IBM Lotus Sametime 8.5 策略管理簡介

genusBIT發表於2010-07-30
IBM
範 華偉, 高階工程師, IBM

簡介: 作為 IBM Lotus Sametime 8.5 的全新功能之一,Sametime 8.5 系統控制檯伺服器可以統一配置管理社群伺服器、媒體伺服器、會議伺服器、代理伺服器和 Gateway 伺服器,並能夠完成使用者策略、使用者組策略的管理,從而實現根據企業使用者實際需要對即時訊息、會議、媒體管理器三部分功能的細分控制。本文將對 Sametime 8.5 的策略管理進行介紹。

Lotus Sametime 8.5 策略管理概述

策略主要是根據使用者實際對功能的需求,可以動態的以使用者和使用者組為單位,提供可用的功能列表。例如,可以提供使用者組 A 即時會議的功能,同時禁止使用者組 B 即時會議的功能。Lotus Sametime 7.5 和 8.0 管理策略的方式主要是 community 伺服器端用 NSF 策略資料庫的方式來管理功能策略,在 Lotus Sametime 8.5 中提供給使用者一種配置管理伺服器和功能策略全新的方式。Lotus Sametime 8.5 的 Community 伺服器、AV 伺服器、Meeting 伺服器、Proxy 伺服器、Gateway 伺服器的安裝和配置都由 System console server 集中管理,控制各個伺服器功能的策略也由 System console server 管理。

 

Lotus Sametime 8.5 策略管理功能介紹

在 System console server 中將功能策略的管理分為 3 個部分:即時訊息、會議、媒體管理器。

其中即時訊息策略有:

交談

策略項 備註

使用者必須將此社群設定為預設伺服器社群

當使用者連線 2 個及以上伺服器時使用

允許使用者新增多個伺服器社群

允許使用者使用 Sametime Gateway 社群新增外部使用者

外部使用者為 Yahoo,Google,AOL 使用者

允許使用者儲存交談記錄

自動儲存交談記錄
自動儲存的交談記錄的最長儲存天數

限制聯絡人列表大小

允許新增的聯絡人數

允許在整合客戶端上使用所有 SametimeConnect 功能

整合客戶端指 Notes 整合客戶端

允許移動式客戶端

Sametime 更新站點 URL

客戶端 Plugin 伺服器的放置位置


影像設定

策略項 備註

允許定製表情插圖

允許截圖和影像

設定定製表情插圖、截圖和內嵌影像的最大影像大小

檔案傳輸

策略項 備註

允許使用者傳輸檔案

最大檔案傳輸大小,以千位元組為單位

允許客戶端之間的檔案傳輸

使用排除檔案型別傳輸列表

禁止傳輸列表中檔案型別


外掛管理

策略項 備註

允許使用者安裝外掛

其中會議策略有:

常規會議設定

策略項 備註

此使用者可擁有的最大持久會議室數

允許使用者建立即時(非持久)會議室

登入 Sametime Connect 時自動連線到會議伺服器

允許搜尋會議室

允許搜尋隱藏會議室

顯示“預定會議”檢視

允許記錄會議

允許下載會議室內容

會議室分組交談

會議室文件庫

策略項 備註

最大檔案上載大小

最大文件庫總大小

螢幕共享

策略項 備註

允許螢幕共享

允許使用者控制其他使用者的共享螢幕

允許對等應用程式共享

指使用者之間點對點的

應用程式共享

強制執行頻寬限制

Sametime 經典會議

策略項 備註

允許使用者建立即時會議和即興會話

允許在即時會議和即興會話中加入 Sametime IP 音訊和視訊

允許加入會議室交談

允許螢幕共享

允許使用者控制其他使用者的共享螢幕

其中媒體管理器策略有:

電話、音訊和視訊

策略項 備註

允許從聯絡人列表、即時訊息和會議訪問第三方服務供應商功能

允許更改首選號碼

語音和視訊功能通過 Sametime 媒體伺服器提供

Sametime Unified Telephony

策略項 備註

允許更改永久呼叫轉接規則

允許在呼叫轉接規則中使用“離線”狀態

Lotus Sametime 8.5 的 2 種工作方式

從系統控制檯伺服器獲取策略

Lotus Sametime 8.5 伺服器群由系統控制檯伺服器、社群伺服器、會議伺服器、媒體管理器、代理伺服器、Gateway 伺服器共同組成。Sametime 8.5 伺服器群的部署是首先安排系統控制檯伺服器,在系統控制檯伺服器中,建立部署計劃,按照部署計劃分別安裝社群伺服器、會議伺服器、媒體管理器、代理伺服器、Gateway 伺服器。與這些伺服器相關的功能分為 3 個部分: 即時訊息、會議、媒體管理器(已在章節“Lotus Sametime 8.5 策略管理功能介紹”中介紹),並由系統控制檯伺服器來統一管理。

從 Policy 資料庫獲取策略

Lotus Sametime 8.5 伺服器群的另一種策略管理的方式是由 社群伺服器的 Policy 資料庫來直接管理策略。這種管理功能策略的方式是從 Sametime 7.5 開始的,儲存在社群伺服器上的 STpolicy.nsf Notes 資料庫中,也是通過 web 瀏覽器的方式來管理策略。但是它在策略管理運算規則與從系統控制檯伺服器獲取策略不同,稍後會在章節“使用者策略與公共組策略的運算規則”中介紹。

使用者策略與公共組策略的運算規則

從系統控制檯伺服器獲取策略的運算規則

Sametime 預設策略和匿名策略

當系統控制檯伺服器安裝配置完成後,系統會有 2 個策略,一個是預設策略,一個匿名策略。同時 允許為使用者和組建立自定義策略。

預設策略的權重值是 1,匿名策略的權重值是 0。當某個登入使用者沒有建立自定義的策略時,此使用者的策略是預設策略,當某個使用者是匿名使用者時,此使用者的策略是匿名策略。當多個策略同時出現的時候,將由策略來決定使用者到底獲取哪一個策略,權重值大的策略優先。備註:策略的權重值為大於等於 0 的整數,由於系統已有權重值是 1 的預設策略,和已有權重值是 0 的匿名策略。第一個自定義策略的權重值從 2 開始,以後依次按 N+1 累加。

對於單個或多人使用者

使用者將獲取權重值大的自定義策略。

舉例說明:

  • 3 個使用者 , 使用者 A,使用者 B,使用者 C。
  • 建立 2 個自定義策略,策略 A(權重值 2),策略 B(權重值 3)。
  • 策略 A 分配給使用者 A,使用者 C;策略 B 分配給使用者 B,使用者 C。
  • 使用者 A 將獲得策略 A,而不是預設策略。因為策略 A 權重值是 2,預設策略權重值是 1。
  • 使用者 B 將獲得策略 B,而不是預設策略。因為策略 B 權重值是 3,預設策略權重值是 1。
  • 使用者 C 將獲得策略 B,而不是策略 A 和預設策略。因為策略 B 權重值是 3,策略 A 權重值是 2,預設策略權重值是 1。

對於使用者組

使用者組將獲取權重值大的自定義策略。

舉例說明:

  • 2 個使用者組 , 使用者組 A,使用者組 B;使用者組 A 包含使用者 A,使用者組 B 包含使用者 B。
  • 建立 2 個自定義策略,策略 A(權重值 2),策略 B(權重值 3)。
  • 策略 A 分配給使用者組 A,策略 B 分配給使用者組 B。
  • 使用者 A 將獲得策略 A,而不是預設策略。因為策略 A 權重值是 2,預設策略權重值是 1。
  • 使用者 B 將獲得策略 B,而不是策略 A 和預設策略。因為策略 B 權重值是 3,策略 A 權重值是 2,預設策略權重值是 1。

對於使用者與組的混合情況

當使用者被直接分配給某策略的同時,使用者所在在使用者組也被分配某某策略,按照就近原則。

舉例說明:

  • 使用者組 A 包含使用者 A。
  • 建立 2 個自定義策略,策略 A(權重值 2),策略 B(權重值 3)。
  • 策略 A 分配給使用者 A;策略 B 分配給使用者組 A。
  • 使用者 A 將獲得策略 A,而不是策略 B。雖然策略 B 權重值是 3 比策略 A 權重值 2 大,但是按照就近原則,使用者 A 將獲得策略 A。

從 Notes Policy 資料庫獲取策略運算規則

有 Notes Policy 資料庫開管理策略是 Sametime7.5 以來的新功能,它是不用安裝系統控制伺服器,只需要社群伺服器。當社群伺服器安裝配置完成後,系統會有 2 個策略,一個是預設策略,一個匿名策略,同時允許為使用者和組建立自定義策略。這與“從系統控制檯伺服器獲取策略的運算規則”小節中介紹的從系統控制檯伺服器獲取策略是相同的。但是它們的運算規則有所不同。

策略的繼承

預設策略是核心策略,它可以被匿名策略和自定義策略繼承。當匿名策略和自定義策略中某功能選項選擇繼承後,匿名策略和自定義策略中此功能選項等同於預設策略的設定。

策略的覆蓋

預設策略是核心策略,當預設策略中的某功能選項選擇強制覆蓋後,匿名策略和自定義策略中的此功能策略設定等同於預設策略的設定。

衝突策略的處理

當一個使用者,或一個使用者組中的使用者,有一個自定義的策略時,自定義策略中的各功能選項將與預設策略中相應的功能設定進行執行。

某功能選擇的值有 2 種情況,一是 True 或 False,二是數值。如果是第一種情況,自定義策略和預設策略都是 True,使用者獲得的策略為 True;自定義策略和預設策略都是 false,使用者獲得的策略為 false;自定義策略和預設策略一個 True 一個 False,使用者獲得的策略為 false。如果是第二種情況,按照保守原則,自定義策略和預設策略哪個數值小, 使用者獲得策略為數值小的。

 

針對不同 LDAP 伺服器,Sametime 伺服器的配置微調

Sametime 社群伺服器連線 LDAP 伺服器,需要配置下列資訊:

  • LDAP 伺服器主機名或 IP 地址(必填項)
  • LDAP 服務埠號 (必填項)
  • 認證使用者的使用者名稱和口令 ( 允許匿名訪問的 LDAP 伺服器,使用者名稱口令可為空。)
  • BaseDN (必填項)

下列域值各個 LDAP 也有所不同:

  • Search filter for resolving group names:

    解析群組名的搜尋過濾器 (用於搜尋群組時)

  • Attribute in the group object class that has the names of the group members:

    包含群組成員名稱的群組物件類中的屬性 (用於搜尋組成員時)

  • The group object class used to determine if an entry is a group:

    用於判斷條目是否是一個群組的群組物件類

Tivoli LDAP directory

  • 認證使用者的使用者名稱和口令為必填項
  • 解析群組名的搜尋過濾器:(&(objectclass=groupofUniqueName)(cn=%s*))
  • 包含群組成員名稱的群組物件類中的屬性:UniqueMember
  • 用於判斷條目是否是一個群組的群組物件類:groupOfUniqueNames

Domino LDAP directory

  • 認證使用者的使用者名稱和口令為非必填項
  • 解析群組名的搜尋過濾器:(&(objectclass=groupofName)(cn=%s*))
  • 包含群組成員名稱的群組物件類中的屬性:Member
  • 用於判斷條目是否是一個群組的群組物件類:groupOfNames

Microsoft Active LDAP directory

  • 認證使用者的使用者名稱和口令為必填項
  • 解析群組名的搜尋過濾器 : (&(objectclass=group)(cn=%s*))
  • 包含群組成員名稱的群組物件類中的屬性:Member
  • 用於判斷條目是否是一個群組的群組物件類:group

iPlanet LDAP directory

  • 認證使用者的使用者名稱和口令為非必填項
  • 解析群組名的搜尋過濾器:(&(objectclass=groupofUniqueName)(cn=%s*))
  • 包含群組成員名稱的群組物件類中的屬性:UniqueMember
  • 用於判斷條目是否是一個群組的群組物件類:groupOfUniqueNames

Novell LDAP directory

  • 認證使用者的使用者名稱和口令為非必填項
  • 解析群組名的搜尋過濾器:(&(objectclass=groupofName)(cn=%s*))
  • 包含群組成員名稱的群組物件類中的屬性:Member
  • 用於判斷條目是否是一個群組的群組物件類:groupOfNames
 

針對不同 LDAP 伺服器,公共組策略定位組成員的兩種演算法

第一種是先找到使用者組,通過使用者組中定義的組成員資訊,來定位組成員。第二種是直接搜尋每一個使用者,使用者資訊會記錄這個使用者屬於哪些使用者組。

下面介紹的這 5 中 LDAP 伺服器,有的支援第一種,有的支援第二種,有的兩種都支援。完成這兩種定位演算法的是下面這兩個域:

  • GroupMembership:

    群組成員資格: 定義使用者組成員的物件類和屬性

  • BaseMembership:

    基本成員資格: 定義搜尋使用者組成員的 LDAP 伺服器目錄樹分支

Tivoli LDAP directory

支援演算法 1

定義使用者組成員的物件類和屬性, 定義搜尋使用者組成員的 LDAP 伺服器目錄樹分支如下:

群組成員資格 : (&(objectclass=groupOfUniqueNames)(uniqueMember=%s))

基本成員資格 : dc=ibm, dc=com

Domino LDAP directory

支援演算法 1

定義使用者組成員的物件類和屬性, 定義搜尋使用者組成員的 LDAP 伺服器目錄樹分支如下:

群組成員資格 : (&(objectclass=groupOfNames)(Member=%s))

基本成員資格 : dc=ibm, dc=com

Microsoft Active LDAP directory

支援演算法 1 和演算法 2

演算法 1,定義使用者組成員的物件類和屬性, 定義搜尋使用者組成員的 LDAP 伺服器目錄樹分支如下:

群組成員資格 : (&(objectclass=group)(Member=%s))

基本成員資格 : dc=ibm, dc=com

演算法 2,定義使用者組成員的物件類和屬性, 定義搜尋使用者組成員的 LDAP 伺服器目錄樹分支如下:

群組成員資格 : memberOf

基本成員資格 : 為空

iPlanet LDAP directory

支援演算法 1

定義使用者組成員的物件類和屬性, 定義搜尋使用者組成員的 LDAP 伺服器目錄樹分支如下:

群組成員資格 : (&(objectclass=groupOfUniqueNames)(uniqueMember=%s))

基本成員資格 : dc=ibm, dc=com

Novell LDAP directory

支援演算法 1

定義使用者組成員的物件類和屬性, 定義搜尋使用者組成員的 LDAP 伺服器目錄樹分支如下:

群組成員資格 : (&(objectclass=groupOfNames)(Member=%s))

基本成員資格 : dc=ibm, dc=com

 

小結

在上述章節中我介紹了 Sametime 8.5 策略管理的各功能策略,管理員可以根據自己企業的需求特點,以使用者和組為單位進行策略管理;管理策略的 2 種方式:從系統控制檯伺服器獲取策略, 從 Policy 資料庫獲取策略;並介紹了管理這 2 種策略方式的不同演算法;還有針對 5 大類 LDAP 與策略相關的配置屬性。現在您應該對 Sametime 8.5 策略管理有了一定的認識和了解,希望通過這些介紹對 Sametime 8.5 產品有進一步的興趣,今後能幫助企業的溝通和交流,提高企業的效率和競爭力。

原文連結:http://www.ibm.com/developerworks/cn/lotus/sametime85-policy/index.html

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/14751907/viewspace-669884/,如需轉載,請註明出處,否則將追究法律責任。

相關文章