您可透過策略 API 與 Access Manager 主控台建立、修改和刪除策略,並透過 amadmin 指令行工具建立和刪除策略。您也可以使用 amadmin 公用程式在 XML 中取得和列出策略。本節重點在透過 amadmin 指令行公用程式與透過 Access Manager 主控台建立策略。如需更多資訊,請參閱「Sun Java System Access Manager 7 2005Q4 Developer’s Guide」。
策略通常是以 XML 檔案建立,並透過 amadmin 指令行公用程式新增至 Access Manager,然後透過 Access Manager 主控台管理 (但可透過主控台建立策略)。這是因為不能直接使用 amadmin 修改策略。若要修改策略,必須先從 Access Manager 刪除策略,然後使用 amadmin 加入修改後的策略。
通常策略是在範圍 (或子範圍) 層級建立,可在範圍的整個樹狀結構中使用。
根據 amadmin.dtd 建立策略 XML 檔。此檔案位於下列目錄:
AccessManager-base /SUNWam/dtd
策略 XML 檔案開發完成後,您可使用下列指令加以載入:
AccessManager-base/SUNWam/bin/amadmin --runasdn "uid=amAdmin,ou=People,default_org, root_suffix" --password password --data policy.xml |
若要同時加入多重策略,請將這些策略放在一個 XML 檔案中,這一點與在每個 XML 檔案中放一個策略相反。如果使用多重 XML 檔案連續快速載入策略,則內部策略索引可能會損毀,而且某些策略可能不參與策略評估。
透過 amadmin 建立策略時請確定:當建立認證方案條件時認證模組是以範圍註冊;當建立範圍、LDAP 群組、LDAP 角色和 LDAP 使用者時對應的 LDAP 物件範圍、群組、角色和使用者存在;當建立 IdentityServerRoles 主旨時 Access Manager 角色存在;當建立子範圍或同級範圍參照時相關範圍存在。
請注意,在 SubrealmReferral、PeerRealmReferral 的 Value 元素之內容中,Realm 主旨、IdentityServerRoles 主旨、LDAPGroups 主旨、LDAPRoles 主旨和 LDAPUsers 主旨必須為完整的 DN。
選擇您要為其建立策略的範圍。
按一下 [策略] 標籤。
按一下 [策略] 清單中的 [新建策略]。
新增策略的名稱與描述。
若您要策略為作用中,請選取 [作用中] 屬性中的 [Yes]。
並且此時,無需定義一般策略的所有欄位。您可以建立策略,隨後再加入規則、主旨、條件和回應等。如需更多資訊,請參閱管理策略。
按一下 [建立]。
按一下 [策略] 標籤下的 [新建參照]。
新增策略的名稱與描述。
若您要策略為作用中,請選取 [作用中] 屬性中的 [Yes]。
此時,無需定義參照策略的所有欄位。您可以建立策略,隨後再加入規則和參照等。如需更多資訊,請參閱管理策略。
按一下 [建立]。
要為同級組織或子範圍建立策略,必須先在父系範圍 (或另一個同級範圍) 中建立參照策略。參照策略的規則定義中必須包含正由子範圍管理的資源前綴。在父系範圍 (或另一個同級範圍) 中建立參照策略後,可在子範圍 (或另一個同級範圍) 建立一般策略。
在此範例中,o=isp 是父系範圍,o=example.com 是子範圍,管理 http://www.example.com 的資源和子資源。
於 o=isp 建立參照策略。如需參照策略的相關資訊,請參閱程序修改參照策略。
參照策略必須定義 http://www.example.com 做為規則中的資源,且必須包含以 example.com 做為參照中的值之 SubRealmReferral。
瀏覽至子範圍 example.com。
目前,isp 將資源參考為 example.com,可以為資源 http://www.example.com 或任何以 http://www.example.com 開頭的資源建立一般策略。
若要定義由 example.com 管理的其他資源之策略,必須在 o=isp 建立額外的參照策略。