ce guide ne d�taille la configuration LDAP que pour la version 2 du sch�ma LDAP de Sun ONE.

Identification des outils de configuration appropri�s

La section ci-apr�s pr�sente les outils de configuration ainsi que la documentation appropri�e � employer une fois le choix du sch�ma effectu�.

Matrice de configuration

Identification de votre mod�le de sch�ma

S�lection de l'outil de configuration � utiliser

Obtention d'informations compl�mentaires concernant la configuration

Matrice de configuration

Le Tableau 12-1 expose une matrice r�capitulant vos choix en mati�re de sch�ma, les outils de configuration disponibles et la documentation qui s'applique � chacun. Ces choix sont expliqu�s dans les sections figurant � la suite du tableau.

Vous devez indiquer, dans la premi�re colonne du tableau, si vous disposez d�j� d'une version ant�rieure de Messaging Server (iPlanet Messaging Server 5.0, 5.1 ou 5.2) et, dans la deuxi�me colonne, si vous avez install� Identity Server (si ce n'est pas le cas, vous devrez le faire avant la configuration).

Tableau 12-1 Matrice de configuration
iPlanet Messaging Server (5.0, 5.1, 5.2) est-il install� ?	Identity Server est-il install� ?	Type de sch�ma install� par Messaging Server 6.0	Outils de configuration	Documents de r�f�rence
Non	Non	Version 1 du sch�ma LDAP de Sun ONE (par d�faut)	Administrateur d�l�gu�	iPlanet Delegated Administrator for Messaging and Collaboration 1.2 Installation and Administration Guide (http://docs.sun.com/doc/816-6011-10)
Non	Non	Version 1 du sch�ma LDAP de Sun ONE (par d�faut)	Configuration LDAP	iPlanet Messaging Server 5.2 Provisioning Guide (http://docs.sun.com/doc/816-6018-10)
Non	Oui	Version 2 du sch�ma LDAP de Sun ONE en mode natif (par d�faut)	User Management Utility (Utilitaire Gestion des utilisateurs) (commadmin)	Sun ONE Messaging and Collaboration 1.0 User Management Utility Installation and Reference Guide (http://docs.sun.com/doc/817-4216-10)
Non	Oui		Configuration LDAP	Dans ce manuel, reportez-vous au chapitre 11, « Configuration des organisations et utilisateurs ».
Oui	Non	Version 1 du sch�ma LDAP de Sun ONE	Administrateur d�l�gu�	iPlanet Delegated Administrator for Messaging and Collaboration 1.2 Installation and Administration Guide (http://docs.sun.com/doc/816-6011-10)
Oui	Non	Version 1 du sch�ma LDAP de Sun ONE	Configuration LDAP	iPlanet Messaging Server 5.2 Provisioning Guide (http://docs.sun.com/doc/816-6018-10)
Oui	Oui	Version 2 du sch�ma LDAP de Sun ONE en mode natif ou de compatibilit� (au choix)	User Management Utility (Utilitaire Gestion des utilisateurs) (commadmin)	Sun ONE Messaging and Collaboration User Management Utility 1.0 Installation and Reference Guide (http://docs.sun.com/doc/817-4216-10)
Oui	Oui		Configuration LDAP	Dans ce manuel, reportez-vous au chapitre 11, « Configuration des organisations et utilisateurs ».

Identification de votre mod�le de sch�ma

Si vous ne disposez pas d'une version pr�c�dente de Messaging Server et que vous avez commenc� par installer Identity Server, l'installation de Messaging Server 6.0 se fera automatiquement avec la version 2 du sch�ma LDAP de Sun ONE, en mode natif. Si en revanche, Identity Server n'est pas encore install�, Messaging Server sera par d�faut accompagn� de la version 1 du sch�ma LDAP.

Dans le cas o� vous poss�deriez une ancienne version de Messaging Server et souhaiteriez utiliser la version 2 du sch�ma LDAP de Sun ONE, vous avez le choix entre :

conserver la structure LDAP � double arborescence (mode de compatibilit�) ainsi que l'ancien algorithme de recherche RFC 2247 ;

convertir la structure existante en structure LDAP � arborescence unique pour mode natif (recommand�).

Votre choix d�terminera le mod�le de recherche par d�faut qui sera utilis� par le syst�me pour les recherches LDAP, parmi les deux suivants :

le mod�le de recherche prenant en charge la recherche en mode natif ;

un mod�le prenant en charge le mode de compatibilit�, c'est-�-dire le m�me algorithme de recherche RFC 2247 que celui employ� avec la version 1 du sch�ma LDAP de Sun ONE.



Remarque	Il est impossible de combiner les deux types de sch�ma au sein d'un m�me annuaire LDAP.

S�lection de l'outil de configuration � utiliser

Pour la version 2 du sch�ma LDAP de Sun ONE, vous pouvez soit avoir recours � l'utilitaire User Management Utility (Utilitaire Gestion des utilisateurs) de Sun ONE (commadmin), soit proc�der � une configuration LDAP en entrant directement dans l'annuaire LDAP des enregistrements LDIF.

Pour la version 1 du sch�ma, utilisez iPlanet™ Delegated Administrator ou effectuez une configuration LDAP.

Obtention d'informations compl�mentaires concernant la configuration

Pour proc�der � une configuration LDAP pour la version 2 du sch�ma LDAP de Sun ONE (aussi bien pour le mode natif que le mode de compatibilit�), consultez le pr�sent manuel. Pour plus d'informations, reportez-vous au chapitre 11, « Configuration des organisations et utilisateurs ». Si la configuration LDAP s'applique � la version 1 du sch�ma, consultez le manuel iPlanet Messaging Server 5.2 Provisioning Guide (http://docs.sun.com/doc/816-6018-10).

Si vous pr�voyez d'employer l'outil de configuration User Management Utility (Utilitaire Gestion des utilisateurs), pour la version 2 du sch�ma LDAP de Sun ONE, reportez-vous au manuel Sun ONE Messaging and Collaboration 1.0 User Management Utility Installation and Reference Guide (http://docs.sun.com/doc/817-4216-10). Si vous envisagez plut�t de vous servir de l'outil de configuration Administrateur d�l�gu�, pour la version 1 du sch�ma LDAP, consultez le manuel iPlanet Messaging Server 5.2 Provisioning Guide (http://docs.sun.com/doc/816-6018-10).

Choix applicables � la version 2 du sch�ma : mode natif ou de compatibilit�

Vous pouvez structurer votre annuaire LDAP de deux mani�res avec la version 2 du sch�ma LDAP de Sun ONE : en mode natif (conseill� car il ne comprend que l'arborescence de l'organisation) ou en mode de compatibilit� (constitu� � la fois d'une arborescence DC et d'une arborescence d'organisation et qui garantit la compatibilit� descendante avec les versions ant�rieures des produits LDAP de Sun ONE ou d'iPlanet). La configuration de votre annuaire LDAP varie suivant le mode choisi.

Avant d'opter pour l'un des modes associ�s � la version 2 du sch�ma, il vous faut prendre en compte les points suivants :

Pourquoi la structure LDAP a-t-elle �t� modifi�e ?

Mode natif : avantages et r�gression

Conversion en mode natif

Mode de compatibilit� : structure � double arborescence toujours prise en charge

Pourquoi la structure LDAP a-t-elle �t� modifi�e ?

Java Enterprise System apporte une modification essentielle � la structure de l'annuaire LDAP en proposant une arborescence unique. Les deux principaux avantages de cette arborescence unique (mode natif) sont les suivants :

int�gration avec Identity Server et Portal Server ;

simplicit� accrue par rapport � la structure � double arborescence.

En effet, la structure LDAP � arborescence unique est nettement moins complexe que la structure � double arborescence. Comme vous pouvez le constater dans le sch�ma ci-dessous, certains nœuds de la structure � double arborescence faisaient directement r�f�rence � un nœud de l'arborescence de l'organisation (� l'aide de l'attribut inetDomainBaseDN). Les autres �taient des nœuds disposant d'un alias qui, au lieu de faire directement r�f�rence � un nœud de l'arborescence de l'organisation, �taient reli�s � un autre nœud de l'arborescence DC par le biais de l'attribut aliasedObjectName.

Sch�ma 12-2 D�finition d'alias dans la structure � double arborescence avec aliasedDomainName et inetDomainBaseDN

Dans le sch�ma ci-dessus, le nœud sesta.com de l'arborescence DC fait r�f�rence, � l'aide de l'attribut aliasedObjectName, au nœud siroe.com de cette m�me arborescence, qui � son tour fait r�f�rence au nœud portant le m�me nom dans l'arborescence de l'organisation, � l'aide de l'attribut inetDomainBaseDN.

Par ailleurs, comme dans le sch�ma suivant, un ou plusieurs nœuds de l'arborescence DC pouvaient recourir � l'attribut inetDomainBaseDN pour faire directement r�f�rence au nœud portant un nom identique dans l'arborescence de l'organisation. Dans ce cas, il �tait indispensable de d�finir un attribut d�cisif (tie-breaker), inetCanonicalDomainName, pour l'un des nœuds de l'arborescence DC afin de d�signer le nom de domaine r�el, en d'autres termes celui du domaine dans lequel les messages �taient stock�s et vers lequel ils seraient achemin�s.

Sch�ma 12-3 Alias dans la double arborescence avec l'attribut inetCanonicalDomainName

En comparaison, la nouvelle structure LDAP est beaucoup plus simple : elle ne comprend que l'arborescence de l'organisation, comme le montre le Sch�ma 12-4.

Dans cette structure � arborescence unique, les nœuds de domaine de l'arborescence de l'organisation contiennent l'ensemble des attributs de domaine qui figuraient jusqu'alors dans l'arborescence DC. Chaque nœud de domaine est identifi� par la classe d'objets sunManagedOrganization ainsi que par l'attribut sunPreferredDomain, qui inclut le nom du domaine DNS. Un nœud de domaine peut en outre disposer d'un ou de plusieurs attributs associatedDomain, qui r�pertorient les alias sous lesquels ce domaine est connu. À l'inverse de la structure � double arborescence, la structure � arborescence unique n'autorise pas les nœuds en double portant le m�me alias.

Mode natif : avantages et r�gression

Pour les nouvelles installations de Messaging Server, les donn�es LDAP sont d�sormais organis�es sous la forme d'une structure DIT unique. Il s'agit, en fait, de l'arborescence de l'organisation. Cette arborescence contient des entr�es utilisateur, de groupes et de domaines, ainsi que des mod�les de recherche.

Avantages d'une structure DIT � arborescence unique

L'atout d'une structure DIT � arborescence unique est la possibilit� de cr�er des partitions de donn�es en vue d'un contr�le d'acc�s propre � l'organisation. En d'autres termes, dans cette structure, chaque organisation peut �tre repr�sent�e par une sous-arborescence distincte dans laquelle figurent les entr�es utilisateur et de groupes. L'acc�s � ces donn�es peut �tre restreint aux utilisateurs qui d�pendent de cette partie de la sous-arborescence. Ainsi, les applications localis�es fonctionnent en toute s�curit�.

Par ailleurs, pour les nouveaux d�ploiements de Messaging Server 6.0, une arborescence unique est plus appropri�e pour une correspondance avec les applications LDAP DIT uniques existantes.

R�gression du mode natif

Dans une structure � double arborescence, deux nœuds de domaine de l'arborescence DC pouvaient faire r�f�rence � un m�me nœud de domaine de l'arborescence de l'organisation. Il �tait possible d'affecter des valeurs d'attribut de routage diff�rentes � chacun des deux domaines de l'arborescence DC. Ce syst�me permettait, selon l'alias de domaine indiqu�, de traiter les messages et de les acheminer de fa�on diff�rente pour le m�me domaine de l'arborescence de l'organisation. �tant donn� que cette m�thode de cr�ation d'alias n'est plus valide dans une structure � arborescence unique, la fonctionnalit� n'est plus disponible.

La cr�ation d'alias s'effectue � pr�sent � l'aide de l'attribut associatedDomain et s'apparente au fonctionnement, en mode de compatibilit�, des domaines d'alias auxquels a �t� affect� l'attribut aliasedObjectName. En effet, le domaine d'alias ne poss�dait pas d'attributs de routage de domaine, mais utilisait les attributs affect�s au domaine assimil� (et dont le dn �tait inclus dans l'attribut aliasedObjectName), de sorte que l'acheminement des messages �tait identique pour le domaine d'alias et le domaine assimil�.

Conversion en mode natif

Si vous disposez d�j� de la version 1 du sch�ma de Sun ONE et d'une structure LDAP � double arborescence et que vous souhaitiez convertir celle-ci en arborescence fonctionnant en mode natif, vous devez effectuer les modifications suivantes dans l'arborescence de l'organisation.

Ajoutez les classes d'objets sunISManagedOrganization et sunManagedOrganization accompagn�es des attributs appropri�s � tous les nœuds de domaine.

Ajoutez la classe d'objets sunNameSpace � tous les nœuds de domaine ad�quats. (Reportez-vous � la section « D�claration d'espaces de noms ».)

Copiez tous les attributs de domaine utiles de l'arborescence DC au niveau des nœuds de domaine correspondants de l'arborescence de l'organisation.

Condensez tous les alias de l'arborescence DC dans l'attribut associatedDomain.

Ajoutez des informations de contr�le d'acc�s aux nœuds de l'arborescence de l'organisation.

Identity Server ajoute des mod�les de recherche globaux au nœud racine (DN_de_base). Vous souhaiterez peut-�tre fournir aussi des mod�les de remplacement personnalis�s pour chacun des nœuds.

Pour plus d'informations sur les classes d'objets et les attributs, reportez-vous au manuel Sun ONE Messaging and Collaboration 6.0 Schema Reference Manual (http://docs.sun.com/doc/816-6710-10).

Mode de compatibilit� : structure � double arborescence toujours prise en charge

S'il vous faut conserver la structure � double arborescence des anciennes versions de Messaging Server, sachez que Messaging Server 6.0 la prend toujours en charge. Cela peut �tre le cas si certaines de vos applications d�pendent de cette structure LDAP � double arborescence.

Si vous d�cidez de conserver cette structure, Messaging Server utilise un mod�le compatible RFC 2247 pour rechercher les entr�es utilisateur.

La migration de la version 1 du sch�ma de Sun ONE vers le mode de compatibilit� de la version 2 est soumise aux conditions suivantes :


Remarque	L'arborescence DC devient obsol�te, mais il n'est pas n�cessaire de la supprimer de la base de donn�es LDAP.

L'attribut inetDomainStatus des nœuds de l'arborescence DC doit �tre copi� au niveau des nœuds correspondants dans l'arborescence de l'organisation. (Lorsqu'un nœud de l'arborescence de l'organisation et le nœud correspondant dans l'arborescence DC contiennent tous deux l'attribut inetDomainStatus, l'�tat figurant dans le premier pr�vaut sur celui figurant dans le second.)

Vous devez avoir d�fini, pour le mod�le de recherche par d�faut de la double arborescence, l'attribut rfc2247Flag afin que toutes les applications effectuant des recherches dans l'annuaire LDAP puissent continuer � utiliser l'arborescence DC pour acc�der aux nœuds corrects dans l'arborescence de l'organisation, comme dans les versions ant�rieures de Messaging Server.

Tous les nœuds de l'arborescence de l'organisation doivent poss�der les classes d'objets marqueurs et les attributs Identity Server appropri�s.

Les informations de contr�le d'acc�s ad�quates pour Identity Server doivent en outre �tre ajout�es � chacun des nœuds.

Identity Server fournit des mod�les de recherche globaux applicables aux domaines, aux utilisateurs et aux groupes au niveau du nœud racine. Cependant, vous pouvez �tre amen� � personnaliser vos recherches pour certains nœuds. Pour ce faire, vous devez ajouter des mod�les de remplacement aux nœuds en question.

Mod�les de donn�es pour les modes natif et de compatibilit�

Le mod�le de donn�es de base pour les classes d'objets Sun ONE consiste � �tendre les types d'entr�e LDAP (utilisateur, groupe ou domaine) cr��s par les classes d'objets principales en les recouvrant de classes partag�es (les classes d'objets peuvent �tre partag�es par plusieurs services) et de classes d'objets propres � un service (classes applicables � un type de service particulier).

Cette relation est d�crite dans les tableaux ci-apr�s. Pour la structure LDAP � arborescence unique (arborescence de l'organisation) en mode natif, reportez-vous au tableau suivant. Dans le cas d'une structure LDAP � double arborescence (arborescence DC et arborescence de l'organisation) fonctionnant en mode de compatibilit�, consultez le Tableau 12-3.

Tableau 12-2 Types d'entr�e et classes d'objets correspondantes en mode natif
Types	Classes principales	Classes partag�es	Classes propres � un service
Domaine	organization domain sunManagedOrganization sunNameSpace		mailDomain icsCalendarDomain
Utilisateur	person inetUser organizationalPerson inetOrgPerson	ipUser userPresenceProfile iplanet-am-managed- person	inetMailUser inetLocalMailRecipient
Groupe	groupOfUniqueNames iplanet-am-managed-group	iplanet-am-managed- filtered-group iplanet-am-managed- assignable-group iplanet-am-managed- static-group	inetMailGroup inetLocalRecipient inetMailGroupManagement

Tableau 12-3 Types d'entr�e et classes d'objets correspondantes en mode de compatibilit�
Types	Classes principales	Classes partag�es	Classes propres � un service
Domaine de l'arborescence DC	domain inetDomain		mailDomain icsCalendarDomain
Domaine de l'arborescence de l'org.	organization
Utilisateur	person inetUser organizationalPerson inetOrgPerson	ipUser userPresenceProfile	inetMailUser inetLocalMailRecipient
Groupe	groupOfUniqueNames		inetMailGroup inetLocalRecipient inetMailGroupManagement

Si, par exemple, vous employez le type d'entr�e Utilisateur, les classes d'objets suivantes fournissent les types d'attribut ci-dessous :

organizationalPerson Fournit les attributs relatifs � la description d'un membre d'une organisation.

ipUser Contient l'attribut concernant le carnet d'adresses personnel, la classe du mod�le de service ainsi que le DN du compte familial (le cas �ch�ant).

inetUser Repr�sente un compte d'utilisateur et est accompagn� des attributs inetMailUser et ipUser pour la cr�ation d'un compte de messagerie.

inetSubscriber Classe d'objets facultative qui repr�sente le compte d'un abonn� et qui fournit un ID de compte et des attributs de stimulation/r�ponse.

inetMailUser Symbolise un compte de messagerie et comprend la plupart des attributs de compte de messagerie propres � l'utilisateur.

inetLocalMailRecipient Repr�sente un destinataire de messagerie local (interne � l'organisation) puisqu'il pr�cise ses adresses e-mail et lui communique les informations d'acheminement utiles.


Remarque	Les noms des classes d'objets marqueurs d'Identity Server commencent g�n�ralement par iplanet-am- ou par sun. Certaines classes d'objets et certains attributs d'Identity Server ne sont pas employ�s par Messaging Server lui-m�me, mais doivent tout de m�me �tre inclus dans vos entr�es utilisateur, de groupes et de domaines pour qu'Identity Server puisse fonctionner.

D�claration d'espaces de noms

Les espaces de noms permettent de d�finir des entit�s d'organisation pour lesquelles un ou plusieurs attributs doivent �tre uniques parmi l'ensemble des entr�es.

Pour configurer une organisation (un domaine, en r�gle g�n�rale) en tant qu'espace de noms, ajoutez la classe d'objets sunNameSpace � l'entr�e correspondant � l'organisation. L'organisation est alors marqu�e comme �tant un espace de noms unique, mais la fonctionnalit� d'unicit� n'est pas activ�e. Plus pr�cis�ment, la classe d'objets sunNameSpace ne modifie pas, � elle seule, le comportement du syst�me.

Si vous souhaitez activer la fonctionnalit� d'unicit�, vous devez ajouter l'attribut sunNameSpaceUniqueAttrs � l'entr�e de l'organisation. Cet attribut comporte le nom d'un autre attribut qui sert � distinguer les entr�es uniques au sein de l'organisation. La fonctionnalit� d'unicit� permet l'utilisation de plusieurs attributs.

En ajoutant cette fonctionnalit� � un domaine, vous avez l'assurance qu'aucune sous-arborescence d�pendant de ce domaine ne peut �tre d�clar�e comme un espace de noms utilisant des attributs identiques.

L'unicit� est appliqu�e � l'aide de l'outil de configuration qu'est l'utilitaire de ligne de commande commadmin. Cet utilitaire ne vous autorise pas � ajouter une entr�e en double, ce qui serait contraire � la fonctionnalit� d'unicit�. En revanche, lorsque vous proc�dez � une configuration directe avec la commande LDAP, il vous faut appliquer le principe d'unicit� vous-m�me. La commande LDAP, ldapmodify, ne le fait pas. Elle n'interdit pas la saisie d'enregistrements en double.

L'unicit� des attributs est une fonctionnalit� d'Identity Server qui est employ�e par Messaging Server. Pour qu'Identity Server soit en mesure de g�rer votre base de donn�es LDAP, vous devez configurer celle-ci de telle sorte que les contraintes d'unicit� impos�es par les attributs sunNameSpace et sunNameSpaceUniqueAttrs soient respect�es.

Le sch�ma ci-dessous montre un exemple d'utilisation de domaines en tant qu'espaces de noms.


Remarque	Dans les versions pr�c�dentes de Messaging Server, on supposait de mani�re implicite que tous les domaines correspondaient � des espaces de noms distincts et n'avaient pas besoin d'�tre explicitement d�clar�s. Comme l'explique la pr�sente section, ce n'est plus le cas avec Messaging Server 6.0.

Dans le sch�ma ci-dessus, les trois domaines pr�sents sont associ�s � la classe d'objets sunNameSpace et � l'attribut sunNameSpaceUniqueAttrs, qui a pour valeur uid. Chaque domaine constitue un espace de noms dans lequel l'uid de chaque entr�e est unique. Plusieurs domaines peuvent toutefois disposer d'entr�es portant un identificateur unique identique, sans pour cela ne pas se conformer aux contraintes d'unicit� des autres domaines. Par exemple, chacun des trois domaines comporte une entr�e dont l'uid est jdurand. Ce syst�me est autoris� dans la mesure o� chaque organisation repr�sente un espace de noms ind�pendant. Dans cet exemple, pour pouvoir rechercher l'un des utilisateurs jdurand, le mod�le de recherche doit conna�tre le nom de l'organisation (du domaine) dont il fait partie.

Des attributs suppl�mentaires peuvent �tre affect�s � chaque domaine. Par exemple, il peut s'av�rer n�cessaire de d�finir un attribut telephoneNumber unique pour chacun des utilisateurs d'un domaine. Dans ce cas, l'entr�e correspondant � ce domaine inclut �galement la ligne sunNameSpaceUniqueAttrs=telephoneNumber, pour �viter que deux utilisateurs ne se voient attribuer le m�me num�ro de t�l�phone.

Superposition d'espaces de noms et du nœud racine

Bien qu'il soit possible de d�finir des espaces de noms superpos�s � l'aide de la version 2 du sch�ma LDAP de Sun ONE, il est vivement d�conseill� de convertir le nœud racine en espace de noms.

Si vous envisagez d'inclure plusieurs domaines dans votre installation, n'appliquez pas l'attribut sunNameSpaceUniqueAttrs au nœud du suffixe de racine (en l'occurrence, DN_de_base), car aucun domaine figurant sous la racine ne serait autoris� � employer les attributs d�sign�s dans l'entr�e de la racine du fait de l'application du principe d'unicit�.

Par exemple, si la ligne sunNameSpaceUniqueAttrs=uid est d�finie au niveau du nœud racine, aucun des autres domaines ne peut utiliser l'uid en tant qu'attribut d'unicit�.

Identity Server configure automatiquement le nœud racine avec l'attribut sunNameSpace, mais n'ajoute pas ce dernier. La fonctionnalit� d'unicit� n'�tant pas activ�e en l'absence de l'attribut sunNameSpaceUniqueAttrs, le nœud racine ne fonctionne en tant qu'espace de noms que si vous ajoutez explicitement cet attribut.


Remarque	Pour le bon fonctionnement de Messaging Server, n'ajoutez pas sunNameSpaceUniqueAttrs au niveau du nœud racine.

Mod�les de recherche

Pr�sentation des mod�les de recherche

Les mod�les sont des entr�es sp�ciales de l'arborescence de l'organisation. Ils sont utilis�s par Messaging Server pour localiser les entr�es LDAP relatives aux domaines, aux utilisateurs et aux groupes, de la mani�re suivante :


Remarque	Le format des mod�les de recherche peut �tre modifi�. La gestion de ces mod�les s'effectue par l'interm�diaire d'Identity Server.

En mode natif, Messaging Server a recours au mod�le BasicOrganizationSearch et effectue la recherche � l'aide du filtre qui est stock� dans ce mod�le.

En mode de compatibilit�, Messaging Server utilise le mod�le BasicDomainSearch pour v�rifier comment l'attribut rfc2247Flag a �t� d�fini. Si cet indicateur est param�tr� sur true, cela signifie que le filtre de recherche n'est pas pris en compte et que l'arborescence DC sert � rechercher le nœud ad�quat de l'arborescence de l'organisation, comme dans les versions ant�rieures de Messaging Server.

Mod�les de recherche globaux : il s'agit des mod�les de recherche utilis�s pour toute l'arborescence de l'organisation ; ils sont stock�s dans la structure DIT dans :

ou=templates,ou=default,ou=GlobalConfig,ou=1.0,ou=DAI, ou=services,DN_de_base

Mod�les de recherche priv�s : chaque organisation peut poss�der des mod�les qui servent exclusivement aux op�rations r�alis�es en son sein. Ces mod�les priv�s sont stock�s dans l'arborescence DIT de chaque organisation, dans :

ou=default,ou=OrganizationConfig,ou=1.0,ou=DAI,ou=services,DN_org

Pour plus d'informations sur les classes d'objets et les attributs, reportez-vous au manuel Sun ONE Messaging and Collaboration 6.0 Schema Reference Manual (http://docs.sun.com/doc/816-6710-10).

Format des mod�les de recherche

Groupes (listes de diffusion)

Les groupes, d�sign�s sous le concept de « listes de diffusion » dans Messaging Server, permettent aux utilisateurs de services de contacter un groupe d'autres utilisateurs sans avoir � nommer chacun d'entre eux. Cela se traduit, dans Messaging Server, par l'envoi d'e-mails � diverses bo�tes aux lettres sans indication de l'adresse e-mail de chacun des destinataires. Messaging Server prend en charge les listes de diffusion (groupes) � la fois statiques et dynamiques. Chaque type de liste poss�de une entr�e LDAP compatible avec la classe d'objets inetMailGroup.

Dans une liste de diffusion statique, les membres de la liste sont indiqu�s directement dans l'entr�e LDAP du groupe. En revanche, pour les listes de diffusion dynamiques, les membres sont s�lectionn�s par le biais d'un filtre de recherche LDAP (RFC-2254).

Il est possible d'effectuer, au sein des groupes dynamiques, une scission suppl�mentaire : un groupe dynamique peut �tre affect� ou filtr�. Par ailleurs, chacun de ces types de groupe peut �tre ouvert (abonnement possible) ou ferm� (abonnement impossible). Seul le groupe dynamique filtr� ne peut pas �tre ouvert.

Il peut �tre utile de visualiser les diff�rentes combinaisons, qui sont d�crites dans le tableau ci-dessous :

Types de groupe

Ouvert/Ferm�	Statique	Dynamique pouvant �tre affect�	Dynamique filtr�
Ouvert (abonnement possible)	Oui	Oui	Non
Ferm� (abonnement impossible)	Oui	Oui	Oui

Statique : un groupe statique dispose d'une entr�e LDAP qui r�pertorie l'ensemble de ses membres, � l'aide de l'attribut uniqueMember pour les membres internes et de l'attribut mgrpRFC822MailMember pour les membres externes.

Dynamique pouvant �tre affect� : l'entr�e LDAP d'un groupe dynamique pouvant �tre affect� contient un filtre de recherche d�fini dans l'attribut mgrpDeliverTo. L'attribut filtr� doit �tre courant. L'attribut courant par d�faut pour Messaging Server est memberOf ; il est � pr�sent pris en charge par Identity Server, gr�ce � la classe d'objets inetAdmin.

Dynamique filtr� : comme pour les groupes dynamiques pouvant �tre affect�s, l'entr�e LDAP d'un groupe dynamique filtr� contient un filtre de recherche d�fini dans l'attribut mgrpDeliverTo. Toutefois, dans ce cas, les membres du groupe peuvent �tre d�termin�s par filtrage sur la base d'un ou de plusieurs attributs, quels qu'ils soient. Un filtre peut, par exemple, se pr�senter comme suit :

(&((objectclass=inetMailUser)(city=tokyo)&(objetclass=inetOrgPerson)(uid=jdurand)))

En outre, des membres dynamiques peuvent �galement �tre inclus dans un groupe statique, en ajoutant l'attribut mgrpDeliverTo � l'entr�e LDAP du groupe statique.

Chaque type de groupe poss�de sa propre classe d'objets Identity Server. Le tableau suivant dresse la liste des types de groupe, ainsi que des classes d'objets Identity Server utilis�es pour leur configuration.

Groupes ouverts et groupes ferm�s


Remarque	V�rifiez que les attributs utilis�s dans le filtre de recherche LDAP sont index�s. Si ce n'est pas le cas, la proc�dure d'�valuation des listes de membres dynamiques risque de prendre du temps et de monopoliser le serveur d'annuaires.

Type de groupe	Classe d'objets Identity Server
Statique	iplanet-am-managed-static-group
Dynamique pouvant �tre affect�	iplanet-am-managed-assignable-group
Dynamique filtr�	iplanet-am-managed-filtered-group


Remarque	La classe d'objets iplanet-am-managed-group est sup�rieure � ces trois classes, mais son insertion dans l'entr�e LDAP d'un groupe est facultative.

Les groupes ouverts sont des groupes auxquels tout utilisateur peut s'abonner. Si l'attribut iplanet-am-group-subscribable figure dans l'entr�e LDAP du groupe avec pour valeur true, le groupe est ouvert (l'abonnement � celui-ci est possible). Cet attribut est facultatif. S'il est manquant, les groupes sont consid�r�s comme ferm�s (abonnement impossible). Cet attribut peut aussi �tre param�tr� sur false, auquel cas le groupe est ferm�.

Cat�gorie de service (CoS)

Le syst�me de gestion avanc�e des entr�es CoS vous permet de cr�er des attributs virtuels qui ne sont pas stock�s dans les entr�es. Au lieu de cela, ces attributs sont g�n�r�s par le syst�me CoS au moment de l'envoi de l'entr�e � l'application cliente. À l'instar des groupes et des r�les, le syst�me CoS repose sur des entr�es d'aide dans l'annuaire.

Pointer CoS ;

Indirect CoS ;

Classic CoS.

Le m�canisme Classic CoS est recommand� pour Messaging Server ; il est d�crit dans la pr�sente section.

Pour en savoir plus sur les syst�mes de gestion avanc�e des entr�es, consultez les manuels Sun ONE Directory Server 5.2 Administration Guide et Sun ONE Directory Server 5.2 Reference Manual. Ces manuels se trouvent sur le site Web de la documentation Sun :

CoS pour Messaging Server

La fonctionnalit� CoS vous permet de cr�er un ensemble de fonctionnalit�s et d'attributs fixes que vous nommez et que vous pouvez appliquer � des utilisateurs donn�s. Elle entra�ne �galement la cr�ation d'un mod�le d'attributs qui peut �tre associ� aux entr�es utilisateur avec un seul attribut. Par exemple, si vous �tes un fournisseur de services Internet, vous pouvez d�cider de cr�er deux niveaux de service de messagerie, � savoir MS1 et MS2, de la fa�on suivante :

La cat�gorie de service MS1 fournira aux utilisateurs des services de messagerie (via Internet) IMAP (non s�curis�s et s�curis�s), POP3 et HTTP ainsi qu'un espace disque de 5 giga-octets pour le stockage des messages.

La cat�gorie de service MS2 fournira quant � elle des services de messagerie POP3 et un espace disque de cinq m�ga-octets pour le stockage des messages.



Remarque	Les requ�tes LDAP comprenant un filtre qui fait r�f�rence � un attribut d�fini par la cat�gorie de service ne seront pas trait�es. Par exemple, vous ne pouvez pas effectuer une recherche qui aboutira � l'aide de l'attribut mailquota si cet attribut est uniquement d�fini dans un mod�le de cat�gorie de service et non dans les entr�es utilisateur. Lorsqu'il re�oit une telle requ�te, le serveur renvoie un message d'erreur de type Refus d'ex�cuter. Les restrictions, et notamment celle-ci, sont r�pertori�es dans le manuel Sun ONE Directory Server 5.2 Administration Guide (http://docs.sun.com/doc/816-6698-10), que nous avons mentionn� plus haut.

Configuration du syst�me CoS dans Messaging Server

La pr�sentation de haut niveau pour l'ajout de la fonctionnalit� Cat�gorie de service implique les op�rations suivantes :

Activation du plug-in Cat�gorie de service

Le plug-in Cat�gorie de service est automatiquement install� avec Directory Server. Pour l'activer, et ainsi activer la fonctionnalit� CoS, il vous faut modifier le fichier de configuration SLAPD.

Pour obtenir des informations concernant la configuration du plug-in Cat�gorie de service, reportez-vous au manuel Sun ONE Directory Server 5.2 Administration Guide (http://docs.sun.com/doc/816-6698-10).

Red�marrage de Directory Server

Cr�ation du conteneur CoS pour les mod�les et d�finitions correspondants

Cr�ation d'un syst�me de messagerie CoS sous le conteneur de m�me type

Chaque entr�e du syst�me de messagerie comporte les �l�ments ci-apr�s :

un DN (avec ou:CoS) ;

une classe d'objets d�terminant l'entr�e du syst�me Cat�gorie de service (objectClass:cosClassicDefinition) ;

un attribut � valeurs multiples qui contient les sous-arborescences (noms de r�pertoire) dans lesquelles sont stock�es les entr�es du mod�le CoS pour ce syst�me (cosTemplateDN) ;

un attribut � valeurs multiples qui inclut la sous-arborescence � laquelle s'applique le syst�me CoS (cosTargetTree) ;

le nom de l'attribut utilis� pour d�signer le mod�le CoS appliqu� � une entr�e utilisateur (cosSpecifier:inetCOS) ;

les attributs � employer dans une entr�e de mod�le (cosAttribute, valeurs multiples).

Cr�ation d'un conteneur pour les mod�les CoS

Cr�ation des mod�les CoS

Affectation d'une cat�gorie de service aux entr�es utilisateur

Exemple de cr�ation d'une cat�gorie de service (CoS)

Cet exemple est fond� sur l'hypoth�se selon laquelle le plug-in CoS est d�j� install� et configur� et Directory Server en cours d'ex�cution. Il illustre la proc�dure de cr�ation d'un service de messagerie pour deux cat�gories de service, MS1 et MS2, dans le domaine h�berg� sesta.com. Les deux cat�gories de service ont les fonctions suivantes :

La cat�gorie de service MS2 fournira des services de messagerie POP3 et un espace disque de 5 m�ga-octets pour le stockage des messages.

Cr�ez le conteneur pour les mod�les et syst�mes CoS.

Cette entr�e d�finit le conteneur en tant qu'organizationalUnit (ou).

L'exemple de code qui suit repr�sente l'entr�e LDIF destin�e � la cr�ation du conteneur CoS :


dn: ou=CoS,o=sesta.com, o=DN_de_base
changetype: modify
add:organizationalUnit
ou: CoS

Cr�ez un syst�me de messagerie CoS � l'aide de l'exemple d'entr�e LDIF suivante :


dn: uid=mailscheme,ou=CoS,o=sesta.com, o=DN_de_base
objectClass: top
objectClass: ldapsubentry
objectClass: cossuperdefinition
objectClass: cosdefinition
objectClass: cosClassicDefinition
cosTemplateDn: ou=MailSchemeClasses,ou=CoS,o=sesta.com, o=DN_de_base
cosSpecifier: inetCoS
cosAttribute: mailQuota
cosAttribute: mailAllowedServiceAccess

Cr�ez le conteneur pour les mod�les de syst�me de messagerie.

Pour ce faire, ex�cutez l'instruction exemple LDIF ci-dessous :


dn: ou=MailSchemeClasses,ou=CoS,o=sesta.com, o=DN_de_base
changetype: modify
add: organizationalunit
ou: MailSchemeClasses

Cr�ez les mod�les CoS.

Inspirez-vous de l'exemple LDIF suivant pour cr�er les deux entr�es des mod�les MS1 et MS2.


dn: cn=MS2,ou=MailSchemeClasses,ou=CoS,o=sesta.com, o=DN_de_base
objectClass: top
objectClass: costemplate
objectClass: extensibleobject
objectClass: ldapsubentry
mailQuota: 5000000
mailAllowedServiceAccess: +pop3:*


dn: cn=MS1,ou=MailSchemeClasses,ou=CoS,o=sesta.com, o=DN_de_base
objectClass: top
objectClass: costemplate
objectClass: extensibleobject
objectClass: ldapsubentry
mailQuota: 5000000000
mailAllowedServiceAccess: +imap, imaps, pop3, http:*

Ajoutez une cat�gorie de service � une entr�e utilisateur.