DominoAdmin8-5 Tome1 Ch10

Accs serveur
Agent dabsence
Agent de
prdistribution
Agent Web
Dbogage
Dlais
Pour le compte de
Signature
10
Module 10 : @Les agents

Objectifs
Ce module dcrit les agents du point de vue de ladministration. Les connaissances
apportes doivent permettre ladministrateur de comprendre les instructions de mise
en production dune base et de dfinir en connaissance de cause les paramtres
dexcution du gestionnaire dagents et les restrictions de programmabilit.
Connaissances
Fonctionnement des agents
Savoir-faire
Dfinir les restrictions de programmabilit
Dfinir un serveur dexcution
Paramtrer le gestionnaire dagents
Progression
Rle des agents
Paramtrage du gestionnaire dagents
Serveur dexcution dun agent
Atelier 1
Modle de scurit des agents
Agent accdant un serveur distant
Tsoft/Eyrolles Lotus Domino 8.5 : Administration
Agent Web planifi sur serveur

Agent dabsence
Atelier 2
Restrictions de programmabilit
Atelier 3
Dbogage distant dun agent
10-1
@Module 10 : Les agents
Rle des agents

Rle des agents dans une application
Traitements immdiats ou planifis
Prsents dans la plupart des applications
Traiter un message reu
Inscription
Envoyer un message,
un document
Copier des documents
Modifier
des
documents
Effectuer des traitements

planifis
(C) TSOFT - Lotus Domino 8 - Mise en uvre de lintranet
Surveiller le serveur Domino - 4
Les agents effectuent des traitements sur un document ou un ensemble de documents.

Ils sont une pice matresse des applications de workflow, des applications Web.
Les agents sont excuts sur linitiative de lutilisateur ou non.
Lutilisateur Notes lance un agent, par exemple en cliquant sur un bouton depuis un
document affich en modification ou non, ou bien dans une vue. Lagent archive
des documents, publie le document en cours, envoie un message contenant un lien
vers le document en cours aux membres dune liste de diffusion
Lutilisateur dun navigateur lance un agent en cliquant sur une URL ou sur un
bouton. Lagent vrifie les informations saisies sur un formulaire, affiche une page
sur le navigateur Lagent peut aussi activer un autre agent planifi.
Les agents sont aussi des automates, dclenchs par des vnements ou planifis, qui
effectuent des traitements varis tels que :
Examiner les messages dposs par le routeur de messagerie dans une base,
Envoyer un message un rappel automatique un ou plusieurs utilisateurs en
fonction de la date du jour et dune date butoir dans un document,
Prvenir les expditeurs que le destinataire est absent,
Copier des documents dune base vers une autre des fins darchivage par
exemple.
Ladministrateur procde des vrifications au moment de la mise en production
dune application comportant des agents :
Ressources : le gestionnaire dagents doit disposer de suffisamment de ressources
pour viter des files dattente importantes et rduire les dlais.
Rplication : lorsque la base est rplique sur plusieurs serveurs, les agents sont
galement rpliqus. La plupart ne devront sexcuter que sur un seul serveur sils
modifient des documents afin dviter les conflits de rplication.
Signature et droits : les agents sont signs au moment de la mise en production
dune base ce qui leur donne normalement les droits ncessaires pour fonctionner.
10-2
Interview de lExpert
Imaginons que les cerveaux de Nietzsche et dEinstein aient t passs au mixeur, nous
naurions jamais obtenu quun ensemble de composs lipidiques et quelques protines de
structure. Cest la preuve quun comportement complexe peut merger dun ensemble de
composants simples et coopratifs. Les agents, autant que possible, ne ngligeront jamais
les actions simples et seront dautant plus efficaces que chacun dentre eux sera
simple.
Ils sont loutil idal de ladministrateur qui souhaite simplifier ses tches quotidiennes et
pallier les rares erreurs qui peuvent subsister dans la documentation, lorsquune tche
ne se droule pas exactement telle que son comportement a t dcrit.
10-3

Trois files dattente pour les agents planifis
Update EVent Queue

NewMail Event Queue
Scheduled
Task Queue
Eligible Queue
amgr
Traitement
amgr
amgr
Document du serveur : nombre dagents simultans
NOTES.INI : dlais lis aux files dattente
Document de configuration du serveur : agents courrier
Le gestionnaire dagents prend en charge les agents planifis sur le serveur. Il gre des
files dattente, le passage de lune lautre se faisant aprs un dlai. Il ne gre pas les
agents sexcutant sur le poste de travail, qui sont lancs par le routeur de messagerie
ou depuis le Web.
Agents de prdistribution
Ces agents sont lancs par le routeur au moment o il crit un document dans une base
Courrier en arrive. Lunit dexcution de distribution thread dexcution est
mobilise par lexcution de lagent. Pour paramtrer ce type dagent :
Modifier le document de configuration du serveur
Cliquer sur longlet (Routeur/SMTP), puis sur (Restrictions et contrles),
puis sur (Contrles de distribution)
<Agents de prdistribution> : slectionner Active.

<Dlai dexcution de lagent de prdistribution> : laisser 30 secondes ou modifier
ce paramtre en accord avec les concepteurs.
<Nombre maximal dunits dexcution de distribution> : taper une valeur entre 1
et 25 pour limiter les units dexcution si le serveur est charg (option).
10-4
Agents Web
Ces agents sont lancs par lutilisateur qui clique le plus souvent sur un lien URL ou
bien qui enregistre un formulaire. Lagent est pris en charge par le moteur HTTP de
Domino : le gestionnaire dagents ne le connat pas.
Agents planifis
Les agents planifis sur serveur sont activs par des vnements Aprs larrive de
nouveaux messages et Aprs la cration ou modification de documents ou prvus
pour une excution horaire, quotidienne, hebdomadaire ou mensuelle.
Le gestionnaire examine lensemble des bases du serveur au dmarrage. Il rpartit les
agents planifis dans deux files dattente :
File V (Update Event Queue et New Mail Event Queue) : les agents activs par un
vnement.
File S (Scheduled Task Queue) : les agents horaires, quotidiens, hebdomadaires ou
mensuels.
Lorsquun agent de la file V est rveill par un vnement, le gestionnaire dagents le
fait passer dans la file S. Lorsquun agent de la file S doit tre excut, il passe dans la
file E (Eligible Queue), o il attend une unit dexcution disponible.
Les dlais dexcution proviennent clairement du passage dune file dattente une
autre et du nombre de processus disponibles pour excuter les agents. Ces paramtres
se rglent dans le NOTES.INI du serveur et dans le document du serveur.
Paramtres NOTES.INI
Les valeurs par dfaut de ces paramtres doivent tre modifies pour que les agents
sexcutent dans des dlais raisonnables. Ils ont t conus une poque o les
serveurs taient moins puissants dune part, et o le gestionnaire dagents tait peu
performant dautre part.
Paramtre
Objet
AMgr_DocUpdateEventDelay
Dfaut : 5 minutes.
Temps minimum entre la mise jour ou la
cration dun document et lexcution dun
agent dclench par cet vnement.
AMgr_NewMailEventDelay
Dfaut : 1 minute.
Temps minimum entre le dpt dun
document par le routeur de courrier et
lexcution dun agent dclench par cet
vnement.
AMgr_DocUpdateAgentMinInterval Dfaut : 30 minutes.

Temps minimum entre deux excutions
successives dun agent dclench par
lvnement Aprs la cration ou modification
de documents.
AMgr_NewmailAgentMinInterval
Dfaut : 0 minute.
Temps minimum entre deux excutions
successives dun agent dclench par
lvnement Aprs larrive de nouveaux
messages.
10-5

Paramtre
Objet
AMgr_SchedulingInterval
Dfaut : 1 minute.
Temps entre deux consultations de la file
dattente Event Queue par lagent
manager.
Supposons que les valeurs par dfaut soient conserves. Un agent rveill par
lvnement Aprs la cration ou modification de documents sera activ dans la file
dattente V au bout de cinq minutes (AMgr_DocUpdateEventDelay). Le gestionnaire
dagents examine une file dattente toutes les minutes (AMgr_SchedulingInterval).
Lagent passe donc dans la file dattente S au bout de 5 6 minutes. Il peut scouler
1 minute avant quil passe dans la file dattente V o il attendra une unit dexcution
disponible. Au total il sest coul 7 minutes ou plus entre lvnement et lexcution
de lagent. Si le mme agent est rveill par un deuxime vnement, un nouveau
dlai est ajout (AMgr_DocUpdateAgentMinInterval) qui fait quil scoulera 30
minutes supplmentaires.
Les dlais supports par les agents de type Aprs larrive de nouveaux messages sont
moins longs mais le dlai au final sera de lordre de 4 minutes ou plus.
Les paramtres du NOTES.INI du serveur sont crits de prfrence dans le document
de configuration du serveur.
Cliquer sur longlet (Configuration), puis sur la vue Serveur/Configuration
Ouvrir le document de configuration du serveur en modification
Cliquer sur longlet (Paramtres NOTES.INI)
Cliquer sur (Dfinir/modifier les paramtres)
<Elment> : slectionner AMGR_DOCUPDATEAGENTMININTERVAL

<Valeur> : taper 0 pour supprimer le dlai
Cliquer sur (Ajouter)
10-6

Le paramtre apparat dans lespace suprieur.
Rpter lopration pour les paramtres suivants
Cliquer sur (OK)

Cliquer sur (Enregistrer et fermer)
Redmarrer le serveur Domino pour une prise en compte immdiate
Liste des agents planifis

Cliquer sur longlet (Serveur), puis sur (Etat), puis Planifications/Agents
Placer le curseur sur un agent : la prochaine planification est indique, ou bien la

mention Lagent na pas t excut
ou
Taper la commande TELL AMGR SCHEDULE sur la console Domino
Les messages danomalie sont envoys par le gestionnaire dagents dans le journal du
serveur log.nsf.
Document du serveur
Il contient les paramtres pour le gestionnaire dagents. Les paramtres pour les agents
Web correspondent un mode de compatibilit version 5.
Cliquer sur longlet (Configuration), puis Serveur, puis Document Serveur courant
Cliquer sur longlet (Tches serveur), puis sur (Gestionnaire dagents)
<Nombre maximal dagents simultans> : taper le nombre dunits dexcution
disponibles pour la file Eligible Queue
<Nombre maximal dagents simultans> : taper un nombre, par exemple 3
Cliquer sur longlet (Protocoles Internet), puis sur longlet (Moteur Web Domino)
<Excuter les agents Web simultanment> : slectionner Activ
A partir de la version 6 de Domino, le paramtre se trouve de prfrence dans un site
Internet.
10-7
Les agents ne sont pas circonscrits par la page de paramtrage du document serveur.
Les administrateurs auront tout intrt ne pas ngliger les variables telles
quAMGR_DOCUPDATEMININTERVAL, afin de rgler des temps entre la survenance
dun vnement et le dclenchement de lagent lui-mme, ou entre deux excutions
successives dun mme agent.
Pensez examiner quotidiennement les statistiques du serveur afin de connatre le
nombre dexcutions dagents planifies ainsi que les erreurs dexcution.
La commande console TELL AMGR SCHED sera galement utile avant tout arrt du
serveur afin de dterminer si ce dernier nest pas sur le point de lancer une excution.
Lors de la mise en production dune application Notes, vrifiez galement que cette
dernire comporte obligatoirement une vue par dfaut. Labsence de vue par dfaut est
susceptible dentraner des erreurs dexcution lorsque les agents doivent effectuer des
traitements sur des sous-ensembles de documents.
10-8
Serveur dexcution de lagent

Serveur dexcution de lagent
Agent menu Actions ou Lorsque vous collez des documents
Agent Courrier (avant et aprs dpt du message)
Sur le client Notes

Dpend du signataire de lagent
Agent Aprs la cration ou modification de documents

ou planifi
Activer lagent puis slectionner

le serveur
Local
-Tout serveur-
Un serveur
(C) TSOFT - Lotus Domino 8 Administration - Gestion et Optimisation
Un agent sexcute sur le client Notes ou sur serveur. Le choix du serveur dexcution
obit des rgles dpendant de son type :
Agent courrier (les deux types) : le serveur de messagerie du signataire,
Agent lanc manuellement : le client Notes,
Agent planifi ou rveill par lvnement Aprs la cration ou modification de
documents : choix du concepteur ou la premire utilisation.
Si la base est rplique sur plusieurs serveurs, un agent qui modifie des documents ne
peut sexcuter que sur un seul serveur, faute de quoi des conflits de mise jour se
produiront. Le choix du serveur sera fait au moment de la mise en exploitation.
Agent courrier
Le serveur dexcution de lagent courrier dpend du serveur de messagerie du
signataire, par exemple le serveur de messagerie du super administrateur dont
lidentifiant sert signer les bases.
Agents planifis
Lactivation de lagent dtermine le serveur dexcution la plupart du temps.
Ouvrir la base dans Designer, puis cliquer Code partag/Agents
Slectionner lagent activer, puis cliquer sur (Rendre actif)

<Choisissez le serveur sur lequel excuter cet agent> : slectionner un serveur
10-9
La premire chose que fera un agent sera de rechercher ladresse de son serveur
dexcution. Dans le cas o un agent ne sexcute pas, la premire chose faire est de
vrifier que la DNS contient bien le nom (ou lalias) de ce serveur, afin que son adresse
puisse tre dtermine.
10-10

Modle version 5 : le signataire de lagent dtermine les droits

dexcution
Sur le serveur : restrictions dexcution
Sur le client Notes : LCE, Liste de Contrle dExcution
Modle version 6 et suivantes : une autorit donne une

dlgation
Trois scnarios de dlgation
Accder une base sur un autre serveur depuis un agent
Sauvegarder un agent sur serveur sans modifier le signataire
Activation dun agent par un utilisateur ayant laccs diteur
Le modle de scurit de la version 5 est actif par dfaut : ceci assure une compatibilit ascendante et correspond aussi au cas le plus frquent de la programmation des
agents. Ce modle de scurit repose sur la confiance accorde au signataire de
lagent. La version 6 a introduit le concept de dlgation dont le principe est le
suivant : une autorit de confiance se porte garante du signataire dun agent, de
lidentit dun utilisateur. Les droits de lautorit de confiance interviennent de
diffrentes manires selon les scnarios.
Modle de scurit version 5

La scurit sapplique linvocation de lagent et pendant lexcution de lagent.
Client
Excut par
Utilisateur
Restrictions
LCA
Planifi
LCE du poste
Serveur
HTTP
Identit
utilisateur
Web
HTTP
Identit
signataire
Planifi
Document du serveur
Signataire
Signataire
Signataire
Signataire
Signataire
Invoqueur
Invoqueur
Invoqueur
Signataire
Signataire
La signature dun agent et lexplication des postes du tableau suivent maintenant.
Signature de lagent
La dernire personne qui modifie un agent le signe lectroniquement de son nom
laide des informations de son fichier ID la faon dont un message envoy est sign.
Par exemple, un utilisateur qui active lagent dabsence le signe de son nom.
10-11

Ladministrateur dispose dun outil de signature dans Domino Administrator qui signe
lensemble ou une partie des notes de conception dun modle ou dune base avec
son ID ou celui dun serveur.
La signature utilise se fait souvent avec un identifiant rserv cet effet. Lotus signe
ses modles avec Lotus Notes Template Development/Lotus Notes.
Agent excut sur un poste client Notes

Il sagit dagents lancs manuellement depuis le menu Actions ou planifis pour
sexcuter localement sur le poste.
Le signataire de lagent est compar aux signatures enregistres dans la LCE (Liste de
Contrle dExcution) du poste : si le signataire est absent ou si lagent utilise des
instructions non autorises, le propritaire du poste reoit un message davertissement
qui lui demande la conduite tenir.
Identit du signataire
Action entreprise
Les bases en exploitation sur serveur sont habituellement signes avec un identifiant
appropri qui est galement dfini dans la LCE dadministration par ladministrateur.
Cette LCE sert de standard aux postes clients et les utilisateurs ne voient pas ce type
de message, sauf accident bien sr.
Une fois que lidentit du signataire de lagent est valide, le droit de faire ce que fait
lagent dans la base est dtermin par lidentit de lutilisateur qui invoque lagent et
la LCA de la base.
Agent excut en arrire-plan sur le serveur

Le signataire de lagent est considr pour vrifier le droit dexcuter lagent daprs
les informations du document du serveur : droit dexcuter un agent en langage de
formules, en LotusScript/Java non restrictif ou restrictif (utilisant ou non toutes les
possibilits du langage).
Le signataire de lagent est aussi pris en compte pour vrifier le droit de faire ce que
fait lagent dans la base : le signataire doit tre dans la LCA directement ou par son
appartenance un groupe avec un niveau daccs suffisant. Une exception cette
rgle : un agent excut depuis le Web peut le faire avec lidentit de lutilisateur. Il
faut noter que ceci sapplique uniquement laccs la base. Le droit dexcuter le
type auquel appartient lagent reste dtermin par le signataire.
10-12
Scnarios de dlgation (version 6, 7, 8)

Les trois scnarios exposs correspondent des demandes de clients auxquelles Lotus
a rpondu sans sacrifier le modle de scurit. Le principe retenu consiste passer par
une autorit de confiance lorsque le modle de scurit de la version 5 nest pas
applicable.
Accs une base sur un autre serveur

Un agent ne peut pas ouvrir une base se trouvant sur un autre serveur. Lotus estime
que le serveur distant na pas les moyens de savoir si le signataire de lagent a un ID
fiable :
Si le signataire est un utilisateur, son ID nest normalement pas disponible sur le
serveur distant et il est protg par un mot de passe, donc ne pourrait pas tre
ouvert.
Si le signataire est un serveur, lidentit de la personne physique qui a procd la
signature est incertaine puisque lID serveur nest gnralement pas protg par
mot de passe.
Sauvegarder un agent sur serveur

Un utilisateur qui ne dispose pas dun client Notes ne peut pas signer un agent. Cest
le cas des utilisateurs Web. Si un utilisateur Web devait activer ou dsactiver un agent,
il pourrait le faire en lanant lexcution dun agent suppltif dont la mission est
dactiver ou de dsactiver lagent vis. La question pose est alors : comment signer
cet agent modifi ? Lauthentification Web est peu fiable compare lauthentification
Notes : un identifiant et un mot de passe qui peuvent circuler en clair et lutilisateur
Web na pas de cl publique (sauf sil a un certificat SSL individuel, ce qui nest pas
le plus courant). Lautre solution consisterait signer lagent avec lID de serveur ce
qui aboutirait donner cet agent les droits du serveur qui sont trs tendus. Le
modle de scurit de la version 5 est dans limpasse.
Activation par lutilisateur

Lutilisateur dune base Courrier a besoin dtre Concepteur dans sa base pour pouvoir
activer lagent dabsence. Sil est diteur sur un serveur 5 et une base courrier 5 , il
ne peut pas activer cet agent. Laccs diteur vite notamment que lutilisateur puisse
intentionnellement ou non indexer sa base Courrier, ce qui gnre de la
consommation de ressources disque et processeur sur le serveur.
10-13

Un serveur ne fait pas confiance au

signataire de lagent qui sexcute
sur un autre serveur
sirius/srv/tsoft
Modle de dlgation
Lauthentification de la signature
nest pas fiable
Moi, serveur sirius, je

dclare faire confiance aux
signataires des agents
autoriss par cassiopee
Le serveur fait confiance au serveur

distant dexcution de lagent
Accrditation dans le document serveur
Le signataire de lagent
cassiopee/srv/tsoft
Dtermine laccs la base

daprs sa LCA
Un agent planifi sur un serveur ne peut pas ouvrir une base se trouvant sur un autre
serveur. Lotus estime que le serveur distant na pas les moyens de savoir si le
signataire de lagent est effectu avec un ID fiable.
La solution consiste utiliser le serveur comme autorit de confiance, plus
prosaquement faire confiance aux choix faits par ladministrateur du serveur :
gestion de la scurit des agents et signataires accepts.
Le signataire de lagent doit avoir les droits suffisants dans la base accde.
Accrditation de serveur
Ouvrir lannuaire, puis la vue Serveurs/Serveurs
Ouvrir le document du serveur distant en modification
Cliquer sur longlet (Scurit)
Accs serveur
Serveurs
accrdits
<Serveurs accrdits> : slectionner le serveur sur lequel sexcute lagent
accdant une base sur le serveur auquel correspond le document
10-14

Un agent activ ou dsactiv est modifi, donc sign
Un agent ne peut tre modifi par un autre agent sur serveur
Il serait sign avec lID du serveur
Cet ID nest pas fiable car sans mot de passe
Application Web version 6 et suivantes : lutilisateur lance un

agent suppltif qui active ou dsactive un autre agent
Modle de dlgation
Sparer signataire et modificateur de lagent
Le signataire agit pour le compte de celui qui modifie lagent
Lagent et son agent suppltif ont le mme signataire
Un utilisateur Web doit activer un agent de lapplication qui excute un traitement

planifi, par exemple une clture dexercice, un archivage, une rcupration de
donnes DB2 Lutilisateur Web ne peut pas signer lagent dapplication puisquil ne
dispose pas dun fichier ID Notes. Pour contourner labsence de fichier ID, il est prvu
quil lance agent suppltif dont la mission est dactiver ou de dsactiver lagent
dapplication avec la garantie dune autorit dont la signature est reconnue. Le modle
de scurit appliqu ici est le suivant :
Lautorit est signataire des deux agents mis en uvre.
Lagent suppltif sexcute avec lidentit de lutilisateur Web.
Lautorit excute lagent activ pour le compte de lutilisateur Web.
Le modle sexprime aussi de la faon suivante : une autorit se porte garante que le
couple (agent suppltif, agent activ) est valide pour un utilisateur Web dtermin.
Lautorit agit au nom dun utilisateur Web en apportant sa garantie matrialise par
les informations de son fichier ID Notes et les restrictions portes par ladministrateur
dans le document du serveur.
Droits de lautorit signataire

Les droits sont dans le document du serveur. Lautorit doit avoir le droit de :
Signer des agents excuter pour le compte de quelquun dautre ici, un
utilisateur Web.
Excuter les agents LotusScript/Java restrictifs, simples et de formules ou des
mthodes et des oprations non restrictives selon le style de programmation de
lagent.
Cliquer sur longlet (Configuration), puis sur la vue Serveurs/Serveurs
Ouvrir le document du serveur distant en modification
Cliquer sur longlet (Scurit)
10-15
Signer des agents

excuter pour le
compte de
quelquun dautre
<Signer les agents excuter pour le compte de quelquun dautre> : slectionner

le ou les signataires, ici le groupe _SIRIUS_AnNRest qui contient
_Administrateur/TSOFT
Le signataire est celui des bases mises en production dans cet exemple, ce qui
simplifie considrablement la vie.
Droits de lutilisateur Web

Lutilisateur Web doit avoir laccs Concepteur dans la base o rside lagent
activer. Ce droit est ncessaire car lactivation ou la dsactivation dun agent le
modifie. La LCA de la base accepte Concepteur pour Accs maximum au nom et mot
de passe Internet.
Conclusion
Ce scnario est le plus complexe car il enchane en fait deux dlgations :
Une dlgation pour activer un agent depuis le Web,
Une dlgation pour excuter un agent planifi.
Il est clair que la deuxime dlgation nest possible que parce que la premire a pu
sexcuter. Ce modle repose sur le couple signataire et utilisateur tout comme les
autres modles de scurit.
Activation dun agent depuis le Web

Signataire : une autorit qui a le droit de Signer des agents excuter pour le compte
de quelquun dautre.
Utilisateur : les deux agents lagent suppltif et lagent activ sexcutent tous les
deux pour le compte de lutilisateur Web.
Rsultat : lagent activ est sign par le serveur et sexcutera pour le compte de
lutilisateur Web.
Dlgation pour excuter un agent

Signataire : le serveur. Cette autorit a le droit dexcuter des agents LotusScript/Java
restrictifs ce qui correspond au style de programmation de lagent activ.
Utilisateur : lutilisateur qui est dans le champ $OnBehalfOf de lagent. Le droit
daccs de cet utilisateur dans la LCA de la base est pris en compte pour ce que fait
lagent, par exemple ajouter un document dans la base courante.
10-16
Agent dabsence
Agent dabsence
Configuration compatible version 5
Droits de lutilisateur
Concepteur ou Gestionnaire de sa base Courrier
Droit dexcuter des agents LotusScript/Java restrictifs
Configuration versions 6, 7, 8
Droits de lutilisateur
diteur de sa base Courrier
Adminp rend lagent automatiquement activable par lutilisateur
Non requis : droit dexcuter des agents LotusScript/Java

restrictifs
Nouveauts version 8 : le Service Absence

Lutilisateur de messagerie qui dclare une absence active lagent OutOfOffice. Cette
opration fonctionne correctement pourvu que les rgles de scurit soient respectes :
Lutilisateur modifie lagent en lactivant.
Lagent planifi doit pouvoir dmarrer sur le serveur de messagerie.
Lagent planifi doit pouvoir faire ce quil fait : envoyer des messages.
Les contraintes de la version 5.x de Lotus Domino disparaissent depuis la version 6 :
Le niveau daccs diteur dans la LCA de la base Courrier est suffisant pour que
lutilisateur dclare une absence.
Lagent dabsence peut tre activ depuis un navigateur Web.
Le droit dexcuter des agents LotusScript/Java restrictifs na pas besoin dtre
donn aux utilisateurs de messagerie ayant le niveau diteur.
Ce paragraphe rappelle le mode de fonctionnement et les rglages en version 5.x et qui
sont utilisables en version 6 et 7, puis montre comment configurer le fonctionnement
de lagent dabsence en tenant compte des nouveauts de la version 6.
Configuration en version 5
Niveau daccs des utilisateurs la base Courrier
Un utilisateur doit avoir le niveau daccs Gestionnaire ou Concepteur sa base
Courrier pour activer lagent dabsence OutOfOffice : lactivation de lagent se fait
par modification de cet lment de structure. Le choix de Editeur propos
lenregistrement est insuffisant.
Restrictions du document serveur

Longlet (Scurit) du document du serveur gre les rgles dexcution des agents.
Lagent dabsence OutOfOffice est du type LotusScript/Java restrictif planifi et
sexcute normalement 1 heure du matin.
10-17

Les noms de tous les utilisateurs de messagerie doivent tre prsents : lutilisation du
nom de lorganisation et du caractre joker toile */TSOFT simplifie lcriture.
Lutilisateur Claude GAUTIER/SEC/TSOFT a le droit dexcuter lagent OutOfOffice

du fait de son appartenance */TSOFT.
Signature des bases

Les bases Courrier sont signes par Lotus Notes Template Development/Lotus Notes.
Lagent dabsence est sign du nom de lutilisateur lorsquil est modifi par activation
ou dsactivation. La signature de Lotus est en standard dans la LCE des clients Notes
et est normalement conserve : les bases Courrier ne sont pas signes avec un autre
identifiant.
Le nom du signataire est inscrit dans lagent dabsence. Pour le vrifier :
Ouvrir la base Courrier de lutilisateur dans Designer
Ouvrir la vue Code partag/Agents, puis clic droit sur OutOfOffice, puis
commande Proprits de la structure
<Modifi par> : contient le nom du propritaire de la base Courrier aprs la

premire activation de lagent
Suivi dans Domino Administrator
Lagent dabsence planifi apparat dans la liste Planification/Agents sur le serveur de

messagerie.
Si le propritaire de la base Courrier na pas le droit dinvoquer des agents de type
LotusScript/Java restrictifs, un message est envoy dans le journal du serveur.
08/09/2006 08:19:31
AMgr: Agent OutOfOffice|OutOfOffice in
mail\APLANCHOU.nsf does not have proper execution access,
cannot be run
10-18
Configuration en versions 6, 7 et 8
Lagent dabsence utilise deux nouvelles fonctions de la version 6 :
Le concept dune autorit de dlgation qui agit au nom dun utilisateur et dont les
droits sont pris en compte pour lancer lexcution de lagent. Les droits de
lutilisateur sont pris en compte pour laccs sa base Courrier.
Lactivation de lagent dabsence par un utilisateur disposant dun niveau daccs
diteur la base.
Ces deux fonctions couples ont t implmentes dans le masque partir duquel est
activ lagent dabsence. Lorsque le niveau daccs de lutilisateur sa base de
messagerie passe au niveau Editeur, la configuration de lagent dabsence se fait
automatiquement pour bnficier des fonctions de la version 6.x. Inversement, si le
niveau daccs de lutilisateur passe de Editeur Concepteur ou Gestionnaire, la
configuration de lagent dabsence repasse automatiquement dans le mode version 5.x.
Niveau daccs des utilisateurs la base Courrier

Lutilisateur a le niveau daccs diteur sa base Courrier. Il pourra grer son courrier
et son agenda mais ne pourra pas indexer sa base pour une recherche documentaire,
modifier les paramtres de rplication ou supprimer sa base.
Si lutilisateur de messagerie na pas le niveau daccs Gestionnaire sa base Courrier
il est Concepteur ou diteur , il est ncessaire quil ait le niveau daccs Auteur
assorti du privilge de Cration de documents dans la LCA de la base de Requtes
administratives admin4.nsf pour quil puisse utiliser la dlgation de courrier et
dagenda. En effet, la modification dune dlgation cre une requte dans la base
admin4.nsf, puis la requte est excute par le serveur qui modifie la LCA de la base
Courrier. Ce mode de fonctionnement est apparu en version 5.
La premire activation de lagent dabsence de lutilisateur de niveau daccs diteur
cre aussi une requte administrative.
Autorit de dlgation
Le client Notes gnre automatiquement une requte administrative qui modifie
lagent dabsence OutOfOffice. Le serveur de messagerie qui excute la requte signe
lagent dabsence. Le lancement de lexcution de lagent se fait avec les droits du
serveur le serveur joue le rle dautorit de dlgation alors que les droits de
lutilisateur dans la LCA de sa base Courrier sont pris en compte pendant lexcution
de lagent.
Restrictions du document serveur

Longlet (Scurit) du document du serveur qui gre les rgles dexcution des agents
na pas besoin de contenir les noms des utilisateurs dont le niveau daccs leur base
Courrier est diteur.
<Excuter les agents LotusScript/Java restrictifs> : la signature gnrique
*/NomOrganisation, par exemple */TSOFT nest plus ncessaire
Dans la pratique, si le serveur de messagerie hberge aussi des utilisateurs ayant le
niveau daccs Gestionnaire ou Concepteur, il faudra quand mme que le champ
contienne la liste de ces utilisateurs abrge en utilisant le caractre joker * et le nom
de lorganisation, par exemple */TSOFT, ou alors le groupe de ces utilisateurs.
Remarque
Ce manuel traite galement du Service Absence (chapitre 7) qui est une nouveaut de
la version 8.
10-19
Droits dexcution, y compris Java, JavaScript/COM, CORBA
Oprations non restrictives
Oprations restrictives
Agents simples et formules
Droits de signer pour le compte de
Des agents
Des agents suppltifs qui activent/dsactivent dautres agents
Des bibliothques de scripts
Droits dexcution des agents Java/JavaScript COM :

applicables aux serveurs 5
Les restrictions dexcution des agents sont runies dans le document du serveur, dans
longlet (Scurit) et le paragraphe Restrictions de programmabilit.
Excuter des
mthodes et des
oprations non
restrictives
Versions
prcdentes
seulement
<Excuter des mthodes et des oprations non restrictives> : regroupe les champs
<Excuter les agents Java/JavaScript/COM non restrictifs> et <Excuter les agents
LotusScript/Java non restrictifs> de la version 5.
<Excuter les agents LotusScript/Java restrictifs> : regroupe les champs <Excuter
les agents Java/JavaScript/COM restrictifs> et <Excuter les agents
LotusScript/Java restrictifs> de la version 5.
10-20

Excuter des mthodes et des oprations non restrictives
Signataires autoriss signer des agents avec les trois niveaux :
1. Ne pas autoriser les oprations restreintes
2. Autoriser les oprations restreintes
3. Autoriser les oprations restreintes avec droit dadmin. complet
Le choix du niveau (1) ne requiert pas la prsence dans ce champ.
Ce signataire peut modifier/supprimer une base sans tre list dans la LCA sil
est Administrateur de bases.
Le serveur et la signature Lotus Notes Template Development/Lotus Notes ont
ce droit par dfaut.
Ladministrateur complet doit tre aussi prsent dans ce champ si le mode (3)
est slectionn pour lagent.
Signer des agents excuter pour le compte de quelquun dautre
Signataires autoriss signer des agents Excuter pour le compte de. Le nom de
la personne pour le compte de laquelle lagent a t sign est utilis pour
vrifier laccs dans la LCA de la base.
Signer des agents excuter pour le compte de lutilisateur appelant cet agent
Signataire autoris signer des agents excuts au nom de celui qui lance
lexcution et qui nest pas le signataire. Agents Web uniquement.
Le dfaut champ non rempli donne lautorisation tous (compatibilit avec
les versions prcdentes).
Excuter des agents LotusScript/Java restrictifs
Signataires pouvant excuter des agents LotusScript/Java restrictifs.
Excuter les agents simples et de formules
Signataires pouvant excuter des agents privs ou partags crits avec des
actions simples ou des formules.
Signer des bibliothques de scripts excuter pour le compte de quelquun
dautre
Signataires pouvant signer des bibliothques de scripts utilises par des agents
signs par dautres.
<Excuter les agents LotusScript/Java restrictifs> : ne contient que deux signatures.
Les utilisateurs du serveur ne peuvent pas avoir directement ce droit. Sur un serveur
de messagerie, ceci suppose que tous les utilisateurs sont diteurs ce qui permet
lagent dabsence sign par le serveur de sexcuter.
Le tableau indique comment se dterminent les droits et dmontre que le nombre de
signataires doit tre rduit au minimum. Cest dailleurs ce que propose la copie
dcran qui se limite _Administrateur/TSOFT ce qui est suffisant pour une
organisation nayant que quelques serveurs Domino.
10-21
Signature des agents au cas par cas
Lorsque le signataire dune base veut imposer un agent de ne pas pouvoir excuter
des oprations restreintes, il doit :
Ouvrir lagent dans Designer
Afficher les proprits de lagent
Cliquer sur longlet (Scurit).
<Dfinir le niveau de scurit de lexcution> : slectionner une option
1. Ne pas autoriser les oprations restreintes
2. Autoriser les oprations restreintes
3. Autoriser les oprations restreintes avec droits dadmin. complet
Dans la pratique, si un agent doit excuter des oprations restreintes, il faut que la
premire option soit slectionne, faute de quoi lagent de sexcutera pas
correctement.
Remarque
La nature du langage LotusScript il est interprt fait que le compilateur ne sait pas
si des mthodes ou des instructions du langage sont utilises et dans quelles
conditions. Ceci explique cette intervention manuelle.
10-22

Dboguer un agent sexcutant sur le serveur
Tche RDEBUG active sur serveur
Activer lagent pour le dbogage distant
Attraper lagent lorsquil va sexcuter
Fentre de mise au point LotusScript
La tche RDebug apparue en version 6 permet danalyser lexcution dun agent

planifi sur le serveur. Le serveur doit tre configur pour le dbogage distance ainsi
que lagent dboguer.
Notes.ini
La ligne ServerTasks du NOTES.INI du serveur doit contenir Rdebug.
ServerTasks=Update,Replica,Router,AMgr,AdminP,CalConn,Sched,Sta
tlog,DIIOP,DECS,HTTP,Rdebug
Document serveur
Cliquer sur longlet (Tches serveur), puis sur longlet (Remote Debug Manager)
<Autoriser le dbogage distant sur ce serveur> : slectionner Active
<Dsactiver le dbogage du serveur aprs> : taper une valeur en heures, -1
signifiant jamais
<Attente de lagent lheure de dbut> : taper un nombre de secondes suffisant
60 secondes pour attraper au vol lagent lorsquil dbutera son excution
10-23
Ne jamais oublier quil existe une commande TELL AMGR RUN, permettant de lancer un
agent de force, sans devoir attendre la console. Dans le cas dun agent agissant sur le
systme de fichiers, le dverminage distant est le seul moyen davoir une vision claire de
lenvironnement du compte serveur. En effet, un disque mapp pour compte serveur
naura pas forcment la mme lettre pour le compte de celui qui ouvre la session sur
ledit-serveur (par exemple).
10-24
Rappel des objectifs

Rappel des objectifs
Connaissances
Fonctionnement des agents
Savoir-faire
Dfinir les restrictions de programmabilit
Dfinir un serveur dexcution
Paramtrer le gestionnaire dagents
Ce module dcrit les agents du point de vue de ladministration. Les instructions de

mise en exploitation comprennent les procdures applicables aux agents.
Rle des agents

Les agents effectuent des traitements sur un document ou un ensemble de documents.
Ils sont une pice matresse des applications de workflow, des applications Web.
Lexcution dun agent est dtermine :
Par une action de lutilisateur Notes ou Web.
Par lvnement Aprs la cration ou modification de documents ou Aprs
larrive de nouveaux messages.
Par planification sur le serveur.
Lexcution dun agent est prise en charge par :
Le client Notes.
Le gestionnaire dagents.
Le service HTTP de Domino.
Le routeur de courrier.
Ladministrateur paramtre lenvironnement dexcution des agents : ressources,

scurit, serveur dexcution.

Le gestionnaire dagents prend en charge les agents planifis sur le serveur horaires,
quotidiens, hebdomadaires, mensuels et les agent activs par les vnements Aprs
la cration et modification de documents ou Aprs larrive de nouveaux messages. Il
gre trois files dattente : file V (Update Event Queue et New Mail Event Queue), file
S (Scheduled Task Queue) et file E (Eligible Queue).
Les units dexcution prennent en charge les agents de la file E.
10-25

Le document du serveur et le document de configuration du serveur onglet
(Paramtres NOTES.INI) dterminent les temps dattente dans chaque file et le
nombre dunits dexcution.
Paramtrage du routeur de messagerie

Le routeur de messagerie prend en charge lexcution des agents de type Avant
larrive de courrier. Cette prise en charge est autorise ou non et le temps maximum
dexcution est fix.
Paramtrage du moteur HTTP

Les agents invoqus depuis un navigateur par URL, lenregistrement de document
ou laffichage dun document sont pris en charge par le moteur HTTP de Domino.
Le paramtrage se fait :
Dans le document du serveur : compatibilit avec la version 5 de Domino,
Dans un document de site Internet : version 6, 7 et 8 de Domino.
Serveur dexcution dun agent

Un agent sexcute sur le client Notes ou sur serveur. Le choix du serveur dexcution
obit des rgles dpendant de son type :
Agent courrier (les deux types) : le serveur de messagerie du signataire,
Agent lanc manuellement : le client Notes,
Agent planifi ou rveill par lvnement Aprs la cration ou modification de
documents : choix du concepteur ou la premire utilisation.
Si la base est rplique sur plusieurs serveurs, un agent qui modifie des documents ne
peut sexcuter que sur un seul serveur, faute de quoi des conflits de mise jour se
produiront. Le choix du serveur sera fait au moment de la mise en exploitation.

Le modle de scurit de la version 5 est actif par dfaut : ceci assure une
compatibilit ascendante et correspond aussi au cas le plus frquent de la
programmation des agents. Ce modle de scurit repose sur la confiance accorde au
signataire de lagent. La version 6 introduit le concept de dlgation dont le principe
est le suivant : une autorit de confiance se porte garante du signataire dun agent, de
lidentit dun utilisateur. Les droits de lautorit de confiance interviennent de
diffrentes manires selon les scnarios :
Accs une base sur un autre serveur
Sauvegarde dun agent sur serveur : utilis pour lactivation dun agent depuis le
Web avec un agent suppltif
Activation par lutilisateur diteur : utilis notamment avec lagent dabsence.
En version 8.5.1, il devient possible d'interdire un agent d'excuter des XPages.
Les restrictions dexcution des agents sont runies dans le document du serveur, dans
longlet (Scurit) et le paragraphe Restrictions de programmabilit. Une technique
simple est de disposer dune seule signature pour toutes les bases mises en
exploitation et de donner cette signature tous les droits dans le paragraphe de
restrictions de programmabilit.
10-26

DominoAdmin8-5 Tome1 Ch10

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

DominoAdmin8-5 Tome1 Ch10

Încărcat de

Drepturi de autor:

Formate disponibile

Accs serveur

Module 10 : @Les agents

Tsoft/Eyrolles Lotus Domino 8.5 : Administration

Agent Web planifi sur serveur

@Module 10 : Les agents

Rle des agents

Traitements immdiats ou planifis

Prsents dans la plupart des applications

Traiter un message reu

Copier des documents

Effectuer des traitements

Surveiller le serveur Domino - 4

Les agents effectuent des traitements sur un document ou un ensemble de documents.

Tsoft/Eyrolles Lotus Domino 8.5 : Administration

@Module 10 : Les agents

Tsoft/Eyrolles Lotus Domino 8.5 : Administration

@Module 10 : Les agents

Paramtrage du gestionnaire dagents

Trois files dattente pour les agents planifis

Update EVent Queue

Document du serveur : nombre dagents simultans

NOTES.INI : dlais lis aux files dattente

Document de configuration du serveur : agents courrier

(C) TSOFT - Lotus Domino 8 - Mise en uvre de lintranet

Surveiller le serveur Domino - 5

<Agents de prdistribution> : slectionner Active.

Tsoft/Eyrolles Lotus Domino 8.5 : Administration

@Module 10 : Les agents

AMgr_DocUpdateAgentMinInterval Dfaut : 30 minutes.

Tsoft/Eyrolles Lotus Domino 8.5 : Administration

@Module 10 : Les agents

Cliquer sur (Dfinir/modifier les paramtres)

<Elment> : slectionner AMGR_DOCUPDATEAGENTMININTERVAL

Tsoft/Eyrolles Lotus Domino 8.5 : Administration

@Module 10 : Les agents

Cliquer sur (OK)

Liste des agents planifis

Placer le curseur sur un agent : la prochaine planification est indique, ou bien la

Tsoft/Eyrolles Lotus Domino 8.5 : Administration

@Module 10 : Les agents

Tsoft/Eyrolles Lotus Domino 8.5 : Administration

@Module 10 : Les agents

Serveur dexcution de lagent

Agent menu Actions ou Lorsque vous collez des documents

Agent Courrier (avant et aprs dpt du message)

Sur le client Notes

Agent Aprs la cration ou modification de documents

Activer lagent puis slectionner

(C) TSOFT - Lotus Domino 8 Administration - Gestion et Optimisation

Surveiller le serveur Domino - 6

Slectionner lagent activer, puis cliquer sur (Rendre actif)

@Module 10 : Les agents

Tsoft/Eyrolles Lotus Domino 8.5 : Administration

@Module 10 : Les agents

Modle de scurit des agents

Modle version 5 : le signataire de lagent dtermine les droits

Sur le serveur : restrictions dexcution

Sur le client Notes : LCE, Liste de Contrle dExcution

Modle version 6 et suivantes : une autorit donne une

Trois scnarios de dlgation

Accder une base sur un autre serveur depuis un agent

Sauvegarder un agent sur serveur sans modifier le signataire

Activation dun agent par un utilisateur ayant laccs diteur

(C) TSOFT - Lotus Domino 8 Administration - Gestion et Optimisation