Sun ONE Identity Server 6.1 管理指南 |
第 16 章
管理服务属性管理服务由全局属性和组织属性组成。全局属性所采用的值将被应用到整个 Sun ONE Identity Server 配置中,并被所有已配置的组织所继承。由于全局属性的目的在于自定义 Identity Server 应用程序,因此此类属性不能直接应用到角色和组织。组织属性所采用的值是各个已配置的组织的缺省值,当服务注册到组织时,这些值可以更改。组织属性不会被组织项继承。管理属性可分为:
全局属性管理服务中的全局属性包括:
启用联合管理
选中该字段将启用联合管理。缺省情况下将选中该字段。要禁用此功能,请取消选择该字段。控制台中将不再显示“联合管理服务”选项卡。
启用用户管理
选中该字段将启用用户管理。缺省情况下将启用该字段。
显示人员容器
该属性用于指定是否在 Identity Server 控制台中显示“人员容器”。如果选中该选项,组织、容器和组容器的“查看”菜单中将显示“人员容器”菜单选项。仅在平面结构的 DIT 的顶层才会显示“人员容器”。
人员容器是包含用户配置文件的组织单元。建议在 DIT 中只使用一个人员容器,并利用角色的灵活性来管理帐户和服务。Identity Server 控制台在缺省情况下会隐藏人员容器。但是,如果 DIT 中有多个人员容器,请选择“显示人员容器”以将人员容器显示为 Identity Server 控制台中的管理对象。
在菜单中显示容器
该属性用于指定是否在 Identity Server 控制台的“查看”菜单中显示所有容器。缺省值是 false。管理员可以选择以下两个值之一:
显示组容器
该属性用于指定是否在 Identity Server 控制台中显示“组容器”。如果选中该选项,组织、容器和组容器的“查看”菜单中将显示“组容器”菜单选项。组容器是组的组织单元。
管理的组类型
该选项用于指定通过控制台创建的是静态订阅组还是动态订阅组。控制台将创建并显示静态订阅组和/或动态订阅组。(不管为这个属性指定了何值,始终都支持过滤组。)缺省值是 Dynamic。
- 通过使用 groupOfNames 或 groupOfUniqueNames 对象类,静态组明确列出每个组成员。组条目包含组中每个成员的 uniqueMember 属性。可以手动添加静态组成员;用户条目本身将保持不变。静态组适用于成员较少的组。
- 动态组使用每个组成员条目中的 memberOf 属性。通过使用 LDAP 过滤器来搜索并返回所有包含 memberOf 属性的条目,可以生成动态组成员。动态组适用于成员较多的组。
- 过滤组使用 LDAP 过滤器来搜索并返回符合过滤器要求的成员。例如,过滤器可以生成具有特定 uid (uid=g*) 或电子邮件地址 (email=*@sun.com) 的成员。在示例中,LDAP 过滤器将分别返回 uid 以 g 开头和电子邮件地址以 sun.com 结尾的所有用户。只能在“用户管理”视图中通过选择“过滤成员”来创建过滤组。
管理员可以选择以下选项之一:
缺省角色权限 (ACI)
该属性定义用于在创建新角色时授予管理员特权的缺省访问控制指令 (ACI) 或权限列表。可以根据所需的特权级别来选择某个 ACI。Identity Server 在出厂时设置了四种缺省角色权限:
无权限
对角色不设置权限。
组织管理员
组织管理员拥有对已配置的组织中所有条目的读写权限。
组织帮助台管理员
组织帮助台管理员拥有对已配置的组织中所有条目的读取权限以及对 userPassword 属性的写入权限。
组织策略管理员
组织策略管理员拥有对组织中所有策略的读写权限。组织策略管理员不能创建对等组织的侯选策略。
注
使用 aci_name | aci_desc | dn:aci ## dn:aci ## dn:aci 格式定义角色,其中:
aci_name 和 aci_desc 是 amAdminUserMsgs.properties 文件中包含的 i18n key。控制台中显示的值来自 .properties 文件,可以使用这两个关键字来检索这些值。
启用域组件树
域组件树(DC 树)是许多 Sun ONE 组件使用的特定 DIT 结构,用于在 DNS 名称和组织条目之间建立映射。
如果在创建组织时输入了组织的 DNS 名称,则启用该选项将创建组织的 DC 树条目。“创建组织”页面中将显示“DNS 名称”字段。该选项仅适用于顶层组织,对于子组织将不显示该选项。
通过 Identity Server SDK 对组织树中的 inetdomainstatus 属性所作的任何状态更改将会更新相应的 DC 树条目状态。(不是通过 Identity Server SDK 进行的状态更新将不会同步进行。)例如,如果创建一个 DNS 名称属性为 sun.com 的新组织:sun,则将在 DC 树中创建以下条目:
dc=sun,dc=com,o=internet,root suffix
通过在 AMConfig.properties 中设置 com.iplanet.am.domaincomponent,可以选择性地配置 DC 树的根后缀。缺省情况下,它将被设置成 Identity Server 的根。如果需要其它后缀,则需要使用 LDAP 命令创建后缀。需要修改创建组织的管理员的 ACI,以使他们能够无限制地访问新的 DC 树根。
启用管理员组
该选项用于指定是否创建 DomainAdministrators 和 DomainHelpDeskAdministrators 组。如果选中该选项 (true),将创建这些组,并将其分别与组织管理员角色和组织帮助台管理员角色关联。创建成功后,当在某个关联的角色中添加或删除用户时,对应的组中也将自动添加或删除该用户。但是该操作不能反向进行。在某个组中添加或删除用户时,用户关联的角色中不会添加或删除该用户。
只有在启用该选项后创建的组织中才能创建 DomainAdministrators 和 DomainHelpDeskAdministrators 组。
注
该选项不适用于子组织,但 root org 除外。对于 root org,将创建 ServiceAdministrators 和 ServiceHelpDeskAdministrators 组,并将其分别与顶层管理员和顶层帮助台管理员角色关联。上面的操作同样适用于该组织。
启用符合用户删除
该选项指定是否从目录中删除用户条目或只是将用户条目标记为已删除。如果在选中该选项 (true) 的情况下删除用户条目,则用户条目将仍然存在于目录中,只是将被标记为已删除。Directory Server 搜索时不会返回标记为已删除的用户条目。如果未选中该选项,将从目录中删除用户条目。
动态管理员角色 ACI
该属性用于定义管理员角色的访问控制指令,其中的管理员角色是在使用 Identity Server 配置组或组织时动态创建的。这些角色用于为创建的特定条目分组授予管理特权。仅在该属性列表中才能修改缺省 ACI。
容器帮助台管理员
容器帮助台管理员角色拥有对组织单元内所有条目的读取权限,但仅对自身容器单元中用户条目的 userPassword 属性拥有写入权限。
组织帮助台管理员
组织帮助台管理员拥有对组织中所有条目的读取权限以及对 userPassword 属性的写入权限。
容器管理员
容器管理员角色拥有对 LDAP 组织单元中所有条目的读写权限。在 Identity Server 中,LDAP 组织单元通常被称为容器。
组织策略管理员
组织策略管理员具有对所有策略的读写权限,可以创建、指定、修改和删除自身组织内的所有策略。
人员容器管理员
缺省情况下,新创建的组织中的所有用户条目都是该组织的人员容器的成员。人员容器管理员对该组织的人员容器中的所有用户条目都具有读写权限。请注意,该角色“并不”具有对包含角色和组 DN 的属性的读写权限,因此他们不能修改角色和组的属性,也不能从角色或组中删除用户。
组管理员
组管理员对特定组的所有成员具有读写权限,可以创建新用户、将用户指定到自己所管理的组以及删除自己创建的用户。
创建组时,将自动生成组管理员角色,并赋予管理组所必需的特权,但不会将角色自动指定到组成员。角色必须由组创建者或任何拥有组管理员角色权限的人员来指定。
顶层管理员
顶层管理员拥有对顶层组织中所有条目的读写权限。换句话说,顶层管理员角色具有 Identity Server 应用程序内所有配置负责人所拥有的特权。
组织管理员
组织管理员拥有对组织中所有条目的读写权限。创建组织时将自动生成组织管理员角色,该角色拥有管理组织所必需的特权。
用户配置文件服务类
该属性列出了“用户配置文件”页面中具有自定义显示的服务。对于某些服务来说,由控制台生成的缺省显示不能完全满足需要。该属性可为任何服务创建自定义显示,利用它可以完全控制服务信息的显示内容和显示方式。其语法如下所示:
service name | relative url
DC 节点属性列表
该字段用于定义当创建对象时将在 DC 树条目中设置的属性集。缺省参数包括:
- maildomainwelcomemessage
- preferredmailhost
- mailclientattachmentquota
- mailroutingsmarthost
- mailroutingsmarthost
- mailroutingsmarthost
- mailaccessproxyreplay
- preferredlanguage
- domainuidseparator
- maildomainmsgquota
- maildomainallowedserviceaccess
- preferredmailmessagestore
- maildomaindiskquota
- maildomaindiskquota
- objectclass=maildomain
- mailroutinghosts
用于删除的对象的搜索过滤器
该字段定义当启用用户符合删除模式时,用于要删除的对象的搜索过滤器。
组织属性管理服务中的组织属性包括:
组缺省人员容器
该字段用于指定在创建用户时,用户将被放到缺省人员容器中。该字段没有缺省值。其有效值是人员容器的 DN。有关人员容器属性为空时的替代顺序,请参见组人员容器列表属性下的说明。
组人员容器列表
该字段用于指定人员容器列表,组管理员在创建新用户时会从中选择人员容器。如果目录树中存在多个人员容器,则可以使用该列表。(如果没有在这个列表和“组缺省人员容器”字段中指定“人员容器”,则将在缺省的 Identity Server人员容器 ou=people 中创建用户。)该字段不存在缺省值。该属性的语法如下所示:
group name|dn of people container
用户配置文件显示类
该属性指定显示“用户配置文件”页面时,Identity Server 控制台使用的 Java 类。
显示用户的角色
该选项用于指定是否在用户的“用户配置文件”页面中显示指定给用户的角色列表。如果值为 false(即未选中该选项),则“用户配置文件”页面将只对管理员显示用户的角色。缺省值是 false。
显示用户的组
该选项用于指定是否在用户的“用户配置文件”页面中显示指定给用户的组列表。如果值为 false(即未选中该选项),则“用户配置文件”页面将只对管理员显示用户的组。缺省值是 false。
用户组自订阅
该选项用于指定用户是否能够将自身添加到可以自由订阅的组。如果值为 false,则“用户配置文件”页面将只允许管理员修改用户的组成员资格。缺省值是 false。
用户配置文件显示选项
该菜单用于指定“用户配置文件”页面中显示的服务属性。管理员可以选择以下选项之一:
用户创建缺省角色
该列表用于定义将被自动指定给新创建的用户的角色。该字段没有缺省值。管理员可以输入一个或多个角色的 DN。
查看菜单条目
该字段列出控制台顶部的“查看”菜单中要显示的服务的 Java 类。语法是 i18N key | java class name。(i18N key 是“查看”菜单中条目的本地化名称。)
搜索返回的结果的最大数目
该字段定义搜索返回的结果的最大数目。缺省值是 100。
搜索的超时时间(秒)
该字段用于定义在执行多长时间(以秒为单位)后搜索将超时。它可用于终止可能耗时过长的搜索。达到最大搜索时间后,将返回错误信息。缺省值是 5 秒。
JSP 目录名称
该字段用于指定包含 .jsp 文件的目录名称,该 .jsp 文件用于构造控制台,以使组织具有一个不同的外观(自定义)。.jsp 文件需要复制到该字段指定的目录中。
联机帮助文档
该字段列出将在 Identity Server 主帮助页上创建的联机帮助链接。这样,其它应用程序也可以在 Identity Server 页面中添加自己的联机帮助链接。该属性的格式如下:
linki18nkey | 单击时要装入的 html 页 | i18n 属性文件
例如:
IdentityServer Help | /AMAdminHelp.html | amAdminModuleMsgs
所需的服务
该字段列出创建用户条目时动态添加的服务。管理员可以选择创建时要添加的服务。
该属性不适用于控制台,但适用于 Identity Server SDK。动态创建和通过 amadmin 命令行实用程序创建的用户,将被指定此属性中列出的服务。
用户搜索关键字
该属性用于定义在“导航”页中进行搜索时依据的属性名称。该属性的缺省值是 cn。例如,如果该属性使用缺省值,则:
在“导航”框中的“名称”字段内输入 j* 后,将显示名称以“j”或“J”开头的用户。
用户搜索返回属性
该字段定义当显示简单搜索返回的用户时,使用的属性名,缺省值为 uid cn。这将显示用户 ID 和用户的全名。
列出的第一个属性名称还将作为对要返回的用户集进行排序时使用的关键字。为避免性能下降,应使用在用户条目中设置了属性值的属性。
用户创建通知列表
该字段用于定义在创建新用户时,要向其发送通知的电子邮件地址列表。可以指定多个电子邮件地址,语法如下:
e-mail|locale|charset
e-mail|locale|charset
e-mail|locale|charset
通过使用 |locale 选项,通知列表还可以接受不同的语言环境。例如,将通知发送到在法国的管理员:
someuser@example.com|fr|fr
有关语言环境的列表,请参见表 19-1。
注
通过修改 amProfile.properties(缺省情况下位于 IdentityServer_base/Identity-Server/SUNWam/locale 中)中的属性 497,可以更改发送者电子邮件 ID。
用户删除通知列表
该字段用于定义在删除用户时,要向其发送通知的电子邮件地址列表。可以指定多个电子邮件地址,语法如下:
e-mail|locale|charset
e-mail|locale|charset
e-mail|locale|charset
通过使用 |locale 选项,通知列表还可以接受不同的语言环境。例如,将通知发送到在法国的管理员:
someuser@example.com|fr|fr
有关语言环境的列表,请参见表 19-1。
注
通过修改 amProfile.properties(缺省情况下位于 IdentityServer_base/Identity-Server/SUNWam/locale 中)中的属性 497,可以更改发送者电子邮件 ID。缺省的发送者 ID 是 DSAME。
用户修改通知列表
该字段用于定义属性及其关联的电子邮件地址列表。如果修改了列表中定义的用户属性,将向该属性关联的电子邮件地址发送通知。每个属性都可以有不同的关联地址集。可以指定多个电子邮件地址,语法如下:
attrName e-mail|locale|charset e-mail|locale|charset .....
attrName e-mail|locale|charset e-mail|locale|charset .....
self 关键字可以用于代替某个地址。这时将向其配置文件被修改的用户发送电子邮件。
例如:
manager someuser@sun.com|self|admin@sun.com
邮件将被发送到 manager 属性中指定的地址:someuser@sun.com、admin@sun 以及修改用户的人员 (self)。
通过使用 |locale 选项,通知列表还可以接受不同的语言环境。例如,将通知发送到在法国的管理员:
manager someuser@sun.com|self|admin@sun.com|fr
有关语言环境的列表,请参见表 19-1。
每页的最大条目数目
该属性允许您定义每页可以显示的最大行数。缺省值是 25。例如,如果某个用户搜索返回 100 行,将用 4 页来显示该结果,每页上显示 25 行。
显示选项
该属性用于添加值,以配置 Identity Server 控制台中的显示选项。输入值并单击“添加”以配置显示选项。值可以为:
表 16-1 显示选项值
事件侦听程序类
该属性包含用于接收 Identity Server 控制台中创建、修改和删除事件的侦听程序的列表。
处理前和处理后的类
该字段通过插件定义实现类列表,这些插件会扩展 com.iplanet.am.sdk.AMCallBack 类,以接收在处理对用户、组织、角色和组的操作前和处理后之间的回叫。这些操作包括:
必须输入插件的完整类名。例如:
com.iplanet.am.sdk.AMCallbacSample
然后,必须更改 Web 容器的类路径(从安装 Identity Server 时的基础组织),以包含插件类位置的完整路径。
启用外部属性获取
该选项启用插件的回叫以检索外部属性(所有专用于外部应用程序的属性)。外部属性不会缓存在 Identity Server SDK 中,因此该属性允许您在各个组织级别启用属性检索。缺省情况下,不启用该选项。