這是「Sun Java System Access Manager 7 2005Q4 管理指南」的第三部分。「目錄管理」一章中描述以「舊有」模式部署 Access Manager 時,管理「目錄」物件的方法。其他章節描述配置與使用某些 Access Manager 預設服務的方法。本部分包含以下章節:
只有在於「舊有」模式下安裝 Access Manager 時,才會顯示 [目錄管理] 標籤。此目錄管理特性為啟用 Sun Java System Directory Server 的 Access Manager 部署提供一個識別管理解決方案。
如需有關「舊有」模式安裝選項的更多資訊,請參閱「Sun Java Enterprise System 2005Q4 Installation Guide for UNIX」。
[目錄管理] 標籤包含檢視與管理 Directory Server 物件所需的所有元件。本節說明物件類型及有關如何配置它們的詳細資訊。使用 Access Manager 主控台或指令行介面可以定義、修改或刪除使用者、角色、群組、組織、子組織及容器物件。主控台有具權限程度不同的預設管理員,用以建立與管理目錄物件。(可基於角色建立其他管理員。)當與 Access Manager 一起安裝時,可於 Directory Server 內定義管理員。您可管理的 Directory Server 物件有:
組織代表企業用來管理其部門與資源的階層式結構之頂層。安裝時,Access Manager 會動態建立頂層組織 (安裝期間定義) 以管理 Access Manager 企業配置。安裝後可以建立其他組織以管理個別企業。所有建立的組織均位於頂層組織之下。
按一下 [目錄管理] 標籤。
在 [組織] 清單中,按一下 [新建]。
輸入欄位的值。僅 [名稱] 是必需的。這些欄位包括:
輸入組織名稱的值。
輸入組織的完整領域名稱系統 (DNS) 名稱 (如果有)。
選擇作用中或非作用中狀態。預設值為作用中。在組織存在期間,可以透過選取 [內容] 圖示隨時變更該狀態。如果選擇非作用中 ,系統會在使用者登入組織時停用使用者存取。
此欄位定義組織的別名,可讓您使用這些別名經由 URL 登入進行認證。例如,如果您有一個名為 exampleorg 的組織,並將 123 與 abc 定義為別名,則您可使用以下任一個 URL 登入該組織:
http://machine.example.com/amserver/UI/Login?org=exampleorg
http://machine.example.com/amserver/UI/Login?org=abc
http://machine.example.com/amserver/UI/Login?org=123
組織別名在整個組織中必須是唯一的。您可以使用 [唯一屬性清單] 強制唯一性。
允許加入組織的 DNS 名稱別名。此屬性僅接受「實際的」網域別名 (不允許使用隨機字串)。例如,如果您有一個名為 example.com 的 DNS,並將 example1.com 與 example2.com 定義為組織 exampleorg 的別名,則您可使用以下任一個 URL 登入該組織:
http://machine.example.com/amserver/UI/
Login?org=exampleorg
http://machine.example1.com/amserver/
UI/Login?org=exampleorg
http://machine.example2.com/amserver/
UI/Login?org=exampleorg
允許您在組織中加入使用者的唯一屬性名稱清單。例如,如果您加入了指定電子郵件位址的唯一屬性名稱,則無法建立兩個具有相同電子郵件位址的使用者。此欄位還可以接受以逗號分隔的清單。清單中的任一屬性名稱均定義唯一性。例如,如果欄位包含屬性名稱清單:
PreferredDomain, AssociatedDomain
而且為特定使用者將 PreferredDomain 定義為 http://www.example.com,則對該 URL 而言,此以逗號分隔的整個清單定義是唯一的。將命名屬性 ou 新增至 [唯一的屬性清單] 將不會對預設群組、使用者容器強制執行唯一性。(ou=Groups,ou=People)。
此一唯一性同時針對所有子組織強制執行。
按一下 [確定]。
新組織會顯示於 [組織] 清單中。若要編輯您建立組織時定義的任一特性,請按一下您要編輯的組織之名稱、變更其特性,然後按一下 [儲存]。
Access Manager 物件會透過策略的 subject 定義加入策略。當建立或修改策略時,可以將組織、角色、群組及使用者定義為主旨。一旦定義了主旨,策略即會套用於物件。如需更多資訊,請參閱管理策略。
當由於物件類別與屬性差異而無法使用組織項目時,會使用容器項目。請切記,Access Manager 容器項目與 Access Manager 組織項目不一定等於 LDAP 物件類別 organizationalUnit 與 organization。它們是抽象的識別項目。理想情況下,將使用組織項目而不是容器項目。
容器的顯示是選擇性的。若要檢視容器,您必須在 [配置] > [主控台特性] 下選取 [管理] 服務的 [顯示容器]。
群組容器用於管理群組。它僅可包含群組與其他群組容器。群組容器「群組」會動態指定為所有受管理群組的父系項目。如果需要,可以加入附加群組容器。
群組容器的顯示是選擇性的。若要檢視群組容器,您必須從 [配置] > [主控台特性] 的 [認證] 服務中選取 [啟用群組容器] 。
選取包含新群組容器的組織或群組容器的位置連結。
選取 [群組容器] 標籤。
按一下 [群組容器] 清單中的 [新增]。
在 [名稱] 欄位中輸入值,然後按一下 [確定]。新的群組容器會顯示於 [群組容器] 清單中。
群組代表包含一般功能、特性或興趣的使用者集合。通常,此群組並無與之相關聯的權限。群組可以兩個層級存在;於組織內及於其他受管理群組內。存在於其他群組中的群組稱為子群組。子群組是「實際上」存在於父系群組中的子節點。
Access Manager 還支援 巢式群組,巢式群組是單一群組中包含現有群組的「陳述」。巢式群組與子群組不同,它可存在於 DIT 中任何之處。它們可讓您為大量使用者快速設置存取權限。
您可建立的群組有兩種:靜態群組與動態群組。您只能以手動方式將使用者加入靜態群組;動態群組則透過篩選器控制使用者的加入。巢式群組與子群組皆可加入這兩種類型的群組。
靜態群組是根據您指定之管理的群組類型所建立的。群組成員是使用 groupOfNames 或 groupOfUniqueNames 物件類別加入群組項目。
依預設,受管理群組類型為動態。您可在管理服務配置中變更該預設。
動態群組
動態群組是透過使用 LDAP 篩選器所建立。所有項目都會透過器篩選並動態指定給群組。篩選器可尋找項目中的任一屬性,並傳回包含該屬性的項目。例如,如果要根據建立編號建立群組,可以使用篩選器傳回包含建立編號屬性的所有使用者的清單。
應使用 Directory Server 將 Access Manager 配置為可使用 referential integrity 外掛程式。啟用後的參考完整性外掛程式會在刪除或重新命名工作完成後,立即對指定的屬性執行完整性更新。這可確保在整個資料庫中維持相關項目之間的關係。資料庫索引可增強中的搜尋效能。如需有關啟用外掛程式的更多資訊,請參閱「Sun Java System Access Manager 6 2005Q1 Migration Guide」。
瀏覽將於其中建立新群組的組織、組或群組容器。
按一下 [群組] 清單的 [新建靜態]。
在 [名稱] 欄位中輸入群組的名稱。按 [下一步]。
選取 [使用者可以訂閱該群組] 屬性以允許使用者自行訂閱群組。
按一下 [確定]。
建立群組之後,您便可以選取群組的名稱並按一下 [一般] 標籤,來編輯 [使用者可以訂閱至此群組] 屬性。
在 [群組] 清單中選取將對其加入成員的群組。
在 [選取動作] 功能表中選擇要執行的動作。您可以執行的動作如下所示:
此動作會建立新的使用者並在儲存該使用者資訊時將其加入群組。
此動作將現有使用者加入群組。選取此動作時,您會建立指定所要加入的使用者之搜尋條件。用於建構條件的欄位會使用 ANY 或 ALL 運算子。ALL 會傳回所有指定欄位的使用者。ANY 會傳回任一指定欄位的使用者。如果保留某欄位空白,則該欄位將符合該特定屬性的所有可能項目。
建構了此搜尋條件後,即按一下 [下一步]。從傳回的使用者清單中,選取您要加入的使用者,然後按一下 [完成]。
此動作將巢式群組加入目前群組。選擇此動作時,您建立了搜尋條件,包括搜尋範圍、群組名稱 (接受「*」萬用字元),並且您可以指定使用者是否可以自行訂閱群組。輸入資訊後,即按一下 [下一步]。從傳回的群組清單中,選取您要加入的群組,然後按一下 [完成]。
此動作將從群組中移除成員 (包括使用者與群組),但不會刪除它們。選取您要移除的成員,然後從 [選取動作] 功能表中選取 [移除成員]。
此動作將永久刪除您選取的成員。選取您要刪除的成員,然後選擇 [刪除成員]。
瀏覽將於其中建立新群組的組織或群組。
按一下 [群組] 頁籤。
按一下 [新建動態]。
在 [名稱] 欄位中輸入群組的名稱。
建構 LDAP 搜尋篩選器。
依預設,Access Manager 顯示基本搜尋篩選器介面。用於建構篩選器的 [基本] 欄位使用 ANY 或 ALL 運算子。ALL 會傳回所有指定欄位的使用者。ANY 會傳回任一指定欄位的使用者。如果保留某欄位空白,則該欄位將符合該特定屬性的所有可能項目。
按一下 [確定] 後,符合搜尋條件的所有使用者會自動加入群組。
在 [群組] 清單中,按一下要對其加入成員的群組之名稱。
在 [選取動作] 功能表中選擇要執行的動作。您可以執行的動作如下所示:
此動作將巢式群組加入目前群組。選擇此動作時,您建立了搜尋條件,包括搜尋範圍、群組名稱 (接受「*」萬用字元),並且您可以指定使用者是否可以自行訂閱群組。輸入資訊後,即按一下 [下一步]。從傳回的群組清單中,選取您要加入的群組,然後按一下 [完成]。
此動作將從群組中移除成員 (包括群組),但不刪除它們。選取您要移除的成員,然後選擇 [移除成員]。
此動作將永久刪除您選取的成員。選取您要刪除的成員,然後選擇 [刪除成員]。
Access Manager 物件會透過策略的 subject 定義加入策略。當建立或修改策略時,可以將組織、角色、群組及使用者定義為策略主旨頁面中的主旨。一旦定義了主旨,策略即會套用於物件。如需更多資訊,請參閱管理策略。
使用者容器是預設的 LDAP 組織單元,為在組織中建立使用者時,所有使用者的指定位置。可以在組織層級和使用者容器層級找到使用者容器 (作為子使用者容器)。它們僅可包含其他使用者容器與使用者。如果需要,可以將附加使用者容器加入組織。
使用者容器的顯示是選擇性的。若要檢視使用者容器,必須在 [管理服務] 中選取 [啟用使用者容器]。
導覽至包含要刪除的使用者容器之組織或使用者容器。
選取要刪除的使用者容器名稱旁邊的核取方塊。
按一下 [刪除]。
刪除一個使用者容器將會同時刪除該使用者容器中存在的所有物件。包含所有使用者和子使用者容器。
使用者代表個別使用者的識別。透過 Access Manager 識別管理模組,您可以在組織、容器以及群組中建立和刪除使用者;在角色和/或群組中加入或移除使用者。您亦可對使用者指定服務。
如果子組織內的使用者是使用與 amadmin 相同的使用者 ID 建立的,amadmin 的登入會失敗。若發生此問題,管理員應透過 Directory Server 主控台變更使用者的 ID。如此可使管理員登入到預設組織中。此外,認證服務中的 [啟動使用者搜尋] 可以設為使用者容器,以確保登入時傳回獨特的比對結果。
導覽至要在其中建立使用者的組織、容器或使用者容器。
按一下 [使用者] 標籤。
按一下使用者清單上的 [新建]。
輸入下列欄位的資料:
此欄位採用其將登入 Access Manager 的使用者名稱。此特性可為非 DN 值。
此欄位中為使用者的名字。[目前登入] 欄位中的 [名字] 值和 [姓氏] 值可識別使用者。這並非必需填寫的值。
此欄位採用使用者的姓氏。[名字] 的值與 [姓氏] 的值會識別使用者身份。
此欄位中為使用者的全名。
此欄位中為 [使用者 ID] 欄位中所指定名稱的密碼。
確認密碼。
此選項指出是否允許使用者透過 Access Manager 認證。只有作用中的使用者才可以認證。預設值為作用中。
按一下 [確定]。
當尚未被指定管理員角色的使用者進行 Access Manager 認證時,預設的檢視為使用者自己的 [使用者設定檔]。 此外,具適當權限的管理員可以編輯使用者設定檔。在此檢視中,使用者可以修改其個人設定檔的特定屬性值。[使用者設定檔] 檢視中顯示的屬性可以延伸。如需加入物件與識別的自訂屬性之相關詳細資訊,請參閱「Access Manager Developer's Guide」。
選取要編輯其設定檔的使用者。依預設,會顯示 [一般] 檢視。
編輯下列欄位:
此欄位中為使用者的名字。
此欄位採用使用者的姓氏。
此欄位中為使用者的全名。
按一下 [編輯] 連結以加入並確認使用者密碼。
此欄位中為使用者的電子郵件位址。
此欄位中為使用者的員工號碼。
此欄位中為使用者的電話號碼。
此欄位中為使用者的家庭住址。
此選項指出是否允許使用者透過 Access Manager 認證。只有作用中的使用者才可以透過 Access Manager 進行認證。預設值為作用中。可以從下拉式功能表中選取以下任一選項:。
作用中 — 使用者可透過 Access Manager 進行認證。
非作用中 — 使用者不可透過 Access Manager 進行認證,但目錄中仍會儲存使用者設定檔。
將使用者狀態變更為非作用中僅會影響透過 Access Manager 進行認證的動作。Directory Server 使用 nsAccountLock 屬性來決定使用者帳號狀態。針對 Access Manager 認證停用的使用者帳號仍可執行毋須 Access Manager 便可執行的作業。若要使目錄中的使用者帳號成為非使用中 (不僅僅只針對 Access Manager 認證),請將 nsAccountLock 的值設為 false。若您網站中經授權的管理員定期會將使用者停用,可考慮將 nsAccountLock 屬性加入 Access Manager [使用者設定檔] 頁面。如需詳細資訊,請參閱 「Sun Java System Access Manager 7 2005Q4 Developer’s Guide」 。
如果存在該屬性,則當目前日期和時間超過指定的帳號過期日期時,認證服務將不允許登入。此屬性的格式為 mm/dd/yyyy hh:mm。
此屬性設定使用者的認證鏈。
此欄位定義可以套用於使用者的別名清單。若要使用此屬性中配置的任何別名,必須將 iplanet-am-user-alias-list 屬性加入 LDAP 服務的 [使用者項目搜尋屬性] 欄位,來修改 LDAP 服務。
此欄位指定使用者的語言環境。
此屬性指定使用者認證成功後將重新導向至的 URL。
此屬性指定使用者認證失敗後將重新導向至的 URL。
這是用來選取忘記密碼頁面中問題之選項,目的在取得忘記的密碼。
設定使用者的 [使用者探索] 服務的資源提供。
定義在使用 MSISDN 認證時使用者的 MSISDN 編號。
按一下 [使用者] 標籤。
按一下您要修改的使用者名稱。
選取 [角色] 或 [群組] 標籤。
選取您希望在其中加入使用者的角色或群組,然後按一下 [新增]。
按一下 [儲存]。
若要從 [角色] 或 [群組] 移除使用者,請選取角色或群組,然後按一下 [移除],再按一下 [儲存]。
Access Manager 物件會透過策略的 subject 定義加入策略。當建立或修改策略時,可以將組織、角色、群組及使用者定義為策略主旨頁面中的主旨。一旦定義了主旨,策略即會套用於物件。如需更多資訊,請參閱管理策略。
角色為類似群組概念的一種 Directory Server 項目機制。群組具有成員;角色也具有成員。角色的成員為擁有該角色的 LDAP 項目。角色自己的條件已定義為含屬性的 LDAP 項目,為項目的識別名稱 (DN) 屬性所辨識。Directory Server 具有數種不同類型的角色,但 Access Manager 只能管理它們的其中之一:受管理角色。
其他 Directory Server 角色類型仍可於目錄部署中使用,但無法被 Access Manager 主控台管理。其他 Directory Server 類型則可用於策略的主題定義。如需策略 subjects 的相關詳細資訊,請參閱建立策略。
使用者可擁有一種或多種角色。例如,可以建立具有階段作業服務屬性和密碼重設服務屬性的承包人角色。新承包人雇員加入公司時,管理員可將該角色指定給他們,而不是在承包人項目中設定各自的屬性。若承包人在工程部門工作,且需要適用於工程員工的服務與存取權,那麼管理員可將承包人指派為工程角色與承包人角色。
Access Manager 使用角色以套用存取控制指令。首次安裝時,Access Manager 會配置定義管理員權限的存取控制指令 (ACI)。系統會接著在角色 (如組織管理角色和組織 Help Desk 管理角色) 中指定這些 ACI, 將這些角色指定給使用者時,會定義使用者的存取權限。
只有在 [管理服務] 中啟用了 [在使用者設定檔頁面上顯示角色] 屬性,使用者才可檢視指定給他們的角色。
應使用 Directory Server 將 Access Manager 配置為可使用 referential integrity 外掛程式。啟用後的參考完整性外掛程式會在刪除或重新命名工作完成後,立即對指定的屬性執行完整性更新。這可確保在整個資料庫中維持相關項目之間的關係。資料庫索引可增強中的搜尋效能。如需有關啟用外掛程式的更多資訊,請參閱「Sun Java System Access Manager 6 2005Q1 Migration Guide」。
角色分兩種類型:
靜態 — 若要建立靜態角色,在建立角色階段毋須加入使用者即可。角色建立完成後,便可對其加入特定使用者。這樣可讓您在將使用者加入指定角色時,可進行更多的控制。
動態 – 動態角色的建立是透過 LDAP 篩選器的使用完成。建立角色時,所有使用者都會透過篩選器的篩選並指定給角色。篩選器會在項目中尋找任何屬性值對 (例如,ca=user*),並自動指定包含該屬性的使用者給角色。
移至將建立角色的組織。
按一下 [角色] 標籤。
配置組織時會建立一組預設角色,它們會顯示於 [角色] 清單中。預設角色為:
容器說明桌面管理員。容器說明桌面管理員角色對組織單元的所有項目皆有讀取權限,但僅對此容器單元中使用者項目之 userPassword 屬性具有寫入權限。
組織說明桌面管理員。組織說明桌面管理員對組織中所有項目皆有讀取權限,對 userPassword 屬性則有寫入權限。
建立子組織時,請記住管理角色是在子組織中建立的,而不是在父系組織中建立的。
容器管理員。容器管理員角色對 LDAP 組織單元中的所有項目均具有讀取寫入權限。在 Access Manager 中,LDAP 組織單元通常稱為容器。
組織策略管理員。組織策略管理員具有對所有策略的讀取寫入權限,可以建立、指定、修改和刪除此組織內的所有策略。
使用者管理依預設,新建組織中的任何使用者項目均為該組織的使用者容器的成員。[使用者管理員] 對組織中的所有使用者項目均具有讀取寫入存取權限。請記住,此角色對包含角色與群組 DN 的屬性「並不」具有讀取寫入權限,因此,它們不能修改角色或群組的屬性,也不能從中移除使用者。
可以透過 Access Manager 配置其他容器,使其具有使用者項目、群組項目甚至是其他容器。若要將管理員角色套用於配置組織後建立的容器,將會使用預設的容器管理員角色或容器說明桌面管理員。
群組管理員。建立群組時建立的群組管理員對特定群組的所有成員均具有讀取寫入存取權限,可以建立新的使用者、將使用者指定給其管理的群組以及刪除已建立的使用者。
建立群組時將自動產生群組管理員角色,其具有管理群組的必要權限。不會自動將此角色指定給群組成員。它必須由群組的建立者指定,或由對群組管理員角色有存取權的任何人指定。
頂層管理員。頂層管理員對頂層組織中的所有項目均具有讀取寫入權限。換句話說,此頂層管理員角色具有 Access Manager 應用程式中每個配置主體所擁有的權限。
組織管理員。組織管理員對組織中的所有項目均具有讀取寫入權限。建立群組時將自動產生組織管理員角色,其具有管理組織的必要權限。
按一下 [新建靜態] 按鈕。
輸入角色的名稱。
輸入角色的描述。
從 [類型] 功能表選擇角色類型。
角色可以為「管理」角色或「服務」角色。主控台使用角色類型決定在 Access Manager 主控台中啟動使用者的位置。管理角色會通知主控台,該角色的擁有者具有管理權限;服務角色會通知主控台,該擁有者為一般使用者。
從 [存取權限] 功能表,選擇預設的權限集以套用至該角色。具有這些權限,便可以存取組織中的項目。顯示的預設許可權未依特定順序排列。這些權限為:
對角色不設定權限。
組織管理員對配置組織中的所有項目均具有讀取寫入權限。
組織說明桌面管理員對已配置組織中所有項目具有讀取權限,並對 userPassword 屬性具有寫入權限。
組織策略管理員對組織中的所有策略均具有讀取寫入權限。組織策略管理員無法建立同級組織的參考策略。
通常,「無權限 ACI」會指定給「服務」角色,而為「管理」角色指定任一預設 ACI。
按一下要對其加入使用者的角色之名稱。
在 [成員] 清單中,從 [選取動作] 功能表選取 [加入使用者]。
輸入搜尋條件的資訊。可以選擇基於一個或多個顯示的欄位搜尋使用者。這些欄位包括:
可讓您對篩選選取您要包含的欄位。ALL 會傳回所有指定欄位的使用者。ANY 會傳回任一指定欄位的使用者。
依據其名字搜尋使用者。
依據使用者 ID 搜尋使用者。
依據其姓氏搜尋使用者。
依據其全名搜尋使用者。
依據使用者的狀態 (作用中或非作用中) 搜尋使用者。
按一下 [下一步] 以開始搜尋。會顯示搜尋的結果。
透過選取使用者名稱旁邊的核取方塊,從傳回的名稱中選擇使用者。
按一下 [完成]。
使用者即會指定給角色。
移至將建立角色的組織。
按一下 [角色] 標籤。
配置組織時會建立一組預設角色,它們會顯示於 [角色] 清單中。預設角色為:
容器說明桌面管理員。容器說明桌面管理員角色對組織單元的所有項目皆有讀取權限,但僅對此容器單元中使用者項目之 userPassword 屬性具有寫入權限。
組織說明桌面管理員。組織說明桌面管理員對組織中所有項目皆有讀取權限,對 userPassword 屬性則有寫入權限。
建立子組織時,請記住管理角色是在子組織中建立的,而不是在父系組織中建立的。
容器管理員。容器管理員角色對 LDAP 組織單元中的所有項目均具有讀取寫入權限。在 Access Manager 中,LDAP 組織單元通常稱為容器。
組織策略管理員。組織策略管理員具有對所有策略的讀取寫入權限,可以建立、指定、修改和刪除此組織內的所有策略。
使用者管理依預設,新建組織中的任何使用者項目均為該組織的使用者容器的成員。[使用者管理員] 對組織中的所有使用者項目均具有讀取寫入存取權限。請記住,此角色對包含角色與群組 DN 的屬性「並不」具有讀取寫入權限,因此,它們不能修改角色或群組的屬性,也不能從中移除使用者。
可以透過 Access Manager 配置其他容器,使其具有使用者項目、群組項目甚至是其他容器。若要將管理員角色套用於配置組織後建立的容器,將會使用預設的容器管理員角色或容器說明桌面管理員。
群組管理員。建立群組時建立的群組管理員對特定群組的所有成員均具有讀取寫入存取權限,可以建立新的使用者、將使用者指定給其管理的群組以及刪除已建立的使用者。
建立群組時將自動產生群組管理員角色,其具有管理群組的必要權限。不會自動將此角色指定給群組成員。它必須由群組的建立者指定,或由對群組管理員角色有存取權的任何人指定。
頂層管理員。頂層管理員對頂層組織中的所有項目均具有讀取寫入權限。換句話說,此頂層管理員角色具有 Access Manager 應用程式中每個配置主體所擁有的權限。
組織管理員。組織管理員對組織中的所有項目均具有讀取寫入權限。建立群組時將自動產生組織管理員角色,其具有管理組織的必要權限。
按一下 [新建動態] 按鈕。
輸入角色的名稱。
輸入角色的描述。
從 [類型] 功能表選擇角色類型。
角色可以為「管理」角色或「服務」角色。主控台使用角色類型決定在 Access Manager 主控台中啟動使用者的位置。管理角色會通知主控台,該角色的擁有者具有管理權限;服務角色會通知主控台,該擁有者為一般使用者。
從 [存取權限] 功能表,選擇預設的權限集以套用至該角色。具有這些權限,便可以存取組織中的項目。顯示的預設許可權未依特定順序排列。這些權限為:
對角色不設定權限。
組織管理員對配置組織中的所有項目均具有讀取寫入權限。
組織說明桌面管理員對已配置組織中所有項目具有讀取權限,並對 userPassword 屬性具有寫入權限。
組織策略管理員對組織中的所有策略均具有讀取寫入權限。組織策略管理員無法建立同級組織的參考策略。
通常,「無權限 ACI」會指定給「服務」角色,而為「管理」角色指定任一預設 ACI。
輸入搜尋條件的資訊。這些欄位包括:
允許您在希望篩選所包含的任何欄位中納入運算子。ALL 會傳回所有指定欄位的使用者。ANY 會傳回任一指定欄位的使用者。
依據其名字搜尋使用者。
依據使用者 ID 搜尋使用者。
依據其姓氏搜尋使用者。
依據其全名搜尋使用者。
依據使用者的狀態 (作用中或非作用中) 搜尋使用者。
按一下 [確定] 以根據篩選條件開始搜尋。篩選條件所定義的使用者會自動指定給角色。
導覽至包含要修改之角色的組織。
從 [識別管理] 模組的 [檢視] 功能表中選取 [組織],然後選取 [角色] 標籤。
選取要修改的角色。
從 [檢視] 功能表選擇 [使用者]。
選取要移除的每個使用者旁邊的核取方塊。
按一下 [選取動作] 功能表中的 [移除] 使用者。
使用者即會從角色中移除。
Access Manager 物件會透過策略的 subject 定義加入策略。當建立或修改策略時,可以將組織、角色、群組及使用者定義為策略主旨頁面中的主旨。一旦定義了主旨,策略即會套用於物件。如需更多資訊,請參閱管理策略。
本章描述 Access Manager 之階段作業管理功能。階段作業管理模組為檢視使用者階段作業資訊和管理使用者階段作業提供了解決方案。它追蹤各個階段作業時間並允許管理員終止階段作業。系統管理員應忽視 [平台伺服器] 清單中所列的 [負載平衡器] 伺服器。
[目前階段作業] 模組介面允許具有適當權限的管理員,檢視目前登入至 Access Manager 的任何使用者之階段作業資訊。
階段作業管理框架顯示目前受管理的 Access Manager 名稱。
[階段作業資訊] 視窗顯示目前登入至 Access Manager 的所有使用者,並且顯示每位使用者的階段作業時間。這些顯示欄位包括:
使用者 ID 。顯示目前登入使用者的使用者 ID。
剩餘時間 。顯示使用者必須重新認證之前可用的階段作業剩餘時間 (分鐘)。
最長階段作業時間。顯示階段作業過期且必須重新認證之前使用者可登入的最長時間 (分鐘) 。
閒置時間。顯示使用者已閒置的時間 (分鐘)。
最長閒置時間。顯示階段作業必須重新認證之前使用者可閒置的最長時間 (分鐘) 。
時間限制由管理員在階段作業管理服務中定義。
在 [使用者 ID] 欄位中輸入字串,然後按一下 [篩選],可以顯示某個特定的使用者階段作業或使用者階段作業的特定範圍。允許使用萬用字元。
按一下 [更新] 按鈕,將更新使用者階段作業顯示內容。
具有適當權限的管理員可以隨時終止使用者階段作業。
Access Manager 提供「密碼重設」服務,可讓使用者重設他們用於存取 Access Manager 所保護的特定服務或應用程式的密碼。「密碼重設」服務屬性由頂層管理員定義,可控制驗證憑證 (以機密提問的形式)、控制新建或現有密碼通知的機制以及設定驗證不正確之使用者的鎖定持續時間。
本章包含下列小節:
使用者所屬範圍不需要註冊密碼重設服務。如果使用者所屬組織中不存在密碼重設服務,它將繼承在 [服務配置] 中為此服務定義的值。
瀏覽至您將為使用者註冊密碼的範圍。
按一下範圍名稱,然後按一下 [服務] 標籤。
若尚未加入範圍,按一下 [新增] 按鈕。
選取 [密碼重設],然後按一下 [下一步]。
將會顯示[密碼重設] 服務屬性。有關屬性定義,請參閱線上說明。
按一下 [完成]。
註冊密碼重設服務後,該服務必須由擁有管理員權限的使用者配置。
選取要註冊 [密碼重設] 服務的範圍。
按一下 [服務] 標籤。
按一下服務清單中的 [密碼重設]。
會顯示密碼重設屬性,可讓您定義 [密碼重設] 服務的需求。確保已啟用密碼重設服務 (預設為啟用)。至少必須定義以下屬性:
使用者驗證
機密提問
連結 DN
連結密碼
[連結 DN] 屬性必須包含擁有重設密碼權限的使用者 (例如說明桌面管理員)。由於 Directory Server 有所限制,因此當連結 DN 為 cn=Directory Manager 時,[密碼重設] 便不起作用。
其餘屬性均為選擇性的。如需服務屬性的描述,請參閱線上說明。
Access Manager 會自動安裝密碼重設 Web 應用程式,以便產生隨機密碼。但是,您可以寫入自己的外掛程式類別,以產生和通知密碼。請參閱位於以下位置的 Readme.html 檔案,以取得這些外掛程式類別的範例。
PasswordGenerator:
AccessManager-base/SUNWam/samples/console/PasswordGenerator |
NotifyPassword:
AccessManager-base/SUNWam/samples/console/NotifyPassword |
如果使用者要定義其唯一的個人提問,則選取 [啟用個人提問] 屬性。定義屬性後,按一下 [儲存]。
密碼重設服務包含鎖定功能,此功能限制使用者正確回答其機密提問前可以嘗試的次數。鎖定功能透過密碼重設服務屬性來配置。如需服務屬性的描述,請參閱線上說明。密碼重設支援兩種類型的鎖定,記憶體鎖定和實體鎖定。
鎖定是暫時的,只有當 [密碼重設失敗鎖定持續時間] 屬性的值大於 0,且 [啟用密碼重設失敗鎖定] 屬性已啟用時時才有效用。該鎖定將防止使用者透過密碼重設 Web 應用程式重設密碼。此鎖定會持續 [密碼重設失敗鎖定持續時間] 中指定的時間,或直到伺服器重新啟動。如需服務屬性的描述,請參閱線上說明。
該鎖定為一種比較永久的鎖定。當 [密碼重設失敗鎖定計數] 屬性的值設為 0,且 [啟用密碼重設失敗鎖定] 屬性已啟用時,若使用者回答機密提問答案錯誤,其使用者帳號狀態會變更為非作用中。如需服務屬性的描述,請參閱線上說明。
以下小節描述使用者使用密碼重設服務的情況。
啟用了密碼重設服務且管理員定義了屬性後,使用者即可登入 Access Manager 主控台,以便自訂其機密提問。
在使用者名稱和密碼成功通過認證後,使用者登入主控台。
在 [使用者設定檔] 頁面中,使用者選取密碼重設選項。系統會顯示 [可用提問回答] 畫面。
系統會為使用者顯示管理員為服務定義的提問,如:
使用者可以選取機密提問,最多不超過管理員為範圍定義的最大問題數 (最大問題數在 [密碼重設服務] 中定義)。然後,使用者提供對所選問題的回答。這些問題與回答為重設使用者密碼的依據 (請參閱下一小節)。如果管理員選取了 [啟用個人提問] 屬性,系統會提供文字欄位,讓使用者輸入特有的機密提問及其回答。
使用者按一下 [儲存]。
如果使用者遺忘密碼,可使用密碼重設網路應用程式隨機產生新密碼,並通知使用者此新密碼。遺忘密碼的典型情形如下:
使用者從管理員為他們提供的 URL 登入到密碼重設網路應用程式。例如:
http://hostname:port /ampassword (預設範圍)
或
http://hostname: port/deploy_uri /UI/PWResetUserValidation?realm=realmname,其中 realmname 是範圍的名稱。
若父系範圍的 [密碼重設] 服務沒有啟用,但其子範圍的啟用了,使用者必須使用以下語法存取服務:
http://hostname: port/deploy_uri/UI/PWResetUserValidation?realm=realmname |
使用者輸入使用者 ID。
系統向使用者顯示在密碼重設服務中定義且在自訂期間被使用者選取的個人提問。如果使用者先前未登入 [使用者設定檔] 頁面且未自訂個人提問,則不會產生密碼。
使用者正確回答提問後,系統會產生新密碼並使用電子郵件將其傳送給該使用者。無論使用者是否正確回答了提問,系統均會將嘗試通知傳送給該使用者。為了接收新密碼和嘗試通知,使用者必須在 [使用者設定檔] 頁面中輸入自己的電子郵件位址。
透過強制以下作業,安全密碼策略可以將密碼被容易猜出的風險降到最低:
使用者必須依據排程變更密碼。
使用者必須提供比較特殊的密碼。
數次輸入錯誤密碼後,系統可能會鎖定帳戶。
Directory Server 提供在樹的任一節點設定密碼策略的多種方法,而且存在多種設定策略的方法。如需詳細資訊,請參閱以下 Directory Server 文件:
http://docs.sun.com/source/816-6700-10/aci.html#14773
http://docs.sun.com/source/816-6698-10/useracct.html#14386
Sun Java™ System Access Manager 7 2005Q4 提供記錄服務,以記錄如使用者作業、流量模式和授權違規等資訊。此外,除錯檔案可幫助管理員排解安裝的疑難。
記錄檔記錄其監視的每個服務的許多事件。管理員應定期查看這些檔案。記錄檔的預設目錄是 /var/opt/SUNWam/logs (SPARC 系統) 和 /var/opt/sun/identity (Linux 系統)。藉由使用 Access Manager 主控台,可在 [記錄服務] 中配置記錄檔目錄。
有關預設記錄檔類型、記錄何種資訊以及記錄檔格式之詳細清單的資訊,請參閱「Sun Java System Access Manager 7 2005Q4 Technical Overview」中的「How the Logging Feature Works」。
有關 [記錄服務] 的屬性定義,請按一下 Access Manager 主控台中的 [說明] 按鈕以查閱線上說明。
服務記錄檔有兩種類型:存取和錯誤。「存取」記錄檔包含嘗試登入與成功登入的記錄。「錯誤」記錄檔記錄 Access Manager 服務中的錯誤。平面記錄檔附加的副檔名為 .error 或 .access。資料庫欄位的名稱是以 _ERROR 或 _ACCESS 結束 (Oracle 資料庫),或以 _error 或 _access 結束 (MySQL 資料庫)。例如,平面檔案記錄主控台事件名為 amConsole.access,而記錄同一事件的資料庫欄位名為 AMCONSOLE_ACCESS。以下各節說明記錄服務所記錄的記錄檔。
[記錄服務] 記錄以下階段作業服務事件:
登入
登出
階段作業閒置逾時
階段作業最長逾時
登入失敗
階段作業重新啟動
階段作業銷毀
階段作業記錄檔的前綴是 amSSO。
Access Manager 主控台記錄檔記錄識別相關物件、策略和服務的建立、刪除與修改,其中包括組織、組織單位、使用者、角色、策略和群組。它也記錄使用者屬性的修改,包括密碼以及新增或移除角色和群組中的使用者。此外,主控台記錄檔也寫入委託和資料存放區作業。主控台記錄檔的前綴是 amConsole。
認證元件記錄使用者的登入和登出。認證記錄檔的前綴是 amAuthentication。
「聯合」元件記錄聯合相關事件,例如 (但不限於) 建立「認證網域」和建立「寄存提供者」。聯合記錄檔的前綴是 amFederation。
策略元件記錄策略相關事件,包括 (但不限於) 策略管理 (策略的建立、刪除和修改) 和策略評估。策略記錄檔的前綴是 amPolicy。
策略代理程式記錄檔負責記錄有關允許或拒絕使用者存取之記錄資源的異常。代理程式記錄檔的前綴是 amAgent。amAgent 記錄檔只存在於代理程式伺服器中。在 Access Manager 伺服器上於「認證記錄檔」中記錄代理程式事件。如需有關此功能的更多資訊,請參閱有疑問的策略代理程式的相關文件。
SAML 元件記錄 SAML 相關事件,包括 (但不限於) 指定和工件的建立或移除、回應和請求的詳細資訊以及 SOAP 錯誤。階段作業記錄檔的前綴是 amSAML。
指令行記錄檔記錄使用指令行工具的作業中發生的事件錯誤。包括 (但不限於) 載入服務模式、建立策略和刪除使用者。指令行記錄檔的前綴是 amAdmin。
[記錄服務] 有數個特定功能,可加以啟用以執行額外的功能。包括啟用「安全記錄」、「指令行記錄」和「遠端記錄」。
此選擇性的功能可將額外安全性加入記錄功能中。啟用「安全記錄」後,可以偵測對安全記錄進行的未授權變更或竄改。使用此功能不需用特殊編碼。「安全記錄」是藉由使用由系統管理員配置的預先註冊憑證來達成。會為每個記錄檔記錄產生和儲存此「清單分析和憑證 (MAC)」。會定期插入特定「簽名」記錄檔記錄,表示寫入該點之記錄內容的簽名。兩種記錄的組合可確保記錄沒有被竄改。
以 Logger 名稱建立憑證,然後將其安裝在執行 Access Manager 的部署容器中。詳細資訊請參閱部署容器的文件。
在 Access Manager 主控台中,開啟 [記錄服務] 配置中的 [安全記錄],並儲存此變更。管理員亦可修改 [記錄服務] 中其他屬性的預設值。
若記錄目錄預設值 (/var/opt/SUMWam/logs) 有所變更,請確定將其權限設為 0700。若此目錄不存在,記錄服務會建立此目錄,但它會建立權限設為 0755 的目錄。
此外,若您指定和預設不同的目錄,必須變更以下參數至新目錄中 Web 容器的 server.policy 檔:
permission java.io.FilePermission “/var/opt/SUNWam/logs/*”,”delete,write”
在包含憑證資料庫密碼的 AccessManager-base/SUNWam/config 目錄中建立檔案,並將之命名為 .wtpass。
其檔名和路徑可在 AMConfig.properties 檔中配置。如需更多資訊,請參閱附錄 AAMConfig.properties 檔案中的「憑證資料庫」。
請確定部署容器使用者為因安全性理由對此檔案有讀取權限的管理員。
重新啟動伺服器。
應清除安全記錄目錄,因為當啟動安全記錄時,部份易引起誤解的驗證錯誤可能會被寫入 /var/opt/SUNWam/debug/amLog 檔案。
若要偵測安全記錄中有無未認證的變更或竄改, 請查看驗證程序寫入 /var/opt/SUNWam/debug/amLog 的錯誤訊息。若要手動檢查竄改,請執行 VerifyArchive 公用程式。如需更多資訊,請參閱第 19 章, VerifyArchive 指令行工具。
amadmin 指令行工具可建立、修改和刪除 Directory Server 中的識別物件 (例如組織、使用者、角色)。此工具也可載入、建立和註冊服務範本。[記錄服務] 可啟用 -t 選項來記錄這些動作。若啟用 (ACTIVE) AMConfig.properties 中的 com.iplanet.am.logstatus 特性,則會建立記錄檔記錄。(依預設會啟用此特性。)指令行記錄檔的前綴是 amAdmin。如需更多資訊,請參閱第 14 章, amadmin 指令行工具。
AMConfig.properties 檔中有一些特性會影響記錄的輸出:
此特性可啟用或停用記錄。預設為 ACTIVE。
service 為服務的正常除錯檔檔名。level 為 java.util.logging.Level 值的其中一個,表示記錄於記錄檔中之詳細資訊的等級。等級可為 SEVERE、WARNING、INFO、CONFIG、FINE、FINER 和 FINEST。大多數服務所記錄的詳細資訊不會高於 INFO 記錄等級。
Access Manager 支援遠端記錄。使用安裝 Access Manager SDK 之主機的用戶端應用程式可在部署於遠端機器上的 Access Manager 實例上建立記錄檔記錄。遠端記錄可在以下情況下被啟動:
當 Access Manager 實例的 [記錄服務] 中的記錄 URL 指向遠端實例,且二者之間配置為信任關係,記錄將寫入遠端 Access Manager 實例。
當 Access Manager SDK 是針對遠端 Access Manager 實例而安裝,且在 SDK 伺服器上執行的用戶端 (或簡單 Java 類別) 使用記錄 API,記錄將寫入遠端 Access Manager 機器。
當記錄 API 是由 Access Manager 代理程式所使用。
若使用 Sun Java System Web Server,server.xml 配置檔中需設定以下環境變數:
java.util.logging.manager=com.sun.identity.log.LogManager
java.util.logging.config.file=/ AccessManager-base /SUNwam/lib/LogConfig.properties
若使用的 Java™ 2 Platform, Standard Edition 為 1.4 或更高版本,在指令行中執行以下指令將完成此步驟:
java -cp /AccessManager-base /SUNWam/lib/am_logging.jar:/ AccessManager-base /SUNWam/lib/xercesImpl.jar:/ AccessManager-base /SUNWam/lib/xmlParserAPIs.jar:/ AccessManager-base /SUNWam/lib/jaas.jar:/ AccessManager-base /SUNWam/lib/xmlParserAPIs.jar:/ AccessManager-base /SUNWam/lib/servlet.jar:/ AccessManager-base /SUNWam/locale:/ AccessManager-base/SUNWam/lib/am_services.jar:/ AccessManager-base/SUNWam/lib/am_sdk.jar:/ AccessManager-base/SUNWam/lib/jss311.jar:/ AccessManager-base/SUNWam/lib:.
-Djava.util.logging.manager=com.sun.identity.log.LogManager
-Djava.util.logging.config.file=/ AccessManager-base /SUNwam/lib/LogConfig.properties <logTestClass>
若使用的 Java 2 Platform, Standard Edition 版本低於 1.4,在指令行中執行以下指令將完成此步驟:
java -Xbootclasspath/a:/AccessManager-base /SUNWam/lib/jdk_logging.jar -cp / AccessManager-base /SUNWam/lib/am_logging.jar:/ AccessManager-base /SUNWam/lib/xercesImpl.jar:/ AccessManager-base /SUNWam/lib/xmlParserAPIs.jar:/ AccessManager-base /SUNWam/lib/jaas.jar:/ AccessManager-base /SUNWam/lib/xmlParserAPIs.jar:/ AccessManager-base /SUNWam/lib/servlet.jar:/ AccessManager-base /SUNWam/locale:/ AccessManager-base/SUNWam/lib/am_services.jar:/ AccessManager-base/SUNWam/lib/am_sdk.jar:/ AccessManager-base/SUNWam/lib/jss311.jar:/ AccessManager-base/SUNWam/lib:.
-Djava.util.logging.manager=com.sun.identity.log.LogManager
-Djava.util.logging.config.file=/ AccessManager-base /SUNwam/lib/LogConfig.properties <logTestClass>
請確定位於 AccessManager-base/SUNWam/lib 的 LogConfig.properties 中有配置以下參數:
iplanet-am-logging-remote-handler=com.sun.identity。
log.handlers.RemoteHandler
iplanet-am-logging-remote-formatter=com.sun。
identity.log.handlers.RemoteFormatter
iplanet-am-logging-remote-buffer-size=1
遠端記錄支援緩衝,以記錄檔記錄的數目為基準。此值定義了記錄緩衝區大小,以記錄的數目為單位。一旦緩衝區空間已滿,所有在緩衝區中的記錄都會被清空至伺服器。
iplanet-am-logging-buffer-time-in-seconds=3600
此值定義要呼叫緩衝區清除器執行緒的逾時期間。
iplanet-am-logging-time-buffering-status=OFF
此值定義是否要啟用記錄緩衝 (和緩衝區清除器執行緒)。依預設此功能為關閉。
每當記錄檔是空白時,安全記錄可能會顯示「驗證失敗」。這是因為當已建立檔案的數目與歸檔檔案大小相等時,安全記錄會將其歸檔並重新開始。於大部分的實例中,您可忽略此錯誤。一旦記錄的數目與歸檔檔案大小相等時,將不會顯示錯誤。
存在兩種 Access Manager 記錄檔類型:存取記錄檔和錯誤記錄檔。
存取記錄檔記錄有關 Access Manager 部署的一般稽核資訊。記錄檔可能包含一個事件的單一記錄,例如一次成功的認證。記錄檔可能包含相同事件的多個記錄。例如,當管理員使用主控台變更屬性值時,「記錄服務」在一個記錄中記錄變更嘗試。「記錄服務」同時也會在第二個記錄中記錄執行結果。
錯誤記錄檔記錄發生於應用程式中的錯誤。當錯誤記錄檔中記錄了作業錯誤時,作業嘗試會記錄於存取記錄檔中。
平面記錄檔會附加副檔名 .error 或 .access。資料庫的欄名稱則以 _ERROR 或 _ACCESS 結束。例如,記錄主控台事件的平面檔案命名為 amConsole.access,記錄相同事件的資料庫欄命名為 AMCONSOLE_ACCESS 或 amConsole_access。
下表提供每個 Access Manager 元件所產生之記錄檔的簡要描述。
表 13–1 Access Manager 元件記錄檔
元件 |
記錄檔名稱前綴 |
記錄的資訊 |
---|---|---|
階段作業 |
amSSO |
階段作業管理屬性值,如登入時間、登出時間、逾時限制。 |
管理主控台 |
amConsole |
經由管理主控台執行的使用者動作,如識別相關之物件、範圍,及策略的建立、刪除與修改。 |
認證 |
amAuthentication |
使用者登入和登出。 |
識別聯合 |
amFederation |
聯合相關事件,如「認證網域」的建立和「寄存提供者」的建立。聯合記錄檔的前綴是 amFederation。 |
授權 (策略) |
amPolicy |
策略相關事件,如策略建立、刪除或修改以及策略評估。 |
策略代理程式 |
amAgent |
有關為使用者存取或拒絕使用者存取之資源的異常。amAgent 記錄檔位於安裝策略代理程式的伺服器上。在 Access Manager 主機上於「認證記錄檔」中記錄代理程式事件。 |
SAML |
amSAML |
SAML 相關事件,如指定和工件的建立或移除、回應和請求的詳細資訊以及 SOAP 錯誤。 |
指令行 |
amAdmin |
使用指令行工具的作業中發生的事件錯誤。範例為:載入服務模式、建立策略和刪除使用者。 |
如需 Access Manager 記錄檔清單與描述,請參閱附錄 C記錄檔參照。
除錯檔並非 [記錄服務] 的功能。它們是使用獨立於記錄 API 的其他 API 寫入。除錯檔儲存在 /var/opt/SUNWam/debug。此位置 (以及除錯資訊的等級) 可在 AMConfig.properties 檔中配置,此檔位於 AccessManager-base/SUNWam/lib/ 目錄中。如需更多有關除錯特性的資訊,請參閱附錄 AAMConfig.properties 檔案。
除錯檔可記錄的資訊分為幾個等級。除錯等級是以 AMConfig.properties 的 com.iplanet.services.debug.level 特性設定。
Off— 不記錄除錯資訊。
Error— 此等級用於生產。生產時,除錯檔中應無錯誤。
Warning— 目前並不建議使用此等級。
Message— 此等級利用代碼追蹤對可能的問題發出警示。大多數 Access Manager 模組使用此等級傳送除錯訊息。
[Warning] 與 [Message] 等級不可用於生產中。這樣會嚴重降低效能並產生大量的除錯訊息。
除非模組寫入除錯檔,否則不會建立除錯檔。因此,在預設錯誤模式下不會產生除錯檔。登入時若除錯等級設為訊息,則建立的除錯檔包括:
amAuth
amAuthConfig
amAuthContextLocal
amAuthLDAP
amCallback
amClientDetection
amConsole
amFileLookup
amJSS
amLog
amLoginModule
amLoginViewBean
amNaming
amProfile
amSDK
amSSOProvider
amSessionEncodeURL
amThreadManager
最常使用的檔案是 amSDK、amProfile 和所有適用於認證的檔案。所擷取的資訊包括日期、時間和訊息類型 ([錯誤]、[警告]、[訊息])。
依預設,除錯等級設為錯誤。當管理員要進行下列作業時,除錯檔十分有用:
寫入自訂認證模組。
使用 Access Manager SDK 寫入自訂應用程式。amProfile 和 amSDK 除錯檔會擷取此資訊。
使用主控台或 SDK 對存取權限進行疑難排解。amProfile 與 amSDK 除錯檔也會擷取此資訊。
疑難排解 SSL。
疑難排解 LDAP 認證模組。amAuthLDAP 除錯檔會擷取此資訊。
應將我們以後可能會收到的疑難排解指南與除錯檔配合使用。例如,當 SSL 失敗時,某些人可能會開啟除錯訊息並尋找 amJSS 除錯檔中的任何特定憑證錯誤。
Access Manager 包含 ammultiserverinstall 程序檔,可用於配置數個伺服器實例。若多重伺服器實例配置為使用不同除錯目錄,則各個實例都必須有讀取和寫入除錯目錄的權限。