Sun ONE Identity Server 6.1 管理指南 |
第 19 章
核心验证属性核心验证服务是所有缺省验证服务的基本服务,也是使用验证 SPI 创建的自定义验证服务的基本服务。需要为每个希望使用任意形式验证的组织配置核心验证服务。核心验证属性由全局属性和组织属性组成。全局属性所采用的值被应用到整个 Sun ONE Identity Server 配置,并被每个已配置的组织所继承。(由于全局属性的目的在于自定义 Identity Server 应用程序,因此此类属性不能直接应用到角色和组织。)在“服务配置”下组织属性所采用的值将成为核心验证模板的缺省值。为组织注册服务之后,需要创建服务模板。组织的管理员可以在注册后更改缺省值。组织属性不会被组织中的条目所继承。核心验证属性分为:
全局属性核心验证服务中的全局属性包括:
可插接的验证模块类
该字段用于指定 Identity Server 平台中所有已配置的组织都可以使用的验证模块的 Java 类。缺省情况下,包括 LDAP、SafeWord、SecurID、应用程序、匿名、HTTP Basic、成员资格、Unix、证书、NT 和 RADIUS。Identity Server 还包括可用于添加其它验证服务的公共 SPI。要定义新的服务,该字段必须使用文本字符串以指定每个新验证服务的完整类名(包括软件包名称)。
客户机支持的验证模块
该属性用于指定特定客户机所支持的验证模块列表。格式如下所示:
clientType | module1,module2,module3
当启用了客户机检测时,该属性有效。
LDAP 连接池大小
该属性用于指定特定服务器与端口所使用的最小和最大连接池。该属性仅适用于 LDAP 和成员资格验证服务。格式如下所示:
host:port:min:max
LDAP 连接池的缺省大小
该属性用于设置要与所有 LDAP 验证模块配置一起使用的缺省最小连接池和最大连接池。如果“LDAP 连接池大小”属性中存在主机和端口条目,则不会使用“LDAP 连接池的缺省大小”中的最小及最大设置。
组织属性核心验证服务中的组织属性包括:
组织验证模块
该列表用于指定组织可以使用的验证模块。每个管理员均可以为其特定组织选择验证类型。虽然多个验证模块使用起来比较灵活,但是用户必须确保其登录设置适用于选定的验证模块。缺省验证模块为 LDAP。Identity Server 包括的验证服务有:
用户配置文件
该选项允许您为用户配置文件指定选项。
管理员验证
单击“编辑”链接允许您仅为管理员定义验证服务。管理员是需要访问 Identity Server 控制台的用户。如果需要将管理员的验证模块与最终用户的验证模块区别开来,则可以使用该属性。在 Identity Server 控制台被访问时,将使用该属性中配置的模块。
用户配置文件动态创建缺省角色
如果在用户配置文件特征中选中了“动态创建”,则该字段将指定指派给创建了配置文件的新用户的角色。该字段没有缺省值。管理员必须指定要分配给新用户的角色的 DN。
持久 Cookie 模式
该选项用于确定用户能否重新启动浏览器并仍返回其经过验证的会话。通过启用“持久 Cookie 模式”可以保留用户会话。当启用“持久 Cookie 模式”时,在用户会话的持久 Cookie 过期后或用户明确注销后,用户会话才会过期。过期时间是在“持久 Cookie 最长时间(秒)”中指定的。缺省值为未启用“持久 Cookie 模式”,且验证服务仅使用内存 Cookie。
持久 Cookie 最长时间(秒)
该字段用于指定经过多长时间后持久 Cookie 过期。(必须已通过选中相应复选框启用“持久 Cookie 模式”。)该时间间隔从成功验证用户的会话时开始计算。缺省值为 2147483(以秒为单位)。该字段可以是 0 与 2147483 之间的任意整数值。
所有用户的人员容器
在用户进行成功验证后,将检索用户配置文件。该字段中的值用于指定搜索配置文件的位置。通常情况下,该值将是缺省人员容器的 DN。添加到组织的所有用户条目被自动添加到组织的缺省人员容器中。缺省值是 ou=People,通常情况下包括组织名称和根后缀。该字段可以接受任何组织单元的有效 DN。
注
验证通过以下途径搜索用户配置文件:
最后一种搜索方式适用于 SSO 情形,在这种情形中,用于验证的用户名可能不是配置文件中的命名属性。例如,用户可能使用 jn10191 的 Safeword ID 进行验证,但配置文件却是 uid=jamie。
别名搜索属性名称
在用户进行成功验证后,将检索用户配置文件。该字段用于指定次 LDAP 属性,当根据用户命名属性中指定的首选 LDAP 属性进行搜索时,如果没有找到匹配的用户配置文件,将使用该字段指定的属性进行搜索。该属性主要用于当验证模块返回的用户标识与“用户命名属性”中指定的用户标识不相同时。例如,RADIUS 服务器可能返回 abc1234,但用户名却是 abc。该属性不存在缺省值,它可以接受任何有效的 LDAP 属性(例如 cn)。
用户命名属性
在用户进行成功验证后,将检索用户配置文件。该属性的值指定用于进行搜索的 LDAP 属性。缺省情况下,Identity Server 假定用户条目是由 uid 属性标识的。如果您的 Directory Server 使用的是其它属性(例如 givenname),请在该字段中指明属性名称。
缺省验证语言环境
该字段用于指定验证服务要使用的缺省语言子类型。缺省值为 en_US。可以在表 19-1 中找到有效语言子类型的列表。
为了使用其它语言环境,首先必须创建该语言环境的所有验证模板。然后需要为这些模板创建新的目录。有关详细信息,请参见 Sun ONE Identity Server Customization and API Guide 中的第三章“Authentication Service”。
组织验证配置
该属性用于设置组织的验证模块。缺省验证模块为 LDAP。通过单击“编辑”链接可以选择一个或多个验证模块。如果选择了多个模块,则用户需要成功通过所有选定模块的验证。
该属性中配置的模块用于对以 /server_deploy_uri/UL/Login 形式访问验证模块的用户进行验证。有关详细信息,请参见 Sun ONE Identity Server Customization and API Guide。
登录失败锁定模式
该功能用于指定用户在第一次登录失败后是否可以尝试第二次验证。选择该属性将启用锁定功能,用户将只有一次验证的机会。缺省情况下,不启用锁定功能。该属性与同锁定相关的属性和通知属性一起发挥作用。
登录失败锁定计数
该属性用于定义在“登录失败锁定间隔(分钟)”中指定的时间间隔内,用户在被锁定之前试图进行验证的次数。
登录失败锁定间隔(分钟)
该属性用于定义两次失败的登录尝试之间的时间(以分钟为单位)。如果一次登录失败并且在锁定间隔内随后的一次登录仍失败,则锁定计数将加 1。否则,将重置锁定计数。
用于发送锁定通知的电子邮件地址
该属性用于指定发生用户锁定时将会接到通知的电子邮件地址。要向多个地址发送电子邮件通知,请用空格将每个电子邮件地址分隔开。
N 次失败后警告用户
该属性用于指定在 Identity Server 发送警告消息警告用户将被锁定之前,允许发生的验证失败次数。
登录失败锁定时间(分钟)
该属性用于启用内存锁定。缺省情况下,锁定机制将使“锁定属性名称”中定义的用户配置文件失效(一次登录失败后)。如果登录失败锁定时间的值大于 0,则将在指定的时间(分钟数)内锁定其内存锁定和用户帐户。
锁定属性名称
该属性用于指定所有要设置为锁定的 LDAP 属性。还必须更改“锁定属性值”中的值以启用该属性名称的锁定。缺省情况下,在 Identity Server 控制台中“锁定属性名称”为空。当用户被锁定并且登录失败锁定时间设置为 0 时,缺省实现值为 inetuserstatus(LDAP 属性)和 inactive。
锁定属性值
该属性用于指定对于“锁定属性名称”中定义的属性启用或禁用锁定。缺省情况下,对于 inetuserstatus 值设置为 0。
缺省成功登录 URL
该字段用于指定验证成功后用户被重定向到的 URL,它可以接受任何有效的 URL。成功登录 URL 设置于 remote-auth.dtd 中的 LoginStatus 元素中。有关详细信息,请参见 Sun ONE Identity Server Customization and API Guide。
缺省失败登录 URL
该字段用于指定验证失败后用户被重定向到的 URL,它可以接受任何有效的 URL。失败登录 URL 设置于 remote-auth.dtd 中的 LoginStatus 元素中。有关详细信息,请参见 Sun ONE Identity Server Customization and API Guide。
验证后处理类
该字段指定用于为成功或不成功登录自定义登记验证过程的 Java 类的名称。示例:
com.abc.authentication.PostProcessClass
该 Java 类必须实现以下 Java 接口:
com.sun.identity.authentication.spi.AMPostAuthProcessInterface
另外,必须将类所在的路径添加到 Web Server 的“Java Classpath”属性中。
用户名生成器模式
该属性适用于成员资格验证模块。如果启用了该属性字段,则成员资格模块可以在自注册过程中生成特定用户的用户 ID(如果用户 ID 已经存在)。用户 ID 是从在“可插接用户名生成器类”中指定的 Java 类生成的。
可插接用户名生成器类
该字段用于指定当启用了“用户名生成器模式”时,用来生成用户 ID 的 Java 类的名称。
缺省验证级别
验证级别值表示信任验证的程度。用户进行验证之后,该值将存储在会话的 SSO 令牌中。SSO 令牌被提交到用户要访问的应用程序时,该应用程序使用存储的值来判断验证级别是否足够高,以确定是否允许用户访问。如果 SSO 令牌中存储的验证级别没有达到所需的最小级别,应用程序将提示用户使用具有较高验证级别的服务再次进行验证。
验证级别应该在组织的特定验证模板中进行设置。这里所描述的“缺省验证级别”值只有在“验证级别”字段中没有为特定组织的验证模板指定验证级别时才适用。“缺省验证级别”的缺省值为 0。(该属性中的值不是由 Identity Server 使用,而是由可能选择使用它的外部应用程序所使用。)