第 13 章 管理 Calendar Server 域
本章介绍如何管理 Calendar Server 部署中的域的概念性信息和说明。
本章包括以下各节,介绍如何管理多域:
13.1 选择正确的用户管理工具
有两种管理 Calendar Server 域的方法。
可使用以下两组工具中的一组:
-
Delegated Administrator 控制台或实用程序(适用于 Schema 版本 2 环境)。
Delegated Administrator 是 Java Enterprise System 安装程序中的一个可单独安装的组件。有关该实用程序的更多信息,参见《Sun Java System Communications Services 6 2005Q4 Delegated Administrator Guide》。有关该控制台的更多信息,请使用 Delegated Administrator 控制台联机帮助。
-
Calendar Server 实用程序:csdomain 和 csattribute(适用于 Schema 版本 1 环境。) 开始
该实用程序是在安装 Calendar Server 时安装的。可使用 csdomain 添加或删除属性,但没有 modify 命令。使用 csattribute 可以修改现有属性的值。此外,如果需要,使用 ldapmodify 添加或删除由 csdomain 在域中创建的对象类。
有关 csdomain 和 csattribute 的信息,参见附录 D,Calendar Server 命令行实用程序参考。
有关特定对象类和属性的信息,参见《Sun Java System Communications Services 6 2005Q4 Schema Reference》。
有关多域的概述和其他介绍材料,参见第 10 章,设置多域 Calendar Server 6.3 环境。
注意 – Calendar Server 并不支持使用 Access Manager 控制台来管理域。
13.2 创建新 Calendar Server 域
本节介绍将域添加到 Calendar Server 部署的概念性信息和说明。可使用任一具有多域的模式。不过,如果可以,建议使用 Schema 版本 2 以利用更高级的工具集。
本节包含以下主题:
13.2.1 创建 Calendar Server 域的概述
默认情况下,Calendar Server 软件已启用多域。请勿更改以下 ics.conf 参数的值: service.virtualdomain.support="yes".
完成第 10 章,设置多域 Calendar Server 6.3 环境中描述的准备工作后,就可以添加新域了。
每个域都有一组可设置的属性和首选项。这些属性是 icsCalendarDomain 对象类的一部分。这些属性包含首选项,例如访问权限、访问控制列表 [ACL]、域搜索、域搜索访问权限、用户状态和代理登录。
13.2.2 在 Schema 版本 2 模式下添加域
本节介绍如何在 Schema 版本 2 模式下添加域。
您可以使用 Delegated Administrator 控制台或实用程序:
-
控制台—使用“组织列表”页面上的“创建新组织”向导。
有关更多信息,请参见 Delegated Administrator 控制台联机帮助。
-
实用程序—使用 commadmin domain create 命令。
例如,要创建域 sesta.com,发出以下命令:
commadmin domain create -D calmaster -d sesta.com -w calmasterpassword -S cal -B backend.sesta.com有关 Delegated Administrator 实用程序的信息,参见《Sun Java System Communications Services 6 2005Q4 Delegated Administrator Guide》。
13.2.3 在 Schema 版本 1 模式下添加域
本节包括使用 csdomain 实用程序的简化范例说明。
要在 Schema 版本 1 下创建域,使用 csdomain create。例如,要创建 west.sesta.com,使用以下命令:
csdomain create west.sesta.com
有关如何配置多域的说明,参见第 10 章,设置多域 Calendar Server 6.3 环境。
13.3 启用交叉域搜索
本节介绍如何启用交叉域搜索。
本节包括要启用交叉域搜索所必须执行的两项任务:
-
在允许搜索该域的每个域的 LDAP 条目中13.3.1 添加允许搜索该域的域的名称。
-
当该域中的用户向事件发出邀请时,13.3.2 添加允许该域进行搜索的域的名称。
使用以下工具之一可以完成此操作:ldapmodify(用于任一 Schema 模式),或者 Delegated Administrator 控制台或实用程序(适用于 Schema 版本 2)。
13.3.1 添加允许搜索该域的域的名称
每个域 LDAP 条目在 ACE 中指定访问权限,该 ACE 是在 icsExtendedDomainPrefs 属性的 domainAccess 参数中定义的。允许外部域搜索该域的两种方法是:
1.8 Calendar Server 版本 6.3 的访问控制中有对 ACI 结构的更完整解释。
13.3.1.1 允许特定的域搜索该域
这有三种实现方法:
-
使用 ldapmodify,在 icsExtendedDomainPrefs 的 domainAccess 首选项中创建以下 ACE 字符串:
@domain_being_allowed ^a^lsfr^g
通过指定允许搜索该域的域生成 ACE,然后指定允许搜索的充足权限。
注意 – 只允许一个 domainAccess 属性的实例。如果使用 ldapmodify 更改值,必须确保您没有意外地重复创建此属性。
系统会依次读取 ics.conf 文件且采用最后找到的属性值,但对于 LDAP 条目而言,系统会使用其找到的第一个实例。由于 LDAP 搜索机制不保证按任何特定顺序提供条目内容,则可能会先检索到属性的较早版本,并且 Calendar Server 软件不会再进一步地进行查找。
-
使用 Delegated Administrator 实用程序命令 commadmin domain modify,通过指定 icsExtendedDomainPrefs 属性中的 domainAccess 首选项来添加 ACE 字符串。
例如,在 Schema 版本 2 环境中,sesta.com 允许从 siroe.com 进行搜索:
commadmin domain modify -D admin -w adminpassword -X hostmachine_1 -d sesta.com -A +icsextendeddomainprefs:"domainAccess=@@d^a^slfrwd^g; @siroe.com^a^lsfrwd^g;anonymous^a^r^g;@^a^s^g" -
使用 Delegated Administrator 控制台,可以在创建或编辑组织属性时将域添加到允许来自这些组织中的用户的邀请列表。
这将更新 icsExtendedDomainPrefs 属性中的 domainAccess 首选项。
注 –
虽然您可以使用列出的前两种方法指定给予域的确切权限,但是后一种方法(使用 Delegated Administrator 控制台)却不能给予管理员同样多的控制权限。权限列表是预设的。给予的权限有:free-busy 访问和 event scheduling 访问。用户无法看到事件的详细信息,除非日历的所有者已将权限设置为允许所有用户阅读该信息。
13.3.1.2 允许所有外部域搜索该域
有三种方法允许外部域搜索该域:
-
使用 ldapmodify,在 icsExtendedDomainPrefs 的 domainAccess 首选项中创建以下 ACE 字符串:
@^a^slfr^g
通过指定所有域都有执行搜索的充足访问权限来生成 ACE。
-
使用 Delegated Administrator 实用程序命令 commadmin domain modify,通过指定 icsExtendedDomainPrefs 属性中的 domainAccess 首选项来添加 ACE 字符串。
例如,在 Schema 版本 2 环境中,sesta.com 允许所有域执行搜索:
commadmin domain modify -D admin -w adminpassword -X hostmachine_1 -d sesta.com -A +icsextendeddomainprefs:"domainAccess=@@d^a^slfrwd^g; anonymous^a^r^g;@^a^slfr^g"
注 –字符 @@d 是指主要所有者的域。
-
使用 Delegated Administrator 控制台,可以在创建或编辑组织属性时将域添加到允许来自这些组织中的用户的邀请列表。
这将更新 icsExtendedDomainPrefs 属性中的 domainAccess 首选项。
注 –
虽然您可以使用列出的前两种方法指定给予域的确切权限,但是后一种方法(使用 Delegated Administrator 控制台)却不能给予管理员同样多的控制权限。权限列表是预设的。给予的权限有:free-busy 访问和 event scheduling 访问。用户无法看到事件的详细信息,除非日历的所有者已将权限设置为允许所有用户阅读该信息。
13.3.2 添加允许该域进行搜索的域的名称
本节介绍如何添加允许进行搜索的域的名称。
有三种方式可以添加允许该域进行搜索的外部域:
-
使用 ldapmodify,为允许该域中的用户搜索的每一个外部域添加一个 icsDomainNames 实例。
例如,执行交叉域搜索时,sesta.com 将在 siroe.com 和 example.com 中执行搜索。使用 ldapmodify(适用于 Schema 版本 1 或 Schema 版本 2)创建以下的 LDIF:
dn: dc=sesta, dc=com, o=internet changetype: modify add: icsDomainNames icsDomainNames:siroe.com icsDomainNames:example.com
-
使用 Delegated Administrator 实用程序命令 commadmin domain modify,指定选项 -A 以添加要搜索的域的名称。
例如:
commadmin domain modify -D admin -w adminpassword -X hostmachine_1 -d sesta.com -A +icsDomainNames:siroe.com -A +icsDomainNames:example.com
-
使用 Delegated Administrator 控制台,可以在创建或编辑组织属性时将域添加到这些组织中的邀请日历列表。
这将向域 LDAP 条目中添加 icsDomainNames 属性。当该域中的用户向事件发送邀请时,为要搜索的每个外部域添加一个属性。
有关更多信息,请参见 Delegated Administrator 控制台联机帮助。
- © 2010, Oracle Corporation and/or its affiliates