13.3 启用交叉域搜索

本节介绍如何启用交叉域搜索。

本节包括要启用交叉域搜索所必须执行的两项任务：

• 在允许搜索该域的每个域的 LDAP 条目中13.3.1 添加允许搜索该域的域的名称。

• 当该域中的用户向事件发出邀请时，13.3.2 添加允许该域进行搜索的域的名称。

使用以下工具之一可以完成此操作：ldapmodify（用于任一 Schema 模式），或者 Delegated Administrator 控制台或实用程序（适用于 Schema 版本 2）。

13.3.1 添加允许搜索该域的域的名称

每个域 LDAP 条目在 ACE 中指定访问权限，该 ACE 是在 icsExtendedDomainPrefs 属性的 domainAccess 参数中定义的。允许外部域搜索该域的两种方法是：

• 13.3.1.1 允许特定的域搜索该域

• 13.3.1.2 允许所有外部域搜索该域

1.8 Calendar Server 版本 6.3 的访问控制中有对 ACI 结构的更完整解释。

13.3.1.1 允许特定的域搜索该域

这有三种实现方法：

• 使用 ldapmodify，在 icsExtendedDomainPrefs 的 domainAccess 首选项中创建以下 ACE 字符串：

  @domain_being_allowed ^a^lsfr^g

  通过指定允许搜索该域的域生成 ACE，然后指定允许搜索的充足权限。

  ---

  注意 –

  只允许一个 domainAccess 属性的实例。如果使用 ldapmodify 更改值，必须确保您没有意外地重复创建此属性。

  系统会依次读取 ics.conf 文件且采用最后找到的属性值，但对于 LDAP 条目而言，系统会使用其找到的第一个实例。由于 LDAP 搜索机制不保证按任何特定顺序提供条目内容，则可能会先检索到属性的较早版本，并且 Calendar Server 软件不会再进一步地进行查找。

  ---

• 使用 Delegated Administrator 实用程序命令 commadmin domain modify，通过指定 icsExtendedDomainPrefs 属性中的 domainAccess 首选项来添加 ACE 字符串。

  例如，在 Schema 版本 2 环境中，sesta.com 允许从 siroe.com 进行搜索：

  commadmin domain modify -D admin
     -w adminpassword -X hostmachine_1 -d sesta.com 
     -A +icsextendeddomainprefs:"domainAccess=@@d^a^slfrwd^g;
        @siroe.com^a^lsfrwd^g;anonymous^a^r^g;@^a^s^g"

• 使用 Delegated Administrator 控制台，可以在创建或编辑组织属性时将域添加到允许来自这些组织中的用户的邀请列表。

  这将更新 icsExtendedDomainPrefs 属性中的 domainAccess 首选项。

虽然您可以使用列出的前两种方法指定给予域的确切权限，但是后一种方法（使用 Delegated Administrator 控制台）却不能给予管理员同样多的控制权限。权限列表是预设的。给予的权限有：free-busy 访问和 event scheduling 访问。用户无法看到事件的详细信息，除非日历的所有者已将权限设置为允许所有用户阅读该信息。

13.3.1.2 允许所有外部域搜索该域

有三种方法允许外部域搜索该域：

• 使用 ldapmodify，在 icsExtendedDomainPrefs 的 domainAccess 首选项中创建以下 ACE 字符串：

  @^a^slfr^g

  通过指定所有域都有执行搜索的充足访问权限来生成 ACE。

• 使用 Delegated Administrator 实用程序命令 commadmin domain modify，通过指定 icsExtendedDomainPrefs 属性中的 domainAccess 首选项来添加 ACE 字符串。

  例如，在 Schema 版本 2 环境中，sesta.com 允许所有域执行搜索：

  commadmin domain modify -D admin 
     -w adminpassword -X hostmachine_1 -d sesta.com 
     -A +icsextendeddomainprefs:"domainAccess=@@d^a^slfrwd^g;
        anonymous^a^r^g;@^a^slfr^g"

  ---

  注 –

  字符 @@d 是指主要所有者的域。

  ---

• 使用 Delegated Administrator 控制台，可以在创建或编辑组织属性时将域添加到允许来自这些组织中的用户的邀请列表。

  这将更新 icsExtendedDomainPrefs 属性中的 domainAccess 首选项。

虽然您可以使用列出的前两种方法指定给予域的确切权限，但是后一种方法（使用 Delegated Administrator 控制台）却不能给予管理员同样多的控制权限。权限列表是预设的。给予的权限有：free-busy 访问和 event scheduling 访问。用户无法看到事件的详细信息，除非日历的所有者已将权限设置为允许所有用户阅读该信息。

13.3.2 添加允许该域进行搜索的域的名称

本节介绍如何添加允许进行搜索的域的名称。

有三种方式可以添加允许该域进行搜索的外部域：

• 使用 ldapmodify，为允许该域中的用户搜索的每一个外部域添加一个 icsDomainNames 实例。

  例如，执行交叉域搜索时，sesta.com 将在 siroe.com 和 example.com 中执行搜索。使用 ldapmodify（适用于 Schema 版本 1 或 Schema 版本 2）创建以下的 LDIF：

  dn: dc=sesta, dc=com, o=internet
  changetype: modify
  add: icsDomainNames
  icsDomainNames:siroe.com
  icsDomainNames:example.com

• 使用 Delegated Administrator 实用程序命令 commadmin domain modify，指定选项 -A 以添加要搜索的域的名称。

  例如：

  commadmin domain modify -D admin 
     -w adminpassword -X hostmachine_1 -d sesta.com 
     -A +icsDomainNames:siroe.com 
     -A +icsDomainNames:example.com

• 使用 Delegated Administrator 控制台，可以在创建或编辑组织属性时将域添加到这些组织中的邀请日历列表。

  这将向域 LDAP 条目中添加 icsDomainNames 属性。当该域中的用户向事件发送邀请时，为要搜索的每个外部域添加一个属性。

  有关更多信息，请参见 Delegated Administrator 控制台联机帮助。