Sun Java System Instant Messaging 6 2004Q2 管理指南 |
第 4 章
管理 Instant Messaging 與線上狀態策略Sun JavaTM 系統 Instant Messaging 伺服器提供不同用處的功能,例如聊天、會議、輪詢、線上狀態存取等等。一種策略說明與這些功能相關的存取控制特權集。一般使用者與群組可以根據組織需要依序指派至策略中。
本章說明如何定義與使用策略,以管理一般使用者與管理員必須存取的 Sun Java System Instant Messaging 伺服器功能與特權:
隱私權、安全性與站台策略摘要Instant Messaging 提供控制存取 Instant Messaging 功能,並保護一般使用者隱私權的能力。
站台策略
站台策略會指定一般使用者存取特定的 Instant Messaging 功能。其指定:
Instant Messaging 管理員可存取所有 Instant Messaging 功能。管理員擁有所有會議室與新聞頻道的管理存取權限,可以檢視所有一般使用者的線上狀態並可以檢視與修改屬性,例如一般使用者的「聯絡人清單」與 Instant Messenger 設定。站台策略設定不會影響管理員的特權。
依預設,會提供一般使用者存取其他一般使用者線上狀態、傳送警示給一般使用者,與儲存屬性至伺服器的權限。在大部分部署中,不會變更預設值。在 Instant Messaging 專門用於快顯功能時需要變更這些預設值。
當 Instant Messaging 專門用於快顯功能時,不會提供一般使用者對於線上狀態資訊、聊天與新聞功能的存取權限。
有關配置站台策略的詳細資訊,請參閱管理 Instant Messaging 與線上狀態策略。
會議室與新聞頻道存取控制
一般使用者對於「會議室」與「新聞頻道」具有以下存取權限:
具有管理權限的一般使用者可以設定所有其他一般使用者的預設權限層級。這些一般使用者也可以定義例外規則,以便將不同於預設存取層級的存取層級授與特定的一般使用者或群組。
使用者隱私權
一般使用者可以指定其他一般使用者是否可以查看他們的線上狀態。依預設,所有一般使用者可以存取另一個一般使用者的線上狀態資訊。一般使用者也可以對某些一般使用者與群組設定拒絕此存取的例外情況。
若一般使用者已拒絕其他一般使用者存取其線上狀態,則在其他人聯絡人清單中此一般使用者的可用狀態會出現為離線狀態。若一般使用者線上狀態為離線,則不能傳送警示或聊天邀請。
使用者私密性可以在 Instant Messenger 的「使用者設定」視窗中加以配置。有關配置使用者隱私權的詳細資訊,請參閱 Instant Messenger 線上說明。
控制一般使用者與管理員特權的方法不同站台使用 Sun Java System Instant Messaging 伺服器在啟用與限制存取一般使用者類型有不同的需求,必須使用 Instant Messaging 服務。控制一般使用者與管理員 Sun Java System Instant Messaging 伺服器功能與特權的程序被稱為策略管理。有兩種可用的策略管理方法:透過存取控制檔案或透過 Sun Java System Identity Server。
使用存取控制檔案管理策略的介紹
管理策略的存取控制檔案方法可讓您在以下區域調整一般使用者特權:新聞頻道管理、會議室管理,變更「使用者設定」對話喜好設定的功能,與傳送警示的功能。也允許特定一般使用者被指派為系統管理員。
使用 Sun Java System Identity Server 管理策略的介紹
藉由 Sun Java System Identity Server 管理策略可以讓您控制可用於存取控制檔案方法的相同特權,然而,也允許微調更多不同的功能,例如:接收警示、傳送輪詢、接收輪詢的功能等等。對於完成清單而言,請參閱表 4-4。此外,使用 Sun Java System Identity Server 管理策略可提供對於權限的微調控制。
有兩種策略類型:Instant Messaging 策略與線上狀態策略。Instant Messaging 策略管理一般 Instant Messaging 功能,例如傳送或接收警示的功能;管理公用會議與新聞頻道的功能;以及傳送檔案的功能。線上狀態策略管理控制一般使用者變更線上狀態,並允許與避免其他人看見其線上或線上狀態資訊。
管理策略:使用方法
選擇使用何種管理策略方法時,也需要選擇儲存的地方。選取管理策略的方法是編輯 iim.conf 檔案並將 iim.policy.modules 參數設定為 identity (Identity Server 方法) 或設定為 iim_ldap (存取控制檔案方法),此方法亦為預設方法。
若您將僅 LDAP 部署 ─ 因此您將不會使用 Sun Java System Identity Server - 您必須使用存取控制檔案方法。若您將 Sun Java System Identity Server 與 Sun Java System Instant Messaging 伺服器搭配使用,而且已經安裝 Instant Messaging 與「線上狀態」服務元件,您就可以使用策略管理方法。請注意,使用 Sun Java System Identity Server 的管理策略是一個更全面的方法。這個方法的其中一項優點是允許您儲存目錄中所有一般使用者的資訊。
設定要使用何種管理策略方法的特定步驟如下所示:
策略配置參數
表 4-1 列出與說明可用於 iim.conf 檔案中與可扮演於 Instant Messaging 部署中的Sun Java System Identity Server 已增加角色相關的新參數:
表 4-1 與 iim.conf 檔案中 Identity Server 相關的新參數
參數名稱
用法
值
iim.policy.modules
指明 Sun Java System Identity Server 是否用於策略存儲
iim_ldap (預設)
identity
iim.userprops.store
指明使用者屬性位於使用者屬性檔還是來自 LDAP
file (預設)
ladp
使用存取控制檔案管理策略藉由編輯存取控制檔案,您可以控制下列一般使用者特權:
依預設,會提供一般使用者存取其他一般使用者線上狀態、傳送警示給一般使用者,與儲存屬性至伺服器的特權。在多數的部署中,不需要變更預設值。
存取控制檔案的位置是:
表 4-2 列出 Instant Messaging 的全域存取控制檔案與這些檔案提供給一般使用者的特權。
存取控制檔案格式
存取控制檔案包含一系列定義特權的項目。每個項目以下列標籤開始:
這個標籤後面跟隨一個冒號 (:)。如果是預設標籤,則後面會跟隨 true 或 false。
一般使用者與群組標籤後面會跟隨一般使用者或群組名稱。
指定多個一般使用者與群組的方法是讓多個一般使用者 (u) 與群組 (g) 在行中。
若預設值設定為 true,則所有檔案中的項目會作為備用。若預設值設定為 false,則只有指定於該檔案中的一般使用者與群組會擁有特定特權。
以下是針對新安裝 ACL 檔案中的預設 d:標籤項目:
存取控制檔案範例
本節說明顯示設定特權的範例存取檔案,sysTopicsAdd.acl 檔案。若要取得關於會議室與新聞頻道中的存取控制檔案的相關資訊 (因此是 roomname.acl 與 newschannel.acl),請參閱會議室和新聞頻道存取控制。
sysTopicsAdd.acl 檔案
在以下實例中,sysTopicsAdd.acl 檔案的預設 d: 標籤項目為 false。如此,「新增」與「刪除」新聞頻道特權可用於出現於預設之前的一般使用者與特權,即是 user1,user2 與 sales 群組。
變更一般使用者特權
若要變更一般使用者特權:
使用 Sun Java System Identity Server 管理策略Instant Messaging 與 Sun Java System Identity Server 的線上狀態服務提供了另一種方法來控制一般使用者與管理員特權。每個服務擁有三種屬性類型:動態、使用者與策略。策略屬性是用於設定特權的屬性類型。
當新增規則至建立於 Identity Server 的策略時,策略屬性成為規則的一部份,以允許或拒絕管理員與一般使用者使用不同的 Instant Messaging 功能,例如從其他人接收輪詢訊息。
當 Sun Java System Instant Messaging 伺服器安裝 Sun Java System Identity Server 時,會建立數個範例策略與角色。請參閱 Sun Java System Identity Server Getting Started Guide 與Sun Java System Identity Server 管理指南以取得有關策略與角色的相關資訊。
此外,若範例策略不足夠,您可以依需要建立新策略與指派那些策略為角色、群組、組織或一般使用者以符合站台需求。
當 Instant Messaging 服務或「線上狀態」服務被指派至一般使用者,他們會接收到適用的動態與使用者屬性。動態屬性可以指定至 Sun Java System Identity Server 已配置的角色或組織。
當角色被指派至一般使用者或於組織中建立一般使用者時,動態屬性則會變為一般使用者的特性。這些使用者屬性直接指定至每位一般使用者。它們不是繼承自角色或組織,且一般而言對於每個一般使用者都不同。
當一般使用者登入時,將根據指派至其的角色與如何套用策略以取得適用的所有屬性。
在指派「線上狀態」與 Instant Messaging 服務至那些一般使用者之後,動態、使用者或策略屬性會與一般使用者相關。
Instant Messaging 服務屬性
表 4-3 列出每個服務擁有的策略、動態與使用者屬性:
對於每個前述表格中的每個屬性,對應的標籤會出現於 Identity Server 管理主控台中。以下兩個表格會列出每個屬性與其對應標籤與簡短說明。表 4-4 會列出與說明策略屬性,表 4-5 會列出與說明動態與使用者屬性。
直接修改屬性
一般使用者可以登入 Sun Java System Identity Server 管理主控台,並檢視 Instant Messaging 中的屬性值與線上狀態服務屬性。若屬性已定義為可修改,則一般使用者可以警示該屬性。然而根據預設值,在 Instant Messaging 服務中沒有屬性是可修改的,也不建議允許一般使用者將其修改。然而,從系統管理的標準點,直接操控屬性是相當有用的。
例如,因為角色不會影響某些系統屬性,例如設定會議訂閱、系統管理員可能會希望修改這些屬性值,方法是從其他一般使用者將之複製 (例如從會議值勤人) 或直接將之修改。這些屬性會列於表 4-5 中。
參照表 4-5,使用者屬性可以由一般使用者經由 Sun Java System Identity Server 管理主控台設定。動態屬性由管理員設定。為動態屬性設定的值會覆寫或合併對應的使用者屬性值。
對應動態本質與使用者屬性會影響解決衝突與補充資訊的方式。例如,兩個資源的「會議訂閱」(動態與使用者) 會互相補充,因此訂閱會被合併。屬性不會互相覆寫。
預定義的 Instant Messaging 範例與線上狀態策略
當安裝 Instant Messaging 服務元件時,表 4-6 會列出並說明建立於 Sun Java System Identity Server 的七個範例策略與角色。您可以根據要給予其的存取控制,新增一般使用者至不同角色。
典型站台可能希望將角色 IM 一般使用者 (接收預設 Instant Messaging 與線上狀態存取) 指派為只使用 Instant Messenger 的一般使用者,但不負責管理 Instant Messaging 策略。相同站台可能將 IM 管理員角色 (與具備管理 Instant Messaging 和線上狀態服務能力有關的角色) 指派為含有完全管理 Instant Messaging 策略責任的特定一般使用者。表 4-7 列出策略屬性中的特權預設指派。若未在規則中選擇動作,則允許與拒絕值與策略無關且不會影響該屬性。
表 4-7 預設策略的指派
策略
屬性
允許
允許
允許
允許
允許
允許
允許
拒絕
允許
允許
拒絕
允許
允許
允許
允許
允許
允許
允許
允許
允許
允許
允許
拒絕
允許
允許
允許
允許
允許
允許
允許
允許
允許
允許
允許
允許
允許
允許
允許
允許
允許
允許
允許
允許
建立新 Instant Messaging 策略
您可以建立新策略以符合網站的特定需求。
若要建立新策略
- 登入 Identity Server 管理主控台,網址為 http://hostname:port/amconsole,例如 http://imserver.company22.example.com:80/amconsole
- 在選取「識別管理」標籤的情況下,選取導覽窗格 (左下框架) 中「檢視」下拉清單的「策略」。
- 按一下「新增」以顯示資料窗格中的「新策略」頁面 (右下窗格)。
- 選取策略類型為「一般」。
- 在「名稱」欄位中輸入策略說明,例如「執行 IM 任務的功能」。
- 按一下「建立」使新策略名稱出現在瀏覽窗格的策略清單中,並使資料窗格中的頁面變更為新策略的「編輯」頁面。
- 在「編輯」頁面中,在「檢視」下拉清單中選取「規則」以顯示「編輯」頁面中的「規則名稱服務資源」窗格。
- 按一下「新增」以顯示「新增規則」頁面。
- 選取適用的「服務」,可以是 Instant Messaging 服務或線上狀態服務。
每個服務可以讓您允許或拒絕一般使用者執行特定動作的能力。例如,當存取其他線上狀態功能的動作指定於線上狀態服務時,聊天功能是一個 Instant Messaging 服務特定的動作。
- 在「規則名稱」欄位中輸入規則說明,例如規則 1。
- 輸入適當的「資源名稱」 (IMResource 或 PresenceResource):
- 請選取您要套用的動作。
- 選取每個動作的值:允許或拒絕。
- 按一下「建立」以在該策略已儲存規則的清單中顯示這個提議的規則。
- 按一下「儲存」以使這個提議的規則成為已儲存的規則。
- 在您要套用至該策略任何其他規則中重複步驟 8-15。對於每個新規則,按一下「儲存」將變更儲存至策略。
將策略指派至角色、組織或使用者
您可以指派策略 - Instant Messaging 的預設策略或 Instant Messaging 策略,其可能已在安裝 Instant Messaging 之後建立 -至角色、群組、組織或使用者。
若要指派策略
- 登入 Identity Server 管理主控台,網址為 http://hostname:port/amconsole,例如 http://imserver.company22.example.com:80/amconsole
- 在選取「識別管理」標籤的情況下,選取導覽窗格 (左下框架) 中「檢視」下拉清單的「策略」。
- 按一下您要指派的策略名稱旁的箭頭,以顯示資訊窗格 (右下框架) 中該策略的「編輯」頁面。
- 在「編輯」頁中,選取「檢視」下拉式清單中的「主旨」。
- 按一下「新增」以顯示「新增主旨」頁面,其列出可能的主旨類型:
- 選取符合策略的主旨類型,例如「組織」。
- 按一下「下一步」
- 在「名稱」欄位中,輸入主旨說明。
- 若需要,請選取「專用」核取方塊。
「專用」核取方塊不會被選取為預設設定,這意味著策略適用於所有主旨成員。
選取適用於不是主旨成員的每個人的策略「專用」核取方塊。
- 在「可用」欄位中,搜尋要新增至主旨的項目。
- 按一下「建立」以在該策略已儲存主旨的清單中顯示這個提議的主旨。
- 按一下「儲存」以使這個提議的主旨成為已儲存的主旨。
- 在您要新增至該策略任何其他的主旨中重複步驟 5-12。對於每個新主旨,按一下「儲存」將變更儲存至策略。
使用 Identity Server 建立新子組織
使用 Sun Java System Identity Server 建立子組織的能力可依組織分隔要在 Sun Java System Instant Messaging 伺服器中區分的總量。每個子組織可以被對映至不同的 DNS 網域。子組織中的一般使用者與其他子組織中的一般使用者是完全隔離的。以下說明建立新 Instant Messaging 子組織的最少步驟。
若要建立新子組織
新增一般使用者至新子組織
在需要指派角色的子組織中建立新一般使用者之後。可由父項組織繼承角色,如下節所述。
若要新增一般使用者至新子組織:
自 Instant Messaging 6.0 遷移非遷移選項
若站台將 Sun Java System Instant Messaging 6.0 伺服器與 Sun Java System Identity Server 5.1 軟體一起使用,藉以部署 Instant Messaging 服務,則舊屬性會由 Sun Java System Instant Messaging 6 軟體所認可。Sun ONE Instant Messaging 6.0 伺服器的策略屬性,例如 sunIMAllowFileTransfer 與 sunIMEnableModerator 將會覆寫設定於 Sun Java System Instant Messaging 6 伺服器中的相同策略屬性。
遷移選項
然而,在處理兩個 Instant Messaging 服務中的相異之處時,偏好使用的方法是從用於 Sun ONE Instant Messaging 6.0 軟體的 Instant Messaging 服務中遷移,並修改或建立 Sun Java System Identity Server 策略,而此策略則使用 Sun Java System Instant Messaging 6 軟體的 Instant Messaging 服務與線上狀態服務。您所定義的新策略對站台所提供的存取控制應該與舊策略的相同。
例如,您可以在預設 Instant Messaging 與線上狀態存取策略中修改規則,以拒絕或允許每個策略屬性的狀態,讓策略示範在 Sun Java System Instant Messaging 6.0 伺服器中示範的相同動作,以使用之前表現的相同方法。
遷移存取控制檔案
若站台已使用較早的 Sun Java System Instant Messaging 伺服器 (6.0 或更早) 版本,但您未使用 Instant Messaging 服務,因此,您尚未透過 Sun Java System Identity Server 來設定策略的方式設定一般使用者特權 - 但卻藉由編輯存取控制檔案設定一般使用者特權,您將有兩個方法可用來複製存取控制檔中的策略集,並使用這個資訊以建立Sun Java System Identity Server策略:
手動遷移存取控制檔案資訊
這個方法的高階步驟如下所述:
- 開啟每個存取控制檔案 (一次一個)。例如,sysTopicsAdd.acl 與 sysRoomsAdd.acl。
若需更多有關存取控制檔位置與格式的相關資訊,請參閱使用存取控制檔案管理策略。
- 在每個檔案中,讀取預設行的值。預設行以字母 d 開頭,且其後跟隨一個冒號 (d:)。
- 在預設即時傳訊與線上狀態存取策略的 Sun Java System Identity Server 管理主控台中,設定一個規則使之與從存取控制檔案讀取的預設值相同。
- 指派所有常規 Instant Messaging 一般使用者為 IM 一般使用者角色
- 對於在這些存取控制檔案中列出的一般使用者 (擁有不同特權),例如管理會議室或新聞頻道的能力,將其新增至擁有那些特權的對應角色。請參閱表 4-6 以取得關於每個預設策略套用角色的相關資訊。
自動遷移存取控制檔案資訊
自動遷移存取控制檔案資訊與手動轉移存取控制檔案資訊的不同之處在於,您可以藉由發佈指令來執行這個資訊的一次性遷移。
輸入下列指令:
imadmin migrate
這個指令會從全域存取控制檔案轉移資訊至對應策略與其主旨。請參閱表 4-8 以取得全域存取控制檔案的清單與查看其對映的策略。
遷移 Sun Java System Instant Messenger 設定
對於 Sun Java System Instant Messaging 6.1 伺服器,當參數 iim.userprops.store 在 iim.conf 檔案中設定為 ldap,一般使用者的 Sun Java System Instant Messenger 設定會儲存於 sunIMUserProperties 使用者屬性。
若站台已使用較早版本的 Sun Java System Instant Messaging 伺服器且 Sun Java System Instant Messenger 設定已儲存於 user.properties 檔案中,在安裝 Sun Java System Instant Messaging 6.1 伺服器之後,就設定將在使用者登入時自動遷移至 sunIMUserProperties 使用者屬性,只要 iim.userprops.store 參數在 iim.conf 檔案中設定為 ldap。
當一般使用者第一次登入 Sun Java System Instant Messaging 6.1 伺服器,伺服器會檢查 sunIMUserProperties 使用者屬性是否存在,且是否儲存一般使用者的設定。若在該位置找不到一般使用者的設定,伺服器會檢查該一般使用者的 user.properties 檔案是否存在。若檔案存在,伺服器會將資訊從 user.properties 檔案轉移至 sunIMUserProperties 使用者屬性。然而,若 user.properties 檔案不存在,則預設 Sun Java System Instant Messenger 設定為一般使用者的 sunIMUserProperties 使用者屬性的指派值。