test

Sun Java System Delegated Administrator 6.4 管理指南

附錄 A 服務提供者管理員和服務提供者組織

Delegated Administrator 主控台提供新的「服務提供者管理員」(SPA) 管理員角色,以及可以在目錄中建立的新類型組織。

本附錄說明以下主題:

本附錄說明服務提供者管理員角色和新的組織類型,並說明如何在 Delegated Administrator 中建立它們。

服務提供者管理員

Delegated Administrator 主控台可讓您將管理作業委託給服務提供者管理員 (SPA) 的新角色,該角色可以建立和管理新類型的從屬組織。

SPA 的權限範圍介於頂層管理員 (TLA) 和組織管理員 (OA) 的權限之間。

使用 SPA,您可以建立三階式管理階層,如第 1 章, Delegated Administrator 簡介中的三階式階層所述。

此第二層級的委託可使對大型 LDAP 目錄支援的大型用戶基底的管理變得容易。例如,ISP 可以為數以百計或數以千計的小型企業提供服務,其中的每個企業都需要其自己的組織。每天都有許多新的組織應增加至目錄中。

如果您使用兩階式階層,則 TLA 應建立所有這些新組織。現在,TLA 可以將這些作業委託給 SPA。

SPA 可以為新用戶建立從屬組織,並指定 OA 來管理這些組織中的使用者。

圖 A–1 顯示了三階式組織階層範例的邏輯視圖。

圖 A–1 使用服務提供者管理員的目錄:邏輯視圖

使用服務提供者管理員的目錄:邏輯視圖。

圖 A–1 中的範例顯示了一個提供者組織。然而,目錄可以包含多個提供者組織。

在此範例中,按如下方式委託管理作業:

如需提供者和從屬組織的定義,請參閱服務提供者管理員管理的組織

服務提供者管理員角色

SPA 可執行以下作業:

備註 –

TLA 可修改或刪除任何現有的共用組織或完整組織。TLA 還可以管理這些組織中的使用者。

TLA 可以透過主控台移除使用者的 SPA 角色,但無法指定 SPA 角色。如需此發行版本的 Delegated Administrator 中的限制清單,請參閱此發行版本的注意事項

如需有關 TLA 執行的管理作業的完整說明,請參閱第 1 章, Delegated Administrator 簡介中的管理員角色和目錄階層

將 SPA 角色指定給使用者

必須將 SPA 角色指定給符合以下條件的組織中的使用者:為 SPA 而指定,且從屬於 SPA 將管理的提供者組織。

圖 A–1 所示的範例中,假設您需要為名為 VIS 的提供者組織建立 SPA。您可以將 SPA 角色指定給 DEF 組織中的 使用者1

SPA 必須在從屬組織中,因為提供者組織節點不包含任何使用者。

因此,必須先在提供者組織下至少建立一個組織,然後 SPA 才可對其進行管理。應該指定此組織來保留被指定 SPA 角色的使用者。如需更多資訊,請參閱建立提供者組織和服務提供者管理員

此發行版本的注意事項

在此發行版本的 Delegated Administrator 中,您無法使用 Delegated Administrator 主控台或公用程式建立 SPA 或提供者組織。

若要建立 SPA 或提供者組織,您必須手動修改自訂服務提供者範本 da.provider.skeleton.ldif

如需有關使用自訂服務提供者範本執行這些作業的說明,請參閱本附錄後面部分的建立提供者組織和服務提供者管理員

服務提供者管理員管理的組織

SPA 可以建立、修改和刪除從屬於 SPA 的提供者組織的以下類型組織:

接下來的各小節中說明了提供者組織、完整組織和共用組織。

提供者組織

提供者組織是 LDAP 目錄中的節點,邏輯上包含完整組織和共用組織 。提供者組織節點的屬性可讓 SPA 管理從屬組織。

在 LDAP 目錄中,提供者組織必須在郵件網域之下。如需範例,請參閱本附錄後面部分的服務提供者組織資料範例

提供者組織不能包含使用者項目。然而,可以在提供者組織下建立的組織中佈建使用者。

提供者組織儲存有關在其下建立的組織的目錄資訊。例如:

完整組織

完整組織具有以下特徵:

共用組織

共用組織具有以下特徵:

建立提供者組織和服務提供者管理員

發行版本的 Delegated Administrator 中,您必須使用 Delegated Administrator 提供的自訂服務提供者範本 (da.provider.skeleton.ldif) 來建立您自己的提供者組織和 SPA。

備註 –

您也可以在執行 Delegated Administrator 配置程式時,在目錄中安裝提供者組織 (帶有從屬組織) 範例和 SPA 範例。您可以透過選擇配置程式中的 [載入組織範例] 來執行此作業。

但是,組織範本範例 (da.sample.data.ldif) 僅用做範例,而非建立自己的提供者組織的範本。如需有關此範例的詳細資訊,請參閱本附錄後面部分的服務提供者組織資料範例

建立提供者組織和 SPA 後,SPA 即可登入 Delegated Administrator 主控台、建立和管理從屬組織以及將 SPA 角色指定給 SPA 組織中的其他使用者。但是,這些 SPA 只能管理同一提供者組織。

若要建立其他提供者組織和管理該組織的 SPA,您應再次使用自訂服務提供者範本。

本小節包含以下主題:

範本建立的項目

在目錄中安裝已編輯的自訂服務提供者範本時,將建立以下項目:

圖 A–2 顯示了透過安裝範本建立的項目範例。其為組織的目錄資訊樹狀結構 (Directory Information Tree, DIT) 視圖。

圖 A–2 只是一個範例。您的組織名稱、SPA 使用者名稱和 DIT 結構應該特定於您自己的安裝。

圖 A–2 自訂服務提供者範本:目錄資訊樹狀結構視圖

自訂服務提供者範本:目錄資訊樹狀結構視圖。

已安裝的自訂服務提供者範本範例中的節點

圖 A–2 所示範例中的節點如下:

建立提供者組織、從屬組織和 SPA 所需的資訊

若要建立提供者組織、從屬組織和 SPA,您需要使用您的安裝的特定資訊替代自訂服務提供者範本中的參數。

若要瞭解這些參數,可以查看自訂服務提供者範本中所示的 da.provider.skeleton.ldif 清單。或開啟實際 ldif 檔案,該檔案位於以下目錄中:

da-base/lib/config-templates

如需與這些參數相關之屬性的定義,請參閱「Sun Java System Communications Services Schema Reference」中的第 5 章「Communications Suite Delegated Administrator Classes and Attributes (Schema 2)」和第 3 章「Messaging Server and Calendar Server Attributes」。

可定義提供者組織和從屬組織的參數

若要建立提供者組織和從屬組織,請編輯以下參數:

定義 SPA 的參數

若要建立 SPA,請編輯以下參數:

如需有關如何在目錄中編輯自訂服務提供者範本和安裝資訊的說明,請參閱建立提供者組織和服務提供者管理員的步驟

建立提供者組織和服務提供者管理員的步驟

您可以使用 ldif 檔案 da.provider.skeleton.ldif 執行以下程序。

Procedure建立提供者組織和服務提供者管理員

此程序會假設您已將根尾碼和預設郵件網域安裝在目錄中,如以下範例所示:


o=usergroup
   o=varrius.com

  1. 在目錄中建立郵件網域。

    如果您尚未建立郵件網域,請在目錄中執行此作業。提供者組織及其從屬共用組織將使用此郵件網域。

    範例:

    在以下範例中, siroe.com 為新的郵件網域,其中的 da.provider.skeleton.ldif 檔案將安裝提供者組織和服務提供者管理員。


    o=usergroup
   o=varrius.com
   o=siroe.com

  2. 複製並重新命名 da.provider.skeleton.ldif 檔案。

    安裝 Delegated Administrator 時,da.provider.skeleton.ldif 檔案會安裝在以下目錄中:

    da-base /lib/config-templates

  3. da.provider.skeleton.ldif 檔案副本中編輯以下參數。使用對於您的安裝正確的值替代這些參數。

    如需參數的定義,請參閱建立提供者組織、從屬組織和 SPA 所需的資訊

    某些參數在 ldif 檔案中使用多次。您必須搜尋並替代每個參數的所有實例。

    一些參數代表多值屬性的值。您可以複製和編輯這些參數及其關聯屬性名稱,以允許 ldif 檔案中存在這些屬性的多個實例。以下註明了多值參數。

    • <ugldapbasedn>

    • <maildomain_dn>

    • <maildomain_dn_str>

    • <providerorg>

    • <servicepackage> (多值)

    • <domain_name> (多值)

    • <provider_sub_org>

    • <preferredmailhost>

    • <available_domain_name> (多值)

    • <available_services> (多值)

    • <spa_uid>

    • <spa_password>

    • <spa_firstname>

    • <spa_lastname>

    • <spa_servicepackage>

    • <spa_mailaddress>

      如需與這些參數相關之屬性的定義,請參閱「Sun Java System Communications Services Schema Reference」中的第 5 章「Communications Suite Delegated Administrator Classes and Attributes (Schema 2)」和第 3 章「Messaging Server and Calendar Server Attributes」。

  4. 使用 LDAP 目錄工具 ldapmodify 在目錄中安裝提供者組織和 SPA。

    例如,您可以執行以下指令:


    ldapmodify -D <directory manager> -w <password> \
-f <da.provider.finished.ldif>

    其中,

    <directory manager> 是 Directory Server 管理員的名稱。

    <password> 是 Directory Service 管理員的密碼。

    <da.provider.finished.ldif> 是要做為新的提供者組織和 SPA 安裝在目錄中的已編輯 ldif 檔案的名稱。

    範例:

    以下範例顯示安裝在 siroe.com 郵件網域之下的組織節點和服務提供者管理員使用者:


    o=usergroup
   o=varrius.com
   o=siroe.com
     o=MyProviderOrg
       o=MySPAUserOrg
         ou=People
            uid=user1
   o=MyProviderOrgDomainsRoot

    請注意,MyProviderOrgDomainsRoot 組織位於根尾碼 usergroup 之下。MyProviderOrgDomainsRoot 是由 ldif 建立的定位字元節點;它可保留從屬 MyProviderOrg 組織的完整組織。

自訂服務提供者範本

範本 (da.provider.skeleton.ldif) 包含您必須修改以建立新的提供者組織和 SPA 的參數。

下面的清單顯示 ldif 檔案中具有參數的區段。該清單未包含整個檔案。此處未包含支援 Access Manager 所需的項目和 ACI。

您應僅修改 ldif 檔案中的參數。請勿修改與 Access Manager 相關的檔案區段。

da.provider.skeleton.ldif 檔案 (相關區段)

#
# The following parameterized values must be replaced.
#
# <ugldapbasedn>          :: Root suffix for user/group data
# <maildomain_dn>         :: Complete dn of the mail domain underneath
#                            which the provider organization will be
#                            created.
# <maildomain_dn_str>     :: The maildomain dn with all ',' replaced
#									  by '_'. E.g.
#                            dn --\> o=siroe.com,o=SharedDomainsRoot,
#                            o=Business,dc=red,dc=iplanet,dc=com
#                            dn_str --> o=siroe.com_o=SharedDomainsRoot_
#                            o=Business_dc=red_dc=iplanet_dc=com
# <providerorg>            : Organization value for provider node.
# <servicepackage>        :: One for each service package to include.
#                            All service packages in the system 
#                            may be assigned by leaving this value empty.
# <domain_name>           :: One for each DNS name which may be assigned
#                            to a subordinate organization.
#                            These names form a proper subset (some or
#                            all) of the names listed in the <maildomain>
#                            organization's sunpreferreddomain
#                            and associateddomain attributes. 
# <provider_sub_org>      :: Organization value for the shared subordinate
#                            organization in which the Provider
#                            Administrator resides. 
# <preferredmailhost>     :: Name of the preferred mail host for the
#                            provider's subordinate organization.
# <available_domain_name> :: one for each DNS name that an organization
#                            allows an organization admin to use when
#                            creating a user's mail address.  This is
#                            a proper subset of the values given for
#                            <domain_name> (sunAssignableDomains attribute).
# <available_services>    :: One for each service packags available to an
#                            organization (sunAvailableServices attribute).
#                            These service packages form a proper subset
#                            of the ones assigned to a provider organization
#                            - <servicepackage> (sunIncludeServices 
#                            attribute).  Form is
#                            <service package name>:<count>  
#                            where count is an integer.  If count is absent
#                            then default is unlimited.
# <spa_uid>               :: The uid for the service provider administrator.
# <spa_password>          :: The password for the service provider 
#                            administrator. 
# <spa_firstname>         :: First name of the service provider 
#                            administrator.
# <spa_lastname>          :: Last name of the service provider 
#                            administrator.
# <spa_servicepackage>    :: Service package assigned to the service
#                            provider administrator.
# <spa_mailaddress>       :: The spa's mail address. The domain part of the
#                            mail address must be one of the values used for
#                            <available_domain_name>.
#


#
# Provider Organization
#
dn: o=<providerorg>,<maildomain_dn>
changetype: add
o: <providerorg>
objectClass: top
objectClass: sunismanagedorganization
objectClass: sunmanagedorganization
objectClass: organization
objectClass: sunManagedProvider
sunAllowBusinessOrgType: full
sunAllowBusinessOrgType: shared
sunBusinessOrgBase: o=<providerorg>domainsroot,<ugldapbasedn>
sunIncludeServices: <servicepackage>
sunAssignableDomains: <domain_name>
sunAllowMultipleDomains: true
sunAllowOutsideAdmins: false
sunProviderOrgDN: o=<provider_sub_org>,o=<providerorg>,<maildomain_dn>
# .
# .
# [Entries and ACIs required by Access Manager]
# .
# .

#
# Full Organizations node
#
dn: o=<providerorg>DomainsRoot,<ugldapbasedn>
changetype: add
o: <providerorg>DomainsRoot
objectClass: top
objectClass: organization
objectClass: sunmanagedorganization
# .
# .
# [Entries and ACIs required by Access Manager]
# .
# .

#
# Provider Admin Role shared organizations
#
dn: cn=Provider Admin Role,o=<providerorg>,<maildomain_dn>
changetype: add
cn: Provider Admin Role
objectClass: ldapsubentry
objectClass: nssimpleroledefinition
objectClass: nsroledefinition
objectClass: nsmanagedroledefinition
objectClass: iplanet-am-managed-role
objectClass: top
iplanet-am-role-description: Provider Admin

#
# Provider Admin Role full organizations
#
dn: cn=Provider Admin Role,o=<providerorg>DomainsRoot,<ugldapbasedn>
changetype: add
cn: Provider Admin Role
objectClass: ldapsubentry
objectClass: nssimpleroledefinition
objectClass: nsroledefinition
objectClass: nsmanagedroledefinition
objectClass: iplanet-am-managed-role
objectClass: top
iplanet-am-role-description: Provider Admin

#
# Shared Subordinate Organization. Includes 1 user who is 
# the Provider Administrator.
#
dn: o=<provider_sub_org>,=<providerorg>,<maildomain_dn>
changetype: add
preferredMailHost: <preferredmailhost>
sunNameSpaceUniqueAttrs: uid
o: <provider_sub_org>
objectClass: inetdomainauthinfo
objectClass: top
objectClass: sunismanagedorganization
objectClass: sunnamespace
objectClass: sunmanagedorganization
objectClass: organization
objectClass: sunDelegatedOrganization
objectClass: sunMailOrganization
sunAvailableDomainNames: <available_domain_name>
sunAvailableServices: <available_services>
sunOrgType: shared
sunMaxUsers: -1
sunNumUsers: 1
sunMaxGroups: -1
sunNumGroups: 0
sunEnableGAB: true
sunAllowMultipleServices: true
inetDomainStatus: active
sunRegisteredServiceName: GroupMailService
sunRegisteredServiceName: DomainMailService
sunRegisteredServiceName: UserMailService
sunRegisteredServiceName: iPlanetAMAuthService
sunRegisteredServiceName: UserCalendarService
sunRegisteredServiceName: iPlanetAMAuthLDAPService
sunRegisteredServiceName: DomainCalendarService
# .
# .
# [Entries and ACIs required by Access Manager]
# .
# .

dn: ou=People,o=<provider_sub_org>,o=<providerorg>,<maildomain_dn>
changetype: add
ou: People
objectClass: iplanet-am-managed-people-container
objectClass: organizationalUnit
objectClass: top

dn: ou=Groups,o=<provider_sub_org>,o=<providerorg>,<maildomain_dn>
changetype: add
ou: Groups
objectClass: iplanet-am-managed-group-container
objectClass: organizationalUnit
objectClass: top
# .
# .
# [Entries and ACIs required by Access Manager]
# .
# .

#
# User - provider administrator
#
dn: uid=<spa_uid>,ou=People,o=<provider_sub_org>,o=<providerorg>, \
        <maildomain_dn> 
changetype: add
sn: <spa_lastname>
givenname: <spa_firstname>
cn:  <spa_firstname> <spa_lastname>
uid: <spa_uid>
iplanet-am-modifiable-by: cn=Top-level Admin Role,<ugldapbasedn>
objectClass: inetAdmin
objectClass: top
objectClass: iplanet-am-managed-person
objectClass: iplanet-am-user-service
objectClass: iPlanetPreferences
objectClass: person
objectClass: organizationalPerson
objectClass: inetuser
objectClass: inetOrgPerson
objectClass: ipUser
objectClass: inetMailUser
objectClass: inetLocalMailRecipient
objectClass: inetSubscriber
objectClass: userPresenceProfile
objectClass: icsCalendarUser
mailhost: <preferredmailhost>
mail: <spa_mailaddress>
maildeliveryoption: mailbox
mailuserstatus: active
inetCos: <spa_servicepackage>
inetUserStatus: Active
nsroledn: cn=Provider Admin Role,o=<providerorg>,<maildomain_dn>
userPassword: <spa_password>

建立共用和完整從屬組織

建立提供者組織和 SPA 之後,SPA 即可建立和管理從屬於該提供者組織的共用組織和完整組織。SPA 使用 Delegated Administrator 主控台完成這些作業。

以下作業概述建立共用組織或完整組織的關鍵步驟。此作業未說明如何輸入使用 [建立新組織] 精靈建立組織時顯示的所有資訊。如需 [建立新組織] 精靈的詳細說明,請參閱 Delegated Administrator 主控台線上說明。

Procedure建立共用或完整從屬組織

  1. 啟動 Delegated Administrator 主控台。

    請至以下 URL:

    http://host :port/da

    其中,

    host 是 Web 容器主機電腦

    port 是 Web 容器連接埠

    例如:

    http://siroe.com:8080/da

    螢幕上將顯示 Delegated Administrator 主控台登入視窗。

  2. 使用 SPA 登入 ID 和密碼登入 Delegated Administrator 主控台。

    前面的小節建立提供者組織和服務提供者管理員說明了如何建立 SPA。

    螢幕上將顯示 [服務提供者管理員] 頁面。依預設,選取 [組織] 標籤。此頁面顯示從屬於 SPA 的提供者組織的組織。

  3. 按一下 [新建組織]。

    螢幕上將顯示 [建立新組織] 精靈。如需有關在 [建立新組織] 精靈中輸入和選取資訊的詳細資訊,請參閱 Delegated Administrator 主控台線上說明。

  4. 在 [組織資訊] 面板中輸入資訊,然後按 [下一步]。

    螢幕上將顯示 [聯絡人資訊] 面板。

  5. 在 [聯絡人資訊] 面板中輸入資訊,然後按 [下一步]。

    螢幕上將顯示 [帳號資訊] 面板。

  6. 選擇建立共用組織還是完整組織。

    在 [帳號資訊] 面板中,您可以確定新組織是共用組織還是完整組織。

    共用組織使用與其他組織共用的現有網域。

    完整組織具有其自己的唯一網域。

    • 若要建立共用組織,請按一下 [從可用的網域中選取] 單選按鈕。

      從下拉式清單中選擇網域。

      備註 –

      建立共用組織時,會從現有父系網域繼承行事曆服務詳細資訊。因此,您不必為新組織輸入行事曆服務資訊。[行事曆服務詳細資訊] 面板將不會顯示在 [建立新組織] 精靈中。而且建立共用組織之後,[行事曆服務詳細資訊] 不會顯示在組織的 [特性] 頁面中。

    • 若要建立完整組織,請按一下 [新建網域] 單選按鈕。

      在文字方塊中,輸入新的郵件網域名稱。例如:siroe.com

      如果願意,您可以在 [新網域的別名] 文字方塊中為新網域輸入別名。

  7. 在 [建立新組織] 精靈的剩餘面板中輸入資訊。

    如需有關這些面板的詳細資訊,請參閱 Delegated Administrator 主控台線上說明。

服務提供者組織資料範例

執行 Delegated Administrator 配置程式 config-commda 時,您可以選擇在目錄中安裝組織資料 (在 ldif 檔案中定義) 範例。(執行配置程式時,選取 [服務套裝軟體和組織範例] 面板中的 [載入組織範例]。)配置程式會將 da.sample.data.ldif 檔案增加至 LDAP 目錄樹狀結構中。

此 ldif 檔案僅用做範例,而非建立您自己的提供者組織的範本。若要建立新的提供者組織,請參閱建立提供者組織、從屬組織和 SPA 所需的資訊

資料範例提供的組織

圖 A–1 顯示了 ldif 檔案範例提供的組織結構的邏輯視圖。(圖 A–1 增加了檔案中不存在的共用組織 HIJ。)

ldif 檔案範例在根字尾節點下包含以下組織:

ldif 檔案為這些組織定義以下管理員角色:

邏輯階層和目錄資訊樹狀結構

在三階式目錄階層中,目錄資訊樹狀結構 (Directory Information Tree, DIT) 與圖 A–1 中所示的邏輯視圖不完全一樣。組織在稍微不同的階層的 DIT 中實作。

例如,在 DIT 中,完整網域必須直接在根字尾之下。因此,網域節點會增加至根字尾下,以儲存共用網域 (由共用組織使用) 和完整組織 (具有其自己的網域) 的 LDAP 資訊。

組織資料範例:目錄資訊樹狀結構視圖

圖 A–3 顯示了組織資料範例的目錄資訊樹狀結構 (Directory Information Tree, DIT) 視圖。

圖 A–1 中所示的邏輯視圖一樣,圖 A–3 中所示的範例包含以下組織:

圖 A–3 組織資料範例:目錄資訊樹狀結構視圖

組織資料範例:目錄資訊樹狀結構視圖。

目錄資訊樹狀結構範例中的節點

組織檔案範例 (da.sample.data.ldif) 中的節點如下:

目錄資訊樹狀結構範例中的使用者 DN

圖 A–3 所示的組織檔案範例中的某些使用者 DN 如下: