AMConfig.properties 是 Access Manager 的主要配置檔案。您可以在此檔案中配置部分特性,但並非全部特性。本章提供包含於 AMConfig.properties 中之特性的描述、預設特性值以及修改那些可以變更並且不會危害到 Access Manager 安全的值的相關指示。
本章包含下列小節:
安裝時,AMConfig.properties 位於下列目錄中:/etc/opt/SUNWam/config。
AMConfig.properties 的格式為每行一個特性,而且每個特性都有一個對應值。特性和值區分大小寫。以斜線加上星號字元 (/*) 開頭的各行是註釋,應用程式會忽略這些註釋。註釋的最後一行是以星號加上斜線字元 (*/) 結束。
當您修改 AMConfig.properties 中的特性之後,必須重新啟動 Access Manager 才能使變更生效。
com.iplanet.am.console.deploymentDescriptor
值是在安裝期間設定的。範例:/amconsole
com.iplanet.am.console.host
值是在安裝期間設定的。範例:hostName.domain.Name.com
com.iplanet.am.console.port
值是在安裝期間設定的。範例:80
com.iplanet.am.console.protocol
值是在安裝期間設定的。範例:http
com.iplanet.am.install.basedir
這是「唯讀」特性。請勿修改此特性值。
值是在安裝期間設定的。範例:/opt/SUNWam/web-src/services/WEB-INF
com.iplanet.am.install.vardir
這是「唯讀」特性。請勿修改此特性值。
值是在安裝期間設定的。範例:/var/opt/SUNWam
com.iplanet.am.installdir
這是「唯讀」特性。請勿修改此特性值。
值是在安裝期間設定的。範例:/opt/SUNWam
com.iplanet.am.jdk.path
值是在安裝期間設定的。範例:/usr/jdk/entsys-j2se
com.iplanet.am.locale
值是在安裝期間設定的。範例:en_US
com.iplanet.am.server.host
值是在安裝期間設定的。範例:hostName.domainName.com
com.iplanet.am.server.port
值是在安裝期間設定的。範例:80
com.iplanet.am.server.protocol
值是在安裝期間設定的。範例:http
com.iplanet.am.version
值是在安裝期間設定的。範例:7 2005Q4
com.sun.identity.server.fqdnMap[ ]
當使用者鍵入不正確的 URL 時,請啟用 Access Manager 認證服務以採取修正動作。例如,當使用者指定一個局部的主機名稱或使用一個 IP 位址以存取受保護的資源時,這是有用的。
此特性的語法代表無效的 FQDN 值對映到其對應的有效值。該特性使用下列形式:com.sun.identity.server.fqdnMap[invalid-name]=valid—name . 在此範例中,invalid-name 是使用者可能使用的無效 FQDN 主機名稱,而 valid—name 是篩選器會將使者用者重新導向到的 FQDN 主機名稱。若存在的 FQDN 值重疊且同樣無效,應用程式可能無法存取。對此特性使用無效值,也會造成應用程式無法存取。您可以使用此特性來對映多個主機名稱。當寄存於伺服器上的應用程式可為多重主機名稱存取時,這是有用的。
您可以使用此特性來配置 Access Manager,所以不會對特定主機名稱 URL 採取更正動作。例如,當不能採取更正動作時這是很有用的,如針對使用原始 IP 位址來存取應用程式資源之使用者所使用的重新導向。
您可指定一個對映項目,例如:com.sun.identity.server.fqdnMap[IP ]=IP 。
您可指定任何數量之該種特性(只要其為有效的特性並符合上述的要求)。範例: com.sun.identity.server.fqdnMap[isserver]=isserver.mydomain.comcom.sun.identity.server.fqdnMap[isserver.mydomain]=isserver.mydomain.com com.sun.identity.server.fqdnMap[IP address]=isserver.mydomain.com
com.iplanet.am.util.xml.validating
預設值為 no。決定當使用 Access Manager XMLUtils 類別來剖析 XML 文件時,是否需要驗證。只有當值為 com.iplanet.services.debug 時,此特性才有效。層級特性設定為 warning 或 message。允許的值有 yes 和 no。僅當此特性的值為 yes,且 com.iplanet.services.debug.level property 設定為 warning或 message 時,才會開啟 XML 文件驗證。
每個 SDK 快取項目會針對某個使用者儲存一組 AMObject 屬性值。
com.iplanet.am.sdk.cache.maxSize
預設值為 10000。當啟用快取時,指定 SDK 快取的大小。使用一個大於 0 的整數,否則將會使用預設大小 (10000 個使用者)。
com.iplanet.am.sdk.userEntryProcessingImpl
此特性指定實作 com.iplanet.am.sdk.AMUserEntryProcessed 介面的外掛程式以執行對使用者建立、刪除及修改作業的某些後處理。若使用該特性,則應指定實作上述介面之完全合格的類別名稱。
com.iplanet.am.sdk.caching.enabled
設定此為 true 可啟用快取,而設定此為 false 則停用快取。預設值為 false。
com.iplanet.am.iASConfig
值是在安裝期間設定的。範例:APPSERVERDEPLOYMENT
此特性用於決定 Access Manager 是否在 iPlanet 應用程式伺服器上執行。
com.sun.identity.auth.cookieName
預設值為 AMAuthCookie。指定認證服務所使用的 cookie 名稱以於認證程序期間設定階段作業處理器 ID。一旦完成了此程序 (成功或失敗),將清除或移除此 cookie。
com.sun.identity.authentication.ocsp.responder.nickname
值是在安裝期間設定的。憑證授權機構 (CA) 對該回應程式的暱稱授予憑證。範例:Certificate Manager - sun。如果設定,在 Web 伺服器的憑證資料庫中必須出現該 CA 憑證。
com.sun.identity.authentication.ocsp.responder.url
值是在安裝期間設定的。範例: http://ocsp.sun.com/ocsp
指定此實例的全域 OCSP 回應程式 URL。如果已設定 OCSP 回應程式 URL,則必須同時設定 OCSP 回應程式別名。否則,兩者都會被忽略。若兩者皆未設定,顯現於使用者憑證的 OCSP 回應程式 URL 將為 OCSP 驗證所使用。若 OCSP 回應程式 URL 未顯現於使用者憑證中,則將不執行 OCSP 驗證。
com.sun.identity.authentication.ocspCheck
預設值為 true。啟用或停用 OCSP 檢查的全域參數。若此值為 false,則無法使用憑證認證模組類型中的 OCSP 特性。。
com.sun.identity.authentication.special.users
值是在安裝期間設定的。範例:cn=dsameuser,ou=DSAME Users,o=AMRoot|cn=amService-UrlAccessAgent,ou=DSAME Users,o=AMRoot
對此 Access Manager 認證元件識別指定的使用者。用戶端 API 使用此使用者利用完整使用者 DN 以對 Access Manager 伺服器認證遠端應用程式。使用者將總是在本機目錄伺服器上進行認證。此特殊使用者 DN 的多重值可以管道字元 (|) 來分隔。僅限於認證元件可以使用此特性。
com.sun.identity.authentication.super.user
值是在安裝期間設定的。範例:uid=amAdmin,ou=People,o=AMRoot
識別此 Access Manager 實例的超級使用者。此使用者必須使用 LDAP 來登入,且必須使用完整的 DN。始終會針對本機 Directory Server 來認證使用者。
com.sun.identity.authentication.uniqueCookieDomain
用來為以上 cookie 名稱設定 cookie 網域。必須設定此 Cookie 網域,使其涵蓋安裝在網路中的所有 CDC (跨網域控制器) 服務實例。例如,若 Access Manager 的所有實例皆於網域 example.com 中,則為 .example.com。
com.sun.identity.authentication.uniqueCookieName
預設值為 sunIdentityServerAuthNServer。指定針對階段作業 Cookie 劫持執行 Access Manager 時,將 cookie 名稱設定為 Access Manager 伺服器主機 URL。
com.iplanet.am.auth.ldap.createUserAttrList
指定使用者屬性的清單,當認證服務配置成動態建立使用者時,在 LDAP 認證期間可以由外部 Directory Server 擷取清單中包含的值。在本機 Directory Server 中建立的新使用者,會具有從外部 Directory Server 擷取到的屬性值。
範例:attribute1、attribute2、attribute3
當 iPlanet Web 伺服器配置為使用 SSL 時,請設定這些特性以初始化 JSS Socket Factory (JSS 通訊端工廠)。
com.iplanet.am.admin.cli.certdb.dir
值是在安裝期間設定的。範例:/opt/SUNWwbsvr/alias
指定憑證資料庫路徑。
com.iplanet.am.admin.cli.certdb.passfile
值是在安裝期間設定的。範例:/etc/opt/SUNWam/config/.wtpass
指定憑證資料庫密碼檔案。
com.iplanet.am.admin.cli.certdb.prefix
值是在安裝期間設定的。範例:https-hostName.domainName.com-hostName-
指定憑證資料庫前綴。
com.iplanet.am.cookie.encode
此特性可讓 Access Manager 對 cookie 值進行 URLencode,其可將字元轉換為 HTTP 可以理解的字元。
值是在安裝期間設定的。範例:false
com.iplanet.am.cookie.name
預設值為 iPlanetDirectoryPro。認證服務所使用的 Cookie 名稱來設定有效的階段作業控制器 ID。此 cookie 名稱值是用來擷取有效的階段作業資訊。
com.iplanet.am.cookie.secure
當使用一個如 HTTP(s) 的安全通訊協定時,允許以一個安全模式設定 Access Manager cookie,其中瀏覽器將僅傳回 cookie。
預設值為 false。
com.iplanet.am.console.remote
值是在安裝期間設定的。範例:false
決定主控台是安裝在遠端機器上,或安裝在本機機器上並由認證控制台使用。
com.iplanet.am.pcookie.name
指定永久 cookie 的 cookie 名稱。永久性 cookie 於瀏覽器視窗關閉後仍然繼續存在。此可使使用者以新的瀏覽器階段作業登入而不需重新認證。預設值為 DProPCookie。
com.sun.identity.cookieRewritingInPath
預設值為 true。當配置 Access Manager 以無 cookie 模式執行時,此特性為認證服務所讀取。該特性指定需要使用以下形式將 cookie 重寫為 URL 中的額外路徑資訊:protocol://server:port/uri;cookiename= cookieValue?queryString。若未指定特性,則將 cookie 寫入為查詢字串的一部分。
com.sun.identity.enableUniqueSSOTokenCookie
預設值為 false。指出當值設定為 true 時,針對階段作業 Cookie 劫持會執行 Access Manager。
com.iplanet.services.debug.directory
指定將建立除錯檔案的輸出目錄。值是在安裝期間設定的。範例:/var/opt/SUNWam/debug
com.iplanet.services.debug.level
指定除錯層級。預設值為 error。可能的值有:
不建立任何除錯檔案。
僅記錄錯誤訊息。
僅記錄警告訊息。
記錄錯誤、警告及資訊性訊息。
com.iplanet.am.defaultOrg
值是在安裝時設定的。範例:o=AMRoot
指定 Access Manager 資訊樹中的最高層範圍或組織。
com.iplanet.am.directory.host
值是在安裝期間設定的。範例:DirectoryServerHost.domainName.com
指定 Directory Server 的完整合格主機名稱。
com.iplanet.am.directory.port
值是在安裝期間設定的。範例:389
指定 Directory Server 連接埠號。
com.iplanet.am.directory.ssl.enabled
預設值為 false。指出是否已啟用 Security Socket Layer (SSL)。
com.iplanet.am.domaincomponent
值是在安裝期間設定的。範例:o=AMRoot
指定 Access Manager 資訊樹的網域元件 (dc) 屬性。
com.iplanet.am.rootsuffix
值是在安裝期間設定的。範例:o=AMRoot
com.iplanet.am.event.connection.delay.between.retries
預設值為 3000。指定重試以重新建立事件服務連線的延遲 (以毫秒為單位)。
com.iplanet.am.event.connection.ldap.error.codes.retries
預設值為 80,81,91。指定將觸發重試以重新建立 [事件服務] 連線的 LDAP 異常錯誤碼。
com.iplanet.am.event.connection.num.retries
預設值為 3。指定成功地重新建立 [事件服務] 連線的嘗試次數。
com.sun.am.event.connection.idle.timeout
預設值為 0。指定將會重新啟動永久性搜尋之前的分鐘數。
當策略代理程式與 Directory Server 之間有負載平衡器或防火牆時會使用此特性,而當發生 TCP 閒置逾時時則會中斷永久性搜尋。此特性值應低於負載平衡器或防火牆 TCP 逾時。這可確保在連線中斷之前,重新啟動永久性搜尋。數值為 0 指出將不會重新啟動搜尋。只有已逾時的連線才會重設。
com.iplanet.am.service.secret
值是在安裝期間設定的。範例:AQICPX9e1cxSxB2RSy1WG1+O4msWpt/6djZl
com.iplanet.am.services.deploymentDescriptor
值是在安裝期間設定的。範例:/amserver
com.iplanet.services.comm.server.pllrequest.maxContentLength
預設值為 16384 或 16k。指定 Access Manager 可接受之 HttpRequest 的最大內容長度。
com.iplanet.services.configpath
值是在安裝期間設定的。範例:/etc/opt/SUNWam/config
com.iplanet.am.daemons
預設值為 unix securid。描述
securidHelper.ports
預設值為 58943。此特性採用以空格分隔的清單,並用於 SecurID 認證模組和說明程式。
unixHelper.ipaddrs
值是在安裝期間設定的。當開啟輔助程式時,指定一份將為 amserver 程序檔所讀取並傳送至 UNIX 輔助程式的 IP 位址清單。此特性可以包含 IPv4 格式的可信任 IP 位址清單 (以空格分隔)。
unixHelper.port
預設值為 58946。用於 UNIX 認證模組類型。
com.sun.identity.federation.alliance.cache.enabled
預設值為 true。若為 true,則將於內部快取聯合中介資料。
com.sun.identity.federation.fedCookieName
預設值為 fedCookie。指定聯合服務 cookie 的名稱。
com.sun.identity.federation.proxyfinder
預設值為 com.sun.identity.federation.services.FSIDPProxyImpl。定義實作,以尋找欲被代理的偏好身份提供者。
com.sun.identity.federation.services.signingOn
預設值為 false。針對 Liberty 請求與回應,指定簽名驗證的層級。
當傳送時會簽署 Liberty 請求與回應,而接收時則會驗證 Liberty 請求與回應的簽名有效性。
傳送和接收的 Liberty 請求與回應將不會驗證簽名。
只有當聯合設定檔要求時,才會簽署或驗證 Liberty 請求與回應。
com.sun.identity.password.deploymentDescriptor
值是在安裝期間設定的。範例:/ampassword
com.sun.identity.policy.Policy.policy_evaluation_weights
預設值為 10:10:10。指出評估策略主旨、規則和條件的比例處理成本。此值指出所評估策略之主旨、規則和條件的影響順序。此值是使用三個整數來表示,分別代表主旨、規則和條件。此值是以冒號分隔 (:) 來指出評估策略主旨、規則和條件的比例處理成本。
com.sun.identity.session.application.maxCacheTime
預設值為 3。指定應用程式階段作業之快取時間的最大分鐘數。依預設,除非啟用此特性,否則快取不會過期。
com.sun.identity.sm.ldap.enableProxy
預設值為 false。指定用於連線的代理伺服器。若後端儲存支援 LDAPProxy,請設定為 true。若為 true,會使用代理伺服器來連線。若為 false,則不會使用代理程式來連線。
com.sun.identity.webcontainer
值是在安裝期間設定的。範例:WEB_CONTAINER
指定 Web 容器名稱。雖然 servlet 或 JSP 不依賴於 Web 容器,Access Manager 使用 servlet 2.3 API request.setCharacterEncoding() 以正確地對內送的非英文字元解碼。如果 Access Manager 部署在 Sun Java System Web 伺服器 6.1 上,這些 API 將不會運作。Access Manager 使用 gx_charset 機制在 Sun Java System Web 伺服器 6.1 版與 S1AS7.0 版中將內送的資料正確地解碼。可能的值有 BEA6.1、BEA 8.1、IBM5.1 或 IAS7.0。若 Web 容器是 Sun Java System Web Server,則不會置換標記。
這些特性識別 SSL ApprovalCallback 的值。如果已啟用 checkSubjectAltName 或 resolveIPAddress 功能,您必須以 com.iplanet.am.admin.cli.certdb.dir 目錄中的前綴值 com.iplanet.am.admin.cli.certdb.prefix 來建立 cert7.db 和 key3.db。然後重新啟動 Access Manager。
com.iplanet.am.jssproxy.checkSubjectAltName
預設值為 false。當啟用時,伺服器憑證包括「主旨替代名稱」(SubjectAltName) 副檔名,且 Access Manager 檢查副檔名中所有名稱項目。若 SubjectAltName 副檔名中的一個名稱與伺服器 FQDN 相同,則 Access Manager 會繼續 SSL 訊號交換模式。若要啟用此特性,將其設定為信任 FQDN 的逗號分隔清單。例如:com.iplanet.am.jssproxy.checkSubjectAltName= amserv1.example.com,amserv2.example.com
com.iplanet.am.jssproxy.resolveIPAddress
預設值為 false。
com.iplanet.am.jssproxy.trustAllServerCerts
預設值為 false。若啟用 (true), Access Manager 會忽略所有與憑證相關的問題 (如名稱衝突),繼續 SSL 訊號交換模式。若要防止可能的安全性風險,僅為測試目的啟用此特性或當企業網路受到嚴謹的控制時。若可能發生安全性風險 (例如,若一個伺服器於不同的網路上連接一個伺服器),則請避免啟用此特性。
com.iplanet.am.jssproxy.SSLTrustHostList 若設定了此特性,Access Manager 會檢查正存取伺服器主機上的平台伺服器清單。若平台伺服器清單中兩個伺服器的伺服器 FQDN 相符,Access Manager 會繼續 SSL 訊號交換模式。使用下列語法以設定特性:
com.iplanet.am.jssproxy.SSLTrustHostList = fqdn_am_server1 ,fqdn_am_server2, fqdn_am_server3
com.sun.identity.jss.donotInstallAtHighestPriority
預設值為 false。決定是否以最高優先權將 JSS 新增到 JCE。如果數位簽名與加密應該使用其他 JCE 提供者,請設定為 true。
com.iplanet.am.ldap.connection.delay.between.retries
預設為 1000。指出重試之間的毫秒數。
com.iplanet.am.ldap.connection.ldap.error.codes.retries
預設值為 80,81,91。指定將觸發重試以重新建立 LDAP 連線的 LDAPException 錯誤碼。
com.iplanet.am.ldap.connection.num.retries
預設值為 3。指定成功地重新建立 LDAP 連線的嘗試次數。
com.sun.identity.liberty.interaction.htmlStyleSheetLocation
值是在安裝期間設定的。範例: /opt/SUNWam/lib/is-html.xsl
指定描繪 HTML 中互動式頁面的樣式表路徑。
com.sun.identity.liberty.interaction.wmlStyleSheetLocation
值是在安裝期間設定的。範例: /opt/SUNWam/lib/is-wml.xsl
指定於 WML 中提供互動頁面之樣式表的路徑。
com.sun.identity.liberty.interaction.wscSpecifiedInteractionChoice
預設值為 interactIfNeeded。指定 Web 服務用戶是否參與互動。允許的值為:
若有需要,僅互動。也可用於指定無效值時。
沒有互動。
無資料互動。
com.sun.identity.liberty.interaction.wscSpecifiedMaxInteractionTime
預設值為 80。Web 服務用戶在可接受之互動期間的喜好設定。值以秒來表示。如果未指定值或指定非整數值時,會使用預設值。
com.sun.identity.liberty.interaction.wscWillEnforceHttpsCheck
預設值為 yes。指定 Web 服務用戶是否強制要求,使用 HTTPS 將請求重新導向到 URL。有效值為 yes 和 no。大小寫會忽略。Liberty 規格需要值為 yes。如果未指定任何值,則會使用預設值。
com.sun.identity.liberty.interaction.wscWillInlcudeUserInteractionHeader
預設值為 yes。如果未指定任何值,則會使用預設值。指出 Web 服務用戶是否包括 userInteractionHeader。允許的值有 yes 和 no。大小寫會忽略。
com.sun.identity.liberty.interaction.wscWillRedirect
預設值為 yes。指出 Web 服務用戶是否對互動重新導向使用者。有效值為 yes 和 no。若未指定值,則使用預設值。
com.sun.identity.liberty.interaction.wspRedirectHandler
值是在安裝期間設定的。範例: http://hostName.domainName.com:portNumber/amserver/WSPRedirectHandler
指定 URL WSPRedirectHandlerServlet 用來處理根據使用者代理程式重新導向的 Liberty WSF WSP 資源所有者互動。這應該在執行 Liberty 服務提供者的相同 JVM 上執行。
com.sun.identity.liberty.interaction.wspRedirectTime
預設為 30。Web 服務提供者之互動的預期期間。以秒來表示。如果未指定值,或若值是非整數時,會使用預設值。
com.sun.identity.liberty.interaction.wspWillEnforceHttpsCheck
預設值為 yes。如果未指定任何值,則會使用預設值。指出 Web 服務用戶是否會強制要求 returnToURL 使用 HTTPS。有效值為 yes 和 no。(不區分大小寫) Liberty 規格要求此值為 yes。
com.sun.identity.liberty.interaction.
wspWillEnforceReturnToHostEqualsRequestHost
Liberty 規格需要值為 yes。指出 Web 服務用戶是否強制 returnToHost 和 requestHost 是相同的。有效值為 yes 和 no。
com.sun.identity.liberty.interaction.wspWillRedirect
預設為 yes。如果未指定任何值,則會使用預設值。指出 Web 服務提供者是否會將使用者重新導向以進行互動。有效值為 yes 和 no。大小寫會忽略。
com.sun.identity.liberty.interaction.wspWillRedirectForData
預設值為 yes。如果未指定任何值,則會使用預設值。指出 Web 服務提供者是否會將使用者重新導向以進行資料互動。有效值為 yes 和 no。大小寫會忽略。
com.sun.identity.liberty.ws.interaction.enable
預設值為 false。
com.sun.identity.liberty.ws.jaxb.namespacePrefixMappingList
預設值為
=S=http://schemas.xmlsoap.org/soap/envelope/|sb=urn:liberty:sb:2003-08 |pp=urn:liberty:id-sis-pp:2003-08|ispp=http://www.sun.com/identity/ liberty/pp|is=urn:liberty:is:2003-08 |
。指定將 JAXB 目錄樹狀結構調整為 DOM 樹狀結構時,使用的名稱空間前綴對映。語法為 prefix=namespace|prefix=namespace|...
com.sun.identity.liberty.ws.jaxb.packageList
指定建構 JAXBContext 時,所使用的 JAXB 套裝模組清單。每個套裝軟體必須以冒號 (:) 分隔。
com.sun.identity.liberty.ws.security.TokenProviderImpl
預設值為 com.sun.identity.liberty.ws.security.AMSecurityTokenProviderDescription。
com.sun.identity.liberty.ws.soap.certalias
值是在安裝期間設定的。將使用於 SSL 連線以為 Liberty SOAP 連結所用的用戶端憑證別名。
com.sun.identity.liberty.ws.soap.messageIDCacheCleanupInterval
預設值為 60000。指定開始快取清除事件之前要經過的毫秒數。儲存於快取中的每個訊息會以其 messageID 來避免訊息重複。當訊息的目前時間減去收到的時間超過 staleTimeLimit 值時,會從快取中移除該訊息。
com.sun.identity.liberty.ws.soap.staleTimeLimit
預設值為 300000。確定訊息是否過時,因此不再可信。如果訊息的時間戳記早於目前戳記指定的毫秒數,訊息就被視為超過時效。
com.sun.identity.liberty.ws.soap.supportedActors
預設值為 http://schemas.xmlsoap.org/soap/actor/next。指定受支援的 SOAP 行動程式。每個行動程式必須以管道字元 (|) 來分隔。
com.sun.identity.liberty.ws.ta.certalias
值是在安裝期間設定的。指定用於簽署 SAML 或 SAML 之可信任授權單位的憑證別名。回應訊息的 BEARER 記號。
com.sun.identity.liberty.ws.wsc.certalias
值是在安裝期間設定的。指定欲設憑證別名以用於核發此 Web 服務用戶端的 Web 服務安全性記號。
com.sun.identity.liberty.ws.ta.certalias
值是在安裝期間設定的。指定用於簽署 SAML 或 SAML 之可信任授權單位的憑證別名。回應訊息的 BEARER 記號。
com.sun.identity.liberty.ws.trustedca.certaliases
值是在安裝期間設定的。
指定可信任 CA 的憑證別名。內送請求的 SAML 或 SAML BEARER 記號。必須由此清單中的可信任 CA 簽署訊息。語法為 cert alias 1[:issuer 1 ]|cert alias 2[:issuer 2]|....。範例: myalias1:myissuer1|myalias2|myalias3:myissuer3。當記號在簽名內沒有 KeyInfo 時,會使用值發行者。該記號核發者必須於此清單中,且對應憑證別名將用來驗證簽名。如果有 KeyInfo,按鍵必須包含符合 KeyInfo 的憑證別名,且憑證別名必須在此清單中。
com.sun.identity.liberty.ws.security.TokenProviderImpl
值是在安裝期間設定的。指定安全性記號提供者的實作。
com.sun.identity.saml.removeassertion
預設值為 true。若解除參照的指定應由快取中移除,則指出旗標。套用至與工件相關所建立的指定並解除參照。
com.iplanet.am.logstatus
指定記錄是否開啟 (ACTIVE) 或關閉 (INACTIVE)。該值於安裝期間設定為 ACTIVE。
藉由對 AMConfig.properties 檔案新增特性,您可配置包含於特定記錄檔案中資料的詳細程度。請使用以下格式:
iplanet-am-logging.logfileName .level=java.util.logging.Level,其中 logfileName 是 Access Manager 服務 (請參閱表 1) 記錄檔的名稱,而 java.util.logging.Level 是允許的屬性值。Access Manager 中的記錄層級為 INFO 。SAML 和識別聯合服務亦以更詳細的程度來記錄 (FINE、FINER、FINEST)。範例:
iplanet-am-logging.amSSO.access.level=FINER
亦可關閉對特定記錄檔的記錄。範例:
iplanet-am-logging.amConsole.access.evel=OFF
表 A–1 Access Manager 記錄檔
記錄檔名稱 |
已記錄的記錄 |
---|---|
amAdmin.access |
成功的 amadmin 指令行事件 |
amAdmin.error |
amadmin 指令行錯誤事件 |
amAuthLog.access |
Access Manager 策略代理程式相關的事件。請參閱本表之後的說明。 |
amAuthentication.access |
成功的認證事件 |
amAuthentication.error |
認證失敗 |
amConsole.access |
控制台事件 |
amConsole.error |
控制台錯誤事件。 |
amFederation.access |
成功的聯合事件。 |
amFederation.error |
聯合錯誤事件。 |
amPolicy.access |
儲存策略允許事件 |
amPolicy.error |
儲存策略拒絕事件 |
amSAML.access |
成功的 SAML 事件 |
amSAML.error |
SAME 錯誤事件 |
amLiberty.access |
成功的 Liberty 事件 |
amLiberty.error |
Liberty 錯誤事件 |
amSSO.access |
單次登入建立與破壞 |
amSSO.error |
單次登入錯誤事件 |
amAuthLog 檔名可由 AMAgent.properties 中的策略代理程式特性決定。若為 Web 策略代理程式,特性為 com.sun.am.policy.agents.config.remote。log。若為 J2EE 策略代理程式,特性為 com.sun.identity.agents.config.remote.logfile。預設為 amAuthLog.host.domain.port,其中 host.domain 是執行策略代理程式 Web 伺服器主機之完全合格的主機名稱,而 port 是該伺服器的連接埠號。若您部署了多重「策略代理程式」,您可擁有該檔案的多重實例。特性 com.sun.identity.agents.config.audit。accesstype (針對 Web 和 J2EE 代理程式兩者) 決定遠端記錄的資料。所記錄的資料可包括策略允許、策略拒絕、允許與拒絕兩者或者不包括允許也不包括拒絕。
com.iplanet.am.naming.failover.url
Access Manager 7.0 中不再使用該特性。
com.iplanet.am.naming.url
值是在安裝期間設定的。範例:http://hostName.domainName.com:portNumber/amserver/namingservice
指定要使用的命名服務 URL。
使用下列各鍵來配置通知執行緒池。
com.iplanet.am.notification.threadpool.size
預設值為 10。指定執行緒的總數來定義池的大小。
com.iplanet.am.notification.threadpool.threshold
預設值為 100。指定最大作業佇列長度。
當通知作業進入時,會被送到作業佇列進行處理。如果佇列達到最大長度,後續的內送請求會隨同 ThreadPoolException 一併拒絕,直到佇列有空間為止。
com.iplanet.am.notification.url
值是在安裝期間設定的。範例:http://hostName.domainName.com:portNumber/amserver/notificationservice
com.iplanet.am.policy.agents.url.deploymentDescriptor
值是在安裝期間設定的。範例: AGENT_DEPLOY_URI
com.sun.identity.agents.app.username
預設值為 UrlAccessAgent。指定應用程式認證模組要使用的使用者名稱。
com.sun.identity.agents.cache.size
預設值為 1000。指定資源結果快取的大小。在安裝策略代理程式的伺服器上建立快取。
com.sun.identity.agents.header.attributes
預設值為 cn,ou,o,mail,employeenumber,c。指定要由策略評估程式傳回的策略特性。使用格式 a[,...]。於此範例中,a 是可於資料儲存庫中取得的特性。
com.sun.identity.agents.logging.level
預設值為 NONE。控制策略用戶端 API 記錄層級的顆粒性。預設值為 NONE。可能的數值為:
記錄允許存取請求。
記錄拒絕存取請求。
記錄允許存取和拒絕存取兩種請求。
沒有記錄任何請求情。
com.sun.identity.agents.notification.enabled
預設值為 false。啟用或停用策略用戶端 API 的通知。
com.sun.identity.agents.notification.url
為策略用戶端 SDK 所使用以註冊策略變更通知。此特性的錯誤配置將造成策略通知的停用。
com.sun.identity.agents.polling.interval
預設值為 3。指定輪詢間隔,這是會從用戶端 API 快取中卸除項目之前的分鐘數。
com.sun.identity.agents.resource.caseSensitive
預設值為 false。描述
指定在策略評估期間,開啟或關閉區分大小寫。
com.sun.identity.agents.true.value
指定策略動作的真實值。若應用程式不需要存取 PolicyEvaluator.isAllowed 方法,則可忽略此值。此值表示應如何解釋 Access Manager 的策略決定。預設值為允許。
com.sun.identity.agents.resource.comparator.class
預設值為 com.sun.identity.policy.plugins.URLResourceName
指定資源比較類別名稱。可用的實作類別有:com.sun.identity.policy.plugins.PrefixResourceName 和 com.sun.identity.policy.plugins.URLResourceName。
com.sun.identity.agents.resource.delimiter
預設值為反斜線 (/)。指定資源名稱的分割元。
com.sun.identity.agents.resource.wildcard
預設值為 *。指定資源名稱的萬用字元。
com.sun.identity.agents.server.log.file.name
預設值為 amRemotePolicyLog。指定用來將訊息記錄到 Access Manager 的記錄檔名稱。僅需要檔案名稱。檔案目錄是由其他 Access manager 配置設定所決定的。
com.sun.identity.agents.use.wildcard
預設值為 true。指出是否使用資源名稱比較的萬用字元。
com.sun.identity.policy.client.booleanActionValues
iPlanetAMWebAgentService|POST|allow|deny
預設值為 iPlanetAMWebAgentService|GET|allow|deny:。
指定策略動作名稱的布林動作值。使用以下格式 serviceName|actionName|trueValue|falseValue。動作名稱值為分號 (:) 所分隔。
com.sun.identity.policy.client.cacheMode
預設值為 self。指定用戶端策略評估程式的快取模式。有效值為 subtree 與 self。如果設定為 subtree,策略評估程式會針對實際請求資源之根目錄的所有資源,從伺服器取得策略決策。如果設定為 self,策略評估程式僅會針對實際請求的資源,從伺服器取得策略決策。
com.sun.identity.policy.client.clockSkew
調整策略用戶端機器與策略伺服器之間的時間差異。如果此特性不存在,且策略代理程式的時間與策略伺服器的時間不同,則策略決策偶爾會發生錯誤。您必須執行時間同步服務,以使策略伺服器與策略用戶端上的時間儘可能保持接近。無論有否執行時間同步服務,使用此特性來調整微小的時間差異。 時間偏斜 (以秒為單位) = 代理程式時間 - 伺服器時間。在策略伺服器上對特性加入註釋。取消對行的註釋,並在策略用戶端機器上或執行策略代理程式的機器上設定適當的代理程式-伺服器時間偏斜值 (以秒為單位)。
com.sun.identity.policy.client.resourceComparators=
serviceType=iPlanetAMWebAgentService|class=
指定不同服務名稱要使用的 ResourceComparators。由 Access Manager 控制台複製值。移至 [配置服務] > [PolicyConfiguration] > [全域: ResourceComparator]。從 Access Manager 鏈結多個值,使用冒號 (: ) 做為分割元。
com.sun.identity.policy.plugins.URLResourceName|wildcard
預設值為 *|delimiter=/|caseSensitive=trueDescription
com.iplanet.am.profile.host
Access Manager 7 中不再使用該特性。僅為確保向下相容性而提供。值是在安裝期間設定的。範例:hostName.domainName.com
com.iplanet.am.profile.port
Access Manager 7 中不再使用該特性。僅為確保向下相容性而提供。值是在安裝期間設定的。範例:80
使用下列各鍵來配置複製設定。
com.iplanet.am.replica.delay.between.retries
預設值為 1000。指定重試之間的毫秒數。
com.iplanet.am.replica.num.retries
預設值為 0。指定要重試的次數。
com.sun.identity.saml.assertion.version
預設值為 1.1。指定使用的預設 SAML 版本。可能的值為 1.0 或 1.1。
com.sun.identity.saml.checkcert
預設值為 on。針對鍵值儲存區中的憑證,用來檢查內嵌於 KeyInfo 之憑證的旗標。鍵值儲存區中的憑證由 com.sun.identity.saml.xmlsig.keystore 特性指定。可能的數值為:on|off。如果旗標為「on」,*鍵值儲存區中必須出現憑證*以用於 XML 簽名驗證。如果旗標為「off」,則略過*存在檢查*。/
鍵值儲存區中必須出現憑證,以用於 XML 簽名驗證。
略過檢查是否存在。
com.sun.identity.saml.protocol.version
預設值為 1.1。指定使用的預設 SAML 版本。可能的值為 1.0 或 1.1。
com.sun.identity.saml.removeassertion
com.sun.identity.saml.request.maxContentLength
預設值為 16384。指定將用於 SAML 之 HTTP 請求的最大內容長度。
com.sun.identity.saml.xmlsig.certalias
預設值為 test。描述
com.sun.identity.saml.xmlsig.keypass
值是在安裝期間設定的。範例:/etc/opt/SUNWam/config/.keypass
指定 SAML XML 鍵密碼檔案的路徑。
com.sun.identity.saml.xmlsig.keystore
值是在安裝期間設定的。範例:/etc/opt/SUNWam/config/keystore.jks
指定 SAML XML 鍵值儲存區密碼檔案的路徑。
com.sun.identity.saml.xmlsig.storepass
值是在安裝期間設定的。範例:/etc/opt/SUNWam/config/.storepass
指定 SAML XML 鍵儲存密碼檔案的路徑。
com.iplanet.security.encryptor
預設值為 com.iplanet.services.util.JSSEncryption。指定加密類別實作。可用的類別有:com.iplanet.services.util.JCEEncryption 和 com.iplanet.services.util.JSSEncryption.
com.iplanet.security.SecureRandomFactoryImpl
預設值為 com.iplanet.am.util.JSSSecureRandomFactoryImpl。指定 SecureRandomFactory 的工廠類別名稱。可用的實作類別有:com.iplanet.am.util.JSSSecureRandomFactoryImpl 會使用 JSS 和 com.iplanet.am.util.SecureRandomFactoryImpl 會使用純 Java。
com.iplanet.security.SSLSocketFactoryImpl
預設值為 com.iplanet.services.ldap.JSSSocketFactory。指定 LDAPSocketFactory 的工廠類別名稱。可用的類別有: com.iplanet.services.ldap.JSSSocketFactory 會使用 JSS 和 netscape.ldap.factory.JSSESocketFactory 會使用純 Java。
com.sun.identity.security.checkcaller
預設值為 false。啟用或停用 Java 安全性管理員檢查 Access Manager 的權限。預設為停用。如果啟用,應適當變更部署 Access Manager 的容器之 Java 策略檔案。以此方式,就可用信任的 Access Manager JAR 檔案來執行機密作業。如需詳細資訊,請參閱 com.sun.identity.security 的 Java API Reference (Javadoc) 項目。
am.encryption.pwd
值是在安裝期間設定的。範例:dSB9LkwPCSoXfIKHVMhIt3bKgibtsggd
指定用來對密碼加密與解密的鍵值。
com.iplanet.am.clientIPCheckEnabled
預設值為 false。指定是否在所有 SSOToken 建立或驗證時,檢查用戶端的 IP 位址。
com.iplanet.am.session.client.polling.enable
此為「唯讀」特性。請勿修改此特性值。
預設值為 false。啟用用戶端階段作業輪詢。請注意階段作業輪詢模式與階段作業通知模式是相斥的。若啟用輪詢模式,階段作業通知將自動關閉,反之亦然。
com.iplanet.am.session.client.polling.period
預設值為 180。指定輪詢期間的秒數。
com.iplanet.am.session.httpSession.enabled
預設值為 true。啟用或停用 USING httpSession。
com.iplanet.am.session.invalidsessionmaxtime
預設值為 10。若已建立階段作業且使用者並未登入,指定無效的階段作業將由階段作業表移除之後的分鐘數。此值應一律大於認證模組特性檔案中的逾時值。
com.iplanet.am.session.maxSessions
預設值為 5000。指定允許的最大同步運作階段作業數。
如果最大同步運作階段作業數超過此數字,登入會送出 [最大階段作業] 錯誤訊息。
com.iplanet.am.session.purgedelay
預設值為 60。指定清除階段作業要延遲的分鐘數。
這是階段作業逾時之後的延伸時間週期,在此期間階段作業會繼續存在於階段作業伺服器中。用戶端應用程式使用此特性,透過 SSO API 來檢查階段作業是否逾時。此延伸時間週期結束之後,此階段作業會被銷毀。如果使用者登出或 Access Manager 元件明確地銷毀階段作業,此階段作業不會在延伸期間持續。於此擴充期間,此階段作業是 INVALID 狀態。
com.sun.am.session.caseInsensitiveDN
預設值為 true。比較代理程式 DN。若值為 false,則比較區分大小寫。
com.sun.am.session.enableHostLookUp
預設值為 false。在階段作業記錄期間,啟用或停用主機查詢。
com.iplanet.am.smtphost
預設值為 localhost。指定郵件伺服器主機。
com.iplanet.am.smtpport
預設值為 25。指定郵件伺服器通訊埠。
com.iplanet.am.stats.interval
預設值為 60。指定統計記錄之間要經過的分鐘數。最小為 5 秒,以避免 CPU 飽和。Access Manager 假設任何小於 5 秒的值皆為 5 秒。
com.iplanet.services.stats.directory
值是在安裝期間設定的。範例:/var/opt/SUNWam/stats 指定建立除錯檔案的目錄。
com.iplanet.services.stats.state
預設值為 file。指定統計記錄的位置。可能的數值為:
不記錄任何統計。
會將統計寫入指定目錄下的檔案。
會將統計寫入 Web 伺服器記錄檔。