| Sun ONE Identity Server 6.1 管理指南 |
第 34 章
策略配置服務屬性策略配置服務屬性由全域屬性與組織屬性組成。套用於全域屬性的值也套用於整個 Sun ONE Identity Server 配置,並且由每個配置的組織繼承。(由於全域屬性的目標是自訂 Identity Server 應用程式,因此這些值無法直接套用於角色或組織。)在服務管理下套用於組織屬性的值會成為策略配置的預設值。組織註冊服務後,需要建立服務範本。註冊後組織的管理員可以變更預設值。組織屬性不會由組織中的項目繼承。策略配置屬性可分為:
全域屬性策略配置服務中的全域屬性包括:
資源比較程式
此屬性指定資源比較程式資訊,該資訊用於比對策略規則定義中指定的資源。在建立和評估策略時均會使用資源比較。此屬性包含以下值:
serviceType
指定應該使用此比較程式的服務。
class
定義實施資源比較演算法的 java 類別。
wildcard
指定可以在資源名稱中定義的萬用字元。
delimiter
指定在資源名稱中使用的分割元。
caseSensitivity
指定在比較兩種資源時,是否應該考量或忽略大小寫。False 忽略大小寫,True 考量大小寫。
組織屬性策略配置服務中的組織屬性包括:
LDAP 伺服器與連接埠
此欄位指定 Identity Server 安裝期間指定的主 LDAP 伺服器之主機名稱與連接埠號 (用於搜尋策略主題,例如 LDAP 使用者、LDAP 角色、LDAP 群組等)。格式為 hostname:port,例如:
machine1.example.com:389
對於多重 LDAP 伺服器主機的錯誤修復配置,本值可以為以空格分隔的主機清單。格式為 hostname1:port1 hostname2:port2...
例如:
machine1.example1.com:389 machine2.example1.com:389
多重項目必須以本機伺服器名稱作為字首。這樣可以將特定的 Identity Server 配置為與特定的 Directory Server 通訊。
格式為 servername|hostname:port
例如:
machine1.example1.com|machine1.example1.com:389
machine1.example2.com|machine1.example2.com:389
對於錯誤修復配置:
machine1.example1.com|machine1.example1.com:389 machine2.example.com1:389
machine1.example2.com|machine1.example2.com:389 machine2.example2.com:389
註
該屬性已變更為接受值的清單,以支援多個伺服器。在 6.0 SP1 版次中,該屬性只接受單一值。
如果嘗試讓 6.0SP1 和 6.1 共存於單一部署環境中,尤其是在 Identity Server 6.0 SP1 實例指向 6.1 DIT 的情況下,這樣可能會出現問題。
若要使它們共存,請確保該屬性只有單一 LDAP 伺服器。
LDAP 基準 DN
此欄位指定要開始搜尋的 LDAP 伺服器中的基準 DN。依預設,它是 Identity Server 安裝的頂層組織。
LDAP 使用者基準 DN
此屬性指定 LDAP 伺服器中由 LDAP 使用者主題使用的基準 DN,搜尋將從此基準 DN 開始。依預設,它是 Identity Server 安裝基準的頂層組織。
Identity Server 角色基準 DN
此屬性指定 LDAP 伺服器中由 Identity Server 角色主題使用的基準 DN,搜尋將從此基準 DN 開始。依預設,它是 Identity Server 安裝基準的頂層組織。
LDAP 連結 DN
此欄位指定 LDAP 伺服器中的連結 DN。
LDAP 連結密碼
此屬性定義用於連結至 LDAP 伺服器的密碼。依預設,在安裝期間輸入的 amldapuser 密碼會作為連結使用者。
LDAP 連結密碼 (確認)
對 LDAP 連結密碼的確認。
LDAP 組織搜尋過濾
指定用於尋找組織項目的搜尋過濾。預設值為 (objectclass=sunMangagedOrganization)。
LDAP 組織搜尋範圍
此屬性定義用於尋找組織項目的範圍。此範圍必須為以下一種範圍:
LDAP 群組搜尋過濾
指定用於尋找群組項目的搜尋過濾。預設值為 (objectclass=groupOfUniqueNames)。
LDAP 群組搜尋範圍
此屬性定義用於尋找群組項目的範圍。此範圍必須為以下一種範圍:
LDAP 使用者搜尋過濾
指定用於尋找使用者項目的搜尋過濾。預設值為 (objectclass=inetorgperson)。
LDAP 使用者搜尋範圍
此屬性定義用於尋找使用者項目的範圍。此範圍必須為以下一種範圍:
LDAP 角色搜尋過濾
指定用於尋找角色項目的搜尋過濾。預設值為 (&(objectclass=ldapsubentry)(objectclass=nsroledefinitions))
LDAP 角色搜尋範圍
此屬性定義用於尋找角色項目的範圍。此範圍必須為以下一種範圍:
Identity Server 角色搜尋範圍
此屬性定義用於尋找 Identity Server 角色主題項目的範圍。此範圍必須為以下一種範圍:
LDAP 組織搜尋屬性
此欄位定義對組織進行搜尋的屬性類型。預設值為 o。
LDAP 群組搜尋屬性
此欄位定義對群組進行搜尋的屬性類型。預設值為 cn。
LDAP 使用者搜尋屬性
此欄位定義對使用者進行搜尋的屬性類型。預設值為 uid。
LDAP 角色搜尋屬性
此欄位定義對角色進行搜尋的屬性類型。預設值為 cn。
搜尋傳回的最大結果數
此欄位定義搜尋傳回的最大結果數。預設值為 100。如果搜尋限制超過了指定時間,則會傳回到此指定時間點時已經找到的項目。
搜尋逾時 (秒)
此屬性指定發生搜尋逾時之前的時間。如果搜尋超過了指定時間,則會傳回到此指定時間點時已經找到的項目。
啟用 LDAP SSL
此屬性指定 LDAP 伺服器是否正在執行 SSL。選取此屬性會啟用 SSL,取消選取此屬性 (預設) 會停用 SSL。
LDAP 連線區最小大小
此屬性指定用於連線至 Directory Server 的連線區最小大小,如 LDAP 伺服器屬性中指定的最小大小。預設值為 1。
LDAP 連線區最大大小
此屬性指定用於連線至 Directory Server 的連線區最大大小,如 LDAP 伺服器屬性中指定的最大大小。預設值為 10。
選取的策略主題
此屬性允許您選取可用於組織中策略定義的主題類型集。
選取的策略條件
此屬性允許您選取可用於組織中策略定義的條件類型集。
選取的策略參考
此屬性允許您選取可用於組織中策略定義的參考類型集。
持續的主題結果時間
此屬性指定快取主題結果 (基於單一登入記號) 可用於評估同一策略請求的時間 (以分鐘計算)。
在最初評估某策略是否與 SSO 記號相符時,會評估策略中的主題實例,以決定此策略是否適用於給定使用者。使用 SSO 記號 ID 加密的主題結果,在策略中進行快取。如果在 [持續的主題結果時間] 屬性指定的時間內,對同一 SSO 記號 ID 的同一策略進行評估,策略框架會擷取快取的主題結果,而不是評估主題實例。這會大大減少策略評估的時間。
啟用使用者別名
如果建立策略以保護在遠端 Directory Server 中主題成員別名為本機使用者的資源,則必須啟用此屬性。
例如,如果在遠端 Directory Server 中建立 uid=rmuser,然後將 rmuser 作為別名加入到 Identity Server 中的本機使用者 (如 uid=luser),則必須啟用此屬性。當您以 rmuser 登入時,系統會經由本機使用者 (luser) 建立階段作業,從而使策略執行成功。
