| Sun ONE Identity Server 6.1 管理指南 |
第 3 章
服务配置本章介绍 Sun™ ONE Identity Server 的服务管理功能。“服务配置”界面提供了查看、管理和配置所有 Identity Server 服务及其值(缺省值和自定义值)的方法,以及配置 Identity Server 控制台显示设置的方法。本章包含以下内容:
服务的定义服务是一组在通用名称下定义的属性。属性定义服务向组织提供的参数。例如,在开发工资单服务过程中,开发人员可能会决定包含定义员工姓名、小时工资率和免税额的属性。当服务被注册到组织时,组织可以在其条目的配置中使用这些属性。
Identity Server 使用可扩展标记语言 (XML) 定义服务。服务管理服务文档类型定义 (sms.dtd) 定义服务 XML 文件的结构。该文件位于以下目录:
IdentityServer_base/SUNWam/dtd/
有关定义 Identity Server 服务的详细信息,请参见 Sun ONE Identity Server Customization and API Guide。
Identity Server 服务Identity Server 附带的缺省服务由位于以下目录中的 XML 文件来定义:
IdentityServer_base/SUNWamconfig/xml
通过“服务配置”界面配置其中的某些服务可以为 Identity Server 应用程序定义值。另外一些服务被注册到在 Identity Server 中配置的特定组织,用于为该组织定义缺省值。
管理服务
管理服务既允许在应用程序级别(类似于 Identity Server 应用程序的“首选项”或“选项”菜单)配置控制台,也允许在已配置的组织级别(已配置组织特有的“首选项”或“选项”菜单)配置控制台。
验证服务
共有十个验证模块,其中一个是基本模块。这就允许管理员选择每个已定义的组织检验其用户授权的方法。
匿名
该模块允许在不指定用户名和密码的情况下登录。匿名连接对服务器的访问受到限制,并由管理员进行自定义。
基于证书
该模块允许通过个人数字证书 (PDC) 登录。
核心
该模块是 Identity Server 验证服务的总体配置基础。要使用任一特定服务,必须先注册并配置该模块。它允许管理员定义缺省值,匿名服务、基于证书的服务、HTTP Basic 服务、LDAP 服务、成员资格服务、NT 服务、RADIUS 服务、SafeWord 服务、SecurID 服务和 Unix 服务中未专门进行设置的值将采用这些缺省值。
HTTP Basic
该模块使用基本验证,该验证是 HTTP 协议的内置验证支持。
LDAP
该模块允许使用 LDAP 绑定进行验证,LDAP 绑定是一种将密码与特定 LDAP 条目关联起来的操作。
成员资格(自注册)
该模块允许新用户进行自注册,以使用登录和密码进行验证。
NT
该模块允许使用 Windows NT™/2000™ 服务器来验证用户。为了实现 NT 验证模块,必须下载并安装 Samba Client (smbclient) 2.2.2。
RADIUS
该模块允许使用外部远程验证拨入用户服务 (RADIUS) 服务器来验证用户。
为使 RADUIS 验证服务与 Sun ONE Application Server 一起正常工作,您必须配置 Application Server 的 service.policy 文件。有关此操作的说明,请参见验证选项。
SafeWord
该模块允许使用 Secure Computing 的 SafeWord™ 或 SafeWord PremierAccess™ 验证服务器来验证用户。
为使 SafeWord 验证服务与 Sun ONE Application Server 一起正常工作,您必须配置 Application Server 的 service.policy 文件。有关此操作的说明,请参见验证选项。
SecurID
该模块允许使用 RSA ACE/Server® 验证软件和 SecurID® 认证器来验证用户。Solaris x86 不支持该服务。
Unix
该模块允许使用 Unix® 服务器来验证使用 UNIX 标识和密码的用户。
验证配置服务
验证配置服务允许您为角色、用户、服务和组织配置验证,以设置用于确定验证模块优先级的规则。
客户机检测服务
客户机检测服务允许 Identity Server 检测正在访问的浏览器的客户机类型,并允许管理员根据客户机类型添加和配置设备。
全球化设置服务
全球化设置包含可以针对不同字符集配置 Identity Server 的属性。
日志服务
管理员使用日志服务来配置 Identity Server 应用程序的日志函数的值。这些值包括日志文件的大小和日志文件的位置等。
命名服务
命名服务用于为各种其它 Identity Server 服务(例如会话、验证和日志)获取和设置 URL、插件、配置以及请求通知。
密码重置服务
密码重置服务使用户能够接收遗忘的密码,或重置其用于访问受 Identity Server 保护的给定服务或应用程序的密码。密码重置服务属性由顶层管理员定义,它可以控制用户验证凭证(以“秘密问题”形式)、控制新的或现有的密码通知机制,和设置不正确的用户验证的可能的锁定间隔。
平台服务
通过平台服务可以将附加服务器添加到 Identity Server 配置以及在 Identity Server 应用程序的顶层应用的其它选项中。
策略配置服务
策略配置服务定义在策略管理和策略评估过程中策略框架将要使用的值。
SAML 服务
安全断言标记语言 (SAML) 服务定义了一个在各个安全授权机构之间交换安全断言的框架,以便在提供验证和授权服务的不同平台上实现协同工作。
会话服务
会话服务为已验证的用户会话定义值,例如最大会话时间和最大空闲时间。
用户服务
缺省的用户首选项是通过用户服务来定义的。(这些首选项包括时区、语言环境和 DN 起始视图)。
属性类型构成 Identity Server 服务的属性可分为以下类型:动态、策略、用户、组织和全局。使用这些类型再细分各个服务中的属性能够更加统一地安排服务模式,还能够更加轻松地管理服务参数。
动态属性
可以将动态属性指定给 Identity Server 已配置的角色或组织。当角色被指定给用户,或在组织中创建用户时,动态属性将变为用户的一个特征。例如,为组织的员工创建一个角色。该角色可以包含组织的地址和传真号码,这两项对于所有员工来说都是固定的。将该角色指定给每个员工时,每个员工均将继承这些动态属性。
用户属性
这些属性被直接指定给各个用户。用户不从角色或组织处继承这些属性,对于每个用户来说,这些属性通常是不同的。例如,用户 ID、员工编号和密码都是用户属性。可以通过修改 amUser.xml 文件来添加或删除用户服务中的用户属性。有关详细信息,请参见 Sun ONE Identity Server Customization and API Guide。
组织属性
组织属性只指定给组织。在这方面它们与动态属性相似,但又与动态属性不同,因为它们不由子树中的条目继承。并且,对象类与组织属性不相关。验证服务中列出的属性被定义为组织属性,因为验证是在组织级别进行的,而不是在子树或用户级别进行的。
全局属性
全局属性被应用到整个 Identity Server 配置中。由于全局属性的目的在于自定义 Identity Server 应用程序,因此不能将它们应用到用户、角色和组织中。Identity Server 配置中只有一个全局属性的实例。对象类与全局属性不相关。全局属性的示例包括:日志文件的大小、日志文件的位置、端口号或 Identity Server 能够用于访问数据的服务器 URL。
策略属性
策略属性指定了与服务相关的访问控制操作(或特权)。在将规则添加到策略时,这些属性将成为规则的一部分。
“服务配置”界面服务是通过“服务配置”模块进行配置和管理的。可以使用 XML(基于 Identity Server 服务文档类型定义或 DTD)编写 Identity Server 缺省服务包中未包含的特定于组织的服务,然后将其添加到“其它配置”标题下的界面中。您可以在第 3 部分“属性参考指南”中找到有关如何进行此操作的说明,这部分内容介绍了缺省的服务及其相应属性的定义。
“服务配置”模块用于显示全局级别的服务配置。换句话说,它是 Identity Server 中所有可用服务(无论是否注册了这些服务)的缺省配置的视图。当组织注册并激活了某项服务后,指定给该服务的初始缺省数据将显示在该服务的“服务配置”页面中。图 3-1 显示了图形用户界面。
图 3-1 “服务配置”视图
通过选择“服务配置”模块可以访问“服务配置”视图。浏览框中将显示所有已定义的 Identity Server 服务的列表。要为服务设置全局缺省值,请选择服务名称旁边的属性箭头。该服务的属性将显示在数据框中。
