|
| |
| Sun Java System Identity Server 2004Q2 管理指南 | |
第 22 章
LDAP 验证属性LDAP 验证属性是组织属性。在“服务配置”下 LDAP 验证属性采用的值将成为 LDAP 验证模板的默认值。为组织注册服务之后,需要创建服务模板。组织的管理员可以在注册后更改默认值。组织属性不会被组织中的条目所继承。LDAP 验证属性包括:
主 LDAP 服务器
该字段指定 Identity Server 安装过程中指定的主 LDAP 服务器的主机名和端口号。这是 LDAP 验证时搜索的首选服务器。格式为:hostname:port。(如果没有端口号,将采用 389)。
如果在多个域部署 Identity Server,可以按以下格式(如果指定多个条目,条目前面必须带有本地服务器名称)指定 Identity Server 和 Directory Server 的特定实例之间的通信链接:
local_servername|server:port local_servername2|server:port ...
例如,如果您在不同位置(L1-machine1-IS 和 L2- machine2-IS)部署两个 Identity Server,它们分别与 Identity Server 的不同实例(L1-machine1-DS 和 L2-machine2-DS)进行通信,格式如下:
L1-machine1-IS.example.com|L1-machine1-DS.example.com:389 L2-machine2-IS.example.com|L2-machine2-DS.example.com:389
辅助 LDAP 服务器
该字段指定 Identity Server 平台上可用的辅助 LDAP 服务器的主机名和端口号。如果主 LDAP 服务器对验证请求不响应,则将会搜索辅助服务器。如果主服务器恢复正常,Identity Server 将切换回主服务器。格式仍为 hostname:port。如果指定多个条目,条目前面必须带有本地服务器名称。
警告
当验证来自远离 Identity Server 企业的 Directory Server 的用户时,主 LDAP 服务器和辅助 LDAP 服务器的端口都具有值十分重要。两个字段可以使用一个 Directory Server 位置的值。
起始用户搜索的 DN
该字段指定节点的 DN,将从该 DN 开始搜索用户。(为了获取较好性能,DN 应当尽可能明确。)默认值是目录树的根。可以接受任何有效的 DN。如果在“搜索范围”属性中选择 OBJECT,则 DN 应指定配置文件所在级别的上一级。
如果指定多个条目,条目前面必须带有本地服务器名称。格式如下所示:
servername|search dn
对于多个条目
servername1|search dn servername2|search dn servername3|search dn...
如果同一搜索找到多个用户,则验证失败。
超级用户绑定的 DN
该字段用于指定用户的 DN,该用户将作为管理员被绑定到“主 LDAP 服务器和端口”字段中指定的 Directory Server。验证服务需要进行该 DN 绑定,以便基于用户的登录 ID 搜索匹配的用户 DN。默认值为 amldapuser。可以接受任何有效的 DN。
在注销之前,请确保口令正确。因为如果口令不正确,您将被锁定。如果出现这种情况,您可以使用 AMConfig.Properties 文件中的 com.iplanet.authentication.super.user 属性中的超级用户 DN 登录。默认情况下,虽然要使用完整 DN,但使用 amAdmin 帐户可以正常登录。例如:
uid_amAdmin,ou=People,IdentityServer_base
超级用户绑定的口令
该字段指定在“超级用户绑定的 DN”字段中指定的管理员配置文件的口令。该字段没有默认值。只有管理员的有效 LDAP 口令才会被认可。
超级用户绑定的口令(确认)
对口令进行确认。
用于检索用户配置文件的 LDAP 属性
用户验证成功后,将检索用户的配置文件。该属性的值用于执行搜索。该字段指定要使用的 LDAP 属性。默认情况下,Identity Server 假定用户条目是由 uid 属性标识的。如果您的 Directory Server 使用的是其他属性(例如 givenname),请在该字段中指明属性名称。
用于搜索要进行验证的用户的 LDAP 属性
该字段会列出为即将验证的用户形成搜索过滤器时所要使用的属性,并允许用户使用用户条目中的多个属性进行验证。例如,如果该字段被设置成 uid、employeenumber 和 mail,则用户可以使用这些名称中的任意一个来进行验证。
用户搜索过滤器
该字段指定一个属性,用于在“起始用户搜索的 DN”字段中搜索用户。它与“用户条目命名属性”一起起作用。该字段没有默认值。可以接受任何有效的用户条目属性。
搜索范围
该菜单指明 Directory Server 中搜索匹配的用户配置文件时所用的级别号。从起始用户搜索的 DN 属性中指定的节点开始搜索。默认值为 SUBTREE。可以从列表中选择以下选项之一:
对 LDAP 服务器启用 SSL 访问
该选项用于启用 SSL 来访问“主/辅助 LDAP 服务器和端口”字段中指定的 Directory Server。默认情况下,不启用该属性,并且不使用 SSL 协议访问 Directory Server。但是,如果启用该属性,您可以绑定到非 SSL 服务器。
返回用户 DN 以进行验证
当 Identity Server 目录与为 LDAP 配置的目录相同时,则可能启用了该选项。如果启用了该选项,LDAP 验证模块将返回 DN,而不是 userId,并且不需要进行搜索。通常情况下,验证模块仅返回 userId,且验证服务搜索本地 Identity Server LDAP 中的用户。如果使用了外部 LDAP 目录,则通常不启用该选项。
LDAP 服务器检查间隔
该属性用于 LDAP 服务器故障回复。它定义了在检验 LDAP 主服务器是否正在运行之前,线程将“休眠”的分钟数。
用户创建属性列表
当 LDAP 服务器被配置为外部 LDAP 服务器时,该属性用于 LDAP 验证模块。它包含本地和外部 Directory Server 之间的属性映射。该属性具有以下格式:
attr1|externalattr1
attr2|externalattr2
填充该属性后,将从外部 Directory Server 读取外部属性的值,并将这些值应用到内部 Directory Server 属性。仅当“用户配置文件”属性(位于核心验证模块中)设置为“动态创建”,并且本地 Directory Server 实例中不存在该用户时,才会在内部属性中设置外部属性的值。新创建的用户将包含内部属性的值(在“用户创建属性列表”中指定),内部属性采用其映射的外部属性的值。
验证级别
各种验证方法都单独设置了验证级别。验证级别值表示信任验证的程度。用户进行验证之后,该值将存储在会话的 SSO 令牌中。当 SSO 令牌传递到用户要访问的应用程序时,应用程序将根据存储的值来确定级别是否足以授予用户访问权限。如果 SSO 令牌中存储的验证级别没有达到必需的最小级别,应用程序将提示用户使用具有较高验证级别的服务再次进行验证。默认值为 0。
注
如果未指定任何验证级别,核心验证属性“默认验证级别”中指定的值将会存储到 SSO 令牌中。有关详细信息,参见默认验证级别。对于 2004Q2 发行版,此功能无法正常执行。但在先前的版本中,此功能可正常执行。