|
| |
| Sun Java System Identity Server 2004Q2 管理指南 | |
第 5 章
服务配置本章介绍 Sun Java™ System Identity Server 2004Q2 的服务管理功能。“服务配置”界面提供了查看、管理和配置所有 Identity Server 服务及其值(默认值和自定义值)的方法,以及配置 Identity Server 控制台显示设置的方法。本章包含以下部分:
服务的定义服务是一组在公共名称下定义的属性。属性定义服务向组织提供的参数。例如,在开发工资单服务过程中,开发人员可能会决定包含定义员工姓名、小时工资率和免税额的属性。当服务被注册到组织时,组织可以在其条目的配置中使用这些属性。
Identity Server 使用可扩展标记语言 (XML) 定义服务。服务管理服务文档类型定义 (sms.dtd) 定义服务 XML 文件的结构。此文件位于以下目录:
IdentityServer_base/SUNWam/dtd/ (Solaris)
IdentityServer_base/identity/dtd (Linux)
注
在本章中的余下部分将只给出 Solaris 目录信息。请注意 Linux 的目录结构有所不同。有关详细信息,请参见关于本指南。
有关定义 Identity Server 服务的详细信息,参见《Identity Server Developer'sGuide》。
Identity Server 服务Identity Server 附带的默认服务由位于以下目录中的 XML 文件来定义:
etc/opt/SUNWam/config/xml
通过“服务配置”界面配置其中的某些服务可以为 Identity Server 应用程序定义值。另外一些服务被注册到在 Identity Server 中配置的特定组织,用于为该组织定义默认值。
管理服务
管理服务既允许在应用程序级别(类似于 Identity Server 应用程序的“首选项”或“选项”菜单)配置控制台,也允许在已配置的组织级别(已配置组织特有的“首选项”或“选项”菜单)配置控制台。
验证服务
有多个验证模块,其中一个是基本模块。这就使管理员有机会选择每个已定义组织用以检验用户授权的方法。
匿名
此验证服务允许在不指定用户名和口令的情况下登录。匿名连接对服务器的访问受到限制,并由管理员进行自定义。
基于证书
此验证服务允许通过个人数字证书 (PDC) 登录。
核心
此验证服务是 Identity Server 验证服务的总体配置基础。要使用任一特定服务,必须先注册并配置该模块。允许管理员定义默认值。
HTTP Basic
此验证服务使用基本验证,它是 HTTP 协议的内置验证支持。为使用此项服务,需要注册 LDAP 验证服务。不能从 C API 进行此操作。
LDAP
此验证服务允许使用 LDAP 绑定进行验证,LDAP 绑定是一种将口令与特定 LDAP 条目关联起来的操作。
成员资格(自注册)
此验证服务允许新用户进行自注册,以使用登录和口令进行验证。对于自注册,不需要验证。
NT
此验证服务允许使用 Windows NT™/2000™ 服务器来验证用户。为实现 NT 验证模块,必须下载并安装 Samba Client (smbclient) 2.2.2(对于 Linux,可以使用随操作系统提供的 Samba Client)。
RADIUS
此验证服务允许使用外部“远程验证拨入用户服务”(RADIUS) 服务器来验证用户。
为使 RADUIS 验证服务与 Sun Java System Application Server 一起正常工作,必须配置 Application Server 的 server.policy 文件。有关此操作的说明,参见验证选项。
SafeWord
此验证服务允许使用 Secure Computing 的 SafeWord™ 或 SafeWord PremierAccess™ 验证服务器来验证用户。
为使 SafeWord 验证服务与 Sun Java System Application Server 一起正常工作,必须配置 Application Server 的 server.policy 文件。有关此操作的说明,参见验证选项。
SecurID
此验证服务允许使用 RSA ACE/Server® 验证软件和 SecurID® 验证程序来验证用户。Solaris x86 不支持该服务。
Unix
此验证服务允许使用 Unix® 服务器、通过用户的 UNIX 标识和口令来验证用户。
Windows 桌面 SSO
此验证服务允许已通过“Kerberos 分发中心”(KDC) 验证的用户无需重新提交登录条件即可通过验证并登录到 Identity Server(单点登录)。
验证配置服务
验证配置服务允许您为角色、用户、服务和组织配置验证,以设置用于确定验证模块优先级的规则。还可通过此服务配置基于服务的验证。
客户机检测服务
“客户机检测”服务允许 Identity Server 检测正在访问的浏览器的客户机类型,并允许管理员根据客户机类型添加和配置设备。
全局化设置服务
“全局化设置”包含若干个可以针对不同字符集对 Identity Server 进行配置的属性。
搜索服务
Identity Server 的“联合管理”模块将使用此项服务。有关该服务的详细信息,请参见《Identity Server Federation Management Guide》。
特权个人配置文件服务
Identity Server 的“联合管理”模块将使用此项服务。有关该服务的详细信息,请参见《Identity Server Federation Management Guide》。
日志服务
管理员使用日志服务来配置 Identity Server 应用程序的日志函数的值。这些值包括日志文件的大小和日志文件的位置等。
命名服务
命名服务用于为各种其他 Identity Server 服务(例如会话、验证和日志)获取和设置 URL、插件、配置以及请求通知。
口令重置服务
口令重置服务使用户能够接收遗忘的口令,或重置其用于访问受 Identity Server 保护的给定服务或应用程序的口令。口令重置服务属性由顶层管理员定义,它们可以控制用户验证凭证(以“秘密问题”形式)、控制新的或现有的口令通知机制,以及设置不正确用户验证的可能的锁定间隔。
平台服务
通过平台服务可以将附加服务器添加到 Identity Server 配置以及在 Identity Server 应用程序的顶层应用的其他选项中。
策略配置服务
策略配置服务定义在策略管理和策略评估过程中策略框架将要使用的值。
SAML 服务
安全声明标记语言 (SAML) 服务定义了一个在各个安全授权机构之间交换安全声明的框架,以便在提供验证和授权服务的不同平台上实现协同工作。
会话服务
会话服务为已验证的用户会话定义值,例如最长会话时间和最长空闲时间。
SOAP 绑定服务
Identity Server 的“联合管理”模块将使用此项服务。有关该服务的详细信息,请参见《Identity Server Federation Management Guide》。
用户服务
默认的用户首选项是通过用户服务来定义的。(这些首选项包括时区、语言环境和 DN 起始视图)。
属性类型构成 Identity Server 服务的属性可分为以下类型:动态、策略、用户、组织和全局。使用这些类型再细分各个服务中的属性能够更加统一地安排服务模式,还能够更加轻松地管理服务参数。
动态属性
可以将动态属性指定给 Identity Server 已配置的角色或组织。当角色被指定给用户,或在组织中创建用户时,动态属性将变为用户的一个特征。例如,为组织的员工创建一个角色。该角色可以包含组织的地址和传真号码,这两项对于所有员工来说都是固定的。将该角色指定给每个员工时,每个员工均将继承这些动态属性。
用户属性
这些属性被直接指定给各个用户。用户不从角色或组织处继承这些属性,对于每个用户来说,这些属性通常是不同的。例如,用户 ID、员工编号和口令都是用户属性。可以通过修改 amUser.xml 文件来添加或移除用户服务中的用户属性。有关详细信息,参见《Identity Server Developer's Guide》。
组织属性
组织属性只指定给组织。在这方面它们与动态属性相似,但又与动态属性不同,因为它们不由子树中的条目继承。另外,不会有任何对象类与组织属性相关联。验证服务中列出的属性被定义为组织属性,因为验证是在组织级别进行的,而不是在子树或用户级别进行的。
全局属性
全局属性被应用到整个 Identity Server 配置中。由于全局属性的目的在于自定义 Identity Server 应用程序,因此不能将它们应用到用户、角色和组织中。Identity Server 配置中只有一个全局属性的实例。对象类与全局属性不相关。全局属性的示例包括:日志文件的大小、日志文件的位置、端口号或 Identity Server 能够用于访问数据的服务器 URL。
策略属性
策略属性指定了与服务相关的访问控制操作(或特权)。在将规则添加到策略时,这些属性将成为规则的一部分。如果要使用 Identity Server 策略管理此项服务的访问控制,则在服务模式中需要有“策略”属性。
服务配置界面服务是通过“服务配置”模块进行配置和管理的。可以使用 XML(基于 Identity Server 服务文档类型定义或 DTD)编写 Identity Server 默认服务包中未包含的特定于组织的服务,然后将其添加到“其他配置”标题下的界面中。您可以在第 IV 部分,“属性参考”中找到有关如何进行此操作的说明,这部分内容介绍了默认服务及其相应属性的定义。
“服务配置”模块用于显示全局级别的服务配置。换句话说,它是 Identity Server 中所有可用服务(无论是否注册了这些服务)的默认配置的视图。当组织注册并激活了某项服务后,分配给服务的初始默认数据将显示在该服务的“服务配置”页面中。图 5-1 为图形用户界面的屏幕快照。
图 5-1 “服务配置”视图
通过选择“服务配置”模块可以访问“服务配置”视图。浏览框中将显示所有已定义的 Identity Server 服务的列表。要为服务设置全局默认值,请选择服务名称旁边的属性箭头。该服务的属性将显示在数据框中。
