策略主要是根據用戶實際對功能的需求,可以動態的以用戶和用戶組爲單位,提供可用的功能列表。例如,可以提供用戶組 A 即時會議的功能,同時禁止用戶組 B 即時會議的功能。Lotus Sametime 7.5 和 8.0 管理策略的方式主要是 community 服務器端用 NSF 策略數據庫的方式來管理功能策略,在 Lotus Sametime 8.5 中提供給用戶一種配置管理服務器和功能策略全新的方式。Lotus Sametime 8.5 的 Community 服務器、AV 服務器、Meeting 服務器、Proxy 服務器、Gateway 服務器的安裝和配置都由 System console server 集中管理,控制各個服務器功能的策略也由 System console server 管理。
在 System console server 中將功能策略的管理分爲 3 個部分:即時消息、會議、媒體管理器。
交談
| 策略項 | 備註 |
|---|---|
|
用戶必須將此社區設置爲缺省服務器社區 |
當用戶連接 2 個及以上服務器時使用 |
|
允許用戶添加多個服務器社區 |
|
|
允許用戶使用 Sametime Gateway 社區添加外部用戶 |
外部用戶爲 Yahoo,Google,AOL 用戶 |
|
允許用戶保存交談記錄 |
|
|
自動保存交談記錄 |
|
|
限制聯繫人列表大小 |
允許添加的聯繫人數 |
|
允許在集成客戶端上使用所有 SametimeConnect 功能 |
集成客戶端指 Notes 集成客戶端 |
|
允許移動式客戶端 |
|
|
Sametime 更新站點 URL |
客戶端 Plugin 服務器的放置位置 |
圖像設置
| 策略項 | 備註 |
|---|---|
|
允許定製表情插圖 |
|
|
允許截屏和圖像 |
|
|
設置定製表情插圖、截屏和內嵌圖像的最大圖像大小 |
文件傳輸
| 策略項 | 備註 |
|
允許用戶傳輸文件 |
|
|
最大文件傳輸大小,以千字節爲單位 |
|
|
允許客戶端之間的文件傳輸 |
|
|
使用排除文件類型傳輸列表 |
禁止傳輸列表中文件類型 |
插件管理
| 策略項 | 備註 |
|---|---|
|
允許用戶安裝插件 |
常規會議設置
| 策略項 | 備註 |
|---|---|
|
此用戶可擁有的最大持久會議室數 |
|
|
允許用戶創建即時(非持久)會議室 |
|
|
登錄 Sametime Connect 時自動連接到會議服務器 |
|
|
允許搜索會議室 |
|
|
允許搜索隱藏會議室 |
|
|
顯示“預定會議”視圖 |
|
|
允許記錄會議 |
|
|
允許下載會議室內容 |
|
|
會議室分組交談 |
會議室文檔庫
| 策略項 | 備註 |
|---|---|
|
最大文件上載大小 |
|
|
最大文檔庫總大小 |
屏幕共享
| 策略項 | 備註 |
|---|---|
|
允許屏幕共享 |
|
|
允許用戶控制其他用戶的共享屏幕 |
|
|
允許對等應用程序共享 |
指用戶之間點對點的 應用程序共享 |
|
強制執行帶寬限制 |
Sametime 經典會議
| 策略項 | 備註 |
|---|---|
|
允許用戶創建即時會議和即興會話 |
|
|
允許在即時會議和即興會話中加入 Sametime IP 音頻和視頻 |
|
|
允許加入會議室交談 |
|
|
允許屏幕共享 |
|
|
允許用戶控制其他用戶的共享屏幕 |
電話、音頻和視頻
| 策略項 | 備註 |
|---|---|
|
允許從聯繫人列表、即時消息和會議訪問第三方服務供應商功能 |
|
|
允許更改首選號碼 |
|
|
語音和視頻功能通過 Sametime 媒體服務器提供 |
Sametime Unified Telephony
| 策略項 | 備註 |
|---|---|
|
允許更改永久呼叫轉接規則 |
|
|
允許在呼叫轉接規則中使用“離線”狀態 |
Lotus Sametime 8.5 服務器羣由系統控制檯服務器、社區服務器、會議服務器、媒體管理器、代理服務器、Gateway 服務器共同組成。Sametime 8.5 服務器羣的部署是首先安排系統控制檯服務器,在系統控制檯服務器中,創建部署計劃,按照部署計劃分別安裝社區服務器、會議服務器、媒體管理器、代理服務器、Gateway 服務器。與這些服務器相關的功能分爲 3 個部分: 即時消息、會議、媒體管理器(已在章節“Lotus Sametime 8.5 策略管理功能介紹”中介紹),並由系統控制檯服務器來統一管理。
Lotus Sametime 8.5 服務器羣的另一種策略管理的方式是由 社區服務器的 Policy 數據庫來直接管理策略。這種管理功能策略的方式是從 Sametime 7.5 開始的,存儲在社區服務器上的 STpolicy.nsf Notes 數據庫中,也是通過 web 瀏覽器的方式來管理策略。但是它在策略管理運算規則與從系統控制檯服務器獲取策略不同,稍後會在章節“用戶策略與公共組策略的運算規則”中介紹。
Sametime 缺省策略和匿名策略
當系統控制檯服務器安裝配置完成後,系統會有 2 個策略,一個是缺省策略,一個匿名策略。同時 允許爲用戶和組創建自定義策略。
缺省策略的權重值是 1,匿名策略的權重值是 0。當某個登錄用戶沒有創建自定義的策略時,此用戶的策略是缺省策略,當某個用戶是匿名用戶時,此用戶的策略是匿名策略。當多個策略同時出現的時候,將由策略來決定用戶到底獲取哪一個策略,權重值大的策略優先。備註:策略的權重值爲大於等於 0 的整數,由於系統已有權重值是 1 的缺省策略,和已有權重值是 0 的匿名策略。第一個自定義策略的權重值從 2 開始,以後依次按 N+1 累加。
對於單個或多人用戶
用戶將獲取權重值大的自定義策略。
舉例說明:
- 3 個用戶 , 用戶 A,用戶 B,用戶 C。
- 創建 2 個自定義策略,策略 A(權重值 2),策略 B(權重值 3)。
- 策略 A 分配給用戶 A,用戶 C;策略 B 分配給用戶 B,用戶 C。
- 用戶 A 將獲得策略 A,而不是缺省策略。因爲策略 A 權重值是 2,缺省策略權重值是 1。
- 用戶 B 將獲得策略 B,而不是缺省策略。因爲策略 B 權重值是 3,缺省策略權重值是 1。
- 用戶 C 將獲得策略 B,而不是策略 A 和缺省策略。因爲策略 B 權重值是 3,策略 A 權重值是 2,缺省策略權重值是 1。
對於用戶組
用戶組將獲取權重值大的自定義策略。
舉例說明:
- 2 個用戶組 , 用戶組 A,用戶組 B;用戶組 A 包含用戶 A,用戶組 B 包含用戶 B。
- 創建 2 個自定義策略,策略 A(權重值 2),策略 B(權重值 3)。
- 策略 A 分配給用戶組 A,策略 B 分配給用戶組 B。
- 用戶 A 將獲得策略 A,而不是缺省策略。因爲策略 A 權重值是 2,缺省策略權重值是 1。
- 用戶 B 將獲得策略 B,而不是策略 A 和缺省策略。因爲策略 B 權重值是 3,策略 A 權重值是 2,缺省策略權重值是 1。
對於用戶與組的混合情況
當用戶被直接分配給某策略的同時,用戶所在在用戶組也被分配某某策略,按照就近原則。
舉例說明:
- 用戶組 A 包含用戶 A。
- 創建 2 個自定義策略,策略 A(權重值 2),策略 B(權重值 3)。
- 策略 A 分配給用戶 A;策略 B 分配給用戶組 A。
- 用戶 A 將獲得策略 A,而不是策略 B。雖然策略 B 權重值是 3 比策略 A 權重值 2 大,但是按照就近原則,用戶 A 將獲得策略 A。
有 Notes Policy 數據庫開管理策略是 Sametime7.5 以來的新功能,它是不用安裝系統控制服務器,只需要社區服務器。當社區服務器安裝配置完成後,系統會有 2 個策略,一個是缺省策略,一個匿名策略,同時允許爲用戶和組創建自定義策略。這與“從系統控制檯服務器獲取策略的運算規則”小節中介紹的從系統控制檯服務器獲取策略是相同的。但是它們的運算規則有所不同。
策略的繼承
缺省策略是核心策略,它可以被匿名策略和自定義策略繼承。當匿名策略和自定義策略中某功能選項選擇繼承後,匿名策略和自定義策略中此功能選項等同於缺省策略的設置。
策略的覆蓋
缺省策略是核心策略,當缺省策略中的某功能選項選擇強制覆蓋後,匿名策略和自定義策略中的此功能策略設置等同於缺省策略的設置。
衝突策略的處理
當一個用戶,或一個用戶組中的用戶,有一個自定義的策略時,自定義策略中的各功能選項將與缺省策略中相應的功能設置進行運行。
某功能選擇的值有 2 種情況,一是 True 或 False,二是數值。如果是第一種情況,自定義策略和缺省策略都是 True,用戶獲得的策略爲 True;自定義策略和缺省策略都是 false,用戶獲得的策略爲 false;自定義策略和缺省策略一個 True 一個 False,用戶獲得的策略爲 false。如果是第二種情況,按照保守原則,自定義策略和缺省策略哪個數值小, 用戶獲得策略爲數值小的。
針對不同 LDAP 服務器,Sametime 服務器的配置微調
Sametime 社區服務器連接 LDAP 服務器,需要配置下列信息:
- LDAP 服務器主機名或 IP 地址(必填項)
- LDAP 服務端口號 (必填項)
- 認證用戶的用戶名和口令 ( 允許匿名訪問的 LDAP 服務器,用戶名口令可爲空。)
- BaseDN (必填項)
下列域值各個 LDAP 也有所不同:
- Search filter for resolving group names:
解析羣組名的搜索過濾器 (用於搜索羣組時)
- Attribute in the group object class that has the names of the group members:
包含羣組成員名稱的羣組對象類中的屬性 (用於搜索組成員時)
- The group object class used to determine if an entry is a group:
用於判斷條目是否是一個羣組的羣組對象類
- 認證用戶的用戶名和口令爲必填項
- 解析羣組名的搜索過濾器:(&(objectclass=groupofUniqueName)(cn=%s*))
- 包含羣組成員名稱的羣組對象類中的屬性:UniqueMember
- 用於判斷條目是否是一個羣組的羣組對象類:groupOfUniqueNames
- 認證用戶的用戶名和口令爲非必填項
- 解析羣組名的搜索過濾器:(&(objectclass=groupofName)(cn=%s*))
- 包含羣組成員名稱的羣組對象類中的屬性:Member
- 用於判斷條目是否是一個羣組的羣組對象類:groupOfNames
Microsoft Active LDAP directory
- 認證用戶的用戶名和口令爲必填項
- 解析羣組名的搜索過濾器 : (&(objectclass=group)(cn=%s*))
- 包含羣組成員名稱的羣組對象類中的屬性:Member
- 用於判斷條目是否是一個羣組的羣組對象類:group
- 認證用戶的用戶名和口令爲非必填項
- 解析羣組名的搜索過濾器:(&(objectclass=groupofUniqueName)(cn=%s*))
- 包含羣組成員名稱的羣組對象類中的屬性:UniqueMember
- 用於判斷條目是否是一個羣組的羣組對象類:groupOfUniqueNames
- 認證用戶的用戶名和口令爲非必填項
- 解析羣組名的搜索過濾器:(&(objectclass=groupofName)(cn=%s*))
- 包含羣組成員名稱的羣組對象類中的屬性:Member
- 用於判斷條目是否是一個羣組的羣組對象類:groupOfNames
第一種是先找到用戶組,通過用戶組中定義的組成員信息,來定位組成員。第二種是直接搜索每一個用戶,用戶信息會記錄這個用戶屬於哪些用戶組。
下面介紹的這 5 中 LDAP 服務器,有的支持第一種,有的支持第二種,有的兩種都支持。完成這兩種定位算法的是下面這兩個域:
- GroupMembership:
羣組成員資格: 定義用戶組成員的對象類和屬性
- BaseMembership:
基本成員資格: 定義搜索用戶組成員的 LDAP 服務器目錄樹分支
支持算法 1
定義用戶組成員的對象類和屬性, 定義搜索用戶組成員的 LDAP 服務器目錄樹分支如下:
羣組成員資格 : (&(objectclass=groupOfUniqueNames)(uniqueMember=%s))
基本成員資格 : dc=ibm, dc=com
支持算法 1
定義用戶組成員的對象類和屬性, 定義搜索用戶組成員的 LDAP 服務器目錄樹分支如下:
羣組成員資格 : (&(objectclass=groupOfNames)(Member=%s))
基本成員資格 : dc=ibm, dc=com
Microsoft Active LDAP directory
支持算法 1 和算法 2
算法 1,定義用戶組成員的對象類和屬性, 定義搜索用戶組成員的 LDAP 服務器目錄樹分支如下:
羣組成員資格 : (&(objectclass=group)(Member=%s))
基本成員資格 : dc=ibm, dc=com
算法 2,定義用戶組成員的對象類和屬性, 定義搜索用戶組成員的 LDAP 服務器目錄樹分支如下:
羣組成員資格 : memberOf
基本成員資格 : 爲空
支持算法 1
定義用戶組成員的對象類和屬性, 定義搜索用戶組成員的 LDAP 服務器目錄樹分支如下:
羣組成員資格 : (&(objectclass=groupOfUniqueNames)(uniqueMember=%s))
基本成員資格 : dc=ibm, dc=com
支持算法 1
定義用戶組成員的對象類和屬性, 定義搜索用戶組成員的 LDAP 服務器目錄樹分支如下:
羣組成員資格 : (&(objectclass=groupOfNames)(Member=%s))
基本成員資格 : dc=ibm, dc=com
在上述章節中我介紹了 Sametime 8.5 策略管理的各功能策略,管理員可以根據自己企業的需求特點,以用戶和組爲單位進行策略管理;管理策略的 2 種方式:從系統控制檯服務器獲取策略, 從 Policy 數據庫獲取策略;並介紹了管理這 2 種策略方式的不同算法;還有針對 5 大類 LDAP 與策略相關的配置屬性。現在您應該對 Sametime 8.5 策略管理有了一定的認識和了解,希望通過這些介紹對 Sametime 8.5 產品有進一步的興趣,今後能幫助企業的溝通和交流,提高企業的效率和競爭力。
學習
- 觀看 developerWorks 多媒體課堂:“ 走入協作 2.0 - Lotus Sametime 8.5 企業級協作軟件介紹”。
- 閱讀 developerWorks 文章:“ IBM Lotus Sametime 8.5 綜述與新功能體驗”。
- 閱讀 developerWorks 文章:“ Lotus Sametime 8.5 Proxy Server/Browser Client 介紹”。
- 閱讀 developerWorks 文章:“ IBM Lotus Sametime V8.5 工具包介紹”。
- 閱讀 developerWorks 文章:“ IBM Lotus Sametime Gateway 8.5 新功能詳解”。
- 參考 Lotus Sametime 8.5 信息中心。
- 參考 IBM Lotus Sametime 產品頁面。
- 參考 IBM Lotus Sametime 產品文檔。