Sun Java Enterprise System 2003Q4 Manuel d'installation |
Chapitre 12
Configuration et concepts de sch�ma pour Messaging Server 6.0Ce chapitre d�crit les choix que vous effectuez concernant la configuration de Messaging Server 6.0 et comporte �galement des rubriques qui exposent en d�tail les concepts et technologies relatifs � la version 2 du sch�ma LDAP de Sun ONE.
Ce chapitre se compose des sections suivantes :
Arborescence DIT LDAP et Messaging ServerL'arborescence DIT (Directory Information Tree, Arborescence d'informations d'annuaire) constitue un bon syst�me d'organisation des entr�es LDAP sous forme d'arborescence contenant des nœuds, qui peuvent repr�senter des domaines, des sous-domaines, des utilisateurs ou des groupes. Les versions ant�rieures de Messaging Server reposaient sur une structure � double arborescence : arborescence de composants de domaine (DC) compos�e de nœuds de domaine pour lesquels tous les attributs de domaine utiles �taient d�finis et arborescence de l'organisation compos�e de nœuds de domaine pour lesquels tous les attributs d'utilisateurs et de groupes �taient d�finis. Ce type de structure DIT est repr�sent� par la premi�re illustration du Sch�ma 12-1. Dans cette structure, plusieurs nœuds de l'arborescence DC pouvaient faire r�f�rence � un m�me nœud de domaine de l'arborescence de l'organisation en raison des alias d�finis dans l'arborescence DC.
Messaging Server 6.0 propose une structure � arborescence unique, sans l'arborescence DC. De plus, toutes les informations relatives aux domaines sont incluses au niveau des nœuds de domaine dans l'arborescence de l'organisation. Le mod�le � double arborescence est toujours pris en charge, mais a �t� modifi� (reportez-vous � la section « Choix applicables � la version 2 du sch�ma : mode natif ou de compatibilit� »).
La seconde illustration du Sch�ma 12-1 d�crit une structure LDAP � arborescence unique. La d�finition d'alias est compl�tement diff�rente dans la nouvelle structure � arborescence DIT unique. Ce changement concerne notamment l'emplacement des informations relatives au domaine dans l'arborescence.
Sch�ma 12-1 Structures LDAP en mode natif et en mode de compatibilit�
Choix d'un sch�ma pour Messaging Server 6.0Les trois choix de sch�ma possibles pour Messaging Server 6.0 sont les suivants :
Version 2 du sch�ma LDAP de Sun ONE en mode natif
Le mode par d�faut pour les nouvelles installations r�alis�es par les clients qui ne disposent pas encore d'iPlanet Messaging Server est la version 2 du sch�ma LDAP de Sun ONE. Il implique l'installation pr�alable d'Identity Server 6.1 avant Messaging Server 6.0.
Vous pouvez en outre choisir ce mode si vous avez d�j� install� iPlanet Messaging Server, mais que cette version vous oblige � migrer votre base de donn�es LDAP vers la structure � arborescence unique.
La configuration et l'administration sont effectu�es par le biais d'une interface de ligne de commande. Vous pouvez �galement proc�der � une configuration LDAP.
Version 2 du sch�ma LDAP de Sun ONE en mode de compatibilit�
Si vous disposez d�j� du logiciel iPlanet Messaging Server, une autre alternative s'offre � vous, � savoir l'utilisation de la version 2 du sch�ma LDAP de Sun ONE en mode de compatibilit�. Avec ce mode, la migration vers une structure � arborescence unique n'est pas n�cessaire. Vous pouvez conserver la double arborescence existante. L'emploi de ce mode suppose tout de m�me l'installation pr�alable d'Identity Server 6.1 avant Messaging Server 6.0.
La configuration et l'administration sont effectu�es par le biais d'une interface de ligne de commande. Vous pouvez �galement proc�der � une configuration LDAP.
Version 1 du sch�ma LDAP de Sun ONE
La version 1 du sch�ma LDAP de Sun ONE constitue le mode par d�faut des nouvelles installations effectu�es par les clients qui ne poss�dent pas Identity Server. Elle n�cessite l'installation d'une structure LDAP � double arborescence.
Les clients disposant d�j� du logiciel iPlanet Messaging Server peuvent d�cider de conserver la version 1 du sch�ma LDAP de Sun ONE et continuer � utiliser l'interface graphique pour la configuration et l'administration, ou pour la configuration LDAP.
Remarque
Ce guide ne d�taille la configuration LDAP que pour la version 2 du sch�ma LDAP de Sun ONE.
Identification des outils de configuration appropri�sLa section ci-apr�s pr�sente les outils de configuration ainsi que la documentation appropri�e � employer une fois le choix du sch�ma effectu�.
Elle contient les informations suivantes :
Matrice de configuration
Le Tableau 12-1 expose une matrice r�capitulant vos choix en mati�re de sch�ma, les outils de configuration disponibles et la documentation qui s'applique � chacun. Ces choix sont expliqu�s dans les sections figurant � la suite du tableau.
Vous devez indiquer, dans la premi�re colonne du tableau, si vous disposez d�j� d'une version ant�rieure de Messaging Server (iPlanet Messaging Server 5.0, 5.1 ou 5.2) et, dans la deuxi�me colonne, si vous avez install� Identity Server (si ce n'est pas le cas, vous devrez le faire avant la configuration).
Tableau 12-1 Matrice de configuration
iPlanet Messaging Server (5.0, 5.1, 5.2) est-il install� ?
Identity Server est-il install� ?
Type de sch�ma install� par Messaging Server 6.0
Outils de configuration
Documents de r�f�rence
Non
Non
Version 1 du sch�ma LDAP de Sun ONE (par d�faut)
Administrateur d�l�gu�
iPlanet Delegated Administrator for Messaging and Collaboration 1.2 Installation and Administration Guide (http://docs.sun.com/doc/816-6011-10)
Configuration LDAP
iPlanet Messaging Server 5.2 Provisioning Guide (http://docs.sun.com/doc/816-6018-10)
Non
Oui
Version 2 du sch�ma LDAP de Sun ONE en mode natif (par d�faut)
User Management Utility (Utilitaire Gestion des utilisateurs) (commadmin)
Sun ONE Messaging and Collaboration 1.0 User Management Utility Installation and Reference Guide (http://docs.sun.com/doc/817-4216-10)
Configuration LDAP
Dans ce manuel, reportez-vous au chapitre 11, « Configuration des organisations et utilisateurs ».
Oui
Non
Version 1 du sch�ma LDAP de Sun ONE
Administrateur d�l�gu�
iPlanet Delegated Administrator for Messaging and Collaboration 1.2 Installation and Administration Guide (http://docs.sun.com/doc/816-6011-10)
Configuration LDAP
iPlanet Messaging Server 5.2 Provisioning Guide (http://docs.sun.com/doc/816-6018-10)
Oui
Oui
Version 2 du sch�ma LDAP de Sun ONE en mode natif ou de compatibilit� (au choix)
User Management Utility (Utilitaire Gestion des utilisateurs) (commadmin)
Sun ONE Messaging and Collaboration User Management Utility 1.0 Installation and Reference Guide (http://docs.sun.com/doc/817-4216-10)
Configuration LDAP
Dans ce manuel, reportez-vous au chapitre 11, « Configuration des organisations et utilisateurs ».
Identification de votre mod�le de sch�ma
Si vous ne disposez pas d'une version pr�c�dente de Messaging Server et que vous avez commenc� par installer Identity Server, l'installation de Messaging Server 6.0 se fera automatiquement avec la version 2 du sch�ma LDAP de Sun ONE, en mode natif. Si en revanche, Identity Server n'est pas encore install�, Messaging Server sera par d�faut accompagn� de la version 1 du sch�ma LDAP.
Dans le cas o� vous poss�deriez une ancienne version de Messaging Server et souhaiteriez utiliser la version 2 du sch�ma LDAP de Sun ONE, vous avez le choix entre :
Votre choix d�terminera le mod�le de recherche par d�faut qui sera utilis� par le syst�me pour les recherches LDAP, parmi les deux suivants :
Pour plus d'informations sur les deux modes associ�s � la version 2 du sch�ma LDAP de Sun ONE, reportez-vous � la section « Choix applicables � la version 2 du sch�ma : mode natif ou de compatibilit� ».
S�lection de l'outil de configuration � utiliser
Pour la version 2 du sch�ma LDAP de Sun ONE, vous pouvez soit avoir recours � l'utilitaire User Management Utility (Utilitaire Gestion des utilisateurs) de Sun ONE (commadmin), soit proc�der � une configuration LDAP en entrant directement dans l'annuaire LDAP des enregistrements LDIF.
Pour la version 1 du sch�ma, utilisez iPlanet Delegated Administrator ou effectuez une configuration LDAP.
Obtention d'informations compl�mentaires concernant la configuration
Pour proc�der � une configuration LDAP pour la version 2 du sch�ma LDAP de Sun ONE (aussi bien pour le mode natif que le mode de compatibilit�), consultez le pr�sent manuel. Pour plus d'informations, reportez-vous au chapitre 11, « Configuration des organisations et utilisateurs ». Si la configuration LDAP s'applique � la version 1 du sch�ma, consultez le manuel iPlanet Messaging Server 5.2 Provisioning Guide (http://docs.sun.com/doc/816-6018-10).
Si vous pr�voyez d'employer l'outil de configuration User Management Utility (Utilitaire Gestion des utilisateurs), pour la version 2 du sch�ma LDAP de Sun ONE, reportez-vous au manuel Sun ONE Messaging and Collaboration 1.0 User Management Utility Installation and Reference Guide (http://docs.sun.com/doc/817-4216-10). Si vous envisagez plut�t de vous servir de l'outil de configuration Administrateur d�l�gu�, pour la version 1 du sch�ma LDAP, consultez le manuel iPlanet Messaging Server 5.2 Provisioning Guide (http://docs.sun.com/doc/816-6018-10).
Choix applicables � la version 2 du sch�ma : mode natif ou de compatibilit�Vous pouvez structurer votre annuaire LDAP de deux mani�res avec la version 2 du sch�ma LDAP de Sun ONE : en mode natif (conseill� car il ne comprend que l'arborescence de l'organisation) ou en mode de compatibilit� (constitu� � la fois d'une arborescence DC et d'une arborescence d'organisation et qui garantit la compatibilit� descendante avec les versions ant�rieures des produits LDAP de Sun ONE ou d'iPlanet). La configuration de votre annuaire LDAP varie suivant le mode choisi.
Avant d'opter pour l'un des modes associ�s � la version 2 du sch�ma, il vous faut prendre en compte les points suivants :
Pourquoi la structure LDAP a-t-elle �t� modifi�e ?
Java Enterprise System apporte une modification essentielle � la structure de l'annuaire LDAP en proposant une arborescence unique. Les deux principaux avantages de cette arborescence unique (mode natif) sont les suivants :
En effet, la structure LDAP � arborescence unique est nettement moins complexe que la structure � double arborescence. Comme vous pouvez le constater dans le sch�ma ci-dessous, certains nœuds de la structure � double arborescence faisaient directement r�f�rence � un nœud de l'arborescence de l'organisation (� l'aide de l'attribut inetDomainBaseDN). Les autres �taient des nœuds disposant d'un alias qui, au lieu de faire directement r�f�rence � un nœud de l'arborescence de l'organisation, �taient reli�s � un autre nœud de l'arborescence DC par le biais de l'attribut aliasedObjectName.
Sch�ma 12-2 D�finition d'alias dans la structure � double arborescence avec aliasedDomainName et inetDomainBaseDN
Dans le sch�ma ci-dessus, le nœud sesta.com de l'arborescence DC fait r�f�rence, � l'aide de l'attribut aliasedObjectName, au nœud siroe.com de cette m�me arborescence, qui � son tour fait r�f�rence au nœud portant le m�me nom dans l'arborescence de l'organisation, � l'aide de l'attribut inetDomainBaseDN.
Par ailleurs, comme dans le sch�ma suivant, un ou plusieurs nœuds de l'arborescence DC pouvaient recourir � l'attribut inetDomainBaseDN pour faire directement r�f�rence au nœud portant un nom identique dans l'arborescence de l'organisation. Dans ce cas, il �tait indispensable de d�finir un attribut d�cisif (tie-breaker), inetCanonicalDomainName, pour l'un des nœuds de l'arborescence DC afin de d�signer le nom de domaine r�el, en d'autres termes celui du domaine dans lequel les messages �taient stock�s et vers lequel ils seraient achemin�s.
Sch�ma 12-3 Alias dans la double arborescence avec l'attribut inetCanonicalDomainName
En comparaison, la nouvelle structure LDAP est beaucoup plus simple : elle ne comprend que l'arborescence de l'organisation, comme le montre le Sch�ma 12-4.
Dans cette structure � arborescence unique, les nœuds de domaine de l'arborescence de l'organisation contiennent l'ensemble des attributs de domaine qui figuraient jusqu'alors dans l'arborescence DC. Chaque nœud de domaine est identifi� par la classe d'objets sunManagedOrganization ainsi que par l'attribut sunPreferredDomain, qui inclut le nom du domaine DNS. Un nœud de domaine peut en outre disposer d'un ou de plusieurs attributs associatedDomain, qui r�pertorient les alias sous lesquels ce domaine est connu. À l'inverse de la structure � double arborescence, la structure � arborescence unique n'autorise pas les nœuds en double portant le m�me alias.
Sch�ma 12-4 Alias dans l'arborescence unique avec l'attribut associatedDomain
Mode natif : avantages et r�gression
Pour les nouvelles installations de Messaging Server, les donn�es LDAP sont d�sormais organis�es sous la forme d'une structure DIT unique. Il s'agit, en fait, de l'arborescence de l'organisation. Cette arborescence contient des entr�es utilisateur, de groupes et de domaines, ainsi que des mod�les de recherche.
Avantages d'une structure DIT � arborescence unique
L'atout d'une structure DIT � arborescence unique est la possibilit� de cr�er des partitions de donn�es en vue d'un contr�le d'acc�s propre � l'organisation. En d'autres termes, dans cette structure, chaque organisation peut �tre repr�sent�e par une sous-arborescence distincte dans laquelle figurent les entr�es utilisateur et de groupes. L'acc�s � ces donn�es peut �tre restreint aux utilisateurs qui d�pendent de cette partie de la sous-arborescence. Ainsi, les applications localis�es fonctionnent en toute s�curit�.
Par ailleurs, pour les nouveaux d�ploiements de Messaging Server 6.0, une arborescence unique est plus appropri�e pour une correspondance avec les applications LDAP DIT uniques existantes.
R�gression du mode natif
Dans une structure � double arborescence, deux nœuds de domaine de l'arborescence DC pouvaient faire r�f�rence � un m�me nœud de domaine de l'arborescence de l'organisation. Il �tait possible d'affecter des valeurs d'attribut de routage diff�rentes � chacun des deux domaines de l'arborescence DC. Ce syst�me permettait, selon l'alias de domaine indiqu�, de traiter les messages et de les acheminer de fa�on diff�rente pour le m�me domaine de l'arborescence de l'organisation. �tant donn� que cette m�thode de cr�ation d'alias n'est plus valide dans une structure � arborescence unique, la fonctionnalit� n'est plus disponible.
La cr�ation d'alias s'effectue � pr�sent � l'aide de l'attribut associatedDomain et s'apparente au fonctionnement, en mode de compatibilit�, des domaines d'alias auxquels a �t� affect� l'attribut aliasedObjectName. En effet, le domaine d'alias ne poss�dait pas d'attributs de routage de domaine, mais utilisait les attributs affect�s au domaine assimil� (et dont le dn �tait inclus dans l'attribut aliasedObjectName), de sorte que l'acheminement des messages �tait identique pour le domaine d'alias et le domaine assimil�.
Conversion en mode natif
Si vous disposez d�j� de la version 1 du sch�ma de Sun ONE et d'une structure LDAP � double arborescence et que vous souhaitiez convertir celle-ci en arborescence fonctionnant en mode natif, vous devez effectuer les modifications suivantes dans l'arborescence de l'organisation.
- Ajoutez les classes d'objets sunISManagedOrganization et sunManagedOrganization accompagn�es des attributs appropri�s � tous les nœuds de domaine.
- Ajoutez la classe d'objets sunNameSpace � tous les nœuds de domaine ad�quats. (Reportez-vous � la section « D�claration d'espaces de noms ».)
- Copiez tous les attributs de domaine utiles de l'arborescence DC au niveau des nœuds de domaine correspondants de l'arborescence de l'organisation.
- Condensez tous les alias de l'arborescence DC dans l'attribut associatedDomain.
- Ajoutez des informations de contr�le d'acc�s aux nœuds de l'arborescence de l'organisation.
- Identity Server ajoute des mod�les de recherche globaux au nœud racine (DN_de_base). Vous souhaiterez peut-�tre fournir aussi des mod�les de remplacement personnalis�s pour chacun des nœuds.
Pour plus d'informations sur les classes d'objets et les attributs, reportez-vous au manuel Sun ONE Messaging and Collaboration 6.0 Schema Reference Manual (http://docs.sun.com/doc/816-6710-10).
Remarque
L'arborescence DC devient obsol�te, mais il n'est pas n�cessaire de la supprimer de la base de donn�es LDAP.
Mode de compatibilit� : structure � double arborescence toujours prise en charge
S'il vous faut conserver la structure � double arborescence des anciennes versions de Messaging Server, sachez que Messaging Server 6.0 la prend toujours en charge. Cela peut �tre le cas si certaines de vos applications d�pendent de cette structure LDAP � double arborescence.
Si vous d�cidez de conserver cette structure, Messaging Server utilise un mod�le compatible RFC 2247 pour rechercher les entr�es utilisateur.
La migration de la version 1 du sch�ma de Sun ONE vers le mode de compatibilit� de la version 2 est soumise aux conditions suivantes :
- L'attribut inetDomainStatus des nœuds de l'arborescence DC doit �tre copi� au niveau des nœuds correspondants dans l'arborescence de l'organisation. (Lorsqu'un nœud de l'arborescence de l'organisation et le nœud correspondant dans l'arborescence DC contiennent tous deux l'attribut inetDomainStatus, l'�tat figurant dans le premier pr�vaut sur celui figurant dans le second.)
- Vous devez avoir d�fini, pour le mod�le de recherche par d�faut de la double arborescence, l'attribut rfc2247Flag afin que toutes les applications effectuant des recherches dans l'annuaire LDAP puissent continuer � utiliser l'arborescence DC pour acc�der aux nœuds corrects dans l'arborescence de l'organisation, comme dans les versions ant�rieures de Messaging Server.
- Tous les nœuds de l'arborescence de l'organisation doivent poss�der les classes d'objets marqueurs et les attributs Identity Server appropri�s.
- Les informations de contr�le d'acc�s ad�quates pour Identity Server doivent en outre �tre ajout�es � chacun des nœuds.
- Identity Server fournit des mod�les de recherche globaux applicables aux domaines, aux utilisateurs et aux groupes au niveau du nœud racine. Cependant, vous pouvez �tre amen� � personnaliser vos recherches pour certains nœuds. Pour ce faire, vous devez ajouter des mod�les de remplacement aux nœuds en question.
Mod�les de donn�es pour les modes natif et de compatibilit�Le mod�le de donn�es de base pour les classes d'objets Sun ONE consiste � �tendre les types d'entr�e LDAP (utilisateur, groupe ou domaine) cr��s par les classes d'objets principales en les recouvrant de classes partag�es (les classes d'objets peuvent �tre partag�es par plusieurs services) et de classes d'objets propres � un service (classes applicables � un type de service particulier).
Cette relation est d�crite dans les tableaux ci-apr�s. Pour la structure LDAP � arborescence unique (arborescence de l'organisation) en mode natif, reportez-vous au tableau suivant. Dans le cas d'une structure LDAP � double arborescence (arborescence DC et arborescence de l'organisation) fonctionnant en mode de compatibilit�, consultez le Tableau 12-3.
Si, par exemple, vous employez le type d'entr�e Utilisateur, les classes d'objets suivantes fournissent les types d'attribut ci-dessous :
person Fournit les attributs relatifs � la description d'une personne.
organizationalPerson Fournit les attributs relatifs � la description d'un membre d'une organisation.
inetOrgPerson Fournit les attributs de base relatifs � un internaute.
ipUser Contient l'attribut concernant le carnet d'adresses personnel, la classe du mod�le de service ainsi que le DN du compte familial (le cas �ch�ant).
inetUser Repr�sente un compte d'utilisateur et est accompagn� des attributs inetMailUser et ipUser pour la cr�ation d'un compte de messagerie.
inetSubscriber Classe d'objets facultative qui repr�sente le compte d'un abonn� et qui fournit un ID de compte et des attributs de stimulation/r�ponse.
inetMailUser Symbolise un compte de messagerie et comprend la plupart des attributs de compte de messagerie propres � l'utilisateur.
inetLocalMailRecipient Repr�sente un destinataire de messagerie local (interne � l'organisation) puisqu'il pr�cise ses adresses e-mail et lui communique les informations d'acheminement utiles.
D�claration d'espaces de nomsLes espaces de noms permettent de d�finir des entit�s d'organisation pour lesquelles un ou plusieurs attributs doivent �tre uniques parmi l'ensemble des entr�es.
Pour configurer une organisation (un domaine, en r�gle g�n�rale) en tant qu'espace de noms, ajoutez la classe d'objets sunNameSpace � l'entr�e correspondant � l'organisation. L'organisation est alors marqu�e comme �tant un espace de noms unique, mais la fonctionnalit� d'unicit� n'est pas activ�e. Plus pr�cis�ment, la classe d'objets sunNameSpace ne modifie pas, � elle seule, le comportement du syst�me.
Si vous souhaitez activer la fonctionnalit� d'unicit�, vous devez ajouter l'attribut sunNameSpaceUniqueAttrs � l'entr�e de l'organisation. Cet attribut comporte le nom d'un autre attribut qui sert � distinguer les entr�es uniques au sein de l'organisation. La fonctionnalit� d'unicit� permet l'utilisation de plusieurs attributs.
En ajoutant cette fonctionnalit� � un domaine, vous avez l'assurance qu'aucune sous-arborescence d�pendant de ce domaine ne peut �tre d�clar�e comme un espace de noms utilisant des attributs identiques.
L'unicit� est appliqu�e � l'aide de l'outil de configuration qu'est l'utilitaire de ligne de commande commadmin. Cet utilitaire ne vous autorise pas � ajouter une entr�e en double, ce qui serait contraire � la fonctionnalit� d'unicit�. En revanche, lorsque vous proc�dez � une configuration directe avec la commande LDAP, il vous faut appliquer le principe d'unicit� vous-m�me. La commande LDAP, ldapmodify, ne le fait pas. Elle n'interdit pas la saisie d'enregistrements en double.
L'unicit� des attributs est une fonctionnalit� d'Identity Server qui est employ�e par Messaging Server. Pour qu'Identity Server soit en mesure de g�rer votre base de donn�es LDAP, vous devez configurer celle-ci de telle sorte que les contraintes d'unicit� impos�es par les attributs sunNameSpace et sunNameSpaceUniqueAttrs soient respect�es.
Le sch�ma ci-dessous montre un exemple d'utilisation de domaines en tant qu'espaces de noms.
Sch�ma 12-5 Domaines utilis�s en tant qu'espaces de noms
Dans le sch�ma ci-dessus, les trois domaines pr�sents sont associ�s � la classe d'objets sunNameSpace et � l'attribut sunNameSpaceUniqueAttrs, qui a pour valeur uid. Chaque domaine constitue un espace de noms dans lequel l'uid de chaque entr�e est unique. Plusieurs domaines peuvent toutefois disposer d'entr�es portant un identificateur unique identique, sans pour cela ne pas se conformer aux contraintes d'unicit� des autres domaines. Par exemple, chacun des trois domaines comporte une entr�e dont l'uid est jdurand. Ce syst�me est autoris� dans la mesure o� chaque organisation repr�sente un espace de noms ind�pendant. Dans cet exemple, pour pouvoir rechercher l'un des utilisateurs jdurand, le mod�le de recherche doit conna�tre le nom de l'organisation (du domaine) dont il fait partie.
Des attributs suppl�mentaires peuvent �tre affect�s � chaque domaine. Par exemple, il peut s'av�rer n�cessaire de d�finir un attribut telephoneNumber unique pour chacun des utilisateurs d'un domaine. Dans ce cas, l'entr�e correspondant � ce domaine inclut �galement la ligne sunNameSpaceUniqueAttrs=telephoneNumber, pour �viter que deux utilisateurs ne se voient attribuer le m�me num�ro de t�l�phone.
Superposition d'espaces de noms et du nœud racine
Bien qu'il soit possible de d�finir des espaces de noms superpos�s � l'aide de la version 2 du sch�ma LDAP de Sun ONE, il est vivement d�conseill� de convertir le nœud racine en espace de noms.
Si vous envisagez d'inclure plusieurs domaines dans votre installation, n'appliquez pas l'attribut sunNameSpaceUniqueAttrs au nœud du suffixe de racine (en l'occurrence, DN_de_base), car aucun domaine figurant sous la racine ne serait autoris� � employer les attributs d�sign�s dans l'entr�e de la racine du fait de l'application du principe d'unicit�.
Par exemple, si la ligne sunNameSpaceUniqueAttrs=uid est d�finie au niveau du nœud racine, aucun des autres domaines ne peut utiliser l'uid en tant qu'attribut d'unicit�.
Identity Server configure automatiquement le nœud racine avec l'attribut sunNameSpace, mais n'ajoute pas ce dernier. La fonctionnalit� d'unicit� n'�tant pas activ�e en l'absence de l'attribut sunNameSpaceUniqueAttrs, le nœud racine ne fonctionne en tant qu'espace de noms que si vous ajoutez explicitement cet attribut.
Remarque
Pour le bon fonctionnement de Messaging Server, n'ajoutez pas sunNameSpaceUniqueAttrs au niveau du nœud racine.
Mod�les de rechercheCette section expose les actions et le format des mod�les de recherche.
Remarque
Le format des mod�les de recherche peut �tre modifi�. La gestion de ces mod�les s'effectue par l'interm�diaire d'Identity Server.
Pr�sentation des mod�les de recherche
Les mod�les sont des entr�es sp�ciales de l'arborescence de l'organisation. Ils sont utilis�s par Messaging Server pour localiser les entr�es LDAP relatives aux domaines, aux utilisateurs et aux groupes, de la mani�re suivante :
- En mode natif, Messaging Server a recours au mod�le BasicOrganizationSearch et effectue la recherche � l'aide du filtre qui est stock� dans ce mod�le.
- En mode de compatibilit�, Messaging Server utilise le mod�le BasicDomainSearch pour v�rifier comment l'attribut rfc2247Flag a �t� d�fini. Si cet indicateur est param�tr� sur true, cela signifie que le filtre de recherche n'est pas pris en compte et que l'arborescence DC sert � rechercher le nœud ad�quat de l'arborescence de l'organisation, comme dans les versions ant�rieures de Messaging Server.
Deux types de mod�le de recherche sont disponibles.
Pour plus d'informations sur les classes d'objets et les attributs, reportez-vous au manuel Sun ONE Messaging and Collaboration 6.0 Schema Reference Manual (http://docs.sun.com/doc/816-6710-10).
Format des mod�les de recherche
Les mod�les de recherche disposent des �l�ments suivants :
Indicateur bool�en (true, false) qui commande aux applications d'employer l'algorithme RFC 2247 pour �laborer le DN de l'entr�e LDAP � rechercher plut�t qu'utiliser le filtre de recherche mentionn�. (Cela permet d'assurer la compatibilit� descendante des installations � l'aide des structures LDAP de mode de compatibilit� existantes, telles que les installations d'iPlanet Messaging Server 5.2.) Cet �l�ment oblige le syst�me � rechercher dans l'arborescence DC un attribut inetDomainBaseDN correspondant, qui fait r�f�rence au nœud correct dans l'arborescence de l'organisation. Pour de plus amples informations sur les arborescences DC, reportez-vous au manuel iPlanet Messaging Server 5.2 Provisioning Guide (http://docs.sun.com/doc/816-6018-10).
Groupes (listes de diffusion)Les groupes, d�sign�s sous le concept de « listes de diffusion » dans Messaging Server, permettent aux utilisateurs de services de contacter un groupe d'autres utilisateurs sans avoir � nommer chacun d'entre eux. Cela se traduit, dans Messaging Server, par l'envoi d'e-mails � diverses bo�tes aux lettres sans indication de l'adresse e-mail de chacun des destinataires. Messaging Server prend en charge les listes de diffusion (groupes) � la fois statiques et dynamiques. Chaque type de liste poss�de une entr�e LDAP compatible avec la classe d'objets inetMailGroup.
Dans une liste de diffusion statique, les membres de la liste sont indiqu�s directement dans l'entr�e LDAP du groupe. En revanche, pour les listes de diffusion dynamiques, les membres sont s�lectionn�s par le biais d'un filtre de recherche LDAP (RFC-2254).
Il est possible d'effectuer, au sein des groupes dynamiques, une scission suppl�mentaire : un groupe dynamique peut �tre affect� ou filtr�. Par ailleurs, chacun de ces types de groupe peut �tre ouvert (abonnement possible) ou ferm� (abonnement impossible). Seul le groupe dynamique filtr� ne peut pas �tre ouvert.
Il peut �tre utile de visualiser les diff�rentes combinaisons, qui sont d�crites dans le tableau ci-dessous :
Ouvert/Ferm�
Statique
Dynamique pouvant �tre affect�
Dynamique filtr�
Ouvert
(abonnement possible)Oui
Oui
Non
Ferm�
(abonnement impossible)Oui
Oui
Oui
Types de groupe
Il existe trois types de groupe.
- Statique : un groupe statique dispose d'une entr�e LDAP qui r�pertorie l'ensemble de ses membres, � l'aide de l'attribut uniqueMember pour les membres internes et de l'attribut mgrpRFC822MailMember pour les membres externes.
- Dynamique pouvant �tre affect� : l'entr�e LDAP d'un groupe dynamique pouvant �tre affect� contient un filtre de recherche d�fini dans l'attribut mgrpDeliverTo. L'attribut filtr� doit �tre courant. L'attribut courant par d�faut pour Messaging Server est memberOf ; il est � pr�sent pris en charge par Identity Server, gr�ce � la classe d'objets inetAdmin.
Par exemple, pour le groupe dynamique d�nomm� HRStaff, l'attribut mgrpDeliverTo aurait la valeur suivante :
(&(objectclass=inetAdmin) (memberOf=cn=HRStaff, ou=Groups, o=sesta.com, o=DN_de_base))
De plus, chaque entr�e utilisateur associ�e � un membre comporterait les lignes ci-apr�s :
objectClass: inetAdmin
memberOf: HRStaff
- Dynamique filtr� : comme pour les groupes dynamiques pouvant �tre affect�s, l'entr�e LDAP d'un groupe dynamique filtr� contient un filtre de recherche d�fini dans l'attribut mgrpDeliverTo. Toutefois, dans ce cas, les membres du groupe peuvent �tre d�termin�s par filtrage sur la base d'un ou de plusieurs attributs, quels qu'ils soient. Un filtre peut, par exemple, se pr�senter comme suit :
(&((objectclass=inetMailUser)(city=tokyo)&(objetclass=inetOrgPerson)(uid=jdurand)))
En outre, des membres dynamiques peuvent �galement �tre inclus dans un groupe statique, en ajoutant l'attribut mgrpDeliverTo � l'entr�e LDAP du groupe statique.
Chaque type de groupe poss�de sa propre classe d'objets Identity Server. Le tableau suivant dresse la liste des types de groupe, ainsi que des classes d'objets Identity Server utilis�es pour leur configuration.
Remarque
La classe d'objets iplanet-am-managed-group est sup�rieure � ces trois classes, mais son insertion dans l'entr�e LDAP d'un groupe est facultative.
Groupes ouverts et groupes ferm�s
Les groupes ouverts sont des groupes auxquels tout utilisateur peut s'abonner. Si l'attribut iplanet-am-group-subscribable figure dans l'entr�e LDAP du groupe avec pour valeur true, le groupe est ouvert (l'abonnement � celui-ci est possible). Cet attribut est facultatif. S'il est manquant, les groupes sont consid�r�s comme ferm�s (abonnement impossible). Cet attribut peut aussi �tre param�tr� sur false, auquel cas le groupe est ferm�.
Cat�gorie de service (CoS)Le syst�me de gestion avanc�e des entr�es CoS vous permet de cr�er des attributs virtuels qui ne sont pas stock�s dans les entr�es. Au lieu de cela, ces attributs sont g�n�r�s par le syst�me CoS au moment de l'envoi de l'entr�e � l'application cliente. À l'instar des groupes et des r�les, le syst�me CoS repose sur des entr�es d'aide dans l'annuaire.
Les trois m�canismes disponibles sont les suivants :
Le m�canisme Classic CoS est recommand� pour Messaging Server ; il est d�crit dans la pr�sente section.
Pour en savoir plus sur les syst�mes de gestion avanc�e des entr�es, consultez les manuels Sun ONE Directory Server 5.2 Administration Guide et Sun ONE Directory Server 5.2 Reference Manual. Ces manuels se trouvent sur le site Web de la documentation Sun :
http://docs.sun.com/prod/s1dirsrv
CoS pour Messaging Server
La fonctionnalit� CoS vous permet de cr�er un ensemble de fonctionnalit�s et d'attributs fixes que vous nommez et que vous pouvez appliquer � des utilisateurs donn�s. Elle entra�ne �galement la cr�ation d'un mod�le d'attributs qui peut �tre associ� aux entr�es utilisateur avec un seul attribut. Par exemple, si vous �tes un fournisseur de services Internet, vous pouvez d�cider de cr�er deux niveaux de service de messagerie, � savoir MS1 et MS2, de la fa�on suivante :
- La cat�gorie de service MS1 fournira aux utilisateurs des services de messagerie (via Internet) IMAP (non s�curis�s et s�curis�s), POP3 et HTTP ainsi qu'un espace disque de 5 giga-octets pour le stockage des messages.
- La cat�gorie de service MS2 fournira quant � elle des services de messagerie POP3 et un espace disque de cinq m�ga-octets pour le stockage des messages.
Remarque
Les requ�tes LDAP comprenant un filtre qui fait r�f�rence � un attribut d�fini par la cat�gorie de service ne seront pas trait�es. Par exemple, vous ne pouvez pas effectuer une recherche qui aboutira � l'aide de l'attribut mailquota si cet attribut est uniquement d�fini dans un mod�le de cat�gorie de service et non dans les entr�es utilisateur. Lorsqu'il re�oit une telle requ�te, le serveur renvoie un message d'erreur de type Refus d'ex�cuter.
Les restrictions, et notamment celle-ci, sont r�pertori�es dans le manuel Sun ONE Directory Server 5.2 Administration Guide (http://docs.sun.com/doc/816-6698-10), que nous avons mentionn� plus haut.
Configuration du syst�me CoS dans Messaging Server
La pr�sentation de haut niveau pour l'ajout de la fonctionnalit� Cat�gorie de service implique les op�rations suivantes :
- Activation du plug-in Cat�gorie de service
Le plug-in Cat�gorie de service est automatiquement install� avec Directory Server. Pour l'activer, et ainsi activer la fonctionnalit� CoS, il vous faut modifier le fichier de configuration SLAPD.
Pour obtenir des informations concernant la configuration du plug-in Cat�gorie de service, reportez-vous au manuel Sun ONE Directory Server 5.2 Administration Guide (http://docs.sun.com/doc/816-6698-10).
- Red�marrage de Directory Server
- Cr�ation du conteneur CoS pour les mod�les et d�finitions correspondants
- Cr�ation d'un syst�me de messagerie CoS sous le conteneur de m�me type
Chaque entr�e du syst�me de messagerie comporte les �l�ments ci-apr�s :
- un DN (avec ou:CoS) ;
- une classe d'objets d�terminant l'entr�e du syst�me Cat�gorie de service (objectClass:cosClassicDefinition) ;
- un attribut � valeurs multiples qui contient les sous-arborescences (noms de r�pertoire) dans lesquelles sont stock�es les entr�es du mod�le CoS pour ce syst�me (cosTemplateDN) ;
- un attribut � valeurs multiples qui inclut la sous-arborescence � laquelle s'applique le syst�me CoS (cosTargetTree) ;
- le nom de l'attribut utilis� pour d�signer le mod�le CoS appliqu� � une entr�e utilisateur (cosSpecifier:inetCOS) ;
- les attributs � employer dans une entr�e de mod�le (cosAttribute, valeurs multiples).
- Cr�ation d'un conteneur pour les mod�les CoS
- Cr�ation des mod�les CoS
- Affectation d'une cat�gorie de service aux entr�es utilisateur
Exemple de cr�ation d'une cat�gorie de service (CoS)
Cet exemple est fond� sur l'hypoth�se selon laquelle le plug-in CoS est d�j� install� et configur� et Directory Server en cours d'ex�cution. Il illustre la proc�dure de cr�ation d'un service de messagerie pour deux cat�gories de service, MS1 et MS2, dans le domaine h�berg� sesta.com. Les deux cat�gories de service ont les fonctions suivantes :
- La cat�gorie de service MS1 fournira aux utilisateurs des services de messagerie (via Internet) IMAP (non s�curis�s et s�curis�s), POP3 et HTTP ainsi qu'un espace disque de 5 giga-octets pour le stockage des messages.
- La cat�gorie de service MS2 fournira des services de messagerie POP3 et un espace disque de 5 m�ga-octets pour le stockage des messages.
- Cr�ez le conteneur pour les mod�les et syst�mes CoS.
Cette entr�e d�finit le conteneur en tant qu'organizationalUnit (ou).
L'exemple de code qui suit repr�sente l'entr�e LDIF destin�e � la cr�ation du conteneur CoS :
- Cr�ez un syst�me de messagerie CoS � l'aide de l'exemple d'entr�e LDIF suivante :
- Cr�ez le conteneur pour les mod�les de syst�me de messagerie.
Pour ce faire, ex�cutez l'instruction exemple LDIF ci-dessous :
dn: ou=MailSchemeClasses,ou=CoS,o=sesta.com, o=DN_de_base
changetype: modify
add: organizationalunit
ou: MailSchemeClasses
- Cr�ez les mod�les CoS.
Inspirez-vous de l'exemple LDIF suivant pour cr�er les deux entr�es des mod�les MS1 et MS2.
dn: cn=MS2,ou=MailSchemeClasses,ou=CoS,o=sesta.com, o=DN_de_base
objectClass: top
objectClass: costemplate
objectClass: extensibleobject
objectClass: ldapsubentry
mailQuota: 5000000
mailAllowedServiceAccess: +pop3:*
dn: cn=MS1,ou=MailSchemeClasses,ou=CoS,o=sesta.com, o=DN_de_base
objectClass: top
objectClass: costemplate
objectClass: extensibleobject
objectClass: ldapsubentry
mailQuota: 5000000000
mailAllowedServiceAccess: +imap, imaps, pop3, http:*
- Ajoutez une cat�gorie de service � une entr�e utilisateur.