Sun logo      上一個      目錄      索引      下一個     

Sun ONE Identity Server 6.1 管理指南

第 7 章
認證選項

Sun™ ONE Identity Server 提供框架以進行認證,認證是驗證在企業內存取應用程式之使用者身份的程序。使用者在存取 Identity Server 主控台或其他受 Identity Server 保護的資源之前,必須通過認證程序。認證可以透過驗證使用者身份的外掛程式來實施。(此外掛程式架構在「Sun ONE Identity Server Customization and API Guide」中有更全面的描述。)

Identity Server 主控台用於設定預設值、註冊認證服務、建立認證範本以及啟用服務。本章將概述認證服務,並說明如何註冊認證服務,包含以下小節:

核心認證

依預設,Identity Server 提供十種不同的認證服務,以及核心認證服務。核心認證服務為認證服務提供總體配置。必須先註冊和啟用核心認證,才可以註冊和啟用匿名、基於證書、HTTP Basic、LDAP、成員身份、NT、RADIUS、SafeWord、SecurID 與 Unix 認證。第 19 章「核心認證屬性」 包含核心屬性的詳細清單。

註冊和啟用核心服務

  1. 導覽至要為其註冊核心服務之組織的導覽框架。
  2. 從 [檢視] 功能表選擇 [服務]。
  3. 在導覽框架中按一下 [加入]。

    4. 可用服務清單會顯示在資料框架中。

  4. 選取 [核心認證] 核取方塊並按一下 [加入]。

    5. 核心認證服務將顯示在導覽框架中,從而告知管理員該服務已註冊。

  5. 按一下核心認證 [屬性] 箭頭。

    6. 資料框架中會顯示訊息:目前沒有該服務的範本。您要現在建立一個嗎?

  6. 按一下 [建立]。

    7. 核心屬性會顯示在資料框架中。依照需要修改屬性。如需核心屬性的說明,請參閱第 19 章「核心認證屬性」,或按一下主控台右上角的 [說明] 連結。

匿名認證

依預設,啟用此模組時,使用者能以 anonymous 使用者的身份登入 Identity Server。透過配置 [有效匿名使用者清單] 屬性 (請參閱第 175 頁),還可以定義該模組的匿名使用者清單。授與匿名存取權意味著無需提供密碼即可進行存取。可以將匿名存取權限制為特定類型的存取權 (例如,讀取存取權或搜尋存取權),或限制在目錄內的子樹或個別項目中。

註冊和啟用匿名認證

您必須以組織管理員或頂層管理員的身份登入 Identity Server。

  1. 導覽至要為其註冊匿名認證之組織的導覽框架。
  2. 從 [檢視] 功能表選擇 [服務]。

    3. 如果核心服務已註冊,則會顯示在導覽框架中。如果尚未註冊,則可與匿名認證服務同時註冊。

  3. 在導覽框架中按一下 [加入]。

    4. 可用服務清單會顯示在資料框架中。

  4. 選取 [匿名認證] 核取方塊並按一下 [加入]。

    5. 匿名認證服務將顯示在導覽框架中,從而告知管理員該服務已註冊。

  5. 按一下匿名認證 [屬性] 箭頭。

    6. 資料框架中會顯示訊息:目前沒有該服務的範本。您要現在建立一個嗎?

  6. 按一下 [建立]。

    7. 匿名認證屬性會顯示在資料框架中。依照需要修改屬性。如需這些屬性的說明,請參閱第 17 章「匿名認證屬性」,或按一下主控台右上角的 [說明] 連結。

  7. 按一下 [儲存]。

    8. 匿名認證服務即已啟用。

使用匿名認證登入

為了使用匿名認證來登入,必須修改 [核心認證] 服務屬性 (組織認證模組) 以定義匿名認證。這會確保使用者登入時,在使用 http(s)://hostname:port/DEPLOY_URI/Login?module=Anonymous&org=org_name 中。若要不顯示 [匿名認證] 登入視窗而登入,請使用以下語法:

http(s)://hostname:port/DEPLOY_URI/Login?module=Anonymous&org=org_name&IDTolken1=user_id

依據所使用的認證類型 (如服務、角色、使用者和組織),如果將認證模組配置為預設,則無需在 URL 中指定模組名稱。

匿名認證服務中的 [預設匿名使用者名稱] 屬性值為 anonymous。這是使用者用來登入的名稱。必須在組織內建立預設匿名使用者。使用者 ID 應該與匿名認證屬性中指定的使用者名稱相同。

基於證書的認證

基於證書的認證需要使用個人數位證書 (PDC) 識別和認證使用者。可以將 PDC 配置為需要與儲存在 Directory Server 中的 PDC 相符,並要根據證書廢止清單進行驗證。

在為組織註冊基於證書的認證服務之前,需要完成許多工作。首先,需要確保與 Identity Server 一同安裝之 Web 容器的安全,需要對其進行配置,以用於基於證書的認證。啟用基於證書的服務之前,請參閱「Sun ONE Web Server 6.1 管理員指南」之第 6 章「使用證書與鍵」,以瞭解這些初始的 Web Server 配置步驟。此文件位於以下位置:

http://docs.sun.com/db/prod/s1websrv#hic

或者,請參閱位於以下位置的「Sun ONE Application Sever Administrator’s Guide to Security」

http://docs.sun.com/db/prod/s1appsrv#hic

將使用基於證書的服務來認證的每位使用者必須為其瀏覽器請求 PDC。根據所使用的瀏覽器不同,會有不同的說明。請參閱您瀏覽器的說明文件,以取得更多資訊。

註冊和啟用基於證書的認證

您必須以組織管理員的身份登入 Identity Server。

  1. 導覽至要為其註冊基於證書的認證之組織的導覽框架。
  2. 從 [檢視] 功能表選擇 [服務]。

    3. 如果核心服務已註冊,則會顯示在導覽框架中。如果尚未註冊,則可與基於證書的認證服務同時註冊。

  3. 在導覽框架中按一下 [加入]。

    4. 可用服務清單會顯示在資料框架中。

  4. 選取 [基於證書的認證] 核取方塊並按一下 [加入]。

    5. 基於證書的認證服務將顯示在導覽框架中,從而告知管理員該服務已註冊。

  5. 按一下基於證書的認證 [屬性] 箭頭。

    6. 資料框架中會顯示訊息:目前沒有該服務的範本。您要現在建立一個嗎?

  6. 按一下 [建立]。

    7. 基於證書的認證屬性會顯示在資料框架中。依照需要修改屬性。如需這些屬性的說明,請參閱第 18 章「證書認證屬性」,或按一下主控台右上角的 [說明] 連結。

  7. 按一下 [儲存]。

為基於證書的認證加入 [平台伺服器清單]

為了加入該清單,您必須以組織管理員的身份登入 Identity Server。

  1. 選取服務配置模組。
  2. 從可用服務清單選擇 [平台] 服務。
  3. 將伺服器資訊加入 [伺服器清單] 屬性。如需有關其他伺服器屬性的更多資訊,請參閱第 33 章「平台服務屬性」

使用基於證書的認證登入

為了使基於證書的認證成為預設的認證方法,必須修改 [核心認證] 服務屬性組織認證模組 (請參閱第 185 頁)。這會確保當使用者在使用 https://hostname:port/deploy_URI/UI/Login?module=Cert 登入時,將會看到 [基於證書的認證] 登入視窗。依據所使用的認證類型 (如角色、使用者和組織),如果將認證模組配置為預設,則無需在 URL 中指定模組名稱。

HTTP Basic 認證

此模組使用基本認證 (HTTP 協定的內建認證支援)。網路伺服器發出要求提供使用者名稱和密碼的用戶端請求,並將這些資訊作為授權請求的一部分傳回伺服器。Identity Server 會擷取該使用者名稱和密碼,將使用者認證至 LDAP 認證模組。為使 HTTP Basic 正常工作,必須註冊 LDAP 認證模組 (僅註冊 HTTP Basic 模組將不起作用)。如需更多資訊,請參閱註冊和啟用 LDAP 認證。一旦使用者認證成功,他/她即可重新認證,無需提供使用者名稱和密碼,。

註冊和啟用 HTTP Basic 認證

您必須以組織管理員或頂層管理員的身份登入 Identity Server。

  1. 導覽至要為其註冊 HTTP Basic 認證之組織的導覽框架。
  2. 從 [檢視] 功能表選擇 [服務]。

    3. 如果核心服務已註冊,則會顯示在導覽框架中。如果尚未註冊,則可與 HTTP Basic 認證服務同時註冊。

  3. 在導覽框架中按一下 [加入]。

    4. 可用服務清單會顯示在資料框架中。

  4. 選取 [HTTP Basic 認證] 核取方塊並按一下 [加入]。

    5. HTTP Basic 認證服務將顯示在導覽框架中,從而告知管理員該服務已註冊。

  5. 按一下 HTTP Basic 認證 [屬性] 箭頭。

    6. 資料框架中會顯示訊息:目前沒有該服務的範本。您要現在建立一個嗎?

  6. 按一下 [建立]。

    7. HTTP Basic 認證屬性會顯示在資料框架中。依照需要修改屬性。如需這些屬性的說明,請參閱第 20 章「HTTP Basic 認證屬性」,或按一下主控台右上角的 [說明] 連結。

  7. 按一下 [儲存]。

    8. HTPP Basic 認證服務即已啟用。

使用 HTTP Basic 認證登入

為了使用 LDAP 認證來登入,必須修改 [核心認證] 服務屬性 (組織認證模組) 以定義 HTTP Basic 認證。這會確保當使用者在使用 http://hostname:port/deploy_URI/UI/Login?module=HTTPBasic 來登入時,將可看到認證登入視窗。依據所使用的認證類型 (如服務、角色、使用者和組織),如果將認證模組配置為預設,則無需在 URL 中指定模組名稱。如果認證失敗,則新的實例應該被開啟且使用者應該再次登入。

LDAP 目錄認證

如果使用 LDAP 認證服務,當使用者登入時,他或她必須以特定的使用者 DN 和密碼連結至 LDAP Directory Server。這是所有基於組織的認證之預設認證模組。如果使用者提供 Directory Server 中的使用者 ID 和密碼,系統將允許此使用者存取有效的 Identity Server 階段作業,並使用該階段作業進行設定。安裝 Identity Server 後,依預設會啟用 LDAP 認證。服務停用時,系統會提供以下說明。

註冊和啟用 LDAP 認證

您必須以組織管理員或頂層管理員的身份登入 Identity Server。

  1. 導覽至要為其註冊 LDAP 認證之組織的導覽框架。
  2. 從 [檢視] 功能表選擇 [服務]。

    3. 如果核心服務已註冊,則會顯示在導覽框架中。如果尚未註冊,則可與 LDAP 認證服務同時註冊。

  3. 在導覽框架中按一下 [加入]。

    4. 可用服務清單會顯示在資料框架中。

  4. 選取 [LDAP 認證] 核取方塊並按一下 [加入]。

    5. LDAP 認證服務將顯示在導覽框架中,從而告知管理員該服務已註冊。

  5. 按一下 LDAP 認證 [屬性] 箭頭。

    6. 資料框架中會顯示訊息:目前沒有該服務的範本。您要現在建立一個嗎?

  6. 按一下 [建立]。

    7. LDAP 認證屬性會顯示在資料框架中。依照需要修改屬性。如需這些屬性的說明,請參閱第 21 章「LDAP 認證屬性」,或按一下主控台右上角的 [說明] 連結。

  7. 在 [超級使用者連結密碼] 屬性中輸入密碼。依預設,在安裝期間輸入的 amldapuser 密碼將用作連結使用者。

    8. 若要使用其他連結使用者,請變更 [超級使用者連結 DN] 屬性中的使用者 DN,並在 [超級使用者連結密碼] 屬性中輸入此使用者的密碼。

  8. 按一下 [儲存]。

    9. LDAP 認證服務即已啟用。

使用 LDAP 認證登入

為了使用 LDAP 認證來登入,必須修改 [核心認證] 服務屬性 (組織認證模組) 以定義 LDAP 認證。這會確保當使用者在使用 http://hostname:port/deploy_URI/UI/Login?module=LDAP 登入時,將會看到 [LDAP 認證] 登入視窗。依據所使用的認證類型 (如服務、角色、使用者和組織),如果將認證模組配置為預設,則無需在 URL 中指定模組名稱。

啟用 LDAP 認證錯誤修復

LDAP 認證屬性包括一個值欄位,用於輸入主/次 Directory Server 的值。如果主伺服器不可用,Identity Server 將轉向第二個伺服器進行認證。如需更多資訊,請參閱 LDAP 屬性 (主 LDAP 伺服器與連接埠次 LDAP 伺服器與連接埠)。

多重 LDAP 配置

作為一種錯誤修復,或當 Identity Server 主控台僅提供一個值欄位時要配置屬性的多個值,管理員可於一個組織之下定義多重 LDAP 配置。儘管這些附加配置不會顯示在主控台中,但它們仍可在找不到用於請求使用者認證的初始搜尋時與主配置配合使用。如需有關多重 LDAP 配置的資訊,請參閱「Sun ONE Identity Server Customization and API Guide」中的「Multi LDAP Configuration」。

成員身份認證

成員身份認證的實施類似於個人網站 (例如 my.site.commysun.sun.com)。啟用此服務時,使用者無需借助管理員,即可建立帳戶並將其作為個人帳戶。對於這個新帳戶,使用者能以已註冊使用者的身份來存取它。還可以存取檢視器介面,此介面作為授權資料和使用者偏好設定儲存在使用者設定檔資料庫中。

註冊和啟用成員身份認證

您必須以組織管理員或頂層管理員的身份登入 Identity Server。

  1. 導覽至要為其註冊成員身份認證之組織的導覽框架。
  2. 從 [檢視] 功能表選擇 [服務]。

    3. 如果核心服務已註冊,則會顯示在導覽框架中。如果尚未註冊,則可與成員身份認證服務同時註冊。

  3. 在導覽框架中按一下 [加入]。

    4. 可用服務清單會顯示在資料框架中。

  4. 選取 [成員身份認證] 核取方塊並按一下 [加入]。

    5. 成員身份認證服務將顯示在導覽框架中,從而告知管理員該服務已註冊。

  5. 按一下成員身份認證 [屬性] 箭頭。

    6. 資料框架中會顯示訊息:目前沒有該服務的範本。您要現在建立一個嗎?

  6. 按一下 [建立]。

    7. 成員身份認證屬性會顯示在資料框架中。依照需要修改屬性。如需這些屬性的說明,請參閱第 22 章「成員身份認證屬性」,或選取主控台右上角的 [說明] 連結。

  7. 在 [超級使用者連結密碼] 屬性中輸入密碼。依預設,在安裝期間輸入的 amldapuser 密碼將用作連結使用者。

    8. 若要使用其他連結使用者,請變更 [超級使用者連結 DN] 屬性中的使用者 DN,並在 [超級使用者連結密碼] 屬性中輸入此使用者的密碼。

  8. 按一下 [儲存]。

    9. 成員身份認證服務即已啟用。

使用成員身份認證登入

為了使用成員身份認證來登入,必須修改 [核心認證] 服務屬性 (組織認證模組) 以定義成員身份認證。這會確保當使用者在使用 http://hostname:port/deploy_URI/UI/Login?module=Membership 登入時,(注意區分大小寫) 將可看到 [成員身份認證登入 (自行註冊)] 視窗。依據所使用的認證類型 (如服務、角色、使用者和組織),如果將認證模組配置為預設,則無需在 URL 中指定模組名稱。

NT 認證

可以將 Identity Server 配置為與已安裝的 NT/Windows 2000 伺服器配合工作,Identity Server 提供 NT 認證的用戶端部分。Solaris 平台僅支援 NT 認證服務。

  1. 配置 NT 伺服器。

    2. 如需詳細說明,請參閱 NT 伺服器的說明文件。

  2. 註冊和啟用 NT 認證服務之前,您必須先獲得並在您的 Solaris 系統上安裝與 Identity Server 通訊的 Samba 用戶端。如需更多資訊,請參閱 NT 認證屬性
  3. 註冊和啟用 NT 認證服務。

註冊和啟用 NT 認證

您必須以組織管理員或頂層管理員的身份登入 Identity Server。

  1. 導覽至要為其註冊 NT 認證之組織的導覽框架。
  2. 從 [檢視] 功能表選擇 [服務]。

    3. 如果核心服務已註冊,則會顯示在導覽框架中。如果尚未註冊,則可與 NT 認證服務同時註冊。

  3. 在導覽框架中按一下 [加入]。

    4. 可用服務清單會顯示在資料框架中。

  4. 選取 [NT 認證] 核取方塊並按一下 [加入]。

    5. NT 認證服務將顯示在導覽框架中,從而告知管理員該服務已註冊。

  5. 按一下 NT 認證 [屬性] 箭頭。

    6. 資料框架中會顯示訊息:目前沒有該服務的範本。您要現在建立一個嗎?

  6. 按一下 [建立]。

    7. NT 認證屬性會顯示在資料框架中。依照需要修改屬性。如需這些屬性的說明,請參閱第 23 章「NT 認證屬性」,或選取主控台右上角的 [說明] 連結。

  7. 按一下 [儲存]。

    8. NT 認證服務即已啟用。

使用 NT 認證登入

為了使用 NT 認證登入,必須修改 [核心認證] 服務屬性 (組織認證模組) 以定義 NT 認證。這會確保當使用者在使用 http://hostname:port/deploy_URI/UI/Login?module=NT 登入時,將會看到 [NT 認證] 登入視窗。依據所使用的認證類型 (如服務、角色、使用者和組織),如果將認證模組配置為預設,則無需在 URL 中指定模組名稱。

RADIUS 伺服器認證

可以將 Identity Server 配置為與已安裝的 RADIUS 伺服器配合工作。如果您的企業使用老舊的 RADIUS 伺服器進行認證,這會很有用。啟用 RADIUS 認證服務需要兩個步驟。

  1. 配置 RADIUS 伺服器。

    2. 如需詳細說明,請參閱 RADIUS 伺服器的說明文件。

  2. 註冊和啟用 RADIUS 認證服務。

註冊和啟用 RADIUS 認證

您必須以組織管理員的身份登入 Identity Server。

  1. 導覽至要為其註冊 RADIUS 認證之組織的導覽框架。
  2. 從 [檢視] 功能表選擇 [服務]。

    3. 如果核心服務已註冊,則會顯示在導覽框架中。如果尚未註冊,則可與 RADIUS 認證服務同時註冊。

  3. 在導覽框架中按一下 [加入]。

    4. 可用服務清單會顯示在資料框架中。

  4. 選取 [RADIUS 認證] 核取方塊並按一下 [加入]。

    5. RADIUS 認證服務將顯示在導覽框架中,從而告知管理員該服務已註冊。

  5. 按一下 RADIUS 認證 [屬性] 箭頭。

    6. 資料框架中會顯示訊息:目前沒有該服務的範本。您要現在建立一個嗎?

  6. 按一下 [建立]。

    7. RADIUS 認證屬性會顯示在資料框架中。依照需要修改屬性。如需這些屬性的說明,請參閱第 24 章「RADIUS 認證屬性」,或選取主控台右上角的 [說明] 連結。

  7. 按一下 [儲存]。

    8. RADIUS 認證服務即已啟用。

使用 RADIUS 認證登入

為了使用 RADIUS 認證來登入,必須修改 [核心認證] 服務屬性 (組織認證模組) 以定義 RADIUS 認證。這會確保當使用者在使用 http://hostname:port/deploy_URI/UI/Login?module=RADIUS 登入時,將會看到 [RADIUS 認證] 登入視窗。依據所使用的認證類型 (如服務、角色、使用者和組織),如果將認證模組配置為預設,則無需在 URL 中指定模組名稱。

使用 Sun ONE Application Server 配置 RADUIS

如果 RADUIS 用戶端形成與其伺服器的套接字連線,則依預設 Application Server 的 server.policy 檔案中僅允許 SocketPermissions 的連線權限。為了使 RADUIS 認證正常工作,需要為以下動作授與權限:

若要為套接字連線授與權限,您必須將項目加入 Application Server 的 server.policy 檔案。SocketPermission 由主機規格和一組指定與該主機連線方式的動作組成。主機依如下指令指定:

host = (hostname | IPaddress)[:portrange] portrange = portnumber | -portnumberportnumber-[portnumber]

主機表示為 DNS 名稱、數字 IP 位址或本端主機 (針對本端機器)。DNS 名稱主機規格中可以使用一次萬用字元「*」。如果包含萬用字元,它必須位於最左側,如 *.example.com

連接埠 (或 portrange) 為選擇性的。形式為 N- 的連接埠規格 (其中 N 為連接埠號) 表示號碼為 N 及大於 N 的所有連接埠。形式為 -N 的連接埠規格則表示號碼為 N 及小於 N 的所有連接埠。

listen 動作僅在與本端主機配合使用時才有意義。如果存在任何其他動作,則暗含 resolve 動作 (解析主機/IP 名稱服務查找)。

例如,建立 SocketPermissions 時請注意,如果將以下權限授與某程式碼,則該權限可讓程式碼與 machine1.example.com 上的 port 1645 連線,並接受該連接埠上的連線:

permission java.net.SocketPermission machine1.example.com:1645, "connect,accept";

同樣,如果將以下權限授與某程式碼,則該權限可讓程式碼接受本端主機上 1024 至 65535 之間任一連接埠上的連線、與這些連接埠連線或偵聽這些連接埠:

permission java.net.SocketPermission "machine1.example.com:1645", "connect,accept";

permission java.net.SocketPermission "localhost:1024-", "accept,connect,listen";

因為有害的程式碼可以更容易在不擁有資料的存取權的多方中傳輸和共用這些資料,所以將接受或建立與遠端主機連線的權限授與程式碼可能會引發問題。請確保透過指定精確的連接埠號 (而不是指定連接埠號範圍) 僅授與適當的權限。

SafeWord 認證

可以配置 Identity Server,使其處理 Secure Computing 的 SafeWord™ 或 SafeWord PremierAccess™ 認證伺服器的 SafeWord 認證請求。Identity Server 提供 SafeWord 認證的用戶端部分。SafeWord 伺服器可以存在於安裝有 Identity Server 的系統或是單獨的系統上。

註冊和啟用 SafeWord 認證

您必須以組織管理員或頂層管理員的身份登入 Identity Server。

  1. 導覽至要為其註冊 SafeWord 認證之組織的導覽框架。
  2. 從 [檢視] 功能表選擇 [服務]。

    3. 如果核心服務已註冊,則會顯示在導覽框架中。如果尚未註冊,則可與 SafeWord 認證服務同時註冊。

  3. 在導覽框架中按一下 [加入]。

    4. 可用服務清單會顯示在資料框架中。

  4. 選取 [SafeWord 認證] 核取方塊並按一下 [加入]。

    5. SafeWord 認證服務將顯示在導覽框架中,從而告知管理員該服務已註冊。

  5. 按一下 SafeWord 認證 [屬性] 箭頭。

    6. 資料框架中會顯示訊息:目前沒有該服務的範本。您要現在建立一個嗎?

  6. 按一下 [建立]。

    7. SafeWord 認證屬性會顯示在資料框架中。依照需要修改屬性。如需這些屬性的說明,請參閱第 24 章「SafeWord 認證屬性」,或按一下主控台右上角的 [說明] 連結。

  7. 按一下 [儲存]。

    8. SafeWord 認證服務即已啟用。

使用 SafeWord 認證登入

為了使用 SafeWord 認證來登入,必須修改 [核心認證] 服務屬性 (組織認證模組) 以定義 SafeWord 認證。這會確保當使用者在使用 http://hostname:port/deploy_URI/UI/Login?module=SAFEWORD 登入時,將會看到 [SafeWord 認證] 登入視窗。依據所使用的認證類型 (如角色、使用者和組織),如果將認證模組配置為預設,則無需在 URL 中指定模組名稱。

使用 Sun ONE Application Server 配置 SafeWord

如果 SafeWord 用戶端形成與其伺服器的套接字連線,則依預設 Application Server 的 server.policy 檔案中僅允許 SocketPermissions 的 connect 權限。為了使 SafeWord 認證正常工作,需要為以下動作授與權限:

若要為套接字連線授與權限,您必須將項目加入 Application Server 的 server.policy 檔案。SocketPermission 由主機規格和一組指定與該主機連線方式的動作組成。主機依如下指令指定:

host = (hostname | IPaddress)[:portrange] portrange = portnumber | -portnumberportnumber-[portnumber]

主機表示為 DNS 名稱、數字 IP 位址或本端主機 (針對本端機器)。DNS 名稱主機規格中可以使用一次萬用字元「*」。如果包含萬用字元,它必須位於最左側,如 *.example.com

連接埠 (或 portrange) 為選擇性的。形式為 N- 的連接埠規格 (其中 N 為連接埠號) 表示號碼為 N 及大於 N 的所有連接埠。形式為 -N 的連接埠規格則表示號碼為 N 及小於 N 的所有連接埠。

listen 動作僅在與本端主機配合使用時才有意義。如果存在任何其他動作,則暗含 resolve 動作 (解析主機/IP 名稱服務查找)。

例如,建立 SocketPermissions 時請注意,如果將以下權限授與某程式碼,則該權限可讓程式碼與 machine1.example.com 上的 port 1645 連線,並接受該連接埠上的連線:

permission java.net.SocketPermission machine1.example.com:1645, "connect,accept";

同樣,如果將以下權限授與某程式碼,則該權限可讓程式碼接受本端主機上 1024 至 65535 之間任一連接埠上的連線、與這些連接埠連線或偵聽這些連接埠:

permission java.net.SocketPermission "machine1.example.com:1645", "connect,accept";

permission java.net.SocketPermission "localhost:1024-", "accept,connect,listen";

因為有害的程式碼可以更容易在不擁有資料的存取權的多方中傳輸和共用這些資料,所以將接受或建立與遠端主機連線的權限授與程式碼可能會引發問題。請確保透過指定精確的連接埠號 (而不是指定連接埠號範圍) 僅授與適當的權限。

SecurID 認證

可以配置 Identity Server,讓其處理 RSA 的 ACE/Server 認證伺服器的 SecureID 認證請求。Identity Server 提供 SecurID 認證的用戶端部分。ACE/Server 可以存在於安裝有 Identity Server 的系統上或是單獨的系統上。若要對在本機管理的使用者 ID 進行認證 (請參閱 admintool (1M)),則需要超級使用者存取權限。

SecurID 認證使用認證輔助程式 amsecuridd,它是主 Identity Server 程序以外的單獨程序。此輔助程式會在啟動時偵聽連接埠,以取得配置資訊。如果安裝了 Identity Server 並以 nobody 的身份或超級使用者以外的使用者 ID 執行,則必須仍以超級使用者身份執行 IdentityServer_base/SUNWam/share/bin/amsecuridd 程序。如需有關 amsecuridd 輔助程式的更多資訊,請參閱 amsecuridd 輔助程式

註冊和啟用 SecurID 認證

您必須以組織管理員或頂層管理員的身份登入 Identity Server。

  1. 導覽至要為其註冊 SecurID 認證之組織的導覽框架。
  2. 從 [檢視] 功能表選擇 [服務]。

    3. 如果核心服務已註冊,則會顯示在導覽框架中。如果尚未註冊,則可與 SecurID 認證服務同時註冊。

  3. 在導覽框架中按一下 [加入]。

    4. 可用服務清單會顯示在資料框架中。

  4. 選取 [SecurID 認證] 核取方塊並按一下 [加入]。

    5. SecurID 認證服務將顯示在導覽框架中,從而告知管理員該服務已註冊。

  5. 按一下 SecurID 認證 [屬性] 箭頭。

    6. 資料框架中會顯示訊息:目前沒有該服務的範本。您要現在建立一個嗎?

  6. 按一下 [建立]。

    7. SecurID 認證屬性會顯示在資料框架中。依照需要修改屬性。如需這些屬性的說明,請參閱第 25 章「SecurID 認證屬性」,或按一下主控台右上角的 [說明] 連結。

  7. 按一下 [儲存]。

    8. SecurID 認證服務即已啟用。

使用 SecurID 認證登入

為了使用 SecurID 認證來登入,必須修改 [核心認證] 服務屬性 (組織認證模組) 以定義 SecurID 認證。這會確保當使用者在使用 http://hostname:port/deploy_URI/UI/Login?module=SecurID 登入時,將會看到 [SecurID 認證] 登入視窗。依據所使用的認證類型 (如角色、使用者和組織),如果將認證模組配置為預設,則無需在 URL 中指定模組名稱。

Unix 認證

可以將 Identity Server 配置為根據安裝有 Identity Server 的 Solaris 系統上已知的 Unix 使用者 ID 和密碼處理認證請求。雖然只有一個組織屬性和幾個全域屬性用於 Unix 認證,但有一些針對系統的考量。若要對在本機管理的使用者 ID 進行認證 (請參閱 admintool (1M)),則需要超級使用者存取權限。

Unix 認證使用認證輔助程式 amunixd,它是主 Identity Server 程序以外的單獨程序。此輔助程式會在啟動時偵聽連接埠,以取得配置資訊。每個 Identity Server 只有一個 Unix 輔助程式,可以為其所有組織提供服務。

如果安裝了 Identity Server 並以 nobody 的身份或超級使用者以外的使用者 ID 執行,則必須仍以超級使用者身份執行 IdentityServer_base/SUNWam/share/bin/amunixd 程序。Unix 認證模組透過開啟 localhost:58946 的套接字來呼叫 amunixd 常駐程式,以偵聽 Unix 認證請求。若要在預設連接埠上執行 amunixd 輔助程式程序,請輸入以下指令:

./amunixd

若要在非預設連接埠上執行 amunixd,請輸入以下指令:

./amunixd [-c portnm] [ipaddress]

IP 位址和連接埠號位於 AMConfig.propertiesUnixHelper.ipadrs 屬性 (IPV4 格式) 和 UnixHelper.port 屬性中。您可以透過 amserver 指令行公用程式 (amserver 自動執行程序,並從 AMConfig.properties 擷取連接埠號和 IP 位址) 執行 amunixd

/etc/nsswitch.conf 檔案中的 passwd 項目決定是參考 /etc/passwd/etc/shadow 檔案還是參考 NIS 來進行認證。

Unix 認證服務不可用於 Windows 平台。

註冊和啟用 Unix 認證

您必須以頂層管理員的身份登入 Identity Server,以執行以下步驟。

  1. 選取服務配置模組。
  2. 按一下 [服務名稱] 清單中的 Unix 認證 [屬性] 箭頭。

    3. 螢幕上將顯示數個全域屬性和一個組織屬性。由於一個 Unix 輔助程式為 Identity Server 伺服器的所有組織提供服務,因此大多數 Unix 屬性是全域屬性。如需這些屬性的說明,請參閱第 26 章「Unix 認證屬性」,或按一下主控台右上角的 [說明] 連結。

  3. 按一下 [儲存] 以儲存新的屬性值。

    4. 您能以組織管理員的身份登入 Identity Server,為組織啟用 Unix 認證。

  4. 導覽至要為其註冊 Unix 認證之組織的導覽框架。
  5. 從 [檢視] 功能表選擇 [服務]。

    6. 如果核心服務已註冊,則會顯示在導覽框架中。如果尚未註冊,則可與 Unix 認證服務同時註冊。

  6. 在導覽框架中按一下 [加入]。

    7. 可用服務清單會顯示在資料框架中。

  7. 選取 [Unix 認證] 核取方塊並按一下 [加入]。

    8. Unix 認證服務將顯示在導覽框架中,從而告知管理員該服務已註冊。

  8. 按一下 Unix 認證 [屬性] 箭頭。

    9. 資料框架中會顯示訊息:目前沒有該服務的範本。您要現在建立一個嗎?

  9. 按一下 [建立]。

    10. Unix 認證組織屬性會顯示在資料框架中。依照需要修改 [認證層級] 屬性。如需該屬性的說明,請參閱第 26 章「Unix 認證屬性」,或按一下主控台右上角的 [說明] 連結。

  10. 按一下 [儲存]。

    11. Unix 認證服務即已啟用。

使用 Unix 認證登入

為了使用 Unix 認證來登入,必須修改 [核心認證] 服務屬性 (組織認證模組) 以定義 Unix 認證。這會確保當使用者在使用 http://hostname:port/deploy_URI/UI/Login?module=Unix 登入時,將會看到 [Unix 認證] 登入視窗。依據所使用的認證類型 (如服務、角色、使用者和組織),如果將認證模組配置為預設,則無需在 URL 中指定模組名稱。

認證配置

認證配置服務用於為以下任一認證類型定義認證模組:

為這些認證類型之一定義認證模組後,便可以將此模組配置為根據認證程序成敗提供重新導向 URL 以及處理後的 Java 類別規格。

配置認證模組之前,必須先修改 [核心認證] 服務屬性 [組織認證模組],使之包括特定的認證模組名稱。

認證配置使用者介面

認證配置服務可讓您定義一個或多個認證服務 (或模組),使用者必須先通過這些認證服務,然後才被允許存取主控台或 Identity Server 中任何受保護的資源。組織、角色、服務和基於使用者的認證都使用共用使用者介面來定義認證模組。(有關存取特定物件類型的 [認證配置] 介面的說明,將在後續章節中描述)。

  1. 按一下物件的 [認證配置] 屬性旁邊的 [編輯] 連結,以顯示 [模組清單] 視窗。
  2. 此視窗列出了已指定給該物件的認證模組。如果不存在任何模組,請按一下 [加入] 顯示 [加入模組] 視窗。

    3. [加入模組] 視窗包含三個欄位要定義:

[模組名稱]。此下拉式清單允許您選取可用於 Identity Server 的認證模組 (包括可以加入的自訂模組)。依預設,這些模組包括:

[旗標]。此下拉式功能表允許您指定認證模組要求。可以為下列選項之一:

這些旗標為定義了這些旗標的認證模組建立了執行標準。執行的階層結構中,REQUIRED 為最高層級,OPTION 為最低層級。

例如,如果管理員使用 REQUIRED 旗標定義 LDAP 模組,則使用者憑證必須通過 LDAP 認證要求,才能存取給定資源。

如果您加入多重認證模組,並且每個模組的旗標設定為 REQUIRED,則使用者必須通過所有認證要求,才能取得存取權限。

如需關於旗標定義的更多資訊,請參考 JAAS (Java 認證與授權服務),位於:

http://java.sun.com/security/jaas/doc/module.html

[選項]。允許此模組的其他選項為鍵值=值對。多重選項由空格分隔。

圖 7-1 為使用者加入 [模組清單] 視窗

Identity Server 主控台 - 認證配置,為使用者加入模組清單。

  1. 選取欄位後,按一下 [確定] 以返回 [模組清單] 視窗。您已定義的認證模組會在此視窗中列出。按一下 [儲存]。

    2. 您可以向此清單中加入任意多個認證模組。加入多個認證模組被稱為鏈接。如果您要鏈接認證模組,請注意模組的列出次序定義執行的階層結構之次序。

    若要變更認證模組的次序,請:

    1. 按一下 [重新排序] 按鈕。
    2. 選取您要重新排序的模組。
    3. 使用 [向上] 和 [向下] 按鈕將模組放置在所需位置。

      4. 圖 7-2 使用者的 [模組清單] 視窗
      Identity Server 主控台 - 認證配置和模組清單。

  2. 若要從清單中移除任一認證模組,請選取該認證模組旁邊的核取方塊,然後按一下 [刪除]。

    		3.

    如果您在鏈內的任何模組中輸入 amadmin 憑證,將收到 amadmin 設定檔。在此情況下,認證不會檢查別名對映,也不會檢查鏈內的模組。

組織的認證配置

要為組織設定認證模組,先為組織註冊核心認證服務。

若要配置組織的認證屬性:

  1. 導覽至要配置認證屬性的組織。
  2. 從 [檢視] 功能表選取 [服務]。
  3. 按一下服務清單中的核心 [屬性] 箭頭。

    4. 核心認證屬性會顯示在資料框架中。

  4. 按一下 [管理員認證者] 屬性旁邊的 [編輯] 連結。此連結可讓您僅為管理員定義認證服務。管理員是指需要 Identity Server 主控台存取權限的使用者。如果需要管理員的認證模組與一般使用者的認證模組有所不同,則可以使用此屬性。預設認證模組為 LDAP。

    5. 定義認證服務後,按一下 [儲存] 以儲存變更,然後按一下 [關閉] 以返回至組織的核心認證屬性。

  5. 按一下 [組織認證配置] 屬性旁邊的 [編輯] 連結。此連結可讓您為組織內的所有使用者定義認證模組。預設認證模組為 LDAP。
  6. 定義認證服務後,按一下 [儲存] 以儲存變更,然後按一下 [關閉] 以返回至組織的核心認證屬性。

角色的認證配置

在角色層級註冊認證配置服務後,為角色設定認證模組。

  1. 導覽至要配置認證屬性的組織。
  2. 從 [檢視] 功能表選擇 [角色]。
  3. 選取要設定認證配置的角色,然後按一下 [屬性] 箭頭。

    4. 角色的屬性會顯示在資料框架中。

  4. 從資料框架中的 [檢視] 功能表選取 [服務]。
  5. 依照需要修改認證配置屬性。如需這些屬性的說明,請參閱第 27 章「認證配置服務屬性」,或按一下主控台右上角的 [說明] 連結。
  6. 按一下 [儲存]。

    		7.

    如果您要建立新的角色,系統不會自動為此角色指定認證配置服務。請確定先選取角色設定檔頁面頂部的 [認證配置服務] 選項,然後再建立角色。

    啟用基於角色的認證後,可以保留 LDAP 認證模組作為預設方式,因為無需配置成員身份。

服務的認證配置

註冊認證配置服務後,為服務設定認證模組。若要如此,請:

  1. 從身份管理模組中的 [檢視] 功能表選擇 [服務]。

    2. 螢幕上將顯示已註冊的服務清單。如果未註冊認證配置服務,請繼續執行以下步驟。如果已註冊該服務,請移至步驟 4

  2. 在導覽框架中按一下 [加入]。

    3. 可用服務清單會顯示在資料框架中。

  3. 選取 [認證配置] 核取方塊並按一下 [加入]。

    4. 認證配置服務將顯示導覽框架中,從而告知管理員該服務已註冊。

  4. 按一下認證配置 [屬性] 箭頭。

    5. [服務實例清單] 會顯示在資料框架中。

  5. 按一下要配置認證模組的服務實例。
  6. 修改認證配置屬性,然後按一下 [儲存]。如需這些屬性的說明,請參閱第 27 章「認證配置服務屬性」,或按一下主控台右上角的 [說明] 連結。

使用者的認證配置

  1. 從身份管理模組中的 [檢視] 功能表選擇 [使用者]。

    2. 使用者清單會顯示在導覽框架中。

  2. 選取您要修改的使用者,然後按一下 [屬性] 箭頭。

    3. 使用者設定檔會顯示在資料框架中。

    如果您要建立新的使用者,系統不會自動為此使用者指定認證配置服務。請確保在建立使用者之前,您已選取 [使用者設定檔] 頁面頂端的 [認證配置服務] 選項。如果未選取此選項,使用者將無法繼承為角色定義的認證配置。

  3. 若要確保認證配置服務已指定給該使用者,請從 [檢視] 功能表中選取 [服務]。如果已指定,認證配置服務將作為已指定的服務列出。
  4. 從資料框架中的 [檢視] 功能表選取 [使用者]。
  5. 按一下 [使用者認證配置] 屬性旁邊的 [編輯] 連結,為使用者定義認證模組。
  6. 按一下 [儲存]。

根據認證層級的認證

每個認證模組均可與其認證層級的整數值相關聯。透過按一下服務配置中認證模組的 [屬性] 箭頭,並變更模組之 [認證層級] 屬性的相應值,則可指定認證層級。使用者在一個或多個認證模組中經過認證後,較高的認證層級為使用者定義較高的信任層級。

當使用者在模組中認證成功後,認證層級將標記在使用者的 SSO 記號上。如果使用者被要求在多個認證模組中認證,並且成功完成認證,則最高的認證層級值將標記在使用者的 SSO 記號上。

如果使用者嘗試存取某項服務,此服務可以透過檢查使用者 SSO 記號中的認證層級來決定是否允許此使用者存取。然後,它將重新導向使用者以標記的認證層級通過認證模組。

使用者還可以使用特定的認證層級存取認證模組。例如,某使用者使用以下語法執行登入:

http://hostname:port/deploy_URI/UI/Login?authlevel=auth_level_value

認證層級大於或等於 auth_level_value 的所有模組將顯示為認證功能表,以供使用者選擇。如果僅找到一個相符的模組,則會直接顯示此認證模組的登入頁面。

根據模組認證

使用者可以使用以下語法存取特定認證模組:

http://hostname:port/deploy_URI/UI/Login?module=module_name

存取認證模組之前,必須先修改 [核心認證] 服務屬性 [組織認證模組],使之包括此認證模組名稱。如果該屬性中未包括此認證模組名稱,使用者嘗試認證時,系統將顯示 [認證模組被拒絕] 頁面。如需更多資訊,請參閱組織認證模組

URL 重新導向

在認證配置服務中,您可以為成功或失敗的認證指定 URL 重新導向。URL 本身在此服務的 [登入成功 URL] 和 [登入失敗 URL] 屬性中定義。為了啟用 URL 重新導向,您必須將認證配置服務加入您的組織,使之可用於為角色、組織或使用者而配置。在加入認證配置服務時,請確定您加入的是認證模組,例如 LDAP - REQUIRED。如需有關為身份物件註冊認證配置服務的資訊,請參閱認證配置



上一個      目錄      索引      下一個     

Copyright 2003 Sun Microsystems, Inc.。版權所有。