|
Версия 5.1 |
|
|
Центральный Справочник
Справочник CommuniGate Pro может использоваться для хранения любой информации. Одной из возможностей сервера является интеграция между Справочником CommuniGate Pro и Доменами CommuniGate Pro. Уровень интеграции может задаваться индивидуального для каждого домена.
Администратор Сервера может управлять интеграцией Доменов CommuniGate Pro со Справочником. Откройте страницу Домены и пройдите по ссылке Центральный Справочник.
|
|
|
Концепция Центрального Справочника
Домены CommuniGate Pro могут использовать следующие уровни интеграции:
- Нет интеграции; Установки Домена и Установки Пользователей этого Домена сохраняются в файлах .settings и при создании, изменении, удалении или переименовании Пользователя Справочник не обновляется.
- Синхронизировать: Установки Домена и Установки Пользователей этого Домена хранятся в файлах .settings; каждый Пользователь имеет соответствующую ему запись в Справочнике, в которой хранятся некоторые из Установок Пользователя как атрибуты записи:
- имя Пользователя в атрибуте uid
- Настоящее Имя Пользователя в атрибуте cn
- Сертификат Пользователя (если он существует) в атрибуте userCertificate)
- сервер, на котором размещён Главный Домен в атрибуте hostServer (этот атрибут необходим для реализации Directory-based Статических Кластеров)
- опциональный набор дополнительных установок/атрибутов (и "публичная информация").
При создании, переименовании, удалении или изменении Пользователя Справочник автоматически обновляется.
- Directory-based. Установки Домена и Установки Пользователей Домена хранятся в записях Справочника. Файл .settings не создаётся и Сервер получает всю информацию об установках из Справочника.
Наконец, CommuniGate Pro может работать с обычными (не Directory-Based) Доменами, но использовать при этому управление Пользователями через LDAP; при этом работа происходит так же, как и при использовании Directory-Based Доменов, но Пользователи создаются и изменяются при помощи команд LDAP. Эта возможность называется Управление Пользователями через LDAP.
Переименование Атрибутов
Некоторые из имён Установок Домена и Пользователя могут не совпадать со стандартными именами атрибутов, используемым в Схеме Справочника. Например, Установка Пользователя Настоящее Имя может хранится в Справочнике в атрибуте cn (Имя-Идентификатор), а дополнительные установки surname и city (смотрите ниже) должны хранится в атрибутах sn и l.
Когда вам необходимо добавить атрибут в вашу Схему Справочника, всегда старайтесь использовать имена атрибутов в соответствии с одним из Стандартов LDAP (RFC). Если этот атрибут должен использоваться в Центральном Справочнике (то есть, он будет использоваться для хранения значения какой-либо Установки Домена или Пользователя), то, возможно, вы захотите использовать возможность по Переименованию Атрибутов для того, что бы "отобразить" имена Установок Домена или Пользователя CommuniGate Pro в некоторые из имён Атрибутов Справочника.
Используйте таблицу Перевод имён Атрибутов для указания правил отображения:
Обратите внимание: Возможность Перевода имён Атрибутов работает только для компонента Центральный Справочник Сервера CommuniGate Pro. Если вы получаете доступ к Справочнику CommuniGate Pro напрямую (например, через модуль LDAP), то перевод не осуществляется: LDAP клиенты должны указывать имена Атрибутов Справочника и возвращаемые записи имеют имена Атрибутов Справочника, а не имена Установок Домена или Пользователя CommuniGate Pro - "cn", а не "RealName" и "userPassword", а не "Password".
Поддерево Домена
Для каждого обычного Домена CommuniGate Pro, имеющего установку Синхронизировать и для каждого Directory-Based Домена создаётся Поддерево Домена. Это Поддерево имеёт в качестве корневой записи запись Домена, а все записи Пользователей являются элементами Поддерева ("листвой"). Для Directory-Based Доменов создаются дополнительные элементы для хранения Псевдонимов Пользователя, Установок Домена и т.д.
На Панели Поддерево Домена вы можете указать размещение Поддеревьев, создаваемых для каждого Домена CommuniGate Pro:
- Базовый DN
- Это поле указывает "Базовый" DN для всех доменов Центрального Справочника. Возможно вы захотите установить в нём:
- o=your company name
так, что бы каждый Домен CommuniGate Pro имел следующий DN:
- cn=domain name,o=your company name
Когда Домен помещается в Справочник, в нём создаётся запись с его DN. Если Базовый DN не существует, то Менеджер Справочника может возвращать ошибку. Используйте команду Создать Базовую Запись для того, что бы создать пустую запись, имеющую Базовый DN.
Если вы являетесь Интернет Провайдером, то вы, возможно, захотите присвоить каждому домену, который вы обслуживаете, DN верхнего уровня:
- cn=domain name
В этом случае в поле Базовый DN укажите пустую строку.
- RDN Атрибут Домена
- В этом поле указывается имя Атрибута, используемого для RDN записи Домена. В большинстве случае лучшим выбором будет использование значения по умолчанию (cn). Однако, вы можете изменить это имя на имя любого другого атрибута, определённого в схеме Справочника. Если вы зададите это имя как o, то записи Домена CommuniGate будут иметь следующие DNы:
- o=domain name,base DN
Обратите внимание: Если вы указываете строку dc как RDN атрибут Домена, то DNом для Домена CommuniGate Pro mail.domain.dom будет dc=mail,dc=domain,dc=dom.
- objectClass Домена
- Это поле указывает objectClass для записей Домена CommuniGate Pro в Справочнике. В схеме Менеджера Справочника objectClass по умолчанию определён как CommuniGateProDomain. Если вы выбрали другой objectClass, то убедитесь, что он существует в вашей Схеме Справочника.
Для обычных доменов запись домена Справочника является пустой. В результате вы можете использовать любой objectClass, который сохраняет атрибут cn (или атрибут, указанный вами в настройке RDN Атрибут Домена).
Для Directory-Based Доменов в записях доменов Справочника содержатся все установки домена, так что objectClass для этих записей должен поддерживать все атрибуты, включенные в objectClass CommuniGateDomain.
- UID Поддерево
- Если это поле является пустым, то записи Объекта Домена (Пользователь, Группа, Список, Переадресатор) хранятся в Справочнике со следующими DNами: uid=objectName,domain DN.
Если Базовым DNом является o=mycompany, а RDN Атрибут Домена задан как cn, то запись справочника для Пользователя user1 из домена domain1.dom будет иметь следующий DN:
uid=user1,cn=domain1.dom,o=mycompany
Параметр UID Поддерево позволяет вам поместить домен "ниже" в дереве домена. Если параметр UID Поддерево имеет значение ou=People, то для того же Пользователя запись будет иметь следующий DN:
uid=user1,ou=People,cn=domain1.dom,o=mycompany
Если параметр RDN Атрибут Домена имеет значение dc, то для того же Пользователя запись будет иметь следующий DN:
uid=user1,ou=People,dc=domain1,dc=dom,o=mycompany
Пример:
- Базовый DN - пустая строка, RDN Атрибут Домена - cn, и в CommuniGate Pro созданы три домена (domain1.dom, domain2.dom и domain3.dom):
Для поиска Пользователей в поддеревьях этих Доменов, LDAP клиенты должен иметь строку
- cn=domainN.dom
заданную в их настройках "База Объекта" или "База Поиска".
Пример:
- Базовый DN - o=acme, RDN Атрибут Домена - cn и в CommuniGate Pro созданы три домена (domain1.dom, domain2.dom и domain3.dom):
Для поиска Пользователей в поддеревьях этих Доменов, LDAP клиенты должен иметь строку
- cn=domainN.dom,o=acme
заданную в их настройках "База Объекта" или "База Поиска".
Пример:
- Базовый DN - o=acme, RDN Атрибут Домена - dc, и в CommuniGate Pro созданы три домена (domain1.dom, domain2.dom и domain3.dom):
Для поиска Пользователей в поддеревьях этих Доменов, LDAP клиенты должен иметь строку
- dc=domainN,dc=dom,o=acme
заданную в их настройках "База Объекта" или "База Поиска".
После того, как вы решили, каким образом вы будете организовывать Поддеревья Домена, вы можете создать дополнительные
Тома Хранения Справочника и хранить данные Домена и Пользователей в нескольких томах (если это необходимо). Например, если вы хотите использовать ваш Менеджер Справочника CommuniGate Pro для хранения информации не связанной с Пользователями CommuniGate Pro и вы хотите, что бы вся информация о Доменах и Пользователях хранилась либо на удалённом LDAP сервере, либо в специальном Локальном Томе Хранения, то вы можете создать Том Хранения
MyDomains для Базового DN поддерева Центрального Справочника (для вышеприведённых примеров -
o=acme). В этом случае все записи Доменов и Пользователей будут хранится в этом Томе Хранения
MyDomains (в отдельном локальном томе или на удалённом LDAP сервере), а все записи, не имеющие суффикса
o=acme, будут хранится в других Томах Хранения:
Обратите внимание: если вы изменяете настройку Поддерево Домена, то существующее Поддерево не изменяется. Внимательно задавайте правильные значения для настроек Поддерева Домена до начала использования Центрального Справочника. Если вам необходимо впоследствии изменить эти настройки, то вы также должны будете передвинуть существующие Поддеревья Домена в новое расположение (задаваемое новым значением Базового DN) и/или изменить RDNы существующих записей Домена (если вы изменяли настройку RDN атрибут Домена).
Дополнительные Установки Пользователя
Сервер CommuniGate Pro имеет предопределённый набор Установок Пользователя (дополнительную информацию смотрите в разделе Пользователи). В настройках Центрального Справочника имеется панель, на которой вы можете указать дополнительные Установки Пользователей CommuniGate Pro:
Вы можете использовать эти Дополнительные Установки Пользователя для хранения добавочной информации о ваших пользователях: их месторасположении, телефонных номерах, других личных данных и т.д.
Дополнительные установки Системы могут изменяться администраторами Сервера и администраторами Домена, обладающих Основными Правами Доступа к Домену.
Дополнительная публичная информация может быть изменена пользователями самостоятельно.
Для того, что бы добавить Дополнительную Установку, введите её имя в последнее (пустое) поле и нажмите на кнопку Модифицировать.
Дополнительные Установки Пользователя хранятся в записях Пользователя в Справочника (objectClass этих записей - CommuniGateAccount).
Когда вы выбираете имя для новой Дополнительной Установки Пользователя, то либо используйте имя уже заданного атрибута класса объекта CommuniGateAccount в
Схеме Справочника, либо используйте
Переименование Атрибутов Центрального Справочника и отобразите имя новой Дополнительной Установки Пользователя на имя уже заданного атрибута.
Пример:
-
Для того, что бы добавить настройку telephoneNumber для всех Пользователей CommuniGate Pro, добавьте имя telephoneNumber в таблицу Дополнительных Установок Пользователя.
Если для хранения поддеревьев Домена и Пользователей CommuniGate Pro используется Локальный Том Хранения, то дополнительные операции не потребуются: атрибут telephoneNumber уже включён в дескриптор класса объекта CommuniGateAccount во всех Схемах Локальных Томов.
Пример:
-
Для того, что бы добавить настройку surname для всех Пользователей CommuniGate Pro, добавьте имя surname в таблицу Дополнительных Установок Пользователя, а также добавьте пару (surname, sn) в таблицу Переименования Атрибутов, так, что бы Дополнительная Установка Пользователя surname хранилась в записях Справочника в атрибуте sn.
Если для хранения поддеревьев Домена и Пользователей CommuniGate Pro используется Локальный Том Хранения, то дополнительные операции не потребуются: атрибут sn уже включён в дескриптор класса объекта CommuniGateAccount во всех Схемах Локальных Томов.
Пример:
-
Для того, что бы добавить настройку BirthDay для всех Пользователей CommuniGate Pro, добавьте имя BirthDay в таблицу Дополнительных Установок Пользователя.
Если для хранения поддеревьев Домена и Пользователей CommuniGate Pro используется Локальный Том Хранения, то добавьте атрибут BirthDay в Схему Локального Тома и добавьте вновь созданное имя атрибута BirthDay в список Опциональных Атрибутов класса объекта CommuniGateAccount.
Если для хранения поддеревьев Доменов и Пользователей CommuniGate Pro используется Удалённый Том Хранения, то измените Схему Справочника на удалённом LDAP сервере что бы позволить записям справочника с классом объекта CommuniGateAccount иметь атрибут BirthDay.
Обратите внимание: Записи Пользователя в Справочнике всегда содержат атрибут sn для целей обратной совместимости со Схемой LDAP Справочника. Если вы не включаете этот атрибут в набор Дополнительных Установок Пользователя, то CommuniGate Pro хранит записи пользователя с атрибутом sn, содержащим строку none.
После того, как вы задали какие-либо Дополнительные Установки Пользователя, их имена появляются на страницах Установок Пользователя. Вы можете использовать эти страницы или CLI для добавления и изменения значений Дополнительных Установок для для всех Пользователей CommuniGate Pro:
Обратите внимание: если вы переименовали дополнительный атрибут или удалили его, то значения атрибутов в Справочнике не изменяются - фактически, вы изменяете только параметры Центрального Справочника, но не сами данные. Для изменения данных Справочника (например, удаления из Справочника всех значений атрибута telephoneNumber) используйте специальные LDAP программы.
Интеграция Обычных Доменов
Обычные Домены CommuniGate Pro не используют данные Справочника. Установки Пользователя хранятся в файлах в директории CommuniGate Pro и Сервер CommuniGate Pro читает эти файлы в случае, если ему необходимо получить установки Домена или Пользователя. Обычные Домены могут хранить некоторые из Установок Пользователя в записях Справочника.
Запись Справочника для Обычного Домена создаётся, когда Серверу необходимо сохранить запись в справочнике для какого-либо объекта их этого Домена. Например, когда Серверу необходимо создать запись справочника для Пользователя john из домена dom1.dom, он создаёт сначала запись cn=dom1.dom (если она не существует), а затем Сервер создаёт запись uid=john,cn=dom1.dom для пользователя john.
Когда Установка Домена
Центральный Справочник имеет значение
Синхронизировать:
- Запись справочника создаётся для каждого объекта (Пользователь, Группа, Список Рассылки, Переадресатор) из этого Домена.
- Запись справочника удаляется, когда объект удаляется из этого Домена.
- DNы записи справочника переименовываются при переименовании объектов.
- Записи Справочника изменяются при изменении Установок Пользователя Домена.
Никакое из этих действий не осуществляется, если установка Центральный Справочник установлена в значение Выключено.
Следующая диаграмма иллюстрирует что происходит, когда в Домене dom1.com установка Центральный Справочник имеет значение Синхронизировать и в этом домене создаётся пользователь:
В этом примере:
- Веб Интерфейс Администратора или Интерфейс Командной Строки CLI используется для создания Пользователя john в Домене dom1.com.
- Создаётся Пользователь john, указываемые при его создании установки (наряду с Шаблоном Пользователя) используются для создания первоначальных Установок Пользователя.
- Менеджер Пользователей исполняет операцию Справочника AddRecord для создания записи в Справочнике.
DN записи Справочника создаётся с использованием глобальных установок Центрального Справочника. При использовании установок по умолчанию, DN записи Справочника будет uid=john,cn=dom1.dom.
Некоторые из первоначальных Установок Пользователя преобразовываются в атрибуты Справочника и сохраняются во вновь создаваемой записи Справочника.
Теперь операция поиска в Справочнике (инициированная через LDAP клиент или через Веб Интерфейс Пользователя) будет находить и показывать запись созданного Пользователя.
Записи Справочника для Пользователей Обычных Доменов содержат следующие атрибуты:
- uid - имя Пользователя
- cn - "Настоящее Имя" Пользователя"
- sn - пустая строка, если атрибут не включён в Дополнительные Установки Пользователя
- hostServer - имя Главного Домена Сервера CommuniGate Pro, в котором находится Пользователь
- userCertificate - Сертификат Пользователя (если он существует)
- пользовательские установки (смотрите выше)
- userPasword - Пароль Пользователя (опционально)
- другие стандартные установки (опционально)
На панели Обычные Домены, расположенной на странице Центральный Справочник в Веб Интерфейсе Администратора, вы можете задать следующие опции:
- Копировать Пароли
- Если указана эта опция, то записи Справочника для Пользователей Обычных Доменов будут содержать атрибут Пароль Пользователя (обычно он переименовывается в атрибут userPassword).
- Копировать Стандартные Установки
- Если указана эта опция, то записи Справочника для Пользователей Обычных Доменов будут содержать все Стандартные Установки CommuniGate Pro для Пользователей (за исключением установок RealName и userCertificate, которые сохраняются всегда и установки Пароль, которая управляется отдельной опцией).
Следующая диаграмма иллюстрирует что происходит, когда установка Центральный Справочник Домена dom1.com имеет значение Синхронизировать и изменяются устоновки Пользователя Домена:
В этом примере:
- Операция UpdateAccount инициируется через Веб Интерфейс Администратора или через команду Интерфейса Командной Строки CLI.
- Установки Пользователя john изменяются на новые установки и изменённые установки сохраняются в файлах данных Пользователя CommuniGate Pro.
- Если в Домене dom1.com установка Центральный Справочник имеет значение Синхронизировать, то Менеджер Пользователей исполняет операцию Справочника ModifyRecord для изменения записи в Справочнике.
Обратите внимание: Важно понимать, что отношения Центрального Справочника и Обычных Доменов носят односторонний характер: если вы изменяете атрибуты записей Пользователя в Справочнике (при помощи LDAP утилиты), то фактические Установки Пользователя не изменяются - CommuniGate Pro всегда использует данные из файлов настроек, и никогда не читает данные из Справочника в случае, если ему необходимо получить Установки для Обычного Домена или установки для Пользователя из такого Домена. Менеджер CommuniGate Pro для Обычных Доменов и Пользователей только изменяет Справочник, но никогда не считывает данные записей Пользователей обратно из Справочника.
Следующая диаграмма иллюстрирует что происходит при переименовании Пользователя Домена когда установка Центральный Справочник Домена
dom1.com имеет значение
Синхронизировать:
В этом примере:
- Операция RenameAccount инициируется через Веб Интерфейс Администратора или через команду Интерфейса Командной Строки CLI.
- Пользователь john и его файлы переименуются.
- Если установка Центральный Справочник Домена dom1.com имеет значение Синхронизировать, то Менеджер Пользователей исполняет операцию Справочника RenameRecord (modifyDN) для переименования записи Пользователя в Справочнике.
Следующая диаграмма иллюстрирует что происходит при удалении Пользователя из Домена когда установка Центральный Справочник Домена
dom1.com имеет значение
Синхронизировать:
В этом примере:
- Операция RemoveAccount инициируется через Веб Интерфейс Администратора или через команду Интерфейса Командной Строки CLI.
- Пользователь john и все его файлы удаляются.
- Если в Домене dom1.com установка Центральный Справочник имеет значение Синхронизировать, то Менеджер Пользователей исполняет операцию Справочника DeleteRecord для удаления записи Пользователя из Справочника.
Панель Центральный Справочник на странице Установок Домена имеет кнопку Стереть Все Записи. Используйте эту кнопку для удаления записи Домена и всех записей Объектов Домена из Справочника. Операция удаляет только те записи, которые содержат атрибут hostServer и у которых значение атрибута совпадает с именем Главного Домена этого Сервера CommuniGate Pro.
Панель Центральный Справочник на странице Установок Домена имеет кнопку Создать Все Записи. Используйте эту кнопку для создания записи для этого Домена и для создания записей справочника для всех Объектов Домена.
Обратите внимание: Если вы создали несколько Пользователей в обычном Домене, в котором настройка Центральный Справочник имела значение Выключено, то в Справочнике отсутствуют записи об этих Пользователях. Если позднее вы переключаете эту настройку в значение Синхронизировать, то вы увидите сообщения об ошибках при попытке переименования, удаления или изменения этих Пользователей: сервер пытается изменить записи Справочника для этих Пользователей, но сами записи Справочника отсутствуют.
До того, как вы переключаете настройку Центральный Справочник из значения Выключено в значение Синхронизировать, нажмите на кнопку Стереть Все Записи, а затем нажмите на кнопку Создать Все Записи для синхронизации Справочника и текущего множества Объектов Домена.
Управление Пользователями через LDAP
CommuniGate Pro позволяет вам использовать LDAP протокол для создания, изменения, переименования и удаления Пользователей:
Когда эта опция включена, модуль LDAP проверяет имена (DNы), указываемые в операциях изменения. Если DN выглядит как DN Пользователя CommuniGate Pro, то модуль LDAP не выполняет в Справочнике затребованную операцию. Вместо этого для указанного Пользователя и Домена он выполняет операции CreateAccount, UpdateAccount, RenameAccount или RemoveAccount.
На диаграмме ниже иллюстрируется как в этом случае работает LDAP операция AddRecord:
В этом примере:
- Модуль LDAP получат запрос AddRecord от LDAP клиента. Клиент просит модуль LDAP создать запись с DN uid=john,cn=dom1.com.
- Модуль LDAP проверяет DN и видит, что он выглядит как DN записи для Пользователя CommuniGate Pro john в Домене dom1.dom, а Домен CommuniGate Pro dom1.com существует.
- Вместо выполнения операции AddRecord в Справочнике, модуль LDAP исполняет операцию CreateAccount(john) в Домене dom1.dom.
- Создаётся Пользователь john, указываемые при его создании LDAP атрибуты (наряду с Шаблоном Пользователя) используются для создания первоначальных Установок Пользователя.
- Если в Домене dom1.com установка Центральный Справочник имеет значение Синхронизировать, то Менеджер Пользователей исполняет операцию Справочника AddRecord для создания записи в Справочнике.
Обратите внимание: установки Центрального Справочника используются для преобразования LDAP имён атрибутов записи в имена атрибутов CommuniGate Pro. Например, в LDAP запросе AddRecord может содержатся атрибут cn. Этот атрибут сохраняется в Установках Пользователя как установка Пользователя RealName. Когда Менеджер Пользователей добавляет запись в Справочник, он преобразовывает Установку Пользователя RealName обратно в атрибут записи cn.
Обратите внимание: все атрибуты LDAP запроса AddRecord будут хранится как Установки Пользователя, если LDAP клиент аутентифицировал себя с правами доступа Может менять установки Всех Доменов и Пользователей. Но только те атрибуты, которые указаны в параметрах Центрального Справочника, будет скопированы в новую запись справочника. В записи Справочника будут также содержаться атрибуты, не включённые в оригинальный LDAP запрос AddRecord, но указанные в Шаблоне Пользователя.
Обратите внимание: функция Управление Пользователями через LDAP определяет атрибуты unixPassword и преобразовывает их в установку Password, добавляя лидирующий байт 0x02. Дополнительные подробности смотрите в разделе Импорт Пользователей.
Следующая диаграмма иллюстрирует, как LDAP операция ModifyRecord может использоваться для изменения Установок Пользователя:
В этом примере:
- Модуль LDAP получат запрос ModifyRecord от LDAP клиента. Клиент просит модуль LDAP изменить запись с DN uid=john,cn=dom1.com.
- Модуль LDAP проверяет DN и видит, что он выглядит как DN записи для Пользователя CommuniGate Pro john в Домене dom1.dom, а Домен CommuniGate Pro dom1.com существует.
- Вместо выполнения операции ModifyRecord в Справочнике, модуль LDAP исполняет операцию UpdateAccount(john) в Домене dom1.dom.
- Установки Пользователя john изменяются с использованием полученных атрибутов LDAP.
- Если в Домене dom1.com установка Центральный Справочник имеет значение Синхронизировать, то Менеджер Пользователей исполняет операцию Справочника ModiyRecord для создания записи в Справочнике.
Следующая диаграмма иллюстрирует как LDAP операция ModifyDN может использоваться для переименования Пользователей:
В этом примере:
- Модуль LDAP получат запрос ModidyRecord от LDAP клиента. Клиент просит модуль LDAP создать изменить запись с DN uid=john,cn=dom1.com.
- Модуль LDAP проверяет DN и видит, что он выглядит как DN записи для Пользователя CommuniGate Pro john в Домене dom1.dom, а Домен CommuniGate Pro dom1.com существует. Он так же видит, что новое имя (uid=john1) выглядит как DN записи Пользователя CommuniGate Pro.
- Вместо выполнения операции ModifyDN в Справочнике, модуль LDAP исполняет операцию RenameAccount(john,john1) в Домене dom1.dom.
- Пользователь john переименовывается в john1.
- Если в Домене dom1.com установка Центральный Справочник имеет значение Синхронизировать, то Менеджер Пользователей исполняет операцию Справочника ModifyDN для изменения DN записи Пользователя в Справочнике.
Следующая диаграмма иллюстрирует как LDAP операция DeleteRecord может использоваться для удаления Пользователя:
В этом примере:
- Модуль LDAP получат запрос DeleteRecord от LDAP клиента. Клиент просит модуль LDAP удалить запись uid=john,cn=dom1.com.
- Модуль LDAP проверяет DN и видит, что он выглядит как DN записи для Пользователя CommuniGate Pro john в Домене dom1.dom, а Домен CommuniGate Pro dom1.com существует.
- Вместо выполнения операции DeleteRecord в Справочнике, модуль LDAP исполняет операцию DeleteAccount(john) в Домене dom1.dom.
- Пользователь john удаляется.
- Если в Домене dom1.com установка Центральный Справочник имеет значение Синхронизировать, то Менеджер Пользователей исполняет операцию Справочника DeleteRecord для удаления DN записи Пользователя из Справочника.
Если Управление Пользователями через LDAP включено, то модуль LDAP использует также специальную обработку для некоторых поисковых запросов. Если
- Базовый DN поискового запросы выглядит как DN какого-либо Пользователя CommuniGate Pro, и
- параметр "области действия" поискового запроса имеет значение "base",
то модуль LDAP вызывает Менеджера Пользователей напрямую и получает фактические Установки для указанного Пользователя (то есть, Установки Пользователя вместе со всеми действующими Умолчаниями для Пользователя). Модуль конвертирует эти установки в атрибуты Справочника и отправляет их обратно LDAP клиенту как запись с результатами поиска.
Если аутентифицированный пользователь LDAP не имеет прав доступа Администратора Домена для требуемого Домена Пользователя, то будут получены только Настоящее Имя, Сертификат Пользователя, Дополнительные Установки, Публичная Информация и почтовые атрибуты.
Directory-Based Домены
В Сервере CommuniGate Pro реализованы Directory-based Домены. Directory-Based Домены и все их Пользователя хранят все свои установки в в Справочнике - для таких Доменов и Пользователей не существует файлов .settings.
Для каждого Directory-based Домена создаётся запись справочника, objectClass которой - CommuniGateDirectoryDomain. Эта запись хранит в себе Установки Домена.
DNы для Directory-based Доменов строятся так же, как они строятся и для Обычных Доменов.
Для каждого Пользователя Directory-based Домена создаётся запись справочника, objectClass которой - CommuniGateAccount. Эта запись хранит в себе Установки Пользователя (включая Дополнительные Установки).
DNы для пользователей Directory-based Доменов строятся так же, как они строятся и для Пользователей Обычных Доменов.
Записи Справочника Для Пользователей Directory-based Доменов должны содержать атрибут storageLocation. Этот атрибут задаёт месторасположение файловой директории Пользователя (для пользователей с типом Набор Папок) или месторасположение файла папки INBOX Пользователя (для пользователей, имеющих только одну папку). Месторасположение указывается относительно к директории данных Сервера CommuniGate Pro, на котором размещён Пользователь.
Если Сервер CommuniGate Pro должен открыть Пользователя Directory-based Домена и атрибут Пользователя storageLocation начинается с символа звёздочка (*), то Сервер CommuniGate Pro создаёт файловую директорию пользователя (для пользователей с типом Набор Папок) и другие требуемые файлы и файловые директории.
- Если атрибут storageLocation содержит только одну звёздочку, то новый путь пользователя создаётся точно так же, как он создаётся для новых пользователей Обычных Доменов CommuniGate Pro - используя путь файловой директории Домена и Установку Домена Файловая Структура.
Записи Справочника создаются для псевдонимов Пользователей Directory-based Доменов.
Записи Псевдонимов имеют такие же DNы, как и Пользователи (uid=aliasname,domain DN).
Записи Псевдонимов имеют стандартный objectClass alias и в их атрибуте aliasedObjectName содержится DN оригинальной записи пользователя.
Следующая диаграмма иллюстрирует как LDAP операция AddRecord может использоваться для создания Пользователя в Directory-based Домене:
В этом примере:
- Модуль LDAP получат запрос AddRecord от LDAP клиента. Клиент просит модуль LDAP создать новую запись с DN uid=john,cn=dom1.com.
- Модуль LDAP создаёт новую запись в Справочнике и сохраняет в ней переданные атрибуты. Ответ отправляется обратно LDAP клиенту и операция завершается.
- Любой компонент Сервера пытается открыть пользователя john в Directory-Based Домене dom1.com. Запрос отправляется в Справочник и оттуда получается запись с DN uid=john,cn=dom1.com.
- В полученной записи атрибут storageLocation содержит символ звёздочка (*). Сервер создаёт на диске файлы Пользователя и изменяет запись Справочника, сохраняя путь к файлам Пользователя в атрибуте storageLocation.
- Пользователь john открывается и выполняется требуемая операция.
Так как Пользователь Directory-Based Домена не хранит свои установки в файлах данных CommuniGate Pro, то его установки запрашиваются из записи Справочника для этого пользователя каждый раз, когда необходимо получить доступ к его данным. Следующая диаграмма иллюстрирует эту процедуру
Так как записи Справочника являются единственным источником установок Пользователя, то изменения атрибутов записи Справочника фактически изменяет Установки Пользователя:
В этом примере:
- Модуль LDAP получат запрос ModifyRecord от LDAP клиента. Клиент просит модуль LDAP создать изменить атрибуты записи uid=john,cn=dom1.com.
- Модуль LDAP говорит Справочнику изменить указанную запись. Ответ отправляется обратно LDAP клиенту и операция завершается.
- Любой компонент Сервера пытается открыть пользователя john в Directory-Based Домене dom1.com. Запрос отправляется в Справочник, оттуда получается запись с DN uid=john,cn=dom1.com, и её атрибуты используются как Установки Пользователя. Так как значения атрибутов были изменены, то набор Установок Пользователя с этими атрибутами фактически изменяется.
Общий (Многосерверный) Справочник
Несколько Серверов CommuniGate Pro могут иметь общий физический Справочник (Том Справочника), в котором они хранят все свои записи Центрального Справочника.
Том Общего Справочника может быть реализован как Локальный Том Хранения на одном из Серверов CommuniGate Pro или же он может размещаться на Севере от стороннего производителя, выполняющего функции Справочника.
- Укажите одинаковые параметры Поддерева Домена на всех Серверах CommuniGate Pro.
- На всех Серверах CommuniGate Pro (кроме того, на котором будет находится Общий Справочник) создайте Удалённые Тома Хранения для одинаковых Поддеревьев. Параметр Поддерева Удалённого Тома Хранения должен либо совпадать с параметром Базовый DN Поддерева Домена, либо должен быть его отцом, так, что бы Поддерево Домена полностью хранилось в этих Удалённых Томах Хранения.
- Настройте эти Тома Хранения таким образом, что бы они указывали на сервер, на котором находится Общий Справочник.
Для упрощения настройки, и особенно в случае, если вы имеете много Серверов CommuniGate Pro, рекомендуется создавать Удалённые Тома Хранения для Поддеревьев
<root>. Для того, что бы создать такой Том, сначала удалите используемый по умолчанию Локальный Том
Main:
В этом примере:
- Один Сервер CommuniGate Pro используется для размещения Общего Справочника.
- Сервера CommuniGate Pro SV1 и SV2 сконфигурированы на использование этого Общего Справочника: они оба имеют Удалённые Тома Хранения SHR для Поддерева Справочника <root> и это Тома указывают на Сервер, на котором размещён Справочник.
- Все Сервера имеют одинаковые установки Центрального Справочника - Базовый DN Поддерева Домена указан как o=acme для всех Серверов.
- Фактически запись o=acme создаётся в Локальном Томе Хранения Main на Сервере, на котором размещён Справочник.
- Записи Справочника для:
- домена dom1.dom создаются на Сервер SV1,
- домена dom2.dom создаются на Сервере SV2, и
- домена dom3.dom создаются на Сервере, на котором размещён Справочник
хранятся в Локальном Томе Хранения с именем Main на Сервере, на котором размещён Справочник
Распределённые Домены (Маршрутизация по Справочнику)
Когда несколько Серверов CommuniGate Pro использует
Общий Справочник для хранения всех своих Записей Центрального Справочника, это Сервера могут использоваться для обслуживания одного и того же домена (или нескольких доменов). Такой Домен называется Распределённым Доменом; при этом на каждом Сервере размещается подмножество Пользователей Домена. Общий Домен не должен быть Главным Доменом ни в каком из Серверов CommuniGate Pro:
В этом примере:
- Все три Сервера CommuniGate Pro (с Главными Доменами sv1.corp.com, sv2.corp.com и sv3.corp.com) обслуживают также Домен corp.com. На каждом сервере в домене corp.com созданы некоторые Пользователи.
- Базовый DN поддерева Домена - пустая строка (<root>) на всех Серверах CommuniGate Pro.
- Общий Справочник размещён на отдельном устройстве, но в действительности один из Серверов CommuniGate Pro может действовать как Хост для Общего Справочника.
- В Домене corp.com опция Центральный Справочник имеет значение Синхронизировать на всех Серверах.
При создании, переименовании, удалении или изменении Пользователя на одном из Серверов sv*.corp.com, Том Справочника на Сервере Общего Справочника автоматически обновляется. В результате Общий Справочник содержит записи для всех Пользователей, созданных на Серверах sv*.corp.com.
Когда Сервер создаёт Пользователя и помещает запись в Общий Справочник, он сохраняет в атрибуте hostServer Имя Главного Домена Сервера.
Общий Справочник может использоваться для направления почты Общего Домена в правильное место (на правильный Сервер). Откройте через Веб Интерфейс Администратора в области Установки страницу Общее, затем откройте страницу Кластер и включите
Кластер по Справочнику. Механизм маршрутизации адреса изменяется:
- Когда Сервер CommuniGate Pro получает почту для одного из своих локальных Доменов, он проверяет, существует ли объект (Пользователь, Псевдоним, Список Рассылки, Группа, Переадресатор) в локальном домене.
- Если в адресуемом Домене объект не найден, то Сервер проверяет Справочник.
- Если в Справочнике содержится запись указанного объекта (uid=objectName,cn=domainName), то проверяется атрибут hostServer.
- Если атрибут hostServer отсутствует или в нём содержится Имя Главного Домена этого же Сервера CommuniGate Pro, то генерируется сообщение об ошибке. В противном случае адрес перенаправляется на удалённый сервер с именем hostserver - на его соответствующий ретранслирующий модуль (SIP или SMTP).
Конфигурация с Распределёнными Доменами полезна для организаций, имеющих территориально удалённые подразделения, а также для международных организаций, где все сотрудники должны иметь адрес в одном домене, но каждое подразделение организации обслуживается на своём собственном Сервере. MX-записи в DNS для таких Распределённых Доменов должны указывать на любой Сервер или сразу на все Сервера, обслуживающие этот домен. Когда Сервер получает почту для Распределённого Домена, он либо доставляет её локально (если Пользователь, которому адресована почта, размещается на этом же Сервере), либо ретранслирует почту на Сервер, указанные в атрибуте hostServer записи Справочника этого Пользователя.
Обычно на одном из Серверов ("главном") размещено большинство Пользователей. Рекомендуется размещать Общий Справочник на этом Сервере CommuniGate Pro для минимизации задержек, связанных с поиском в Справочнике. Другие Сервера CommuniGate Pro, обслуживающие этот Распределённый Домен, могут быть настроены на перенаправление всей почты, поступающей на не локальные объекты Распределённых Доменов на этот "главный" Сервер. Откройте
Установки Распределённого Домена и установите там опции Почта/Звонки для Неизвестных:
- Перенаправить к: *%domain.com@mainserver.via
Этот метод избавляет "удалённые" Сервера от необходимости взаимодействия со Справочником когда им необходимо проводить маршрутизацию адреса. "Удалённые" Сервера взаимодействуют со Справочником только при создании, переименовании или удалении Пользователя из Распределённого Домена, а также когда Пользователь Веб Почты или LDAP запрашивает поиск в Справочнике. Это может существенно улучшить производительность "удалённых" Серверов в случае, если канал между ним и Сервером Общего Справочника медленный и/или ненадёжный.
В ассиметричных конфигурациях типа "главный/удалённый", MX-записи Распределённого Домена с высоким приоритетом должны указывать на "главный" Сервер, а имена "удалённых" Серверов могут использоваться для MX-записей с низким приоритетом. Не рекомендуется использовать для Распределённых Доменов Directory-Based Домены если соединения между "удалёнными" Серверами и Общим Справочником медленные и/или ненадёжные.
Концепция Распределённых Доменов является фундаментом Статического Кластера CommuniGate Pro.
Для небольших Распределённых Доменов такая маршрутизация может быть реализована с использованием обычных записей Маршрутизатора CommuniGate Pro. Если в Распределённом Домене имеются те же Пользователи, что и в вышеприведённом примере, то сервер SV1 должен иметь следующие записи в Маршрутизаторе:
; SV2 accounts
<dan@corp.com> = dan%corp.com@sv2.corp.com.via
<ed@corp.com> = ed%corp.com@sv2.corp.com.via
<fred@corp.com> = fred%corp.com@sv2.corp.com.via
;
; SV3 accounts
<gil@corp.com> = gil%corp.com@sv3.corp.com.via
<hugh@corp.com> = hugh%corp.com@sv3.corp.com.via
<judy@corp.com> = judy%corp.com@sv3.corp.com.via
Этот метод не требует наличия Справочника, но он едва ли является приемлемым для Доменов с более чем десятком пользователей (за исключением случая, когда имена Пользователей, размещённых на различных Серверах, могут быть легко заданы при помощи символов шаблона подстановки). Например, если имена всех Пользователей, размещённых на Сервере SV2, оканчиваются на суффикс
-uk (
dan-uk@corp.com,
ed-uk@corp.com,
fred-uk@corp.com и т.д.), то маршрутизация для всех Пользователей SV2 может быть задана при помощи одной записи Маршрутизации:
- <*-uk@corp.com> = *-uk%corp.com@sv2.corp.com.via
Центральный Справочник в Кластере
Динамический Кластер CommuniGate Pro имеет Общие для Кластера Установки Центрального Справочника: Общая для Кластера таблица Переименования Атрибутов, Поддерево Домена и Установки Дополнительных Атрибутов используются для всех Пользователей Общих Доменов, а "обычные" установки используются для всех Пользователей "локальных" Доменов.
Когда в Веб Интерфейсе Администратора Сервера - члена Кластера вы открываете страницу Центральный Справочник, на ней находится ссылка, позволяющая вам переключится на Установки, Общие для Кластера.
Руководство CommuniGate® Pro. Copyright © 1998-2007, Stalker Software, Inc.