test

Sun Java System Access Manager 7 2005Q4 管理指南

第 I 部分 Access Manager 配置

這是「Sun Java System Access ManagerTM 7 2005Q4 管理指南」的第一部分。討論安裝 Access Manager 後您可以執行的配置選項。本部分包含以下章節:

第 1 章 Access Manager 7 2005Q4 配置程序檔

本章描述如何使用 amconfig 程序檔以及範例無訊息模式輸入檔案 (amsamplesilent) 來配置及部署 Sun JavaTM System Access Manager。主題包括:

Access Manager 7 2005Q4 安裝簡介

對於新安裝,始終透過執行 Sun Java Enterprise System (Java ES) 安裝程式安裝 Access Manager 7 2005Q4 的第一個實例。執行安裝程式時,可以選擇下列的配置選項之一:

備註 –

如果您將 BEA WebLogic 或 IBM WebSphere Application Server 安裝為 Access Manager Web 容器,則安裝 Access Manager 時必須選擇 [以後配置] 選項。請參閱第 2 章, 安裝並配置協力廠商 Web 容器以取得更多資訊。

如需有關此安裝程式的資訊,請參閱「Sun Java Enterprise System 2005Q4 Installation Guide for UNIX」

Java Enterprise System 安裝程式會將 Access Manager 7 2005Q4 amconfig 程序檔和範例無訊息模式輸入檔案 (amsamplesilent) 安裝在 AccessManager-base/SUNWam/bin 目錄 (Solaris 系統) 或 AccessManager-base/identity/bin 目錄 (Linux 系統)。

AccessManager-base 代表 Access Manager 基底安裝目錄。在 Solaris 系統上,預設基底安裝目錄是 /opt,在 Linux 系統上,則是 /opt/sun。不過,執行安裝程式時您可以決定指定另一個目錄。

amconfig 程序檔為最高層程序檔,可視需要呼叫其他程序檔,以執行請求的作業。如需更多資訊,請參閱Access Manager amconfig 程序檔

範例配置程序檔輸入檔案 (amsamplesilent) 是一個可用來建立輸入檔案的範本,當您以無訊息模式執行 amconfig 程序檔時必須指定此輸入檔案。

這個範例配置程序檔輸入檔案是 ASCII 文字檔案,其中包含 Access Manager 配置變數。執行 amconfig 程序檔之前,請複製 (並重新命名,如果需要的話) amsamplesilent 檔案,然後根據系統環境來編輯檔案中的變數。配置變數格式如下:

variable-name=value

例如:

DEPLOY_LEVEL=1
 NEW_INSTANCE=true
 SERVER_HOST=ishost.example.com

如需可在配置程序檔輸入檔案中設定的變數清單,請參閱Access Manager 範例配置程序檔輸入檔案

注意 – 注意 –

當您以無訊息模式執行 amconfig 程序檔時,所使用範例配置程序檔輸入檔案的格式並未遵循相同的格式,或必須使用相同的變數名稱做為 Java Enterprise System 無訊息安裝狀態檔案。這個檔案中包含機密資料,例如管理員密碼。視需要確實保護或刪除這個檔案。

Access Manager amconfig 程序檔作業

以 Sun Java Enterprise System 安裝程式安裝 Access Manager 的第一個實例後,可執行 amconfig 程序檔,依無訊息模式輸入檔案中的變數值執行以下作業:

Access Manager 範例配置程序檔輸入檔案

當您執行 Java Enterprise System 安裝程式後,可以在 Solaris 系統中的 AccessManager-base/SUNWam/bin 目錄,或 Linux 系統中的 AccessManager-base/identity/bin 目錄找到 Access Manager 範例配置程序檔輸入檔案 (amsamplesilent)。

若要設定配置變數,先複製並重新命名 amsamplesilent 檔案。然後為您要執行的作業在副本中設定變數。如需此檔案的範例,請參閱範例配置程序檔輸入檔案

此範例無訊息模式輸入檔案包含以下配置變數:

配置模式變數

本節說明必要 DEPLOY_LEVEL 變數的值。此變數決定您要 amconfig 程序檔執行的作業。

表 1–1 變數

作業 

DEPLOY_LEVEL 變數值和說明 

安裝 

1 = 新實例的完整 Access Manager 安裝 (預設) 

2 = 僅安裝 Access Manager 主控台 

3 = 僅安裝 Access Manager SDK 

4 = 僅安裝 SDK 並配置容器 

5 = 僅安裝聯合管理模組 

6 = 限安裝伺服器 

7=安裝 Access Manager 並配置容器,以與 Portal Server 一起部署。 

警告 DEPLOY_MODE=7 僅用於與 Portal Server 一起部署的 Access Manager。

在部份部署中,您可能想使用不同的 Web 容器在單一主機上只安裝主控台和伺服器。首先,執行 Java ES 安裝程式,使用 [以後配置] 選項安裝所有的 Access Manager 子元件。然而,執行 amconfig 程序檔配置主控台和伺服器。

解除安裝 (取消配置) 

11 = 完全解除安裝 

12 = 完全解除安裝主控台 

13 = 僅解除安裝 SDK 

14 = 僅解除安裝 SDK 並取消配置容器 

15 = 解除安裝聯合管理模組 

16 = 僅解除安裝伺服器 

與 Portal Server 一起部署時,解除安裝 Access Manager 並取消配置容器。 

警告 DEPLOY_MODE=7 僅用於與 Portal Server 一起部署 Access Manager 時。

重新安裝 

(也稱為重新部署或重新配置) 

21 = 重新部署所有主控台、密碼、服務和共用 Web 應用程式。 

26 = 取消部署所有主控台、密碼、服務和共用 Web 應用程式。 

Access Manager 配置變數

本節說明 Access Manager 配置變數。

表 1–2 Access Manager 配置變數

變數 

說明 

AM_REALM 

指定 Access Manager 模式: 

  • enabled:Access Manager 使用 Access Manager 7 2005Q4 功能與主控台,在「範圍模式」中作業。

  • disabled:Access Manager 使用 Access Manager 6 2005Q1 功能與主控台,在「舊有模式」中作業。

預設:enabled 

注意 – 注意 –

依預設會啟用 Access Manager 範圍模式。若您與 Portal Server、Messaging Server、Calendar Server、Delegated Administrator 或 Instant Messaging 一起部署 Access Manager,則在執行 amconfig 程序檔前必須先選取「舊有模式」(AM_REALM=disabled)。

BASEDIR 

Access Manager 套裝軟體的基底安裝目錄。 

預設:PLATFORM_DEFAULT 

Solaris 系統中,PLATFORM_DEFAULT 為 /opt

Linux 系統中,PLATFORM_DEFAULT 為 /opt/sun

SERVER_HOST 

完全合格的系統主機名稱,此系統會執行或安裝 Access Manager。 

對於遠端 SDK 安裝,請將此變數設為安裝或即將安裝 Access Manager 的主機,而非遠端用戶端主機。 

此變數應符合 Web 容器配置中的對等變數。例如,對於 Application Server 8,此變數應符合 AS81_HOST。 

SERVER_PORT 

Access Manager 連接埠號。預設:58080 

對於遠端 SDK 安裝,請將此變數設為安裝或即將安裝 Access Manager 的主機上的連接埠,而非遠端用戶端主機。 

此變數應符合 Web 容器配置中的對等變數。例如,對於 Application Server 8,此變數應符合 AS81_PORT。 

SERVER_PROTOCOL 

伺服器通訊協定:http 或 https。預設:http 

對於遠端 SDK 安裝,請將此變數設為安裝或即將安裝 Access Manager 的主機上的通訊協定,而非遠端用戶端主機。 

此變數應符合 Web 容器配置中的對等變數。例如,對於 Application Server 8,此變數應符合 AS81_PROTOCOL。 

CONSOLE_HOST 

安裝現有主控台的伺服器之完全合格的主機名稱。 

預設:提供給 Access Manager 主機的值 

CONSOLE_PORT 

安裝主控台並偵聽連結的 Web 容器連接埠。 

預設:提供給 Access Manager 連接埠的值 

CONSOLE_PROTOCOL 

安裝主控台的 Web 容器之通訊協定。 

預設:伺服器通訊協定 

CONSOLE_REMOTE 

如果主控台對 Access Manager 服務而言是遠端的,設為 true。否則,設為 false。預設:false 

DS_HOST 

Directory Server 完全合格的主機名稱。 

DS_PORT 

Directory Server 連接埠。預設:389。 

DS_DIRMGRDN 

目錄管理員 DN:對 Directory Server 擁有無限存取權的使用者。 

預設:「cn=Directory Manager

DS_DIRMGRPASSWD 

目錄管理員密碼 

請參閱Access Manager 配置變數描述中關於特殊字元的備註。

ROOT_SUFFIX 

目錄的初始或根字尾。您必須確定此值存在於您所使用的 Directory Server 中。 

請參閱Access Manager 配置變數描述中關於特殊字元的備註。

ADMINPASSWD 

管理員 (amadmin) 的密碼。必須與 amldapuser 密碼不同。

備註:如果密碼包含特殊字元如斜線 (/) 或反斜線 (\\),特殊字元必須加上單括號 (”)。例如:

ADMINPASSWD=’\\\\\\\\\\####///’

然而,密碼不能將單括號做為實際密碼字元之一。 

AMLDAPUSERPASSWD 

amldapuser 的密碼。必須與 amadmin 密碼不同。

請參閱Access Manager 配置變數描述中關於特殊字元的備註。

CONSOLE_DEPLOY_URI 

用於存取與 Access Manager 管理主控台子元件相關聯的 HTML 頁面、類別以及 JAR 檔案的 URI 前綴。 

預設:/amconsole

SERVER_DEPLOY_URI 

用於存取和識別管理與策略服務核心子元件相關聯的 HTML 頁面、類別以及 JAR 檔案的 URI 前綴。 

預設:/amserver

PASSWORD_DEPLOY_URI 

該 URI 用於決定將由執行 Access Manager 的 Web 容器用在您指定的字串與相應已部署應用程式之間的對映。 

預設:/ampassword

COMMON_DEPLOY_URI 

用於在 Web 容器上存取共用網域服務的 URI 前綴。 

預設:/amcommon

COOKIE_DOMAIN 

當 Access Manager 授予使用者階段作業 ID 時,傳回到瀏覽器的可信任 DNS 網域之名稱。至少要提供一個值。一般而言,此格式為以點號開頭的伺服器網域名稱。 

範例:.example.com

JAVA_HOME 

JDK 安裝目錄的路徑。預設:/usr/jdk/entsys-j2se。此變數提供指令行介面 (如 amadmin) 之可執行檔使用的 JDK。此版本必須是 1.4.2 或更高版本。

AM_ENC_PWD 

密碼加密金鑰:Access Manager 用來加密使用者密碼的字串。預設:無。將值設為 none 時,amconfig 會為使用者產生密碼加密金鑰,因此密碼加密將會存在於使用者指定或經由 amconfig 建立的安裝中。

重要:如果部署多個 Access Manager 或遠端 SDK 實例,所有實例將使用相同的密碼加密金鑰。當您部署附加實例時,從第一個實例之 AMConfig.properties 檔案中的 am.encryption.pwd 特性複製值。

PLATFORM_LOCALE 

平台的語言環境。預設:en_US (美國英語)

NEW_OWNER 

安裝後 Access Manager 檔案的新所有者。預設:root

NEW_GROUP 

安裝後 Access Manager 檔案的新群組。預設:other

對於 Linux 安裝,將 NEW_GROUP 設為 root

PAM_SERVICE_NAME 

來自 PAM 配置或作業系統隨附之堆疊的 PAM 服務名稱,用於 Unix 認證模組 (一般而言,對於 Solaris 是 other,對於 Linux 是 password)。預設:other

XML_ENCODING 

XML 編碼。預設:ISO-8859-1

NEW_INSTANCE 

指定配置程序檔是否應部署 Access Manager 到一個使用者建立的新 Web 容器實例: 

  • true = 將 Access Manager 部署到現存實例以外的使用者新建 Web 容器實例。

  • false = 配置第一個實例或重新配置實例。

    預設:false

SSL_PASSWORD 

不是用於此版本中。 

Web 容器配置變數

若要指定 Access Manager 的 Web 容器,請在無訊息模式輸入檔案中設定 WEB_CONTAINER 變數。如需 Access Manager 7 2005Q4 支援的 Web 容器版本資訊,請參閱「Sun Java System Access Manager 7 2005Q4 版本說明」

表 1–3 Access Manager WEB_CONTAINER 變數

值 

Web 容器 

WS6 (預設) 

Sun Java System Web Server 6.1 SP5

AS8 

Sun Java System Application Server 8.1

WL8 

BEA WebLogic Server 8.1

WAS5 

IBM WebSphere 5.1

Sun Java System Web Server 6.1 SP5

本節說明 Web Server 6.1 2005Q4 SP5 無訊息模式輸入檔案中的配置變數。

表 1–4 Web Server 6.1 配置變數

變數 

說明 

WS61_INSTANCE 

將部署或取消部署 Access Manager 的 Web Server 實例名稱。 

預設:https-web-server-instance-name

其中 web-server-instance-name 是 Access Manager 主機 (Access Manager 配置變數變數)

WS61_HOME 

Web Server 基底安裝目錄。 

預設:/opt/SUNWwbsvr

WS61_PROTOCOL 

將部署 Access Manager 的 Web Server 實例使用之通訊協定,由Sun Java System Web Server 6.1 SP5變數設定:http 或 https。

預設:Access Manager 通訊協定 (Access Manager 配置變數變數)

WS61_HOST 

Web Server 實例之完全合格的主機名稱 (Sun Java System Web Server 6.1 SP5變數)。

預設:Access Manager 主機實例 (Access Manager 配置變數變數)

WS61_PORT 

Web Server 偵聽連線時所在的連接埠。 

預設:Access Manager 連接埠號 (Access Manager 配置變數變數)

WS61_ADMINPORT 

Web Server Administration Server 偵聽連線時所在的連接埠。 

預設:8888 

WS61_ADMIN 

Web Server 管理員的使用者 ID。 

預設:「admin

Sun Java System Application Server 8.1

本節說明 Application Server 8.1 無訊息模式輸入檔案中的配置變數。

表 1–5 Application Server 8.1 配置變數

變數 

說明 

AS81_HOME 

Application Server 8.1 安裝目錄的路徑。 

預設:/opt/SUNWappserver/appserver

AS81_PROTOCOL 

Application Server 實例使用的通訊協定:http 或 https。 

預設:Access Manager 通訊協定 (Access Manager 配置變數變數)

AS81_HOST 

Application Server 實例偵聽連線時所在之完全合格的網域名稱。 

預設:Access Manager 主機 (Access Manager 配置變數變數)

AS81_PORT 

Application Server 實例偵聽連線時所在的連接埠。 

預設:Access Manager 連接埠號 (Access Manager 配置變數變數)

AS81_ADMINPORT 

Application Server 的管理伺服器偵聽連線時所在的連接埠。 

預設:4849 

AS81_ADMIN 

為 Application Server 所顯示網域管理 Application Server 管理伺服器的使用者名稱。 

預設:admin

AS81_ADMINPASSWD 

Application Server 所顯示網域的 Application Server 管理員密碼。 

請參閱Access Manager 配置變數描述中關於特殊字元的備註。

AS81_INSTANCE 

要執行 Access Manager 的 Application Server 實例的名稱。 

預設:server

AS81_DOMAIN 

您要將此 Access Manager 實例部署至的網域之 Application Server 目錄路徑。 

預設:domain1

AS81_INSTANCE_DIR 

Application Server 儲存實例檔案的目錄路徑。 

預設:/var/opt/SUNWappserver/domains/domain1

AS81_DOCS_DIR 

Application Server 儲存內容文件的目錄。 

預設:/var/opt/SUNWappserver/domains/domain1/docroot

AS81_ADMIN_IS_SECURE 

指定 Application Server 管理實例是否正在使用 SSL: 

  • true:已經啟用安全連接埠協定 (HTTPS 通訊協定)。

  • false:未啟用安全連接埠協定 (HTTP 通訊協定)。

    預設:true (已啟用)

    ampsamplesilent 中,另有一個設定可指定 Application Server 管理連接埠是否安全:

  • true:Application Server 管理連接埠安全 (HTTPS 通訊協定)。

  • false:Application Server 管理連接埠不安全 (HTTP 通訊協定)。

    預設:true (已啟用)。

BEA WebLogic Server 8.1

本節說明 BEA WebLogic Server 8.1 於無訊息模式輸入檔案中的配置變數。

表 1–6 BEA WebLogic Server 8.1 配置變數

變數 

說明 

WL8_HOME 

WebLogic 主目錄。預設:/usr/local/bea

WL8_PROJECT_DIR 

WebLogic 專案目錄。預設:user_projects

WL8_DOMAIN 

WebLogic 網域名稱。預設:mydomain

WL8_SERVER 

WebLogic 伺服器名稱。預設:myserver

WL8_INSTANCE 

WebLogic 實例名稱。預設:/usr/local/bea/weblogic81 ($WL8_HOME/weblogic81)

WL8_PROTOCOL 

WebLogic 通訊協定。預設:http 

WL8_HOST 

WebLogic 主機名稱。預設:伺服器主機名稱 

WL8_PORT 

WebLogic 連接埠。預設:7001 

WL8_SSLPORT 

WebLogic SSL 連接埠。預設:7002 

WL8_ADMIN 

WebLogic 管理員。預設:「weblogic」

WL8_PASSWORD 

WebLogic 管理員密碼。 

請參閱Access Manager 配置變數描述中關於特殊字元的備註。

WL8_JDK_HOME 

WebLogic JDK 主目錄。預設:BEA WebLogic Server 8.1 /jdk142_04

WL8_CONFIG_LOCATION 

應設為 WebLogic 啟動程序檔之位置的父系目錄。 

IBM WebSphere 5.1

本節說明 IBM WebSphere Server 5.1 無訊息模式輸入檔案中的配置變數。

表 1–7 IBM WebSphere 5.1 配置變數

變數 

說明 

WAS51_HOME 

WebSphere 主目錄。預設:/opt/WebSphere/AppServer

WAS51_JDK_HOME 

WebSphere JDK 主目錄。預設:/opt/WebSphere/AppServer/java

WAS51_CELL 

WebSphere 儲存格。預設:主機名稱值 

WAS51_NODE 

WebSphere 節點名稱。預設:安裝 WebSphere 的伺服器之主機名稱。預設:主機名稱值 

WAS51_INSTANCE 

WebSphere 實例名稱。預設:server1

WAS51_PROTOCOL 

WebSphere 通訊協定。預設:http 

WAS51_HOST 

WebSphere 主機名稱。預設:伺服器主機名稱

WAS51_PORT 

WebSphere 連接埠。預設:9080 

WAS51_SSLPORT 

WebSphere SSL 連接埠。預設:9081 

WAS51_ADMIN 

WebSphere 管理員。預設:「admin

WAS51_ADMINPORT 

WebSphere 管理員連接埠。預設:9090 

Directory Server 配置變數

如需 Access Manager 7 2005Q4 支援的 Directory Server 版本資訊,請參閱「Sun Java System Access Manager 7 2005Q4 版本說明」。本節說明無訊息模式輸入檔案中的 Directory Server 配置變數。

表 1–8 Directory Server 配置變數

變數 

說明 

DIRECTORY_MODE 

Directory Server 模式: 

1 = 用於目錄資訊樹 (DIT) 的新安裝。 

2 = 用於現有 DIT。命名屬性和物件類別相同,因此配置程序檔載入 installExisting.ldif 以及 umsExisting.ldif 檔案。

配置程序檔也以配置時實際輸入的值 (例如,BASE_DIR、BASE_DIR 及 ROOT_SUFFIX) 更新 LDIF 以及特性檔案。 

此更新亦稱為「標記交換」,因為配置程序檔以實際配置值取代檔案中的定位字元標記。 

3 = 當您希望以手動載入時用於現有 DIT。命名屬性和物件類別不同,因此配置程序檔不會載入 installExisting.ldif 以及 umsExisting.ldif 檔案。程序檔進行標記交換 (如模式 2 所述)。

您必須檢查並修改 (視需要) LDIF 檔案後手動載入 LDIF 檔案和服務。 

4 = 用於現有多重伺服器安裝。配置程序檔不會載入 LDIF 檔案和服務,因為該作業是根據現有 Access Manager 安裝。程序檔僅進行標記交換 (如模式 2 所述),並新增平台清單中的一個伺服器項目。 

5 = 用於現有升級。程序檔僅進行標記交換 (如模式 2 所述)。 

預設:1 

USER_NAMING_ATTR 

使用者命名屬性:使用者或資源於其相關明稱空間中的專屬辨識符號。預設:uid

ORG_NAMING_ATTR 

使用者之公司或組織的命名屬性。預設:o

ORG_OBJECT_CLASS 

組織物件類別。預設:sunismanagedorganization

USER_OBJECT_CLASS 

使用者物件類別。預設:inetorgperson

DEFAULT_ORGANIZATION 

預設的組織名稱。預設:無 

Access Manager amconfig 程序檔

執行 Java Enterprise System 安裝程式後,amconfig 程序檔位於 AccessManager-base/SUNWam/bin 目錄中 (Solaris 系統) 或 AccessManager-base/identity/bin 目錄中 (Linux 系統)。

amconfig 程序檔讀取無訊息配置輸入檔案,然後視需要以無訊息模式呼叫其他程序檔,以執行請求的作業。

若要執行 amconfig 程序檔,請使用此語法:


amconfig -s
          input-file

其中:

-s 於無訊息模式中執行 amconfig

input-file 是無訊息配置輸入檔案,包含您要執行作業的配置變數。如需更多資訊,請參閱Access Manager 範例配置程序檔輸入檔案

執行 amconfig 程序檔有幾個注意事項:

備註 –

在 Access Manager 7 2005Q4 發行版本中,不支援以下程序檔:

同時,依預設 amserver start 僅啟動認證 amsecuriddamunixd 輔助程式。amsecuridd 輔助程式只能在 Solaris OS SPARC 平台上使用。

Access Manager 部署方案

在您使用 Java Enterprise System 安裝程式安裝 Access Manager 的第一個實例後,可部署和配置附加 Access Manager 實例,做法是先編輯無訊息配置輸入檔案中的配置變數,再執行 amconfig 程序檔。

本節描述以下方案:

部署 Access Manager 附加實例

您必須使用 Web 容器的管理工具建立並啟動新的 Web 容器實例,才能部署新的 Access Manager 實例。相關資訊請參考特定 Web 容器說明文件:

本節中說明的各項步驟,僅適用於已使用 [立即配置] 選項安裝的 Access Manager 實例。如果您計劃使用 WebLogic 或 WebSphere 來做為 Web 容器,在安裝 Access Manager 時必須使用 [以後配置] 選項。請參閱第 2 章, 安裝並配置協力廠商 Web 容器以取得更多資訊。

部署 Access Manager 附加實例

本節說明如何在其他主機伺服器上部署 Access Manager 附加實例,以及如何更新 [平台伺服器清單]。

Procedure要部署 Access Manager 附加實例

步驟

  1. 以管理員身份登入,視實例的 Web 容器而異。例如,如果 Web Server 6.1 為新實例的 Web 容器,以超級使用者 (root) 或 Web Server Administration Server 的使用者帳號登入。

  2. 複製 amsamplesilent 檔案到可寫入目錄,並將該目錄設為目前使用的目錄。例如,您可以建立一個稱為 /newinstances 的目錄。

    提示:重新命名 amsamplesilent 檔案的副本,以說明您要部署的新實例。例如,下列步驟使用一個稱為 amnewws6instance 的輸入檔案,以安裝 Web Server 6.1 的新實例。

  3. 在新的 amnewws6instance 檔案中設定下列變數:


    DEPLOY_LEVEL=1
 NEW_INSTANCE=true

    amnewws6instance 檔案中,視需要為您要建立的新實例設定其他變數。關於這些變數的描述,請參閱下列章節中的表格:

    • Access Manager 配置變數

      • Web 容器配置變數

      • Directory Server 配置變數

        重要:所有 Access Manager 實例都必須使用相同的密碼加密金鑰值。若要設定此實例的 AM_ENC_PWD 變數,請從第一個實例的 AMConfig.properties 檔案中,複製 am.encryption.pwd 特性的值。

        假如稍後您需要解除安裝這個實例,請儲存 amnewws6instance 檔案。

  4. 執行 amconfig,指定新的 amnewws6instance 檔案。例如,在 Solaris 系統上:


    # cd opt/SUNWam/bin/
 # ./amconfig -s ./newinstances/amnewws6instance

    -s 選項於無訊息模式中執行 amconfig

    amconfig 程序檔視需要呼叫其他配置程序檔,使用 amnewws6instance 檔案中的變數部署新實例。

Procedure若要更新 [平台伺服器清單]

當您建立附加容器實例時,必須更新 Access Manager 的 [平台伺服器清單],使其反映附加的容器。

步驟

  1. 請以頂層管理員的身份登入 Access Manager 主控台。

  2. 按一下 [服務配置] 標籤。

  3. 按一下 [平台] 服務。

  4. 請在 [伺服器清單] 中為新實例輸入下列資訊:

    protocol:// fqdn:port|instance-number

    實例編號應為下一個未使用的可用號碼。

  5. 按一下 [加入] 。

  6. 按一下 [儲存]。

配置與重新配置 Access Manager 實例

您可以配置以 [以後配置] 選項安裝的 Access Manager 實例,或執行 amconfig 程序檔在 Java Enterprise System 安裝程式中重新配置以 [立即配置] 選項安裝的第一個實例。

例如,您可能想要重新配置實例,以變更 Access Manager 所有者和群組。

Procedure若要配置或重新配置 Access Manager 實例

步驟

  1. 以管理員身份登入,視實例的 Web 容器而異。例如,如果 Web Server 6.1 為新實例的 Web 容器,以超級使用者 (root) 或 Web Server Administration Server 的使用者帳號登入。

  2. 將用來部署實例的無訊息配置輸入檔案複製到可寫入的目錄,並使該目錄成為您的目前目錄。例如,若要重新配置 Web Server 6.1 的實例,在下列步驟中是使用 /reconfig 目錄中名為 amnewinstanceforWS61 的輸入檔案。

  3. amnewinstanceforWS61 檔案中,將 DEPLOY_LEVEL 變數設定為配置模式變數作業描述的變數之一。例如,設定 DEPLOY_LEVEL=21 以重新配置一個完全安裝。

  4. amnewinstanceforWS61 檔案中,將 NEW_INSTANCE 變數設為 false:


    NEW_INSTANCE=false

  5. 設定其他在 amnewinstanceforWS61 檔案中的變數以重新配置實例。例如,要變更實例的所有者和群組,將 NEW_OWNER 和 NEW_GROUP 變數設成新值。

    關於其他變數的描述,請參閱下列章節中的表格:

  6. 執行 amconfig 程序檔,指定新的已編輯輸入檔案。例如,在 Solaris 系統上:


    # cd opt/SUNWam/bin/
 # ./amconfig -s ./reconfig/amnewinstanceforWS61

    -s 選項於無訊息模式中執行程序檔。 amconfig 程序檔視需要呼叫其他配置程序檔,使用 amnewinstanceforWS61 檔案中的變數以重新配置實例。

解除安裝 Access Manager

您可以解除安裝由執行 amconfig 程序檔所安裝的 Access Manager 實例。您也可以暫時取消配置 Access Manager 實例,除非您移除 Web 容器實例,否則仍可於稍後重新部署另一個 Access Manager 實例。

Procedure要解除安裝 Access Manager 實例

步驟

  1. 以管理員身份登入,視實例的 Web 容器而異。例如,如果 Web Server 6.1 為新實例的 Web 容器,以超級使用者 (root) 或 Web Server Administration Server 的使用者帳號登入。

  2. 將用來部署實例的無訊息配置輸入檔案複製到可寫入的目錄,並使該目錄成為您的目前目錄。例如,若要取消配置 Web Server 6.1 的實例,在下列步驟中是使用 /unconfigure 目錄中名為 amnewinstanceforWS61 的輸入檔案。

  3. amnewinstanceforWS61 檔案中,將 DEPLOY_LEVEL 變數設定為配置模式變數作業描述的變數之一。例如,設定 DEPLOY_LEVEL=11 以解除安裝 (或取消配置) 一個完全安裝。

  4. 執行 amconfig 程序檔,指定新的已編輯輸入檔案。例如,在 Solaris 系統上:


    # cd opt/SUNWam/bin/
 # ./amconfig -s ./unconfigure/aminstanceforWS61

    -s 選項於無訊息模式中執行程序檔。 amconfig 程序檔讀取 amnewinstanceforWS61 檔案然後解除安裝實例。

    如果您稍後要重新部署另一個 Access Manager 實例,仍可以使用 Web 容器實例。

解除安裝所有 Access Manager 實例

此方案會從系統中完整地移除所有 Access Manager 7 2005Q4 實例與套裝軟體。

Procedure若要完全從系統中移除 Access Manager 7 2005Q4

步驟

  1. 請以超級使用者的身份登入或成為超級使用者 (root)。

  2. 在用來部署實例的輸入檔案中,將 DEPLOY_LEVEL 變數設定為配置模式變數作業描述的變數之一。例如,設定 DEPLOY_LEVEL=11 以解除安裝 (或取消配置) 一個完全安裝。

  3. 使用您在解除安裝所有 Access Manager 實例中編輯的檔案來執行 amconfig 程序檔。例如,在 Solaris 系統上:


    # cd opt/SUNWam/bin/ 
# ./amconfig -s ./newinstances/amnewws6instance

    amconfig 程序檔於無訊息模式中執行以解除安裝實例。

    為所有您要解除安裝的其他 Access Manager 實例重複這個步驟,但您使用 Java Enterprise System 安裝程式安裝的實例 (第一個實例) 除外。

  4. 若要解除安裝第一個實例,並移除系統中所有 Access Manager 套裝軟體,請執行 Java Enterprise System 解除安裝程式。如需有關解除安裝程式的更多資訊,請參閱「Sun Java Enterprise System 2005Q4 Installation Guide for UNIX」

範例配置程序檔輸入檔案

下節包含 Access Manager 配置程序檔輸入檔案的範例,用於與 WebLogic 8.1 共同部署。


DEPLOY_LEVEL=1
BASEDIR=/opt
SERVER_HOST=ide-56.example.company.com
SERVER_PORT=7001
SERVER_PROTOCOL=http
CONSOLE_HOST=$SERVER_HOST
CONSOLE_PORT=$SERVER_PORT
CONSOLE_PROTOCOL=$SERVER_PROTOCOL
CONSOLE_REMOTE=false
DS_HOST=ide-56.example.company.com
DS_PORT=389
DS_DIRMGRDN=”cn=Directory Manager”
DS_DIRMGRPASSWD=11111111
ROOT_SUFFIX=”dc=company,dc=com”
ADMINPASSWD=11111111
AMLDAPUSERPASSWD=00000000
CONSOLE_DEPLOY_URI=/amconsole
SERVER_DEPLOY_URI=/amserver
PASSWORD_DEPLOY_URI=/ampassword
COMMON_DEPLOY_URI=/amcommon
COOKIE_DOMAIN=.iplanet.com
JAVA_HOME=/usr/jdk/entsys-j2se
AM_ENC_PWD=””
PLATFORM_LOCALE=en_US
NEW_OWNER=root
NEW_GROUP=other
XML_ENCODING=ISO-8859-1
NEW_INSTANCE=false
WEB_CONTAINER=WL8
WL8_HOME=/export/bea8
WL8_PROJECT_DIR=user_projects
WL8_DOMAIN=mydomain
WL8_CONFIG_LOCATION=$WL8_HOME/$WL8_PROJECT_DIR/domains
WL8_SERVER=myserver
WL8_INSTANCE=/export/bea8/weblogic81
WL8_PROTOCOL=http
WL8_HOST=ide-56.example.company.com
WL8_PORT=7001
WL8_SSLPORT=7002
WL8_ADMIN=”weblogic”
WL8_PASSWORD=”11111111”
WL8_JDK_HOME=$WL8_HOME/jdk142_04
DIRECTORY_MODE=1
USER_NAMING_ATTR=uid
ORG_NAMING_ATTR=o
ORG_OBJECT_CLASS=examplemanagedorganization
USER_OBJECT_CLASS=inetorgperson
DEFAULT_ORGANIZATION=
Sample Configuration Script Input File for WebLogic 8.1.x

第 2 章 安裝並配置協力廠商 Web 容器

本章說明安裝並配置與 Sun Java™ System Access Manager 一起部署之協力廠商 Web 容器的程序。針對此版本,Access Manager 支援 BEA WebLogic 8.1 (及其目前修補程式) 與 IBM WebSphere 5.1 (及其目前修補程式)。

WebLogic 和 WebSphere 並不是 Java Enterprise System 的一部份,所以您必須分別以 Java ES 安裝程式來安裝並配置它們。一般而言,程序如下:

安裝並配置 BEA WebLogic 8.1

當您安裝 WebLogic 之前,請確認已在 DNS 中註冊主機網域。同時,驗證您安裝的 WebLogic 軟體版本正確。如需更多資訊,請移至 BEA 產品網站,網址為 http://commerce.bea.com/index.jsp。

Procedure若要安裝並配置 WebLogic 8.1

步驟

  1. 將下載的軟體影像 (.zip.gz 格式) 解壓縮。確定 zip/gzip 公用程式適用於正確的平台,否則您在解壓縮時會收到總和檢查錯誤的訊息。

  2. 從目標系統的 shell 視窗執行安裝程式。

    遵循 WebLogic 安裝公用程式所提供的程序 (可以在以下網址找到詳細的安裝指示:http://e-docs.bea.com/wls/docs81/)。

    在安裝程序期間,請確定記錄以下資訊,稍後在 Access Manager 配置時會用到這些資訊:

    • FQDN (用於 WL8_HOST 參數中)

      • 安裝位置

      • 連接埠號

  3. 完成安裝之後,請從下列位置執行 WebLogic 配置工具來配置網域和伺服器實例:

    WebLogic-base/WebLogic-instance/common/bin/quickstart.sh

    依預設,WebLogic 會將伺服器實例定義成 myserver,網域定義成 mydomain。您可能不會選擇使用這些預設。如果您建立新的網域和實例,請確認記錄此資訊,以供 Access Manager 配置與部署使用。請參閱 WebLogic 8.1 文件以取得指示。

  4. 如果您在管理實例上進行安裝,請從以下位置使用 startWebLogic.sh 公用程式來啟動 WebLogic:

    WebLogic-base/WebLogic-Userhome /domains/ WebLogic-domain/startWebLogic.sh

    如果是在管理式實例上進行安裝,請使用以下指令啟動 WebLogic:

    WebLogic-base /WebLogic-Userhome/domains/ WebLogic-domain /startManagedWebLogic WebLogic-managed-instancename admin-url

安裝並配置 IBM WebSphere 5.1

安裝 WebSphere 之前,請確認已在 DNS 中註冊您的主機網域,並驗證您安裝的 WebSphere 軟體是適用於平台的正確版本。如需更多資訊,請移至 IBM 產品支援網站,網址為 http://www-306.ibm.com/software/websphere/support/。

Procedure若要安裝並配置 WebSphere 5.1

步驟

  1. 將下載的軟體影像 (.zip.gz 格式) 解壓縮。確定 zip/gzip 公用程式適用於正確的平台,否則您在解壓縮時會收到總和檢查錯誤的訊息。

  2. 從目標系統的 shell 視窗執行安裝程式。如果您計劃要安裝修補程式,請先安裝 5.1 版,然後再套用修補程式。您可在以下網址找到詳細的安裝指示:http://publib.boulder.ibm.com/infocenter/ws51help/index.jsp。

    在安裝程序期間,請確定記錄以下資訊,稍後在 Access Manager 配置時會用到這些資訊:

    • 主機名稱

      • 網域名稱

      • 儲存格名稱

      • 節點名稱

      • 連接埠號

      • 安裝目錄

      • WebSphere 實例名稱

      • 管理連接埠

        依預設,WebSphere 會將伺服器實例定義成 server1,不過您可能不會使用此預設。如果您建立新的實例,請確認記錄此資訊,以供 Access Manager 配置與部署使用。請參閱 WebSphere 5.1 文件以取得指示。

  3. 驗證伺服器已成功安裝。

    1. 請確認以下目錄中存在 server.xml 檔案:

      /opt/WebSphere/AppServer/config/cells/cell-name/noes/

      node-name/servers/server1

    2. 使用 startServer.sh 指令來啟動伺服器,例如:

      /opt/WebSphere/AppServer/bin/startServer.sh server1

    3. 在 Web 瀏覽器中,以下列格式輸入對應的 URL 來檢視範例 Web 應用程式:

      http:// fqdn:portnumber/snoop

  4. 驗證安裝順利完成之後,使用 stopServer.sh 公用程式來停止伺服器。例如:

    opt/WebSphere/AppServer/bin/stopServer.sh server1

  5. 若您要安裝 WebSphere 5.1 修補程式,請使用 updateWizard.sh 指令行公用程式在原始 5.1 實例上安裝修補程式。

  6. 重新啟動 WebSphere 並驗證安裝已順利完成。

使用 Java ES 來安裝 Directory Server 和 Access Manager

Access Manager 安裝牽涉到兩個獨立的 Java Enterprise System (Java ES) 安裝程式呼叫。

Procedure若要安裝 Directory Server

步驟

  1. 執行第一個 Java ES 呼叫,以 [立即配置] 選項來安裝 Directory Server (本機或遠端)。[立即配置] 選項可讓您在安裝期間,依選取的選項 (或預設值) 來配置第一個實例。

  2. 執行第二個 Java ES 呼叫,以 [以後配置] 選項來安裝 Access Manager。這個選項會安裝 Access Manager 2005Q4 元件。在安裝之後,您必須配置 Access Manager。

    WebLogic 與 WebSphere 的安裝獨立於 Java ES 安裝,所以安裝程式中並沒有包含自動部署容器所需的配置資料。因此,安裝 Access Manager 時您必須選取 [以後配置] 選項。此選項會將 Access Manager 部署保留在以下狀態:

    • 使用中的 Directory Server (本機或遠端) 沒有載入 Access Manager DIT 資料。

      • 不會自動載入 Access Manager 配置檔案。

      • 不會產生 Access Manager Web 應用程式 .war 檔案。

      • 不會自動啟動與執行 Access Manager 部署以及後安裝配置程序。

        如需詳細的安裝指示,請參照「Sun Java Enterprise System 安裝指南」,網址為 http://download.oracle.com/819-0811。

配置 Access Manager

在目標系統的本機磁碟上完成 Access Manager 安裝之後,您需要以 WebLogic 8.1 或 WebSphere 5.1 手動配置 Access Manager。這個程序有以下三個步驟:

Procedure若要配置 Access Manager

步驟

  1. 編輯配置程序檔輸入檔案

  2. 執行配置程序檔

  3. 重新啟動 Web 容器

建立配置程序檔輸入檔案

Access Manager 配置程序檔輸入檔案中包含所有的部署層級、Access Manager、Web 容器以及 Directory Server 變數定義。Access Manager 包含範例配置程序檔輸入檔案範本 (amsamplesilent),位於 AccessManager-base/SUNWam/bin 目錄 (Solaris 系統) 或 AccessManager-base/identity/bin 目錄 (Linux 系統) 中。

您可以使用 amsamplesilent 範本來建構配置程序檔輸入檔案。Access Manager 範例配置程序檔輸入檔案中說明編輯此檔案的指示以及變數定義。

編輯檔案之前,請確認已從 Web 容器安裝取得以下資訊:

BEA WebLogic 和 IBM WebSphere

僅限 BEA WebLogic

僅限 IBM WebSphere

執行配置程序檔

當您儲存了配置程序檔輸入檔案之後,請執行 amconfig 程序檔以完成配置程序。例如:

AccessManager-base/SUMWam/bin/amconfig -s silentfile

silentfile 應該是配置輸入檔案的絕對路徑。

執行此程序檔會執行以下功能:

  1. 將 Access Manager 模式載入到使用中的 Directory Server 實例。

  2. 將 Access Manager 服務資料載入到 Directory Server 實例。

  3. 產生使用中的 Access Manager 實例所使用的 Access Manager 配置檔案。

  4. 將 Access Manager Web 應用程式資料部署到 Web 容器。

  5. 自訂 Web 容器配置以符合 Access Manager 的需求。

重新啟動 Web 容器

在您完成配置程序之後,必須重新啟動 Web 容器。請參照產品的文件以取得指示。

針對 BEA WebLogic 8.1,請參閱 http://e-docs.bea.com/wls/docs81。

針對 IBM WebSphere 5.1,請參閱 http://publib.boulder.ibm.com/infocenter/ws51help/index.jsp。

第 3 章 在 SSL 模式中配置 Access Manager

使用具有簡單認證的安全套接層 (SSL) 可以保證機密性和資料完整性。若要在 SSL 模式中啟用 Access Manager,通常要:

使用安全 Sun Java Enterprise System Web Server 配置 Access Manager

若要使用 Web Server 在 SSL 模式中配置 Access Manager,請參閱以下步驟:

Procedure若要配置安全的 Web Server

步驟

  1. 在 Access Manager 主控台中,移至服務配置模組並選取 [平台] 服務。在 [伺服器清單] 屬性中,移除 http:// 協定,然後加入 https:// 協定。按一下 [儲存]。

    備註 –

    請務必按一下 [儲存]。否則,雖然您仍可以繼續執行下面的步驟,但您所做的所有配置變更均會遺失,並且無法以管理員身份登入以修正此問題。

    步驟 2 至 24 描述 Web Server。

  2. 登入 Web Server 主控台。預設連接埠為 8888。

  3. 選取 Access Manager 於其上執行的 Web Server 實例,然後按一下 [管理]。

    系統會顯示快顯式視窗,說明配置已變更。按一下 [確定]。

  4. 按一下畫面右上角的 [套用] 按鈕。

  5. 按一下 [套用變更]。

    Web Server 會自動重新啟動。按一下 [確定] 以繼續。

  6. 停止選取的 Web Server 實例。

  7. 按一下 [安全] 標籤。

  8. 按一下 [建立資料庫]。

  9. 輸入新的資料庫密碼並按一下 [確定]。

    請確保記下資料庫密碼,以備稍後使用。

  10. 建立憑證資料庫後,按一下 [請求憑證]。

  11. 在畫面提供的欄位中輸入資料。

    [鍵值對欄位密碼] 欄位和您在步驟 9 中輸入的內容相同。在位置欄位中,您必須完整拼出位置。縮寫詞 (如 CA) 無效。必須定義所有欄位。在[共用名稱] 欄位中,提供您 Web Server 的主機名稱。

  12. 提交表格後,您將看到與以下訊息類似的訊息:


    --BEGIN CERTIFICATE REQUEST---

afajsdllwqeroisdaoi234rlkqwelkasjlasnvdknbslajowijalsdkjfalsdflasdf

alsfjawoeirjoi2ejowdnlkswnvnwofijwoeijfwiepwerfoiqeroijeprwpfrwl

--END CERTIFICATE REQUEST--

  13. 複製這些文字並提交,以請求憑證。

    請確保您取得了 Root CA 憑證。

  14. 您將接收到包含憑證的憑證回應,如:


    --BEGIN CERTIFICATE---

afajsdllwqeroisdaoi234rlkqwelkasjlasnvdknbslajowijalsdkjfalsdflasdf

alsfjawoeirjoi2ejowdnlkswnvnwofijwoeijfwiepwerfoiqeroijeprwpfrwl

--END CERTIFICATE---

  15. 將這些文字複製到剪貼簿,或儲存在檔案中。

  16. 移至 Web Server 主控台並按一下 [安裝憑證]。

  17. 按一下該 Server 的憑證。

  18. 在 [鍵值對檔案密碼] 欄位中輸入憑證資料庫密碼。

  19. 在提供的文字欄位中貼上憑證,或核取單選按鈕並在文字方塊中輸入檔案名稱。按一下 [提交]。

    瀏覽器將顯示該憑證,並提供加入憑證的按鈕。

  20. 按一下 [安裝憑證]。

  21. 按一下 [可信任的憑證授權機構的憑證]。

  22. 以步驟 16 至 21 中所述的相同方式安裝 Root CA 憑證。

  23. 兩個憑證安裝完成後,按一下 Web Server 主控台中的 [喜好設定] 標籤。

  24. 如果要在不同的連接埠上啟用 SSL,請選取 [加入偵聽套接字]。然後選取 [編輯偵聽套接字]。

  25. 從 [停用至啟用] 變更安全性狀態,然後按一下 [確定] 提交變更,再按一下 [套用] 和 [套用變更]。

    步驟 26–29 適用於 Access Manager。

  26. 開啟 AMConfig.properties 檔案。依預設,此檔案位於 etc/opt/SUNWam/config

  27. https:// 取代所有出現的 http:// 協定,Web Server 實例目錄中的除外。AMConfig.properties 中也指定了這一點,但必須保持一致。

  28. 儲存 AMConfig.properties 檔案。

  29. 在 Web Server 主控台中,按一下託管 Web 伺服器實例之 Access Manager 的 [開啟/關閉] 按鈕。

    Web Server 會在 [啟動/停止] 頁面中顯示一個文字方塊。

  30. 在文字欄位中輸入憑證資料庫密碼並選取 [啟動]。

以安全 Sun Java System Application Server 配置 Access Manager

將 Access Manager 設定為在已啟用 SSL 的 Application Server 上執行,過程分兩步驟。首先,將 Application Server 實例與安裝的 Access Manager 安全結合在一起,然後配置 Access Manager 本身。

使用 SSL 設定 Application Server 6.2

本節說明於 SSL 模式下設定 Application Server 6.2 的步驟。

Procedure安全結合 Application Server 實例

步驟

  1. 在您的瀏覽器中輸入以下位址,以管理員身份登入 Sun Java System Application Server 主控台:

    http://fullservername:port

    預設連接埠為 4848。

  2. 輸入您在安裝時輸入的使用者名稱和密碼。

  3. 選取您在其上安裝 (或將要安裝) 的 Application Server 實例。右框架會顯示配置已變更。

  4. 按一下 [套用變更]。

  5. 按一下 [重新啟動]。Application Server 會自動重新啟動。

  6. 在左框架中,按一下 [安全]。

  7. 按一下 [管理資料庫] 標籤。

  8. 按一下 [建立資料庫] (如果未選取)。

  9. 輸入新的資料庫密碼並確認,然後按一下 [確定] 按鈕。請確保記下資料庫密碼,以備稍後使用。

  10. 建立憑證資料庫後,按一下 [憑證管理] 標籤。

  11. 按一下 [請求] 連結 (如果未選取)。

  12. 為憑證輸入以下請求資料

    1. 如果該憑證為新憑證或更新的憑證,則選取它。許多憑證會在一段特定時間後過期,某些憑證授權機構 (CA) 會自動給您傳送換新通知。

    2. 指定您要提交憑證請求的方式。

      如果希望 CA 接收電子郵件訊息形式的請求,請核取 [CA 電子郵件] 並輸入 CA 的電子郵件位址。如需 CA 清單,請按一下 [可用憑證授權機構清單]。

      如果您從使用憑證伺服器的內部 CA 請求憑證,則請按一下 [CA URL] 並輸入憑證伺服器的 URL。此 URL 應指向用於處理憑證申請的憑證伺服器程式。

    3. 輸入您鍵值對檔案的密碼 (您在步驟 9 中指定的密碼)。

    4. 輸入以下識別資訊:

      共用名稱。伺服器的完整名稱,包含連接埠號。

      請求者名稱。請求者的名稱。

      電話號碼。請求者的電話號碼。

      共用名稱 。Sun Java System Application Server 的完全合格名稱,將會安裝數位憑證。

      電子郵件位址。管理員的電子郵件位址。

      組織名稱。您的組織名稱。憑證授權機構可能會要求在此屬性中輸入的所有主機名稱均屬於註冊到該組織的領域。

      組織單元名稱。組織的分支、部門或其他運作部門的名稱。

      地區名稱 (城市)。您所在城市或城鎮的名稱。

      州的名稱。如果您的組織分別在美國或加拿大,此項指組織所在州或省的名稱。請勿縮寫。

      國家/地區代碼。代表您國家/地區的兩個字母的 ISO 代碼。例如,美國的代碼是 US

  13. 按一下 [確定] 按鈕。畫面上將會顯示訊息,例如:


    --BEGIN NEW CERTIFICATE REQUEST---
afajsdllwqeroisdaoi234rlkqwelkasjlasnvdknbslajowijalsdkjfalsdfla
alsfjawoeirjoi2ejowdnlkswnvnwofijwoeijfwiepwerfoiqeroijeprwpfrwl
--END NEW CERTIFICATE REQUEST--

  14. 將所有這些文字複製到一個檔案並按一下 [確定]。請確定您取得了 Root CA 憑證。

  15. 選取一個 CA,然後依循該授權單位網站的指示,取得數位憑證。您可以從 CMS、Verisign 或 Entrust.net 取得憑證

  16. 從憑證授權機構接收到數位憑證後,您可以將文字複製到剪貼簿,或將其儲存到檔案中。

  17. 移至 Application Server 主控台並按一下 [安裝] 連結。

  18. 選取 [此伺服器的憑證]。

  19. 在 [鍵值對檔案密碼] 欄位中輸入憑證資料庫密碼。

  20. 在提供的文字欄位、訊息文字 (帶有標頭) 中貼上憑證,或在此檔案文字方塊的訊息中輸入檔案名稱。選取相應的單選按鈕。

  21. 按一下 [確定] 按鈕。瀏覽器會顯示憑證,並提供加入憑證的按鈕。

  22. 按一下 [新增伺服器憑證]。

  23. 以上述方式安裝 Root CA 憑證。但是,請選取 [可信任的憑證授權機構的憑證]。

  24. 安裝完兩個憑證後,展開左框架中的 HTTP 伺服器節點。

  25. 選取 HTTP 伺服器下的 HTTP 偵聽程式。

  26. 選取 http-listener-1。瀏覽器會顯示套接字資訊。

  27. http-listener-1 使用之連接埠的值從安裝應用程式伺服器時所輸入的值變更為更適當的值,如:443。

  28. 選取 [啟用 SSL/TLS]。

  29. 選取 [憑證別名]。

  30. 指定回傳伺服器。該伺服器應該與步驟 12 中指定的共用名稱相符。

  31. 按一下 [儲存]。

  32. 選取您要在其上安裝 Access Manager 軟體的 Application Server 實例。右框架會顯示配置已變更。

  33. 按一下 [套用變更]。

  34. 按一下 [重新啟動]。Application Server 會自動重新啟動。

使用 SSL 配置 Application Server 8.1

使用 SSL 配置 Application Server 8.1 的基本步驟如下。請參閱 Application Server 8.1 文件以取得詳細的指示。

  1. 透過 Application Server 管理主控台在 Application Server 上建立一個安全的連接埠。如需更多資訊,請參閱位於下列位置之「Sun Java System Application Server Enterprise Edition 8.1 管理指南」中的「配置安全性」。

    http://docs.sun.com/app/docs/coll/1310.1http://docs.sun.com/app/docs/coll/1416.1

  2. 驗證信任伺服器憑證的憑證授權機構 (CA) 是否存在於 web 容器的信任資料庫中。之後,獲取並安裝 web 容器的伺服器憑證。如需更多資訊,請參閱位於下列位置之「Sun Java System Application Server Enterprise Edition 8.1 管理指南」中的「使用證書和SSL」。

    http://docs.sun.com/app/docs/coll/1310.1http://docs.sun.com/app/docs/coll/1416.1

  3. 重新啟動 Web 容器。

在 SSL 模式中配置 Access Manager

本節說明在 SSL 模式中配置 Access Manager 的步驟。設定 Access Manager 的 SSL 之前,請確定您已為您的部署配置 Web 容器。

Procedure若要在 SSL 模式中配置 Access Manager

步驟

  1. 在 Access Manager 主控台中,移至服務配置模組並選取 [平台] 服務。在伺服器清單屬性中,加入使用 HTTPS 協定的相同的 URL 和一個已啟用 SSL 的連接埠號。按一下 [儲存]。

    備註 –

    如果 Access Manager 單一實例正在偵聽兩個連接埠 (一個 HTTP,一個 HTTPS),且您試圖以停止的 Cookie 存取 Access Manager,Access Manager 將沒有回應。這並非支援的配置。

  2. 從下列預設位置開啟 AMConfig.properties 檔案:


    /etc/opt/SUNWam/config。

  3. https:// 取代所有出現的 http:// 協定,並將連接埠埠號變更為已啟用 SSL 的連接埠埠號。

  4. 儲存 AMConfig.properties 檔案。

  5. 重新啟動 Application Server。

使用安全 BEA WebLogic Server 配置 AMSDK

在 SSL 中使用 AMSDK 進行配置之前,必須先安裝 BEA WebLogic Server 並配置成 Web 容器。如需安裝說明,請參閱 BEA WebLogic 伺服器文件。若要針對 Access Manager 將 WebLogic 配置為 Web 容器,請參閱第 1 章, Access Manager 7 2005Q4 配置程序檔

Procedure若要配置安全的 WebLogic 實例

步驟

  1. 使用快速開始功能表來建立網域

  2. 移至 BEA WebLogic 安裝目錄並產生憑證請求。

  3. 使用 CSR 文字檔將伺服器憑證套用至 CA。

  4. 將核准的憑證儲存到文字檔中。例如,approvedcert.txt

  5. 使用下列指令,載入 cacerts 中的根 CA:

    cd jdk141_03/jre/lib/security/

    jdk141_03/jre/bin/keytool -keystore cacerts -keyalg RSA -import -trustcacerts -alias "<alias name>" -storepass changeit -file /opt/bea81/cacert.txt

  6. 使用以下指令來載入伺服器憑證:

    jdk141_03/jre/bin/keytool -import -keystore <keystorename> -keyalg RSA -import -trustcacerts -file approvedcert.txt -alias "mykey"

  7. 使用您的使用者名稱和密碼登入 BEA WebLogic 主控台。

  8. 瀏覽至以下位置:

    您的網域 > 伺服器 > myserver > 配置金鑰庫

  9. 選取自訂身份和 Java Standard Trust

  10. 輸入鍵值儲存區位置。例如,/opt/bea81/keystore

  11. 輸入鍵值儲存區密碼和鍵值儲存區通行密語。例如:

    鍵值儲存區密碼:JKS/Java Standard Trust (對 WL 8.1,則僅為 JKS)

    鍵值儲存區通行密語:changeit

  12. 檢閱 SSL 私密金鑰設定的私密金鑰別名與密碼。

    備註 –

    您必須使用完整強度 SSL 授權,否則 SSL 啟動將會失敗

  13. 在 Access Manager 中,下列 AmConfig.properties 中的參數會於安裝期間自動配置。如果未自動配置,您可以編輯它們:


    com.sun.identity.jss.donotInstallAtHighestPriority=true [ this is not
 required for AM 6.3 and above]
com.iplanet.security.SecureRandomFactoryImpl=com.iplanet.am.util.SecureRandomFactoryImpl
com.iplanet.security.SSLSocketFactoryImpl=netscape.ldap.factory.JSSESocketFactory
com.iplanet.security.encryptor=com.iplanet.services.util.JCEEncryption

    如果您的 JDK 路徑如下所示:


    com.iplanet.am.jdk.path=/usr/jdk/entsys-j2se

    那麼請使用鍵工具公用程式,在憑證資料庫中匯入根 CA。例如:


    /usr/jdk/entsys-j2se/jre/lib/security
/usr/jdk/entsys-j2se/jre/bin/keytool -keystore cacerts  
-keyalg RSA -import -trustcacerts -alias "machinename" -storepass changeit -file
/opt/bea81/cacert.txt

    鍵工具公用程式位於以下目錄中:


    /usr/jdk/entsys-j2se/jre/bin/keytool

  14. 從 Access Manager amadmin 指令行公用程式移除 -D"java.protocol.handler.pkgs=com.iplanet.services.comm"

  15. 在 SSL 模式中配置 Access Manager。如需更多資訊,請參閱在 SSL 模式中配置 Access Manager

使用安全 IBM WebSphere Application Server 配置 AMSDK

在 SSL 中使用 AMSDK 進行配置之前,必須先安裝 IBM WebSphere Server 並配置成 Web 容器。如需安裝說明,請參閱 WebSphere 伺服器的文件。若要針對 Access Manager 將 WebLogic 配置為 Web 容器,請參閱第 1 章, Access Manager 7 2005Q4 配置程序檔

Procedure若要配置安全的 WebSphere 實例

步驟

  1. 啟動 ikeyman.sh (位於 Websphere /bin 目錄下)。

  2. 從 [簽署人] 功能表匯入憑證授權機構 (CA) 的憑證。

  3. 從 [個人憑證] 功能表產生 CSR。

  4. 擷取在上個步驟中建立的憑證。

  5. 選取 [個人憑證] 並匯入伺服器憑證。

  6. 從 WebSphere 主控台,變更預設 SSL 設定並選取密碼。

  7. 設定預設 IBM JSSE SSL 提供者。

  8. 輸入以下指令,從您剛才建立的檔案,將 Root CA 憑證匯入到 Application Server JVM 鍵值儲存區:


    $ appserver_root-dir/java/bin/ keytool -import -trustcacerts -alias cmscacert 
-keystore ../jre/lib/security/cacerts -file 
/full_path_cacert_filename.txt

    app-server-root-dir 是應用程式伺服器的根目錄,而 full_path_cacert_filename.txt 是包含憑證的檔案之完整路徑。

  9. 在 Access Manager 中,更新下列 AmConfig.properties 中的參數以使用 JSSE:


    com.sun.identity.jss.donotInstallAtHighestPriority=true
com.iplanet.security.SecureRandomFactoryImpl=com.iplanet.
am.util.SecureRandomFactoryImpl
com.iplanet.security.SSLSocketFactorImpl=netscape.ldap.factory.
JSSESocketFactory
com.iplanet.security.encyptor=com.iplanet.services.unil.JCEEncryption

  10. 在 SSL 模式中配置 Access Manager。如需更多資訊,請參閱在 SSL 模式中配置 Access Manager

在 SSL 模式中配置 Access Manager 到 Directory Server

為了在網路上提供安全通訊,Access Manager 包含 LDAPS 通訊協定。LDAPS 是標準的 LDAP 通訊協定,但於 Secure Sockets Layer (SSL) 頂層執行。為啟用 SSL 通訊,您必須先在 SSL 模式中配置 Directory Server,然後連接 Access Manager 到 Directory Server。基本步驟如下:

  1. 取得並安裝 Directory Server 的憑證,並將 Directory Server 配置為信任憑證授權機構 (CA) 的憑證。

  2. 開啟目錄中的 SSL。

  3. 配置認證、策略和平台服務以連接到啟用 SSL 的 Directory Server。

  4. 配置 Access Manager 以安全地連接到 Directory Server 後端。

在 SSL 模式中配置 Directory Server

為了能在 SSL 模式下配置 Directory Server,您必須取得與安裝伺服器憑證、將 Directory Server 配置為信任 CA 的憑證,然後啟用 SSL。有關如何完成這些工作的詳細指示,請參閱「Directory Server 管理指南」中的第十一章 「管理認證和加密」。 此文件位於以下位置:

http://docs.sun.com/coll/DirectoryServer_04q2 http://docs.sun.com/coll/DirectoryServer_04q2_zh_TW

如果您的 Directory Server 已經啟用 SSL,前往下一節以參考有關連接 Access Manager 到 Directory Server 的詳細資料。

連接 Access Manager 到啟用 SSL 的 Directory Server

將 Directory Server 配置為 SSL 模式後,您必須安全地將 Access Manager 連接到 Directory Server 後端。

Procedure將 Access Manager 連接至 Directory Server

步驟

  1. 在 Access Manager 主控台中,前往服務配置模組的 LDAP 認證服務。

    1. 變更 Directory Server 連接埠為 SSL 連接埠。

    2. 選擇啟用對 LDAP 伺服器屬性的 SSL 存取。

  2. 前往服務配置模組中的成員關係認證服務。

    1. 變更 Directory Server 連接埠為 SSL 連接埠。

    2. 選擇啟用對 LDAP 伺服器屬性的 SSL 存取。

  3. 前往位於服務配置中的策略配置服務。

    1. 變更 Directory Server 連接埠為 SSL 連接埠。

    2. 選擇 LDAP SSL 屬性。

  4. 在文字編輯器中開啟 serverconfig.xml。此檔案位於以下位置:

    /etc/opt/SUNWam/config

    1. <Server> 元素中,變更下列值:

      port - 輸入 Access Manager 偵聽的安全連接埠之埠號 (預設值為 636)。

      type- 將 SIMPLE 變更為 SSL。

    2. 儲存並關閉 serverconfig.xml

  5. 從下列預設位置開啟 AMConfig.properties 檔案:

    /etc/opt/ SUNWam/config

    變更下列特性:

    1. com.iplanet.am.directory.port = 636 (若使用預設值)

    2. ssl.enabed = true

    3. 儲存 AMConfig.properties

  6. 重新啟動伺服器。