第 22 章成员资格验证属性

成员资格验证属性是组织属性。在“服务配置”下成员资格验证属性采用的值将成为成员资格验证模板的缺省值。为组织注册服务之后，需要创建服务模板。组织的管理员可以在注册后更改缺省值。组织属性不会被组织子树中的条目继承。成员资格验证属性包括：

最小密码长度

该字段用于指定自注册过程中设置密码时要求的最小字符数。缺省值为 8。

如果更改了该值，还应在以下文件的注册和错误文本中对其进行更改：

IdentitySever_base/locale/amAuthMembership.properties (PasswdMinChars entry)

缺省用户角色

该字段用于指定分配给新用户的角色，这些用户的配置文件是通过自注册创建的。该字段没有缺省值。管理员必须指定要分配给新用户的角色的 DN。



注	所指定的角色必须位于正在为其配置验证的组织下。在自注册过程中，只能添加可以指派给用户的角色。所有其它 DN 将被忽略。

注册后的用户状态

该菜单用于指定服务是否立即可以供已自注册的用户使用。缺省值为 Active，服务可供新用户使用。通过选中 Inactive，管理员不对新用户提供服务。

主 LDAP 服务器和端口

该字段指定 Identity Server 安装过程中指定的主 LDAP 服务器的主机名和端口号。这是 LDAP 验证时搜索的首选服务器。格式为：hostname:port。（如果没有端口号，将采用 389）。

如果在多个域部署 Identity Server，可以按以下格式（如果指定多个条目，条目前面必须带有本地服务器名称）指定 Identity Server 和 Directory Server 的特定实例之间的通信链接：

例如，如果您在不同位置（L1-machine1-IS 和 L2- machine2-IS）部署两个 Identity Server，它们分别与 Identity Server 的不同实例（L1-machine1-DS 和 L2-machine2-DS）进行通信，格式如下：

L1-machine1-IS.example.com|L1-machine1-DS.example.com:389 L2-machine2-IS.example.com|L2-machine2-DS.example.com:389

辅助 LDAP 服务器和端口

该字段指定 Identity Server 平台上可用的辅助 LDAP 服务器的主机名和端口号。如果主 LDAP 服务器对验证请求不响应，则将会搜索辅助服务器。如果主服务器恢复正常，Identity Server 将切换回主服务器。格式仍为 hostname:port。如果指定多个条目，条目前面必须带有本地服务器名称。



注意	当验证来自远离 Identity Server 企业的 Directory Server 的用户时，主 LDAP 服务器和辅助 LDAP 服务器的端口都具有值十分重要。两个字段可以使用一个 Directory Server 位置的值。

起始用户搜索的 DN

该字段指定节点的 DN，将从该 DN 开始搜索用户。（为了获取较好性能，DN 应当尽可能明确。）缺省值是目录树的根。可以接受任何有效的 DN。如果使用了多个条目，条目前面必须带有本地服务器名称。



注	如果有多个用户与同一个搜索相匹配，则验证将会失败。

root 用户绑定的 DN

该字段用于指定用户的 DN，该用户将作为管理员被绑定到“主 LDAP 服务器和端口”字段中指定的 Directory Server。验证服务需要以该 DN 进行绑定，以便基于用户的登录 ID 来搜索匹配的用户 DN。缺省值为 amldapuser。可以接受任何有效的 DN。

root 用户绑定的密码

该字段的取值为在“root 用户绑定的 DN”字段中所指定的管理员配置文件密码。该字段没有缺省值。仅接受管理员的有效 LDAP 密码。

root 用户绑定的密码（确认）

用户命名属性

该字段用于指定用户条目命名惯例的属性。缺省情况下，Identity Server 假定用户条目是由 uid 属性标识的。如果您的 Directory Server 使用的是其它属性（例如 givenname），请在该字段中指明属性名称。

用户条目搜索属性

该字段列出用于为将被验证的用户形成搜索过滤器的属性，并允许用户在用户条目中使用多个属性进行验证。例如，如果该字段被设置成 uid、employeenumber 和 mail，则用户可以使用这些名称中的任意一个来进行验证。

用户搜索过滤器

该字段指定一个属性，用于在“起始用户搜索的 DN”字段中搜索用户。它与“用户命名”属性共同发挥作用。该字段没有缺省值。可以接受任何有效的用户条目属性。

搜索范围

该菜单指明 Directory Server 中搜索匹配的用户配置文件时所用的级别号。从“起始用户搜索的 DN”属性中指定的节点开始搜索。缺省值为 SUBTREE。可以从列表中选择以下选项之一：

OBJECT — 仅搜索指定的节点

ONELEVEL — 搜索指定节点一级及其下面一级

SUBTREE — 搜索指定节点及以下的所有条目

对 LDAP 服务器启用 SSL

该选项用于启用 SSL 来访问“主/辅助 LDAP 服务器和端口”字段中指定的 Directory Server。缺省情况下未选中该复选框，SSL 协议不用于访问 Directory Server。

将用户 DN 返回到验证

当 Identity Server 目录与为 LDAP 配置的目录相同时，则可能启用了该选项。如果启用了该选项，LDAP 验证模块将返回 DN，而不是 userId，并且不需要进行搜索。通常情况下，验证模块仅返回 userId，且验证服务搜索本地 Identity Server LDAP 中的用户。如果使用了外部 LDAP 目录，则通常不启用该选项。

验证级别

各种验证方法都单独设置了验证级别。验证级别值表示信任验证的程度。用户进行验证之后，该值将存储在会话的 SSO 令牌中。当 SSO 令牌传递到用户要访问的应用程序时，应用程序将根据存储的值来确定级别是否足以授予用户访问权限。如果 SSO 令牌中存储的验证级别没有达到所需的最小级别，应用程序将提示用户使用具有较高验证级别的服务再次进行验证。缺省值为 0。



注	如果未指定任何验证级别，核心验证属性“缺省验证级别”中指定的值将会存储到 SSO 令牌中。有关详细信息，请参见缺省验证级别。