|
| |
| Sun Java System Identity Server 2004Q2 管理指南 | |
第 37 章
策略配置服务属性策略配置服务属性由全局属性和组织属性组成。全局属性所采用的值被应用到整个 Sun Java System Identity Server 配置,并被每个已配置的组织所继承。(由于全局属性的目的在于自定义 Identity Server 应用程序,因此此类属性不能直接应用到角色和组织。)在“服务管理”中组织属性所采用的值将成为策略配置的默认值。为组织注册服务之后,需要创建服务模板。组织的管理员可以在注册后更改默认值。组织属性不会被组织中的条目所继承。策略配置属性分为:
全局属性“策略配置”服务中的全局属性包括:
资源比较器
该属性用于指定资源比较器的信息,这些信息用于比较策略规则定义中指定的资源。在策略创建和评估的过程中,都要用到资源比较。该属性包含以下值:
serviceType
指定要使用比较器的服务。
class
定义实现资源比较算法的 java 类。
wildcard
指定可在资源名称中定义的通配符。
delimiter
指定资源名称中使用的分界符。
caseSensitivity
指定对两种资源进行比较时应考虑条件还是忽略条件。False 表示忽略条件,True 表示考虑条件。
拒绝决策时继续评估
此属性指定策略框架是否应继续评估后续策略(甚至是在策略决策为“拒绝”时)。如果取消选择(默认设置),确认“拒绝”决策后,策略评估将跳过后续策略。
组织属性策略配置服务中的组织属性包括:
LDAP 服务器和端口
该字段用于指定安装 Identity Server 过程中指定的主 LDAP 服务器的主机名和端口号,这些数据将用于搜索策略主题,如 LDAP 用户、LDAP 角色、LDAP 组等。格式为 hostname:port,例如:
machine1.example.com:389
对于多个 LDAP 服务器主机的故障转移配置,该值可为以空格分隔的主机列表。格式为 hostname1:port1 hostname2:port2...
例如:
machine1.example1.com:389 machine2.example1.com:389
如果指定多个条目,条目前面必须带有本地服务器名称。这使 Identity Server 可以配置为与特定 Directory Server 进行通信。
格式为 servername|hostname:port
例如:
machine1.example1.com|machine1.example1.com:389
machine1.example2.com|machine1.example2.com:389
对于故障转移配置:
IS_Server1.example1.com|machine1.example1.com:389 machine2.example.com1:389
IS_Server2.example2.com|machine1.example2.com:389 machine2.example2.com:389
注
该属性已更改为接受一系列值,以支持多个服务器。在 6.0 SP1 发行版中,该属性仅接受单个值。
如果您试图将 6.0SP1 和 6.1 放在一个部署环境中,可能会出现问题,尤其在 Identity Server 6.0 SP1 实例指向 6.1 DIT 的情况下。
要成功地将它们放在一个部署环境中,请确保此属性只包含一个 LDAP 服务器。
LDAP 基本 DN
该字段指定 LDAP 服务器中的基本 DN,搜索将从该 DN 开始。默认情况下,基本 DN 是 Identity Server 安装的顶级组织。
LDAP 用户基本 DN
该属性指定由 LDAP 服务器中的 LDAP 用户主题使用的基本 DN,搜索将从此 DN 开始进行。默认情况下,它是 Identity Server 安装库的顶级组织。
Identity Server 角色基本 DN
该属性指定由 LDAP 服务器中的 Identity Server 角色主题使用的基本 DN,搜索将从此 DN 开始进行。默认情况下,它是 Identity Server 安装库的顶级组织。
LDAP 绑定 DN
该字段指定 LDAP 服务器中的绑定 DN。
LDAP 绑定口令
该属性定义用于绑定 LDAP 服务器的口令。默认情况下,安装过程中输入的 amldapuser 口令将用作绑定用户。
LDAP 绑定口令(确认)
确认 LDAP 绑定口令。
LDAP 组织搜索过滤器
指定用于查找组织条目的搜索过滤器。默认值为 (objectclass=sunMangagedOrganization)。
LDAP 组织搜索范围
该属性定义用于查找组织条目的范围。该范围必须为以下值之一:
LDAP 组搜索过滤器
该属性指定用于查找组条目的搜索过滤器。默认值为 (objectclass=groupOfUniqueNames)。
LDAP 组搜索范围
该属性定义用于查找组条目的范围。该范围必须为以下值之一:
LDAP 用户搜索过滤器
指定用于查找用户条目的搜索过滤器。默认值为 (objectclass=inetorgperson)。
LDAP 用户搜索范围
该属性定义用于查找用户条目的范围。该范围必须为以下值之一:
LDAP 角色搜索过滤器
该属性指定用于查找角色条目的搜索过滤器。默认值为 (&(objectclass=ldapsubentry)(objectclass=nsroledefinitions))。
LDAP 角色搜索范围
该属性定义用于查找角色条目的范围。该范围必须为以下值之一:
Identity Server 角色搜索范围
该属性定义用于查找 Identity Server 角色主题的条目的范围。该范围必须为以下值之一:
LDAP 组织搜索属性
该字段用于定义搜索组织时使用的属性类型。默认值为 o。
LDAP 组搜索属性
该字段用于定义搜索组时使用的属性类型。默认值为 cn。
LDAP 用户搜索属性
该字段用于定义搜索用户时使用的属性类型。默认值为 uid。
LDAP 角色搜索属性
该字段用于定义搜索角色时使用的属性类型。默认值为 cn。
搜索返回的结果的最大数目
该字段定义搜索返回的结果的最大数目。默认值为 100。如果搜索限制超过了指定的数量,将返回达到该数量前搜索到的条目。
搜索超时
该属性用于指定经过多长时间后搜索将超时。如果搜索超过了指定的时间,将返回在该时间前搜索到的条目。
启用 LDAP SSL
该属性用于指定 LDAP 服务器是否运行 SSL。选择该属性将启用 SSL,取消选择(默认)则将禁用 SSL。
LDAP 连接池的最小尺寸
该属性指定用于连接 Directory Server 的连接池的最小尺寸,它与 LDAP 服务器属性中指定的一致。默认端口为 1。
LDAP 连接池的最大尺寸
该属性指定用于连接 Directory Server 的连接池的最大尺寸,它与 LDAP 服务器属性中指定的一致。默认端口为 10。
选定的策略主题
该属性允许您选择一组主题类型以用于在组织中定义策略。
选定的策略条件
该属性允许您选择一组条件类型以用于在组织中定义策略。
选定的策略候选组织
该属性允许您选择一组候选组织类型以用于在组织中定义策略。
主题结果的生存时间
该属性指定一段时间(以分钟为单位),在这段时间内,可以使用缓存的主题结果基于单点登录令牌对同一策略请求进行评估。
当基于 SSO 令牌对策略开始进行评估时,将评估该策略中的主题实例以确定该策略是否适用于给定的用户。通过 SSO 令牌 ID 添加了密钥的主题结果缓存在策略中。如果在“主题结果的生存时间”属性中指定的时间内对同一个策略中的同一个 SSO 令牌 ID 进行了另一次评估,策略框架将检索缓存的主题结果,而不是评估主题实例。这会明显减少策略评估的时间。
启用用户别名
如果创建策略来保护其主题的成员在远程 Directory Server 中化名为本地用户的资源,则必须启用该属性。
例如,如果在远程 Directory Server 中创建 uid=rmuser,然后将 rmuser 作为别名添加到 Identity Server 中的本地用户(例如 uid=luser,则必须启用该属性。当您以 rmuser 进行登录时,将使用本地用户 (luser) 创建会话,并且将成功实现策略强制。