Sun Java System Messaging Server 6 2005Q4 管理指南

Sun Java System 伺服器的 Access Manager SSO

本節說明使用 Access Manager 的 SSO。包含以下各節：

SSO 限制和注意事項

Messenger Express 階段作業僅在 Access Manager 階段作業有效時才有效。如果使用者登出 Access Manager，則 Webmail 階段作業將自動關閉 (單次登出)。
一同使用的 SSO 應用程式必須位於同一 DNS 網域。(亦稱為 cookie 網域)。
SSO 應用程式必須擁有對 Access Manager 驗證 URL (命名服務) 的存取權。
瀏覽器必須具有 cookie。

配置 Messaging Server 以支援 SSO

四個 configutil 參數支援 Messaging Server SSO。這四個參數中，僅 local.webmail.sso.amnamingurl 是啟用 Messaging Server SSO 所必需的。若要啟用 SSO，請將此參數設定為 Access Manager 在其中執行命名服務的 URL。通常此 URL 為 http://server/amserver/namingservice。範例：

configutil -o local.webmail.sso.amnamingurl -v 
http://sca-walnut:88/amserver/namingservice

備註 –

Access Manager SSO 不會查看啟用較舊 SSO 機制的 local.webmail.sso.enable。local.webmail.sso.enable 應保持 off 或未設定狀態；否則，將記錄警告訊息，表示缺少啟用舊 SSO 機制所需的配置參數。

您可以透過使用 configutil 指令修改 SSO 配置參數，如表 6–3 中所示。

表 6–1 Access Manager 單次登入參數


參數	說明
local.webmail.sso.amnamingurl	Access Manager 執行命名服務的 URL。用於透過 Access Manager 單次登入的強制變數。通常此 URL 為 `http://server/amserver/namingservice`。預設：未設定。
local.webmail.sso.amcookiename	Access Manager cookie 名稱。依預設，Access Manager 在名為 `iPlanetDirectoryPro` 的 cookie 中儲存其階段作業控點。如果配置使用其他 cookie 名稱，則該名稱需要在 Messaging Server 中做為此參數進行配置，以便 Messaging Server 瞭解執行單次登入時要查詢的內容。如果 IS 具有預設配置，則不得變更預設值。預設：`iPlanetDirectoryPro`
local.webmail.sso.amloglevel	AMSDK 記錄層級。Messaging Server 使用的 SSO 程式庫有其自己的記錄機制，與 Messaging Server 中的機制不同。此程式庫的訊息記錄在 `msg_svr_base`/`log` 下名為 `http_sso` 的檔案中。依預設，僅記錄 `info` 或更高級別的訊息，但可以透過將記錄級別設定為 1 至 5 (1 = errors、2 = warnings、3 = info、4 = debug、5 = maxdebug) 之間的值，來提高記錄級別。請注意，該程式庫與 Messaging Server 的訊息重要性概念不同，且將級別設定為 `debug` 會導致產生大量無意義的資料。另外，`http_sso` 記錄檔不由一般 Messaging Server 記錄代碼管理，且永遠不會被清除或自動重建。當設定的記錄層級高於預設層級時，系統管理員應負責清除此記錄檔。預設：3
local.webmail.sso.singlesignoff	從 Messaging Server 單次登出至 Access Manager。Access Manager 是中央認證機構，且單次登出總是從 Access Manager 啟用至 Messaging Server。此選項可讓網站配置 Webmail 中的 [登出] 按鈕是否還讓使用者登出 Access Manager (同時儲存某些自訂工作)。依預設，此選項已啟用。如果此選項已停用，則登出預設 Webmail 用戶端的使用者將自動登回，因為只要 Access Manager cookie 存在並有效，登出就將參考根文件，而根文件將參考收件匣顯示。因此，選擇停用此選項的網站需要自訂登出 Webmail 時的動作。預設：是

SSO 的疑難排解

如果 SSO 有問題，請先檢查 Webmail 記錄檔 (msg_svr_base/log/http) 查找錯誤。提高記錄層級可能會很有幫助 (configutil -o logfile.http.loglevel -v debug)。如果此作業不能解決問題，請檢查 msg_svr_base/log/http_sso 中的 amsdk 訊息，然後提高 amsdk 的記錄層級 (configutil -o local.webmail.sso.amloglevel -v 5)。請注意，新的記錄層級僅在伺服器重新啟動後才會生效。

如果 SSO 仍然有問題，請確定您在登入期間使用的是 Access Manager 和 Messaging Server 完全合格的主機名稱。Cookie 僅在相同網域的伺服器之間共用，且瀏覽器不知道本機伺服器名稱的網域，因此，使用者必須在瀏覽器中使用完全合格的名稱以使 SSO 正常工作。