第 3 章 配置 Delegated Administrator
Delegated Administrator 配置程序 (config-commda) 可根据您的特定要求来创建新的配置。此初始运行时配置程序执行的是最小配置。
运行此程序之后,应执行配置后任务中所述的步骤来完成初始配置。
通过执行第 4 章,自定义 Delegated Administrator中所述的任务,您可以进一步自定义 Delegated Administrator 配置。
可能还会需要执行其他配置,如 Sun Java System Messaging Server 管理指南中所述。
本章介绍了以下主题:
如果要从早期版本的 Delegated Administrator 进行升级
如果您是首次配置 Delegated Administrator,则可以跳过本节,直接转到选择要配置的组件一节。
如果要从早期版本升级到此版本的 Delegated Administrator,则在配置 Delegated Administrator 之前可能需要执行以下任务:
有关如何从早期版本的 Sun Java 升级到 Delegated Administrator 的说明,请参见 Sun Java Communications Suite Upgrade Guide 中名为 "Upgrading Delegated Administrator" 的章节。
保留现有配置
本节仅针对以前安装并配置了 Delegated Administrator,并自定义了 Delegated Administrator 配置的用户。
如果您具有自定义配置并且重新运行 Delegated Administrator 配置程序 config-commda,则配置文件中的属性将重置为其默认值。这些文件列在下面的Delegated Administrator 属性文件中。
有关如何自定义 Delegated Administrator 的信息,请参见第 4 章,自定义 Delegated Administrator。
在升级 Delegated Administrator 或由于任何其他原因而重新运行 Delegated Administrator 配置程序之前,应保留自定义配置。
Delegated Administrator 属性文件
Delegated Administrator 安装了以下属性文件:
-
Delegated Administrator 实用程序
-
cli-usrprefs.properties
位置:da-base/data/config
-
-
Delegated Administrator 控制台
-
daconfig.properties
-
logger.properties
-
Resources.properties
-
Security.properties
有关 Delegated Administrator 控制台文件的默认位置,请参见配置文件的原始(标准)位置。
-
-
Delegated Administrator 服务器
-
resource.properties
有关 resource.properties 文件的默认位置,请参见配置文件的原始(标准)位置。
-
保留现有配置的步骤
-
备份已自定义的属性文件。
有关属性文件的列表,请参见Delegated Administrator 属性文件。
-
运行 config-commda 程序,如以下几节所述。
剩下的步骤将使用 resource.properties 文件作为示例。您可以对每个自定义的文件重复这些步骤。
-
如下所示编辑由 config-commda 程序创建的新 resource.properties 文件:
-
打开该新 resource.properties 文件。
确保编辑位于 Delegated Administrator 安装目录原始(标准)位置的 resource.properties 文件,而不是部署到 Delegated Administrator 服务器所使用的 Web 容器的文件。
-
打开 resource.properties 文件的备份副本。
-
找到在该备份副本中自定义的属性。将自定义值应用于新 resource.properties 文件中的相应属性。
不要简单地用整个备份副本覆写新 resource.properties 文件。该新文件可能包含为支持此版本的 Delegated Administrator 而创建的新属性。
-
-
将编辑的 resource.properties 文件重新部署到 Delegated Administrator 服务器使用的 Web 容器。
必须运行脚本将自定义的 resource.properties 文件部署到您的 Web 容器,更改才会生效。
有关如何将自定义的属性文件部署到特定 Web 容器的说明,请参见部署自定义配置文件。
升级自定义服务包
本节仅针对从 Communications Services 6 2005Q4 Delegated Administrator 升级到 Delegated Administrator 6.4(当前版本),并且在前一个版本 (6 2005Q4) 中创建了自定义服务包的用户。
在 Delegated Administrator 6.4 中,服务包模板在目录中所处的节点与前一个版本 (6 2005Q4) 不同。
服务类模板样例
运行 Delegated Administrator 配置程序后,以前由 Delegated Administrator 配置程序安装的服务类模板样例将自动升级。(在此配置程序中,应选择服务包和组织样例中的装入样例服务包。)
如果仅使用样例模板来向用户和组分配服务包,则不需要执行任何操作。
自定义服务包
配置程序不会升级在 6 2005Q4 版本中创建的自定义服务包。您必须手动升级自定义服务包。
有关如何创建自定义服务包的信息,请参见创建您自己的服务包。
升级自定义服务包的步骤
对 LDAP 目录执行以下操作:
-
将您的服务包模板从此目录节点:
o=cosTemplates,o=rootsuffix
复制到此目录节点:
o=service_target,o=cosTemplates,o=rootsuffix
其中 service_target 为下列之一:
mailuser calendaruser mailcalendaruser mailgroup
例如,如果某个服务包模板名为 myservicepackage,并且向用户提供邮件服务,则服务包模板的新 dn 应为:
o=myservicepackage,o=mailuser,o=cosTemplates,o=rootsuffix
-
从如下的原始目录节点删除服务包模板的条目:
o=cosTemplates,o=rootsuffix
-
通过将以下行添加到用于定义服务包的 ldif 文件来编辑每个自定义服务包:
daServiceType: service type target
注 –如果您的 ldif 文件已经包含 daServiceType 属性,可跳过此步骤。
daServiceType 属性定义服务包提供的服务类型和服务包的服务目标。
service 可以是 mail 或 calendar。
target 可以是 users 或 groups。
例如:
daServiceType: mail user
以下示例显示了编辑后的 ldif 文件的外观:
dn: cn=myservicepackage,o=mailuser,o=cosTemplates,o=mycompanysuffix changetype: modify replace: daServiceType daServiceType: mail user
使用 LDAP 目录工具 ldapmodify 来更新目录中的服务包。
例如,可以运行以下命令:
ldapmodify -D <directory manager> -w <password> -f myservicepackagemodldif
其中
<directory manager> 是 Directory Server 管理员的名称。
<password> 是 Directory Server 管理员的密码。
myservicepackagemodldif 是包含之前步骤所述修改的 ldif 文件的名称。
选择要配置的组件
配置程序中的第三个面板会询问您要配置哪些 Delegated Administrator 组件:
-
Delegated Administrator 实用程序(客户机)—使用 commadmin 调用的命令行界面。
-
Delegated Administrator 服务器—运行 Delegated Administrator 实用程序和控制台必需的 Delegated Administrator 服务器组件。
-
Delegated Administrator 控制台—Delegated Administrator 图形用户界面 (Graphical User Interface, GUI)。
配置程序将根据您选择的组件显示不同的面板。
以下步骤对配置选项进行了概要介绍。每个摘要步骤(如下)可链接到本章后面的一节,该部分逐步介绍了配置面板的实际情况。
配置选项摘要
-
输入这些面板中请求的信息,从而开始进行配置。
-
配置 Delegated Administrator 实用程序
这些面板紧跟在选择要配置的组件面板后面。它们将请求用于配置 Delegated Administrator 实用程序的信息。
-
标准方法是将 Delegated Administrator 实用程序和其他两个组件(服务器和控制台)配置在同一台计算机上。
必须在所有要安装 Delegated Administrator 服务器的计算机上都配置 Delegated Administrator 实用程序 。
-
也可以在单独的计算机上配置 Delegated Administrator 实用程序和控制台。在要配置实用程序和控制台的计算机上,只能在选择要配置的组件面板中选择这些组件。
在这种情况下,必须在要配置服务器的计算机上再次运行配置程序。
-
-
配置 Delegated Administrator 控制台
这些面板出现在用于配置实用程序的面板后面。
您可以选择是否配置 Delegated Administrator 控制台。
-
如果将 Delegated Administrator 控制台和服务器配置在同一台计算机上,则应当在选择要配置的组件面板中同时选择控制台和服务器。
-
也可以将 Delegated Administrator 控制台和服务器配置在不同的计算机上。
在要配置控制台的计算机上,只能在选择要配置的组件面板中选择控制台。此实用程序默认为选定,请确保它保持选定状态。
在这种情况下,必须在要配置服务器的计算机上再次运行配置程序。
如果将控制台和服务器配置在不同的计算机上,则在两台计算机上都要配置此实用程序。
根据您为控制台选择的 Web 容器,配置程序将显示不同的面板。您可以部署到以下 Web 容器之一:
-
Sun Java System Web Server 6.x
-
Sun Java System Web Server 7.x
-
Sun Java System Application Server 7.x
-
Sun Java System Application Server 8.x
如果将 Delegated Administrator 服务器和控制台配置在同一计算机上,则要按上述说明操作两次(一次针对服务器,一次针对控制台)。
-
-
配置 Delegated Administrator 服务器
这些面板出现在用于配置控制台的面板后面。
您可以选择是否在给定的计算机上配置 Delegated Administrator 服务器。
如果选择不在给定计算机上配置该服务器,配置程序将警告您必须在另一台计算机上配置该服务器。要运行实用程序和控制台,该服务器组件是必需的。
部署该服务器时的其他所有注意事项与部署控制台时的注意事项(如配置 Delegated Administrator 控制台中所述)相同。
注 –Delegated Administrator 服务器与 Access Manager 使用同一 Web 容器。配置程序会在请求 Access Manager 基本目录后请求 Web 容器信息。
-
输入这些面板中请求的信息,从而完成配置。
运行配置程序
本节中介绍的步骤将指导您逐步配置 Delegated Administrator。
启动配置程序
要运行配置程序,请作为(或成为)超级用户来登录,并转到 /opt/SUNWcomm/sbin 目录。然后输入以下命令:
# ./config-commda |
运行 config-commda 命令之后,就会启动配置程序。
配置程序控制台会显示当前 Delegated Administrator 产品的版本:6.4。
以下几节将逐步向您介绍各个配置面板。
开始进行配置
必须输入第一批配置程序面板中请求的信息。
开始进行配置的步骤
-
欢迎
配置程序中的第一个面板为版权页。单击下一步继续或单击取消退出。
-
选择用于存储配置和数据文件的目录
选择要用来存储 Delegated Administrator 配置和数据文件的目录。默认的配置目录为 /var/opt/SUNWcomm。此目录应当与 da-base 目录(默认为 /opt/SUNWcomm)分开。
输入此目录的名称,或保留默认名称,然后单击下一步继续。
如果指定的目录不存在,将会出现一个对话框,询问您是要创建该目录还是选择一个新目录。单击创建目录以创建目录或选择新目录以输入一个新目录。
将出现一个对话框,指出正在装入组件。这可能需要几分钟的时间。
-
选择要配置的组件
在“组件”面板上选择一个或多个要配置的组件。
-
Delegated Administrator 实用程序(客户机)—使用 commadmin 调用的命令行界面。此组件是必需的组件,默认情况下处于选定状态。无法取消选定该组件。
-
Delegated Administrator 服务器—运行 Delegated Administrator 控制台必需的 Delegated Administrator 服务器组件。
-
Delegated Administrator 控制台—Delegated Administrator 图形用户界面 (Graphical User Interface, GUI)。
单击下一步继续,或单击上一步返回到前一个面板,或者单击取消退出。
有关如何选择组件的详细信息,请参见选择要配置的组件
如果选择不配置 Delegated Administrator 服务器,则会出现一个对话框,提醒您注意必须在另一台计算机上配置 Delegated Administrator 服务器。必须配置该服务器才能使用 Delegated Administrator 实用程序和控制台。
-
配置 Delegated Administrator 实用程序
必须在所有要安装 Delegated Administrator 组件(服务器或控制台)的计算机上都配置 Delegated Administrator 实用程序 。
配置 Delegated Administrator 实用程序的步骤
-
Access Manager 主机名和端口号
输入 Access Manager 主机名和端口号。如果要安装 Delegated Administrator 服务器组件,则必须将其与 Access Manager 安装在同一台主机上。
单击下一步继续,或单击上一步返回到前一个面板,或又单击取消退出。
-
默认域
输入顶级管理员的默认域。在执行 commadmin 命令行实用程序时,如果没有通过 -n 选项显式指定某个域,则使用此域。它也称为默认组织。如果目录中不存在指定的域,将会创建该域。
单击下一步继续,或单击上一步返回到前一个面板,或者单击取消退出。
-
默认的客户机 SSL 端口
输入 Delegated Administrator 实用程序使用的默认 SSL 端口。
单击下一步继续,或单击上一步返回到前一个面板,或者单击取消退出。
-
如果选择仅配置 Delegated Administrator 实用程序,请转至
如果选择配置 Delegated Administrator 控制台和服务器,或者选择仅配置该控制台,请转至
配置 Delegated Administrator 控制台
如果选择仅配置 Delegated Administrator 服务器(以及必需的 Delegated Administrator 实用程序),请转至
配置 Delegated Administrator 控制台
为 Delegated Administrator 选择 Web 容器
选择部署 Delegated Administrator 控制台所基于的 Web 容器。可以基于以下组件来配置 Delegated Administrator
-
Sun Java System Web Server 6.x
-
Sun Java System Web Server 7.x
-
Sun Java System Application Server 7.x
-
Sun Java System Application Server 8.x
单击下一步继续,或单击上一步返回到前一个面板,或者单击取消退出。
此面板以及接下来的几个面板用于收集有关 Delegated Administrator 控制台的 Web 容器的信息。请按照相应部分中的说明执行操作:
可以基于两个不同的 Web 容器、两个不同的 Web 容器实例或同一个 Web 容器来部署 Delegated Administrator 控制台和服务器。
如果选择在面板 3 中配置 Delegated Administrator 控制台和 Delegated Administrator 服务器,则另一系列的面板将会请求有关该服务器的 Web 容器的信息。
因此,您会两次看到 Web 容器配置面板。请按照相应的说明来部署每个 Delegated Administrator 组件。
当您完成 Web 容器配置面板后,执行下列操作之一:
-
如果选择配置 Delegated Administrator 控制台和服务器,请转至
-
如果选择仅配置 Delegated Administrator 控制台(以及必需的 Delegated Administrator 实用程序),请转至
Web Server 6.x 配置
如果要在 Web Server 6.x 上部署 Delegated Administrator 服务器或控制台,请按照本节所述的步骤进行操作。
配置 Web Server 6.x
-
Web Server 6.x 配置详细信息
此面板文本用于告知您是在为 Delegated Administrator 服务器还是控制台提供 Web Server 6.x 配置信息。
输入 Web Server 6.x 的根目录。可以通过浏览来选择该目录。
输入 Web Server 6.x 实例标识符。可用 host.domain 名(例如 west.sesta.com)来指定此标识符。
输入虚拟服务器标识符。可以用 https-host.domain 名(例如 https-west.sesta.com)来指定。
有关 Web Server 6.x 实例标识符和虚拟服务器标识符的详细信息,请参见 Web Server 文档。
Web Server 6.x 实例的相关文件存储在 Web Server 6.x 安装目录下的 https-host.domain 目录中,例如 /opt/SUNWwbsvr/https-west.sesta.com。
输入指定的虚拟服务器侦听的 HTTP 端口号。
单击下一步继续,或单击上一步返回到前一个面板,或者单击取消退出。
配置程序将检查您指定的值是否有效。如果某个目录或标识符无效或不存在,将会出现一个对话框,通知您选择新值。
然后,配置程序将检查 Web Server 6.x 实例连接是否处于活动状态。如果不是,将会出现一个对话框,警告您配置程序无法连接到指定的实例,配置可能无法完成。您可以接受指定的值,也可以选择新的 Web Server 6.x 配置值。
-
默认的域分隔符
此面板只有在配置 Delegated Administrator 控制台时才会显示。在配置控制台时需要使用域分隔符;此信息与 Web 容器无关。
输入用于在用户登录时进行验证的默认域分隔符。例如:@。
域分隔符值包含在 daconfig.properties 文件中。可以在运行配置程序之后编辑此属性值。有关详细信息,请参见第 4 章,自定义 Delegated Administrator。
-
如果配置 Delegated Administrator 控制台,请执行下列操作之一:
-
如果选择配置 Delegated Administrator 控制台和服务器,请转至
-
如果选择仅配置 Delegated Administrator 控制台(以及必需的 Delegated Administrator 实用程序),请转至
如果要配置 Delegated Administrator 服务器:
请转至
-
Web Server 7.x 配置
如果要在 Web Server 7.x 上部署 Delegated Administrator 服务器或控制台,请按照本节所述的步骤进行操作。
配置 Web Server 7.x
-
Web Server 7.x 配置详细信息
此面板文本用于告知您是在为 Delegated Administrator 服务器还是控制台提供 Web Server 7.x 配置信息。
输入 Web Server 7.x 服务器的根目录。Web Server 软件文件将安装到此目录中。可以通过浏览来选择该目录。默认值为 /opt/SUNWwbsvr7。
输入 Web Server 7.x 配置的根目录。Web Server 配置文件将安装到此目录中。可以通过浏览来选择该目录。默认值为 /var/opt/SUNWwbsvr7。
输入 Web Server 7.x 实例标识符。可用 host.domain 名(例如 west.sesta.com)来指定。
输入虚拟服务器标识符。可用 host.domain 名(例如 west.sesta.com)来指定。
有关 Web Server 7.x 实例标识符和虚拟服务器标识符的详细信息,请参见 Web Server 文档。
Web Server 7.x 实例的相关文件存储在 Web Server 7.x 安装目录下的 https-host.domain 目录中,例如 /var/opt/SUNWwbsvr7/https-west.sesta.com。
输入指定的虚拟服务器侦听的 HTTP 端口号。例如:80。
单击下一步继续,或单击上一步返回到前一个面板,或者单击取消退出。
配置程序将检查您指定的值是否有效。如果某个目录或标识符无效或不存在,将会出现一个对话框,通知您选择新值。
然后,配置程序将检查 Web Server 7.x 实例连接是否处于活动状态。如果不是,将会出现一个对话框,警告您配置程序无法连接到指定的实例,配置可能无法完成。您可以接受指定的值,也可以选择新的 Web Server 7.x 配置值。
-
Web Server 7.x:管理实例详细信息
输入 Administration Server 端口号。例如:8800
输入 Administration Server 管理员的用户 ID。例如:admin
输入管理员的用户密码。
如果要使用安全的 Administration Server 实例,应选中安全 Administration Server 实例框。如果不需要使用安全实例,则将此框保留为未选中状态。
单击下一步继续,或单击上一步返回到前一个面板,或者单击取消退出。
-
默认的域分隔符
此面板只有在配置 Delegated Administrator 控制台时才会显示。在配置控制台时需要使用域分隔符;此信息与 Web 容器无关。
输入用于在用户登录时进行验证的默认域分隔符。例如:@。
域分隔符值包含在 daconfig.properties 文件中。可以在运行配置程序之后编辑此属性值。有关详细信息,请参见第 4 章,自定义 Delegated Administrator。
-
如果配置 Delegated Administrator 控制台,请执行下列操作之一:
-
如果选择配置 Delegated Administrator 控制台和服务器,请转至
-
如果选择仅配置 Delegated Administrator 控制台(以及必需的 Delegated Administrator 实用程序),请转至
如果要配置 Delegated Administrator 服务器:
请转至
-
Application Server 7.x 配置
如果要在 Application Server 7.x 上部署 Delegated Administrator 服务器或控制台,请按照本节所述的步骤进行操作。
配置 Application Server 7.x 的步骤
-
Application Server 7.x 配置详细信息
此面板文本用于告知您是否在为 Delegated Administrator 服务器或控制台提供 Application Server 7. x 配置信息。
输入 Application Server 安装目录。默认情况下,此目录为 /opt/SUNWappserver7。
输入 Application Server 域目录。默认情况下,此目录为 /var/opt/SUNWappserver7/domains/domain1。
输入 Application Server 文档根目录。默认情况下,此目录为 /var/opt/SUNWappserver7/domains/domain1/server1/docroot。
可以通过浏览来选择这些目录中的任何一个。
输入 Application Server 实例名称。例如:server1。
输入 Application Server 虚拟服务器标识符。例如:server1。
输入 Application Server 实例的 HTTP 端口号。
单击下一步继续,或单击上一步返回到前一个面板,或又单击取消退出。
配置程序将检查您指定的目录是否有效。如果某个目录无效或不存在,将会出现一个对话框,通知您选择新目录。
然后,配置程序将检查 Application Server 实例连接是否处于活动状态。如果不是,将会出现一个对话框,警告您配置程序无法连接到指定的实例,配置可能无法完成。您可以接受指定的值,也可以选择新的 Application Server 配置值。
-
Application Server 7.x:管理实例详细信息
输入 Administration Server 端口号。例如:4848
输入 Administration Server 管理员的用户 ID。例如:admin
输入管理员的用户密码。
如果要使用安全的 Administration Server 实例,应选中安全 Administration Server 实例框。如果不需要使用安全实例,则将此框保留为未选中状态。
单击下一步继续,或单击上一步返回到前一个面板,或者单击取消退出。
-
默认的域分隔符
此面板只有在配置 Delegated Administrator 控制台时才会显示。在配置控制台时需要使用域分隔符;此信息与 Web 容器无关。
输入用于在用户登录时进行验证的默认域分隔符。例如:@。
-
如果配置 Delegated Administrator 控制台,请执行下列操作之一:
-
如果选择配置 Delegated Administrator 控制台和服务器,请转至
-
如果选择仅配置 Delegated Administrator 控制台(以及必需的 Delegated Administrator 实用程序),请转至
如果要配置 Delegated Administrator 服务器:
请转至
-
Application Server 8.x 配置
如果要在 Application Server 8.x 上部署 Delegated Administrator 服务器或控制台,请按照本节所述的步骤进行操作。
配置 Application Server 8.x 的步骤
-
Application Server 8.x 配置详细信息
此面板文本用于告知您是否在为 Delegated Administrator 服务器或控制台提供 Application Server 8. x 配置信息。
输入 Application Server 安装目录。默认情况下,此目录为 /opt/SUNWappserver/appserver。
输入 Application Server 域目录。默认情况下,此目录为 /var/opt/SUNWappserver/domains/domain1。
输入 Application Server 文档根目录。默认情况下,此目录为 /var/opt/SUNWappserver/domains/domain1/docroot。
可以通过浏览来选择这些目录中的任何一个。
输入 Application Server 目标名称。例如:server。
输入 Application Server 虚拟服务器标识符。例如:server。
注 –如果要运行 config-commda 程序升级 Delegated Administrator,而且已经将 Application Server 从版本 7 升级到版本 8.x,那么要为 Application Server 目标名称和虚拟服务器标识符指定以下值:
-
目标名称:server1
-
虚拟服务器标识符:server
您必须指定这些值,因为 asupgrade 实用程序会将 Application Server 7 server1 实例迁移到运行在节点代理下的 Application Server 8.x server1 目标。但是,asupgrade 会将虚拟服务器的值从 Application Server 7 中的 server1 更改为 Application Server 8.x 中的 server。
输入 Application Server 目标的 HTTP 端口号。
单击下一步继续,或单击上一步返回到前一个面板,或者单击取消退出。
配置程序将检查您指定的目录是否有效。如果某个目录无效或不存在,将会出现一个对话框,通知您选择新目录。
然后,配置程序将检查 Application Server 目标连接是否处于活动状态。如果不是,将会出现一个对话框,警告您配置程序无法连接到指定的目标,配置可能无法完成。您可以接受指定的值,也可以选择新的 Application Server 配置值。
-
-
Application Server 8.x:管理实例详细信息
输入 Administration Server 端口号。例如:4849
输入 Administration Server 管理员的用户 ID。例如:admin
输入管理员的用户密码。
如果要使用安全的 Administration Server 实例,应选中安全 Administration Server 实例框。如果不需要使用安全实例,则将此框保留为未选中状态。
单击下一步继续,或单击上一步返回到前一个面板,或者单击取消退出。
-
默认的域分隔符
此面板只有在配置 Delegated Administrator 控制台时才会显示。在配置控制台时需要使用域分隔符;此信息与 Web 容器无关。
输入用于在用户登录时进行验证的默认域分隔符。例如:@。
-
如果配置 Delegated Administrator 控制台,请执行下列操作之一:
-
如果选择配置 Delegated Administrator 控制台和服务器,请转至
-
如果选择仅配置 Delegated Administrator 控制台(以及必需的 Delegated Administrator 实用程序),请转至
如果要配置 Delegated Administrator 服务器:
请转至
-
配置 Delegated Administrator 服务器
如果您选择配置 Delegated Administrator 服务器,则配置程序将显示以下面板。
配置 Delegated Administrator 服务器的步骤
-
Access Manager 基本目录
输入 Access Manager 基本目录。默认目录为 /opt/SUNWam。
单击下一步继续,或单击上一步返回到前一个面板,或又单击取消退出。
配置程序将检查指定的 Access Manager 基本目录是否有效。如果无效,将会出现一个对话框,指出必须选择现有的 Access Manager 基本目录。
-
然后,将显示 Web 容器的配置详细信息面板。
如果选择了配置控制台和服务器,则这是第二次出现 Web 容器的配置详细信息面板。
Delegated Administrator 服务器将与 Access Manager 部署到同一 Web 容器。(无法为 Delegated Administrator 服务器选择 Web 容器。)
请按照相应部分中的说明执行操作:
-
Directory (LDAP) Server
此面板将请求有关连接到 LDAP Directory Server 的信息来作为用户/组后缀。
在相应的文本框中输入用户和组 Directory Server LDAP URL (LdapURL)、Directory Manager(绑定为)以及密码。
Directory Manager 对 Directory Server 以及使用 Directory Server 的所有 Sun Java System 服务器(例如 Delegated Administrator)具有总体管理员权限,并对 Directory Server 中的所有条目具有完全管理权限。默认推荐的标识名 (Distinguished Name, DN) 为 cn=Directory Manager。
单击下一步继续,或单击上一步返回到前一个面板,或者单击取消退出。
-
Access Manager 顶级管理员
输入 Access Manager 顶级管理员的用户 ID 和密码。在安装 Access Manager 时会创建该用户 ID 和密码。默认的用户 ID 为 amadmin。
单击下一步继续,或单击上一步返回到前一个面板,或者单击取消退出。
-
Access Manager 内部 LDAP 验证密码
输入 Access Manager 内部 LDAP 验证用户的密码。
验证用户名被硬编码为 amldapuser。它由 Access Manager 安装程序创建,并且是 LDAP 服务的绑定 DN 用户。
单击下一步继续,或单击上一步返回到前一个面板,或者单击取消退出。
-
组织标识名 (Distinguished Name, DN)
输入默认域的组织 DN。例如,如果组织 DN 为 o=siroe.com,则该组织中的所有用户都将放在 LDAP DN o=siroe.com, o=usergroup 下,其中 o=usergroup 为根后缀。
默认情况下,配置程序会在 LDAP 目录中的根后缀下添加默认域。
如果要在根后缀处(而不是在其下)创建默认域,请从显示在组织标识名 (Distinguished Name, DN) 文本框中的 DN 中删除组织名称。
例如,如果组织 DN 为 o=siroe.com,根后缀为 o=usergroup,则从文本框内的 DN 中删除 "o=siroe.com",仅保留 o=usergroup。
如果选择在根后缀处创建默认域,则以后决定使用托管域时,可能会很难迁移到托管域配置。config-commda 程序将会显示以下警告:
“您选择的组织 DN 是用户/组后缀。尽管这是一个有效选项,但当您决定使用托管域时,将很难进行迁移。如果您一定要使用托管域,请指定比用户/组后缀低一级的 DN。”
有关详细信息,请参见支持单层结构的目录结构。
单击下一步继续,或单击上一步返回到前一个面板,或者单击取消退出。
-
默认组织的顶级管理员
为要在默认域(组织)中创建的顶级管理员输入用户 ID 和密码。
确认密码字段要求您再次输入该密码。
单击下一步继续,或单击上一步返回到前一个面板,或者单击取消退出。
-
服务包和组织样例
您可以选择向 LDAP 目录中添加样例服务包和样例组织。
装入样例服务包。如果要使用或修改样例服务包模板来创建您自己的服务类包,则选中此选项。
装入样例组织。如果要在 LDAP 目录树中包含样例提供商组织节点和下属组织节点,则选中此选项。
您可以选择
-
同时选中样例服务包和样例组织
-
仅选中其中一个选项
-
不选中任何选项
用于样例的首选邮件主机。输入安装了 Messaging Server 的计算机的名称。
例如:mymachine.siroe.com
如果选择将样例组织装入到 LDAP 目录中,则必须为这些样例输入首选邮件主机名。
有关服务包和组织的信息,请参见第 2 章:“Delegated Administrator 概述”。
运行配置程序之后,必须修改服务包模板来创建您自己的服务类包。有关此配置后任务的信息,请参见创建服务包。
-
完成配置
执行本节所述的步骤来完成配置程序。
完成配置的步骤
-
准备配置
验证面板会显示将要配置的项目。
单击立即配置开始进行配置,或单击上一步返回到前面任意一个面板以更改信息,或者单击取消退出。
-
任务序列
“任务序列”面板上会显示要执行的任务序列。此时将会实际开始进行配置。
当面板显示“所有任务已通过”时,您可以单击下一步继续或单击取消停止执行任务并退出。
将会出现一个对话框,提醒您要重新启动 Web 容器才能使配置更改生效。
-
安装摘要
“安装摘要”面板显示了安装的产品,并且具有详细信息...按钮,单击该按钮可显示有关此配置的详细信息。
将在 /opt/SUNWcomm/install 目录中创建 config-commda 程序的日志文件。该日志文件的名称为 commda-config_YYYYMMDDHHMMSS.log,其中 YYYYMMDDHHMMSS 标识了配置的年(4 位数)、月、日、小时、分钟和秒钟。
单击关闭以完成配置。
重新启动 Web 容器
完成 Delegated Administrator 配置后,必须重新启动将 Delegated Administrator 部署到的 Web 容器(以下之一):
-
Sun Java System Web Server 6.x
-
Sun Java System Web Server 7.x
-
Application Server 7.x
-
Application Server 8.x
由 config-commda 程序部署的配置文件和日志文件
配置文件
通过使用您在面板中提供的信息,config-commda 程序将为三个 Delegated Administrator 组件部署以下配置文件:
config-commda 程序会将配置文件部署到已部署 Delegated Administrator 的 Web 容器的应用程序系统信息库中。有关文件部署位置的列表,请参见配置文件的部署位置。
有关配置文件包含的属性以及如何编辑这些属性以自定义配置的信息,请参见第 4 章,自定义 Delegated Administrator。
日志文件
Delegated Administrator 控制台会创建运行时日志文件:
默认日志文件名:da.log
默认位置:/opt/SUNWcomm/log
有关此日志文件以及其他 Delegated Administrator 日志文件的详细信息,请参见附录 C,调试 Delegated Administrator。
执行无提示安装
Delegated Administrator 实用程序初始运行时配置程序将会自动创建无提示安装状态文件(称为 saveState)。此文件包含有关配置程序的内部信息,用于运行无提示安装。
无提示安装 saveState 文件存储在 /opt/SUNWcomm/data/setup/commda-config_YYYYMMDDHHMMSS/ 目录中,其中 YYYYMMDDHHMMSS 标识了 saveState 文件的年(4 位数)、月、日、小时、分钟和秒钟。
例如,一旦运行了一次 config-commda 程序后,就可以在无提示安装模式下运行该程序:
da-base/sbin/config-commda -nodisplay -noconsole -state
fullpath/saveState
|
fullpath 变量是 saveState 文件所在位置的完整目录路径。
运行 Delegated Administrator 控制台和实用程序
启动控制台
通过访问将 Delegated Administrator 控制台部署到的 Web 容器可启动该 Delegated Administrator 控制台。
启动 Delegated Administrator 控制台的步骤
-
转至以下 url:
http:// host:port/da
其中
host 为 Web 容器主机
port 是 Web 容器端口
例如:
http://siroe.com:8080/da
Delegated Administrator 控制台登录窗口将会出现。
注 –在以前版本的 Delegated Administrator 中,控制台是从以下 url 启动的:
http:// host:port/da/DA/Login
在当前版本中可以继续使用此 url。
-
登录到 Delegated Administrator 控制台。
可以使用在 Delegated Administrator 配置程序中指定的顶级管理员 (Top-Level Administrator, TLA) 的用户 ID 和密码。此信息是在以下面板中请求的:
注 –运行 Delegated Administrator 控制台时,可以使用在 Access Manager 中设置的值来确定会话超时值。有关会话超时值的信息,请参见 Sun Java System Access Manager 管理指南中的“会话服务属性”。有关在 Access Manager 控制台中查看这些值的信息,请参见 Sun Java System Access Manager 管理指南中的“当前会话”。
注 –不要将浏览器设置为显示 JavaScript 控制台或弹出 JavaScript 错误。这样做会显示对 Delegated Administrator 控制台正常运转没有影响的 JavaScript 错误。要禁用 JavaScript 错误,执行以下步骤:
-
在 Internet Explorer 中,禁用以下选项:工具 —> Internet 选项 —> 高级 —> “显示每个脚本错误的通知”。
-
在 Mozilla 中,不要显式打开以下选项:工具 —> JavaScript 控制台
-
运行命令行实用程序
可以通过在终端窗口中输入命令名称 commadmin 来运行 Delegated Administrator 实用程序。
运行命令行实用程序的步骤
示例 3–1 使用 commadmin 搜索用户
以下命令将搜索 varrius.com 域中的用户:
commadmin user search -D chris -w bolton -d varrius.com -n sesta.com |
有关此 commadmin 命令的详细信息,请参见 commadmin user search。
commadmin 返回码
提示 –
当 commadmin 操作成功时,命令行将显示“确定”消息。
如果操作失败,则显示以下消息:
FAIL
<message>
其中 <message> 显示错误文本。
配置后任务
运行 Delegated Administrator 配置程序之后,应执行以下任务:
仅当在 Schema 2 兼容性模式下使用 LDAP 目录时,才需执行以下任务:
向默认域添加邮件服务和日历服务
如果要在该默认域中创建具有邮件服务或日历服务的用户,首先必须向该域添加邮件服务和日历服务。
要执行此任务,请使用带有 -S mail 和 -S cal 选项的 commadmin domain modify 命令。
以下示例显示了如何使用 commadmin domain modify 来向默认域添加邮件服务和日历服务:
commadmin domain modify -D chris -w bolton -n sesta.com -d siroe.com -S mail,cal -H test.siroe.com
有关 commadmin 命令的语法和详细信息,请参见第 5 章,命令行实用程序。
对邮件属性强制使用唯一值
Messaging Server 使用以下邮件属性来识别用户的电子邮件地址和备用邮件地址:
-
mail
-
mailAlternateAddress
-
mailEquivalentAddress
每个用户的邮件属性在目录范围内应该是唯一的。
以下过程显示了如何修改 Directory Server ldif 文件来强制保证这些属性的唯一性。只要 Delegated Administrator(或任何 LDAP 工具)添加条目或修改邮件属性,ldif 插件就会检查邮件属性值是否唯一。如果操作会导致两个条目具有相同的邮件属性值,那么会终止该操作。
有关邮件属性的定义,请参见《Sun Java Communications Suite 5 Schema Reference》中的第 3 章 “Messaging Server and Calendar Server Attributes”。
强制邮件属性唯一性
开始之前
注 –
如果运行的是 Directory Server 5.2.5 (Java ES Release 4) 或更新版本,请遵循如下所述的过程。
如果运行的是 Directory Server 5.2.4 (Java ES Release 4),则需要在开始以下过程之前应用 5.2_Patch_4_6313027 修补程序。
如果运行的是 Directory Server 的更早版本,则需要在开始之前升级到 Directory Server 5.2.5 或更新版本。
要访问 Directory Server 修补程序,转至 http://sunsolve.sun.com。
-
创建一个文本文件,并写入以下内容。将文件中显示的参数替换为您的安装特定的值:
dn: cn=Uniqueness in Attribute Set,cn=plugins,cn=config objectClass: top objectClass: nsSlapdPlugin objectClass: ds-signedPlugin objectClass: extensibleObject cn: Uniqueness in Attribute Set nssldap-pluginPath: server_root/lif/uid-plugin.so nsslapd-pluginInitfunc: NSUniqueAttrSet_Init nsslapd-pluginType: preoperation nsslapd-pluginEnabled: on nsslapd-pluginarg0: attributeset=mail,mailalternateaddress,mailequivalentaddress nsslapd-pluginarg1: ugldapbasedn nsslapd-plugin-depends-on-type: database nsslapd-pluginId: NSUniqueAttrSet nsslapd-pluginVersion: 5.2 nsslapd-pluginVendor: Sun Microsystems, Inc. nsslapd-pluginDescription: Enforce unique values among an attribute set
更改以下参数:
将 server_root 替换为 Directory Server 安装目录的上一级目录。例如:/var/opt/mps/serverroot
将 ugldapbasedn 替换为您的根后缀。此后缀下的所有条目都会执行唯一性检查。
-
停止 Directory Server。
-
将您修改过的文本文件添加到 Directory Server dse.ldif 文件中。
dse.ldif 文件的位置:
dse.ldif 文件位于以下目录:
server_root/slapd- machine_name/config
其中
server_root 是 Directory Server 安装目录的上一级目录。例如:/var/opt/mps/serverroot
machine_name 是安装 Directory Server 的主机的名称。
添加文本文件的位置:
将文本文件添加到 dse.ldif 文件的 uid uniqueness 部分之后。此部分的第一行 (dn) 内容如下:
dn: cn=uid uniquenss,cn=plugins,cn=config
-
重新启动 Directory Server。
当 Directory Server 启动时,它会在目录中安装修改过的 dse.ldif 文件。
故障排除
如果 Directory Server 因为 dse.ldif 文件产生错误而没有启动,那么检查您用来替换范例文本文件中参数的值。您用来进行安装的 LDAP 根后缀、Directory Server 安装路径与主机必须正确无误。
如果 Directory Server 仍然没有启动,最后,您可以从 dse.ldif 文件中删除文本文件并重新启动 Directory Server。
创建服务包
使用 Delegated Administrator 在 LDAP 目录中置备的每个用户和组都应具有服务包。一个用户或组可以具有多个服务包。
预定义的服务类模板
在运行 Delegated Administrator 配置程序 (config-commda) 时,可以选择让 config-commda 程序在目录中安装服务类模板样例。
有关服务类模板样例以及服务包中的可用邮件属性的信息,请参见第 1 章,Delegated Administrator 概述中的服务包。
您可以使用服务类模板样例来创建和分配服务包;但是这些模板样例只是一些示例。
创建您自己的服务包
您很可能会需要根据自定义的服务类模板来创建自己的服务包,使属性值适用于您的安装中的用户和组。
要创建您自己的服务包,可使用存储在 da.cos.skeleton.ldif 文件中的服务类模板,它位于以下目录中:
da-base/lib/config-templates
此文件是专门作为编写自定义服务类模板时所用的模板而创建的。配置 Delegated Administrator 时,未在 LDAP 目录中安装此文件。
da.cos.skeleton.ldif 文件包含参数化模板,对应于 Delegated Administrator 所提供的每个服务类定义:
-
standardUserMail
-
standardUserCalendar
-
standardUserMailCalendar
-
standardGroupMail
-
standardGroupCalendar
-
standardGroupMailCalendar
您可以通过使用 da.cos.skeleton.ldif 文件中的一个或多个参数化模板来创建自己的服务类模板。
da.cos.skeleton.ldif 文件中的服务类模板如下:
# Templates for creating COS templates for service packages.
#
# There are six COS definitions :
# standardUserMail
# standardUserCalendar
# standardUserMailCalendar
# standardGroupMail
# standardGroupCalendar
# standardGroupMailCalendar
#
# Each definition can have zero or more COS templates which
# define specific values for the attributes listed in the
# COS definition.
#
# Each COS definition points to a corresponding subdirectory
# in which COS templates for that definition (and no other
# definition) are found. The templates directory structure
# is as follows:
# standardUserMail => o=mailuser,o=costemplates,<ugldapbasedn>
# standardUserCalendar => o=calendaruser,o=costemplates,
# <ugldapbasedn>
# standardUserMailCalendar => o=mailcalendaruser,o=costemplates,
# <ugldapbasedn>
# standardGroupMail => o=mailgroup,o=costemplates,
# <ugldapbasedn>
# standardGroupCalendar => o=calendargroup,o=costemplates,
# <ugldapbasedn>
# standardGroupMailCalendar => o=mailcalendargroup,o=costemplates,
# <ugldapbasedn>
#
# Thus, all COS templates for the user mail service are found in the
# o=mailuser,o=costemplates,<ugldapbasedn> directory, etc.
#
# It is not necessary to have any templates for a given definition.
# In that case default values are assumed for those attributes defined
# in the COS definition.
#
# If a template is created for a definition there should be at least
# one attribute with a defined value.
#
# Consult documentation for values for the attributes.
# Documentation includes units and default values.
#
# The finished COS derived from this skeleton is added to the
# directory with the following command:
#
# ldapmodify -D <directory manager> -w <password>
# -f <cos.finished.template.ldif>
#
#
############################################################
#
# standardMailUser COS template
#
############################################################
# There must be a least one of the following attributes:
# - mailMsgMaxBlocks
# - mailQuota
# - mailMsgQuota
# - mailAllowedServiceAccess
#
dn: cn=<service package name>,o=mailuser,o=cosTemplates,
<ugldapbasedn>
changetype: add
objectclass: top
objectclass: LDAPsubentry
objectclass: extensibleobject
objectclass: cosTemplate
cn: <service package name>
mailMsgMaxBlocks: <mailMsgMaxBlocksValue>
mailQuota: <ma:ilQuotaValue>
mailMsgQuota: <mailMsgQuotaValue>
mailAllowedServiceAccess: <mailAllowedServiceAccessValue>
daServiceType: mail user#
#
############################################################
#
# standardCalendarUser COS template
#
############################################################
# There must be a least one of the following attributes:
# - icsPreferredHost
# - icsDWPHost
# - icsFirstDay
#
dn: cn=<service package name>,o=calendaruser,o=cosTemplates,
<ugldapbasedn>
changetype: add
objectclass: top
objectclass: LDAPsubentry
objectclass: extensibleobject
objectclass: cosTemplate
cn: <service package name>
icsPreferredHost: <preferredHostValue>
icsDWPHost: <dwpHostValue>
icsFirstDay: <firstDayValue>
daServiceType: calendar user
#
#
############################################################
#
# standardMailCalendarUser COS template
#
############################################################
# There must be a least one of the following attributes:
# - mailMsgMaxBlocks
# - mailQuota
# - mailMsgQuota
# - mailAllowedServiceAccess
#
dn: cn=<service package name>,o=mailcalendaruser,o=cosTemplates,
<ugldapbasedn>
changetype: add
objectclass: top
objectclass: LDAPsubentry
objectclass: extensibleobject
objectclass: cosTemplate
cn: <service package name>
mailMsgMaxBlocks: <mailMsgMaxBlocksValue>
mailquota: <mailQuotaValue>
mailmsgquota: <mailMsgQuotaValue>
mailAllowedServiceAccess: <mailAllowedServiceAccessValue>
daServiceType: calendar user
daServiceType: mail user
#
#
############################################################
#
# standardMailGroup COS template
#
############################################################
# There must be a least one of the following attributes:
# - mailMsgMaxBlocks
#
#
dn: cn=<service package name>,o=mailgroup,o=cosTemplates,
<ugldapbasedn>
changetype: add
objectclass: top
objectclass: LDAPsubentry
objectclass: extensibleobject
objectclass: cosTemplate
cn: <service package name>
mailMsgMaxBlocks: <mailMsgMaxBlocksValue>
daServiceType: mail group
#
#
############################################################
#
# standardCalendarGroup COS template
#
############################################################
# There must be a least one of the following attributes:
# - icsdoublebooking
# - icsautoaccept
#
#
dn: cn=<service package name>,o=calendargroup,o=cosTemplates,
<ugldapbasedn>
changetype: add
objectclass: top
objectclass: LDAPsubentry
objectclass: extensibleobject
objectclass: cosTemplate
cn: <service package name>
icsdoublebooking: <doubleBookingValue>
icsautoaccept: <autoAcceptValue>
daServiceType: calendar group
#
#
############################################################
#
# standardMailCalendarGroup COS template
#
############################################################
# There must be a least one of the following attributes:
# - icsdoublebooking
# - icsautoaccept
# - mailMsgMaxBlocks
#
#
dn: cn=<service package name>,o=mailcalendargroup,o=cosTemplates,
<ugldapbasedn>
changetype: add
objectclass: top
objectclass: LDAPsubentry
objectclass: extensibleobject
objectclass: cosTemplate
cn: <service package name>
mailmsgmaxblocks: <mailMsgMaxBlocksValue>
icsdoublebooking: <doubleBookingValue>
icsautoaccept: <autoAcceptValue>
daServiceType: calendar group
daServiceType: mail group
|
创建您自己的服务包的步骤
-
复制并重命名 da.cos.skeleton.ldif 文件中的某一个参数化模板。
安装了 Delegated Administrator 后,da.cos.skeleton.ldif 文件将被安装在以下目录中:
da-base/lib/config-templates
选择 da.cos.skeleton.ldif 文件中的以下模板之一来进行复制和重命名:
standardUserMail standardUserCalendar standardUserMailCalendar standardGroupMail
-
在模板副本中编辑以下参数:
-
<ugldapbasedn>
将根后缀参数 <rootSuffix> 更改为您的根后缀(例如 o=usergroup)。
<ugldapbasedn> 参数将显示在 DN 中。
-
<service package name>
将 <service package name> 参数更改为您自己的服务包名称。
<service package name> 参数将显示在 DN 和 cn 中。
-
邮件属性值:
<mailMsgMaxBlocksValue> <mailQuotaValue> <mailMsgQuotaValue> <mailAllowedServiceAccessValue>
编辑这些值使其符合您的特定要求。
例如,可以为邮件属性输入以下值:
mailMsgMaxBlocks: 400 mailQuota: 400000000 mailMsgQuota: 5000 mailAllowedServiceAccess: imap:ALL$+pop:ALL$+smtp:ALL$+http:ALL
-
日历属性值:
<preferredHostValue> <dwpHostValue> <firstDayValue>
这些参数代表 LDAP 属性 icsPreferredHost、icsDWPHost 和 icsFirstDay 的值。
编辑这些值使其符合您的特定要求。
有关这些属性的定义和说明,请参见 Sun Java Communications Suite Schema Reference 中的第 3 章 "Messaging Server and Calendar Server Attributes"。
在自定义的服务类模板中,必须至少使用一个属性;但不必在自定义模板中使用全部四个邮件属性。可以从服务包中删除一个或多个属性。
-
-
使用 LDAP 目录工具 ldapmodify 将服务包安装到目录中。
例如,可以运行以下命令:
ldapmodify -D <directory manager> -w <password> -f <cos.finished.template.ldif>
其中
<directory manager> 是 Directory Server 管理员的用户名。
<password> 是 Directory Server 管理员的密码。
<cos.finished.template.ldif> 是编辑的 ldif 文件的名称,该文件要作为服务包安装在目录中。
为 Schema 2 兼容性模式添加 ACI
如果要在 Schema 2 兼容性模式下使用 LDAP 目录,则必须手动向该目录中添加 ACI,以便能够在您的目录中置备 Delegated Administrator。请执行以下步骤:
为 Schema 2 兼容性模式添加 ACI
-
将以下两个 ACI 添加到 OSI 根目录。可以在位于 /opt/SUNWcomm/config 目录中的 usergroup.ldif 文件中找到以下两个 ACI。
请确保用您的用户组后缀来替换 ugldapbasedn。将编辑后的 usergroup.ldif 文件添加到 LDAP 目录中。
# # acis to limit Org Admin Role # ######################################## # dn: <local.ugldapbasedn> ######################################## dn: <ugldapbasedn> changetype: modify add: aci aci: (target="ldap:///($dn),<ugldapbasedn>")(targetattr="*") (version 3.0; acl "Organization Admin Role access deny to org node"; deny (write,add,delete) roledn = "ldap:///cn=Organization Admin Role,($dn),<ugldapbasedn>";)
dn: <ugldapbasedn> changetype: modify add: aci aci: (target="ldap:///($dn),<ugldapbasedn>")(targetattr="*") (version 3.0; acl "Organization Admin Role access allow read to org node"; allow (read,search) roledn = "ldap:///cn=Organization Admin Role,($dn),<ugldapbasedn>";)
-
将以下两个 ACI 添加到 DC 树根后缀。可以在位于 /opt/SUNWcomm/lib/config-templates 目录的 dctree.ldif 文件中找到以下两个 ACI。
请确保用您的 DC 树根后缀来替换 dctreebasedn,用您的用户组后缀来替换 ugldapbasedn。将编辑后的 dctree.ldif 文件添加到 LDAP 目录中。
# # acis to limit Org Admin Role # ######################################## # dn: <dctreebasedn> ######################################## dn: <dctreebasedn> changetype: modify add: aci aci: (target="ldap:///($dn),<dctreebasedn>")(targetattr="*") (version 3.0; acl "Organization Admin Role access deny to dc node"; deny (write,add,delete) roledn = "ldap:///cn=Organization Admin Role,($dn),<ugldapbasedn>";)
dn: <dctreebasedn> changetype: modify add: aci aci: (target="ldap:///($dn),<dctreebasedn>")(targetattr="*") (version 3.0; acl "Organization Admin Role access allow read to dc node"; allow (read,search) roledn = "ldap:///cn=Organization Admin Role,($dn),<ugldapbasedn>";)
-
将以下附加 ACI 添加到 DC 树根后缀。(这些 ACI 不在 dctree.ldif 文件中。)
dn:<dctreebasedn> changetype:modify add:aci aci: (target="ldap:///<dctreebasedn>")(targetattr="*") (version 3.0; acl "S1IS Proxy user rights"; allow (proxy) userdn = "ldap:///cn=puser,ou=DSAME Users,<ugldapbasedn>";)
dn:<dctreebasedn> changetype:modify add:aci aci: (target="ldap:///<dctreebasedn>")(targetattr="*") (version 3.0; acl "S1IS special dsame user rights for all under the root suffix"; allow (all) userdn ="ldap:///cn=dsameuser,ou=DSAME Users,<ugldapbasedn>";)
dn:<dctreebasedn> changetype:modify add:aci aci: (target="ldap:///<dctreebasedn>")(targetattr="*") (version 3.0; acl "S1IS Top-level admin rights"; allow (all) roledn = "ldap:///cn=Top-level Admin Role,<ugldapbasedn>";)
-
将 AMConfig.properties 文件中的 com.iplanet.am.domaincomponent 属性设置为您的 DC 树根后缀。
例如,修改 <AM_base_directory>/lib/AMConfig.properties 文件中的以下行:
从
com.iplanet.am.domaincomponent=o=isp
改为
com.iplanet.am.domaincomponent=o=internet
-
配置 Access Manager 以使用兼容性模式。
在 Access Manager 控制台中,选中(启用)“管理控制台服务”页中的启用域组件树复选框。
-
将 inetdomain 对象类添加到所有 DC 树节点(例如 dc=com,o=internet),如以下示例所示:
/var/mps/serverroot/shared/bin 298% ./ldapmodify -D "cn=Directory Manager" -w password dn: dc=com,o=internet changetype: modify add: objectclass objectclass: inetdomain
-
重新启动 Web 容器。
配置 Web Server 以在 SSL 模式下运行 Delegated Administrator
如果将 Delegated Administrator 控制台部署到 Web Server 6 或 Web Server 7.x,则您能够在 SSL 模式下通过安全端口运行 Delegated Administrator 控制台。
如果将 Delegated Administrator 服务器部署到 Web Server 6 或 Web Server 7.x,则您能够在 SSL 模式下运行 Delegated Administrator 实用程序 (commadmin)。
要使 Delegated Administrator 控制台和实用程序能够使用 SSL 访问:
-
对于控制台,完成在 SSL 配置过程中的所有步骤即可。
-
对于实用程序,只需完成 SSL 配置过程中的步骤 1 即可。使用 commadmin 命令及 -s 选项以在 SSL 模式下运行。
对于 Web Server 6,遵循以下过程:
对于 Web Server 7.x,遵循以下过程:
配置 Web Server 6 以使 Delegated Administrator 能在 SSL 模式下运行
在此过程中,会在 Delegated Administrator 配置目录中创建证书 truststore。例如:/var/opt/SUNWcomm/config
-
请求并安装证书。
在生产环境中,必须从向您颁发证书的证书授权机构 (Certificate Authority, CA) 请求证书。然后安装该证书。
在测试环境中,可以创建并安装自签名的证书。
有关为 Web Server 6 请求和安装证书的信息,请参见《Sun Java System Web Server 6.1 SP6 Administrator’s Guide》中的 "Using Certificates and Keys"。
完成此步骤后,即可在 SSL 模式下运行 Delegated Administrator 实用程序。
-
导出以 ASCII 编码的特定证书。
例如:
/opt/SUNWwbsvr/bin/https/admin/bin/certutil -L -n Server-Cert -d \ -P https-host.domain-host- /opt/SUNWwbsvr/alias -a > /tmp/host.cert
其中
-
Server-Cert 是由管理界面创建的默认名称
-
host 是运行 Web Server 6 的计算机的主机名称。例如:myhost。
-
host.domain 是运行 Web Server 6 的计算机的主机名和域名。例如:myhost.siroe.com。
-
-
使用 java keytool 实用程序将证书导入到 truststore。
此步骤假设您在 Delegated Administrator 配置目录中创建了新的 truststore。
-
为 Web Server 6 实例配置定义 JVM 设置中的 ssl.truststore 属性。
例如:
-Djavax.net.ssl.trustStore=/var/opt/SUNWcomm/config/truststore Djavax.net.ssl.trustStorePassword=password
其中 password 是您在 keytool 提示时输入的密码。
-
为 Web Server 6 实例配置修改以下 JVM 设置中的属性。
将
-Djava.protocol.handler.pkgs=com.iplanet.services.comm
更改为以下值:
-Djava.protocol.handler.pkgs=com.sun.identity.protocol
-
更改 daconfig.properties 文件中的以下属性:
-
在文本编辑器中打开 daconfig.properties 文件。
daconfig.properties 文件默认保存在 Delegated Administrator 配置目录:
da-base/data/da/WEB-INF/classes/com/sun/comm/da/resources
(在稍后的步骤中,daconfig.properties 文件将被部署到 Web Server 6 配置目录。)
-
如下所示更改属性值:
commadminserver.host=host.domain commadminserver.port=port commadminserver.usessl=true
其中 host.domain 是运行 Web Server 6 的计算机的主机名和域名。例如:myhost.siroe.com。
其中 port 是 SSL 端口。例如:443。
-
-
部署 Web Server 6 配置并重新启动实例:
配置 Web Server 7.x 以使 Delegated Administrator 能在 SSL 模式下运行
在此过程中,会在 Delegated Administrator 配置目录中创建证书 truststore。例如:/var/opt/SUNWcomm/config
-
请求并安装证书。
在生产环境中,必须从向您颁发证书的证书授权机构 (Certificate Authority, CA) 请求证书。然后安装该证书。
在测试环境中,可以创建并安装自签名的证书。
有关为 Web Server 7.x 请求和安装证书的信息,请参见《Sun Java System Web Server 7.0 Administrator’s Guide》中的“Managing Certificates”。
完成此步骤后,即可在 SSL 模式下运行 Delegated Administrator 实用程序。
-
运行 certutil 实用程序来列出证书数据库中的所有证书。
例如:
cd /var/opt/SUNWcomm/config /usr/sfw/bin/certutil -L -d /var/opt/SUNWwbsvr7/https-host.domain/config
其中 host.domain 是运行 Web Server 7.x 的计算机的主机名和域名。例如:myhost.siroe.com
-
导出以 ASCII 编码的特定证书。
例如:
/usr/sfw/bin/certutil -L -n cert-host.domain -d /var/opt/SUNWwbsvr7/https-host.domain/config -a > host.cert
其中 host 和 host.domain 是运行 Web Server 7.x 的计算机的主机名或主机名和域名。
-
使用 java keytool 实用程序将证书导入到 truststore。
此步骤假设您在 Delegated Administrator 配置目录中创建了新的 truststore。
-
为 Web Server 7.x 实例配置定义 JVM 设置中的 ssl.truststore 属性。
例如:
-Djavax.net.ssl.trustStore=/var/opt/SUNWcomm/config/truststore -Djavax.net.ssl.trustStorePassword=password
其中 password 是您在 keytool 提示时输入的密码。
-
为 Web Server 7.x 实例配置修改以下 JVM 设置中的属性。
将
-Djava.protocol.handler.pkgs=com.iplanet.services.comm
更改为以下值:
-Djava.protocol.handler.pkgs=com.sun.identity.protocol
-
更改 daconfig.properties 文件中的以下属性:
-
在文本编辑器中打开 daconfig.properties 文件。
daconfig.properties 文件默认情况下位于 Delegated Administrator 配置目录:
da-base/data/da/WEB-INF/classes/com/sun/comm/da/resources
(在稍后的步骤中,将 daconfig.properties 文件部署到 Web Server 7.x 配置目录。)
-
如下所示更改以下属性值:
commadminserver.port=port commadminserver.usessl=true
其中 port 是 SSL 端口。例如:443。
-
-
部署 Web Server 7.x 配置并重新启动实例:
- © 2010, Oracle Corporation and/or its affiliates