|
| |
| Sun Java System Identity Server 2004Q2 管理指南 | |
第 29 章
Windows 桌面 SSO 验证属性Windows 桌面 SSO 验证属性是组织属性。在“服务配置”下 Windows 桌面 SSO 验证属性采用的值将成为 Windows 桌面 SSO 验证模板的默认值。为组织注册服务之后,需要创建服务模板。组织的管理员可以在注册后更改默认值。组织属性不会被组织子树中的条目继承。
此验证模块需要 Kerberos 验证服务,后者由作为域控制器运行的 Windows 2000 服务器提供。
Windows 桌面 SSO 验证属性包括:
服务主用户
此属性指定用来验证的 Kerberos 主用户。请使用以下格式:
HTTP/hostname.domainname@dc_domain_name
hostname 和 domainame 表示 Identity Server 实例的主机名和域名。dc_domain_name 是 Windows 2000 Kerberos 服务器(域控制器)所在的 Kerberos 域。它可能与 Identity Server 的域名不同。
密钥文件名
此属性指定用来验证的 Kerberos 密钥文件。使用以下格式(尽管该格式不是必需的):
hostname.HTTP.keytab
hostname 指 Identity Server 实例的主机名。
Kerberos 领域
此属性指定 Kerberos 分发中心(域控制器)域名。域控制器的域名可能与 Identity Server 域名不同,具体取决于配置。
Kerberos 服务器名
此属性指定 Kerberos 分发中心(域控制器)主机名。必须输入该域控制器的全限定域名 (FQDN)。
返回主用户的域名
此属性启用后允许 Identity Server 在验证期间自动一同返回 Kerberos 主用户与域控制器的域名。
验证级别
各种验证方法都单独设置了验证级别。验证级别值表示信任验证的程度。用户进行验证之后,该值将存储在会话的 SSO 令牌中。当 SSO 令牌传递到用户要访问的应用程序时,应用程序将根据存储的值来确定级别是否足以授予用户访问权限。如果 SSO 令牌中存储的验证级别没有达到必需的最小级别,应用程序将提示用户使用具有较高验证级别的服务再次进行验证。默认值为 0。
注
如果未指定任何验证级别,核心验证属性“默认验证级别”中指定的值将会存储到 SSO 令牌中。有关详细信息,参见默认验证级别。对于 2004Q2 发行版,此功能无法正常工作。但在先前的版本中,此功能可正常工作。