|
| |
| Sun Java System Identity Server 2004Q2 管理指南 | |
第 23 章
成员资格验证属性成员资格验证属性是组织属性。在“服务配置”下成员资格验证属性采用的值将成为成员资格验证模板的默认值。为组织注册服务之后,需要创建服务模板。组织的管理员可以在注册后更改默认值。组织属性不会被组织子树中的条目继承。成员资格验证属性包括:
最小口令长度
该字段用于指定自注册过程中设置口令时要求的最小字符数。默认值为 8。
如果更改了该值,还应在以下文件的注册和错误文本中更改此值:
IdentityServer_base/locale/amAuthMembership.properties (PasswdMinChars entry)
默认用户角色
该字段用于指定分配给其配置文件是在自注册过程中创建的新用户的角色。该字段没有默认值。管理员必须指定要分配给新用户的角色的 DN。
注
所指定的角色必须位于正在为其配置验证的组织下。在自注册过程中,只能添加可以指派给用户的角色。所有其他 DN 将被忽略。该角色可以是 Identity Server 角色,也可以是 LDAP 角色,但不接受过滤的角色。
注册后的用户状态
该菜单用于指定服务是否立即可以供已自注册的用户使用。默认值为 Active,服务可供新用户使用。通过选中 Inactive,管理员不对新用户提供服务。
主 LDAP 服务器
该字段指定 Identity Server 安装过程中指定的主 LDAP 服务器的主机名和端口号。这是 LDAP 验证时搜索的首选服务器。格式为:hostname:port。(如果没有端口号,将采用 389)。
如果在多个域部署 Identity Server,可以按以下格式(如果指定多个条目,条目前面必须带有本地服务器名称)指定 Identity Server 和 Directory Server 的特定实例之间的通信链接:
local_servername|server:port local_servername2|server:port ...
例如,如果您在不同位置(L1-machine1-IS 和 L2-machine2-IS)部署两个 Identity Server,它们分别与 Identity Server 的不同实例(L1-machine1-DS 和 L2-machine2-DS)进行通信,格式如下:
L1-machine1-IS.example.com|L1-machine1-DS.example.com:389 L2-machine2-IS.example.com|L2-machine2-DS.example.com:389
辅助 LDAP 服务器
该字段指定 Identity Server 平台上可用的辅助 LDAP 服务器的主机名和端口号。如果主 LDAP 服务器对验证请求不响应,则将会搜索辅助服务器。如果主服务器恢复正常,Identity Server 将切换回主服务器。格式仍为 hostname:port。如果指定多个条目,条目前面必须带有本地服务器名称。
警告
当验证来自远离 Identity Server 企业的 Directory Server 的用户时,主 LDAP 服务器和辅助 LDAP 服务器的端口都具有值十分重要。两个字段可以使用一个 Directory Server 位置的值。
起始用户搜索的 DN
该字段指定节点的 DN,将从该 DN 开始搜索用户。(为了获取较好性能,DN 应当尽可能明确。)默认值是目录树的根。可以接受任何有效的 DN。如果在“搜索范围”属性中选择 OBJECT,则 DN 应指定配置文件所在级别的上一级。
如果使用了多个条目,条目必须以本地服务器名称为前缀。格式如下:
servername|search dn
对于多个条目
servername1|search dn servername2|search dn servername3|search dn...
如果同一搜索找到多个用户,则验证失败。
超级用户绑定的 DN
该字段用于指定用户的 DN,该用户将作为管理员被绑定到“主 LDAP 服务器和端口”字段中指定的 Directory Server。验证服务需要进行该 DN 绑定,以便基于用户的登录 ID 搜索匹配的用户 DN。默认值为 amldapuser。可以接受任何有效的 DN。
超级用户绑定的口令
该字段指定在“超级用户绑定的 DN”字段中指定的管理员配置文件的口令。该字段没有默认值。只有管理员的有效 LDAP 口令才会被认可。
超级用户绑定的口令(确认)
对口令进行确认。
用于检索用户配置文件的 LDAP 属性
该字段用于指定用户条目命名惯例的属性。默认情况下,Identity Server 假定用户条目是由 uid 属性标识的。如果您的 Directory Server 使用的是其他属性(例如 givenname),请在该字段中指明属性名称。
用于搜索要进行验证的用户的 LDAP 属性
该字段会列出为即将验证的用户形成搜索过滤器时所要使用的属性,并允许用户使用用户条目中的多个属性进行验证。例如,如果该字段被设置成 uid、employeenumber 和 mail,则用户可以使用这些名称中的任意一个来进行验证。
用户搜索过滤器
该字段指定一个属性,用于在“起始用户搜索的 DN”字段中搜索用户。它与“用户命名”属性共同发挥作用。该字段没有默认值。可以接受任何有效的用户条目属性。
搜索范围
该菜单指明 Directory Server 中搜索匹配的用户配置文件时所用的级别号。从起始用户搜索的 DN 属性中指定的节点开始搜索。默认值为 SUBTREE。可以从列表中选择以下选项之一:
对 LDAP 服务器启用 SSL 访问
该选项用于启用 SSL 来访问“主/辅助 LDAP 服务器和端口”字段中指定的 Directory Server。默认情况下未选中该复选框,SSL 协议不用于访问 Directory Server。
返回用户 DN 以进行验证
当 Identity Server 目录与为 LDAP 配置的目录相同时,则可能启用了该选项。如果启用了该选项,LDAP 验证模块将返回 DN,而不是 userId,并且不需要进行搜索。通常情况下,验证模块仅返回 userId,且验证服务搜索本地 Identity Server LDAP 中的用户。如果使用了外部 LDAP 目录,则通常不启用该选项。
验证级别
各种验证方法都单独设置了验证级别。验证级别值表示信任验证的程度。用户进行验证之后,该值将存储在会话的 SSO 令牌中。当 SSO 令牌传递到用户要访问的应用程序时,应用程序将根据存储的值来确定级别是否足以授予用户访问权限。如果 SSO 令牌中存储的验证级别没有达到必需的最小级别,应用程序将提示用户使用具有较高验证级别的服务再次进行验证。默认值为 0。
注
如果未指定任何验证级别,核心验证属性“默认验证级别”中指定的值将会存储到 SSO 令牌中。有关详细信息,请参见默认验证级别。对于 2004Q2 发行版,此功能无法正常执行。但在先前的版本中,此功能可正常执行。