|
| |
| Sun Java System Identity Server 2004Q2 管理指南 | |
第 17 章
管理服务属性管理服务由全局属性和组织属性组成。全局属性所采用的值将被应用到整个 Sun Java System Identity Server 配置中,并被所有已配置的组织所继承。由于全局属性的目的在于自定义 Identity Server 应用程序,因此此类属性不能直接应用到角色和组织。组织属性所采用的值是各个已配置的组织的默认值,当服务注册到组织时,这些值可以更改。组织属性不会被组织项继承。管理属性可分为:
全局属性管理服务中的全局属性包括:
启用联合管理
选中该字段将启用联合管理。默认情况下将选中该字段。要禁用此功能,请取消选择该字段。控制台中将不再显示“联合管理服务”选项卡。
启用用户管理
选中该字段将启用用户管理。默认情况下将启用该字段。
显示用户容器
该属性用于指定是否在 Identity Server 控制台中显示“用户容器”。如果选中该选项,组织、容器和组容器的“查看”菜单中将显示“用户容器”菜单选项。仅在平面结构的 DIT 的顶层才会显示“用户容器”。
用户容器是包含用户配置文件的组织单元。建议在 DIT 中只使用一个用户容器,并利用角色的灵活性来管理帐户和服务。Identity Server 控制台在默认情况下会隐藏用户容器。但是,如果 DIT 中有多个用户容器,请选择“显示用户容器”以将用户容器显示为 Identity Server 控制台中的管理对象。
在视图菜单中显示容器
该属性用于指定是否在 Identity Server 控制台的“查看”菜单中显示所有容器。默认值是 false。管理员可以选择以下两个值之一:
显示组容器
该属性用于指定是否在 Identity Server 控制台中显示“组容器”。如果选中该选项,组织、容器和组容器的“查看”菜单中将显示“组容器”菜单选项。组容器是组的组织单元。
管理的组类型
该选项用于指定通过控制台创建的是静态订阅组还是动态订阅组。控制台将创建并显示静态订阅组和/或动态订阅组。(不管为这个属性指定了何值,始终都支持过滤组。)默认值是 Dynamic。
- 通过使用 groupOfNames 或 groupOfUniqueNames 对象类,静态组明确列出每个组成员。组条目包含组中每个成员的 uniqueMember 属性。可以手动添加静态组成员;用户条目本身将保持不变。静态组适用于成员较少的组。
- 动态组使用的是每个组成员条目中的 memberOf 属性。通过使用 LDAP 过滤器来搜索并返回所有包含 memberOf 属性的条目,可以生成动态组成员。动态组适用于成员较多的组。
- 过滤组使用 LDAP 过滤器来搜索并返回符合过滤器要求的成员。例如,过滤器可以生成具有特定 uid (uid=g*) 或电子邮件地址 (email=*@sun.com) 的成员。在示例中,LDAP 过滤器将分别返回 uid 以 g 开头和电子邮件地址以 sun.com 结尾的所有用户。只能在“用户管理”视图中通过选择“过滤成员”来创建过滤组。
管理员可以选择以下选项之一:
默认角色权限 (ACI)
该属性定义用于在创建新角色时授予管理员特权的默认访问控制指令 (ACI) 或权限列表。可以根据必需的特权级别来选择某个 ACI。Identity Server 在出厂时设置了四种默认角色权限:
无权限
对角色不设置权限。
组织管理员
组织管理员拥有对已配置的组织中所有条目的读写权限。
组织帮助台管理员
组织帮助台管理员拥有对已配置的组织中所有条目的读取权限以及对 userPassword 属性的写入权限。
组织策略管理员
组织策略管理员拥有对组织中所有策略的读写权限。组织策略管理员不能创建对等组织的侯选策略。
注
使用 aci_name | aci_desc | dn:aci ## dn:aci ## dn:aci 格式定义角色,其中:
aci_name 和 aci_desc 是 amAdminUserMsgs.properties 文件中包含的 i18n key。控制台中显示的值来自 .properties 文件,可以使用这两个关键字来检索这些值。
启用域组件树
域组件树(DC 树)是许多 Sun Java System 组件使用的特定 DIT 结构,用于在 DNS 名称与组织的条目之间建立映射。
如果在创建组织时输入了组织的 DNS 名称,则启用该选项将创建组织的 DC 树条目。“创建组织”页面中将显示“DNS 名称”字段。该选项仅适用于顶层组织,对于子组织将不显示该选项。
通过 Identity Server SDK 对组织树中的 inetdomainstatus 属性所作的任何状态更改将会更新相应的 DC 树条目状态。(不是通过 Identity Server SDK 进行的状态更新将不会同步进行。)例如,如果创建一个 DNS 名称属性为 sun.com 的新组织:sun,则将在 DC 树中创建以下条目:
dc=sun,dc=com,o=internet,root suffix
通过在 AMConfig.properties 中设置 com.iplanet.am.domaincomponent,可以选择性地配置 DC 树的根后缀。默认情况下,它将被设置成 Identity Server 的根。如果需要其他后缀,则需要使用 LDAP 命令创建后缀。需要修改创建组织的管理员的 ACI,以使他们能够无限制地访问新的 DC 树根。
启用管理组
该选项用于指定是否创建 DomainAdministrators 和 DomainHelpDeskAdministrators 组。如果选中该选项 (true),将创建这些组,并将其分别与组织管理员角色和组织帮助台管理员角色关联。创建成功后,当在某个关联的角色中添加或删除用户时,对应的组中也将自动添加或移除该用户。但是该操作不能反向进行。当在其中的某个组中添加或移除用户时,不会在该用户的关联角色中添加或移除该用户。
只有在启用该选项后创建的组织中才能创建 DomainAdministrators 和 DomainHelpDeskAdministrators 组。
注
该选项不适用于子组织,但 root org 除外。对于 root org,将创建 ServiceAdministrators 和 ServiceHelpDeskAdministrators 组,并将其分别与顶层管理员和顶层帮助台管理员角色关联。上面的操作同样适用于该组织。
启用符合用户删除
该选项指定是从目录中删除用户条目还是只将其标记为已删除。如果是在选中该选项 (true) 的情况下删除用户条目,该用户条目仍将存在于目录中,只是将被标记为已删除。Directory Server 搜索时不会返回标记为已删除的用户条目。如果未选定该选项,将会从目录中删除用户条目。
动态管理角色 ACI
该属性用于定义管理员角色的访问控制指令,其中的管理员角色是在使用 Identity Server 配置组或组织时动态创建的。这些角色用于为创建的特定条目分组授予管理特权。仅在该属性列表中才能修改默认 ACI。
容器帮助台管理员
容器帮助台管理员角色拥有对组织单元内所有条目的读取权限,但仅对自身容器单元中用户条目的 userPassword 属性拥有写入权限。
组织帮助台管理员
组织帮助台管理员拥有对组织中所有条目的读取权限以及对 userPassword 属性的写入权限。
容器管理员
容器管理员角色拥有对 LDAP 组织单元中所有条目的读写权限。在 Identity Server 中,LDAP 组织单元通常被称为容器。
组织策略管理员
组织策略管理员具有对所有策略的读写权限,可以创建、指定、修改和删除自身组织内的所有策略。
用户容器管理员
默认情况下,新创建的组织中的所有用户条目都是该组织的“用户容器”的成员。“用户容器管理员”对该组织的“用户容器”中的所有用户条目都具有读写权限。请注意,该角色“并不”具有对包含角色和组 DN 的属性的读写权限,因此他们不能修改角色和组的属性,也不能从角色或组中移除用户。
组管理员
组管理员对特定组的所有成员具有读写权限,可以创建新用户、将用户指定到自己所管理的组以及删除自己创建的用户。
创建组时,将自动生成组管理员角色,并赋予管理组所必需的权限,但不会将角色自动指定到组成员。角色必须由组创建者或任何拥有“组管理员角色”访问权限的人员来指定。
顶层管理员
顶层管理员拥有对顶层组织中所有条目的读写权限。换句话说,顶层管理员角色具有 Identity Server 应用程序内所有配置主体所拥有的特权。
组织管理员
组织管理员拥有对组织中所有条目的读写权限。创建组织时将自动生成组织管理员角色,该角色拥有管理组织所必需的权限。
用户配置文件服务类
该属性列出了“用户配置文件”页面中具有自定义显示的服务。对于某些服务来说,由控制台生成的默认显示不能完全满足需要。该属性为任意服务创建自定义显示,并完全控制显示信息的内容和方式。其语法如下所示:
service name | relative url
DC 节点属性列表
该字段用于定义当创建对象时将在 DC 树条目中设置的属性集。默认参数包括:
- maildomainwelcomemessage
- preferredmailhost
- mailclientattachmentquota
- mailroutingsmarthost
- mailroutingsmarthost
- mailroutingsmarthost
- mailaccessproxyreplay
- preferredlanguage
- domainuidseparator
- maildomainmsgquota
- maildomainallowedserviceaccess
- preferredmailmessagestore
- maildomaindiskquota
- maildomaindiskquota
- objectclass=maildomain
- mailroutinghosts
用于删除的对象的搜索过滤器
该字段定义当启用用户符合移除模式时,用于要删除的对象的搜索过滤器。
默认用户容器
此属性用于指定将在其中创建用户的默认用户容器。
默认组容器
此属性用于指定将在其中创建组的默认组容器。
默认代理容器
此属性用于指定将在其中创建代理的默认代理容器。
组织属性管理服务中的组织属性包括:
组默认用户容器
该字段用于指定在创建用户时放置他们的默认用户容器。该字段没有默认值。其有效值是用户容器的 DN。有关用户容器属性为空时的替代顺序,参见组用户容器列表属性下的说明。
组用户容器列表
该字段用于指定用户容器列表,组管理员在创建新用户时会从中选择用户容器。如果目录树中存在多个用户容器,则可以使用该列表。(如果没有在这个列表和“组默认用户容器”字段中指定“用户容器”,则将在默认的 Identity Server用户容器 ou=people 中创建用户。)该字段不存在默认值。该属性的语法如下所示:
dn of group | dn of people container
用户配置文件显示类
该属性指定显示“用户配置文件”页面时,Identity Server 控制台使用的 Java 类。
最终用户配置文件显示类
该属性用于指定显示“最终用户配置文件”页面时,Identity Server 控制台使用的 Java 类。
在“用户配置文件”页面中显示角色
该选项指定是否在用户的“用户配置文件”页面中显示指定给用户的角色列表。如果值为 false(即未选中该选项),则“用户配置文件”页面将只对管理员显示用户的角色。默认值是 false。
在“用户配置文件”页面中显示组
该选项指定是否在用户的“用户配置文件”页面中显示指定给用户的组列表。如果值为 false(即未选中该选项),则“用户配置文件”页面将只对管理员显示用户的组。默认值是 false。
对组启用用户自订阅
该选项用于指定用户是否能够将自身添加到可以自由订阅的组。如果值为 false,则“用户配置文件”页面将只允许管理员修改用户的组成员资格。默认值是 false。
注
仅当选定在“用户配置文件”页面中显示组选项时,此选项才可用。
用户配置文件显示选项
该菜单用于指定“用户配置文件”页面中显示的服务属性。管理员可以选择以下选项之一:
用户创建默认角色
该列表用于定义将被自动指定给新创建的用户的角色。该字段没有默认值。管理员可以输入一个或多个角色的 DN。
“管理控制台”选项卡
此字段列出要显示在控制台顶部的模块的 Java 类。语法是 i18N key | java class name。(i18N key 是“查看”菜单中条目的本地化名称。)
搜索返回的结果的最大数目
该字段定义搜索返回的结果的最大数目。默认值为 100。
警告
将该属性设置为较大值时,请参考本注意。有关属性值大小限制的信息,参见位于以下位置的 Sun Java System Directory Server Installation and Tuning Guide:
搜索超时
该字段用于定义在执行多长时间(以秒为单位)后搜索将超时。它可用于终止可能耗时过长的搜索。达到最大搜索时间后,将返回错误信息。默认值是 5 秒。
JSP 目录名称
该字段用于指定包含 .jsp 文件的目录名称,该 .jsp 文件用于构造控制台,以使组织具有一个不同的外观(自定义)。.jsp 文件需要复制到该字段指定的目录中。
联机帮助文档
该字段列出将在 Identity Server 主帮助页上创建的联机帮助链接。这样,其他应用程序也可以在 Identity Server 页面中添加自己的联机帮助链接。该属性的格式如下:
linki18nkey | html page to load when clicked | i18n properties file | remote server
例如:
IdentityServer Help | /AMAdminHelp.html | amAdminModuleMsgs
必需的服务
该字段列出创建用户条目时向其动态添加的服务。管理员可以选择创建时要添加的服务。
该属性不适用于控制台,但适用于 Identity Server SDK。动态创建和通过 amadmin 命令行实用程序创建的用户,将被指定此属性中列出的服务。
用户搜索关键字
该字段用于定义在显示从简单搜索返回的用户时使用的属性名称。该属性的默认值是 cn。例如,如果该属性使用默认值,则:
如果在浏览框的“名称”字段中输入 j*,将显示名称以“j”或“J”开头的用户。
用户搜索返回属性
该字段定义当显示简单搜索返回的用户时,使用的属性名,默认值为 uid cn。此时将显示用户 ID 和用户的全名。
列出的第一个属性名称还将作为对要返回的用户集进行排序时使用的关键字。要防止性能下降,请使用其值在用户条目中进行设置的属性。
用户创建通知列表
该字段用于定义在创建新用户时,要向其发送通知的电子邮件地址列表。可以指定多个电子邮件地址,语法如下:
e-mail|locale|charset
e-mail|locale|charset
e-mail|locale|charset
通过使用 |locale 选项,通知列表还可以接受不同的语言环境。例如,将通知发送到在法国的管理员:
someuser@example.com|fr|fr
有关语言环境的列表,参见表 20-1。
用户删除通知列表
该字段用于定义在删除用户时,要向其发送通知的电子邮件地址列表。可以指定多个电子邮件地址,语法如下:
e-mail|locale|charset
e-mail|locale|charset
e-mail|locale|charset
通过使用 |locale 选项,通知列表还可以接受不同的语言环境。例如,将通知发送到在法国的管理员:
someuser@example.com|fr|fr
有关语言环境的列表,参见表 20-1。
注
通过修改 amProfile.properties(默认情况下位于 IdentityServer_base/SUNWam/locale 中)中的属性 497,可以更改发送者的电子邮件 ID。默认的发送者 ID 是 DSAME。
用户修改通知列表
该字段用于定义属性及其关联的电子邮件地址列表。如果修改了列表中定义的用户属性,将向该属性关联的电子邮件地址发送通知。每个属性都可以有不同的关联地址集。可以指定多个电子邮件地址,语法如下:
attrName e-mail|locale|charset e-mail|locale|charset .....
attrName e-mail|locale|charset e-mail|locale|charset .....
self 关键字可以用于代替某个地址。这时将向其配置文件被修改的用户发送电子邮件。
例如:
manager someuser@sun.com|self|admin@sun.com
邮件将被发送到 manager 属性中指定的地址:someuser@sun.com、admin@sun 以及修改用户的人员 (self)。
通过使用 |locale 选项,通知列表还可以接受不同的语言环境。例如,将通知发送到在法国的管理员:
manager someuser@sun.com|self|admin@sun.com|fr
有关语言环境的列表,参见表 20-1。
每页可以显示的最大条目数
该属性允许您定义每页可以显示的最大行数。默认值是 25。例如,如果某个用户搜索返回 100 行,将用 4 页来显示该结果,每页上显示 25 行。
事件侦听程序类
该属性包含用于接收 Identity Server 控制台中创建、修改和删除事件的侦听程序的列表。
处理前和处理后的类
该字段通过插件定义实现类列表,这些插件会扩展 com.iplanet.am.sdk.AMCallBack 类,以接收在处理对用户、组织、角色和组的操作前和处理后之间的回叫。这些操作包括:
必须输入插件的完整类名。例如:
com.iplanet.am.sdk.AMCallbacSample
然后,必须更改 Web 容器的类路径(从 Identity Server 安装库),以包含插件类位置的完整路径。
启用外部属性获取
该选项启用插件的回叫以检索外部属性(所有专用于外部应用程序的属性)。外部属性不会缓存在 Identity Server SDK 中,因此该属性允许您在各个组织级别启用属性检索。默认情况下,不启用该选项。
用户 ID 和口令验证插件类
此类提供了一种用户 ID 和口令验证插件机制。
需要由为用户验证用户 ID 和/或口令的实现插件模块来覆盖此类的方法。每当使用 Identity Server 控制台、amadmin 命令行界面或使用 SDK 来添加或修改用户 ID 或口令值时,将调用该实现插件模块。
可以为每个组织配置扩展此类的插件。如果未为组织配置插件,将使用在全局级别上配置的插件。
如果插件的验证失败,则插件模块可能抛出异常,通知应用程序指示用户所提供的用户 ID 或口令中的错误。