第 6 章 資料存放區

資料存放區是一個資料庫，您可在其中儲存使用者屬性與使用者配置資料。

Access Manager 提供一個連接至識別儲存庫架構的識別儲存庫外掛程式。這個新的模型可讓您檢視並擷取 Access Manager 使用者資訊，而不需變更現有的使用者資料庫。Access Manager 架構整合識別儲存庫外掛程式的資料與其他 Access Manager 外掛程式的資料以形成每位使用者的虛擬識別。Access Manager 稍後可在多個識別儲存庫間的認證與授權程序中使用通用識別。當使用者階段作業結束時，將銷毀虛擬使用者識別。

LDAPv3 資料存放區

當以「範圍」與「舊有」兩種模式安裝 Access Manager 時，您可為任何 LDAPv3 儲存庫建立一個新的資料存放區實例。於下列狀況之下您應選擇 LDAPv3 儲存庫類型：

• 當不需要角色、服務類別 (CoS) 及與前一版的 Access Manager 相容時。

• 當您要使用一個存在的目錄時。

• 當您要對識別儲存庫使用一個非 Sun Java System Directory Server 的目錄伺服器時。

• 當您不需 Access Manager 對識別儲存庫進行寫入時。

• 當您要使用一個平面的「目錄資訊樹狀結構 (DIT)」時。

建立新的 LDAPv3 資料存放區

下節將描述連接一個通用 LDAPv3 資料存放區的步驟。

步驟

1. 選取要新增資料存放區的範圍。

2. 按一下 [資料存放區] 標籤。

3. 按一下 [資料存放區] 清單中的 [新建]。

4. 輸入資料存放區的名稱。

5. 定義 LDAPv3 儲存庫外掛程式的屬性。

6. 按一下 [完成]。

LDAPv3 儲存庫外掛程式屬性

下列屬性用於配置 LDAPv3 儲存庫外掛程式：

• 主 LDAP 伺服器

• LDAP 連結 DN

• LDAP 連結密碼

• LDAP 連結密碼 (確認)

• LDAP 組織 DN

• 啟用 LDAP SSL

• LDAP 連接儲存區最小大小

• LDAP 連接儲存區最大大小

• 從搜尋傳回的最多結果

• 搜尋逾時

• LDAP 依照參照

• LDAPv3 儲存庫外掛程式類別名稱

• 屬性名稱對映

• LDAPv3 外掛程式支援的類型和作業

• LDAP 使用者搜尋屬性

• LDAP 使用者搜尋篩選器

• LDAP 使用者物件類別

• LDAP 使用者屬性

• LDAP 群組搜尋屬性

• LDAP 群組搜尋篩選器

• LDAP 群組容器命名屬性

• LDAP 群組容器值

• LDAP 群組物件類別

• LDAP 群組屬性

• 群組成員身份的屬性名稱

• 群組成員的屬性名稱

• 群組成員 URL 的屬性名稱

• LDAP 使用者容器命名屬性

• LDAP 使用者容器值

• 代理程式搜尋屬性

• LDAP 代理程式容器命名屬性

• LDAP 代理程式容器值

• LDAP 代理程式搜尋篩選器

• LDAP 代理程式物件類別

• LDAP 代理程式屬性

• 永久性搜尋基底 DN

• 重新啟動前永久性搜尋最長閒置時間

• 出現錯誤碼後的最大重試次數

• 重試之間的延遲時間

• 需要重試的 LDAPException 錯誤碼

主 LDAP 伺服器

輸入您要連接的 LDAP 伺服器名稱。格式應為 hostname.domainname:portnumber。

若輸入了多個 host:portnumber 項目，則會嘗試連接清單中的第一個主機。僅當連接至目前主機失敗時，才會嘗試清單中的下一個項目。

LDAP 連結 DN

指定 Access Manager 將用來認證您目前所連接之 LDAP 伺服器的 DN 名稱。具有連結所用之 DN 名稱的使用者應具有您配置於 LDAPv3 支援的類型和作業屬性中的正確的新增/修改/刪除特權。

LDAP 連結密碼

指定 Access Manager 將用來認證您目前所連接之 LDAP 伺服器的 DN 密碼。

LDAP 連結密碼 (確認)

確認密碼。

LDAP 組織 DN

此資料儲存庫將對映的 DN 。此將為於此資料存放區中執行之所有作業的基底 DN。

啟用 LDAP SSL

當啟用時，Access Manger 將使用 HTTPS 通訊協定連線至主伺服器。

LDAP 連接儲存區最小大小

指定連接儲存區中的初始連線數目。使用連接儲存區可避免每次都建立新的連線。

LDAP 連接儲存區最大大小

指定允許的最大連線數目。

從搜尋傳回的最多結果

指定搜尋作業傳回項目的最大數目。若已達到上限，Directory Server 會傳回任何符合搜尋請求的項目。

搜尋逾時

指定搜尋請求所分配的最大秒數。若已達到上限，Directory Server 會傳回任何符合搜尋請求的搜尋項目。

LDAP 依照參照

若啟用，此選項指定自動依照其他 LDAP 伺服器的參照。

LDAPv3 儲存庫外掛程式類別名稱

指定實作 Access Manager 儲存庫外掛程式的類別檔案位置。

屬性名稱對映

啟用將對映至原生資料存放區的框架所知的通用屬性。例如，若框架使用 inetUserStatus 來決定使用者狀態，原生資料存放區可以實際使用 userStatus。屬性定義區分大小寫。

LDAPv3 外掛程式支援的類型和作業

指定此 LDAP 伺服器允許的或可執行的作業。預設作業是僅限於此 LDAPv3 儲存庫外掛程式支援的作業。以下是 LDAPv3 儲存庫外掛程式支援的作業：

• 群組 — 讀取、建立、編輯、刪除

• 範圍 — 讀取、建立、編輯、刪除、服務

• 使用者 — 讀取、建立、編輯、刪除、服務

• 代理程式 — 讀取、建立、編輯、刪除

您可以根據 LDAP 伺服器的設定與作業

從上述作業移除權限，但您不可以新增更多的權限。

LDAP 使用者搜尋屬性

此欄位定義對使用者進行搜尋的屬性類型。例如，若使用者的 dn 為 uid=k user5,ou=people,dc=iplanet,dc=com，則命名屬性為 uid。(uid=*) 將附加至使用者的搜尋篩選器。

LDAP 使用者搜尋篩選器

指定用於尋找使用者項目的搜尋篩選器。例如，若 LDAP 使用者搜尋屬性為 uid 而 LDAP 使用者搜尋篩選器為 (objectClass=inetorgperson)，則實際使用者搜尋篩選器將為：(&(uid=*)(objectClass=inetorgperson))。

LDAP 使用者物件類別

指定使用者的物件類別。當建立了一個使用者時，本使用者物件類別清單將新增至使用者的屬性清單。

LDAP 使用者屬性

定義與使用者相關聯的屬性清單。任何不在本清單上的讀取/寫入使用者屬性嘗試皆不被允許。這些屬性區分大小寫。於此處定義物件類別與屬性模式之前，必須在 Directory Server 中定義物件類型與屬性模式。

LDAP 群組搜尋屬性

此欄位定義對群組進行搜尋的屬性類型。例如，若群組 dn 為 cn=group1,ou=groups,dc=iplanet,dc=com，群組的命名屬性為 cn 而 (cn=*) 將附加至群組搜尋篩器。

LDAP 群組搜尋篩選器

指定用於尋找群組項目的搜尋篩選器。例如，如果 LDAP 群組搜尋屬性是 cn，而 LDAP 群組搜尋篩選器是 (objectclass=groupOfUniqueNames)，則實際的群組搜尋篩選器將為 (&(cn=*)(objectclass=groupOfUniqueNames))。

LDAP 群組容器命名屬性

若群組存在於容器中，請指定群組容器的命名屬性。否則，此屬性將為空白。例如，如果 cn=group1,ou=groups,dc=iplanet,dc=com 的群組 DN 存在於 ou=groups 中，則群組容器命名屬性為 ou。

LDAP 群組容器值

指定群組容器值。例如，cn=group1,ou=groups,dc=iplanet,dc=com 的群組 DN 存在於容器名稱 ou=groups 中，則群組容器值將為 groups。

LDAP 群組物件類別

指定群組的物件類別。當建立了一個群組時，本群組物件類別清單將新增至群組的屬性清單。

LDAP 群組屬性

定義與群組相關聯的屬性清單。任何不在本清單上的讀取/寫入群組屬性嘗試皆不被允許。這些屬性區分大小寫。於此處定義物件類別與屬性模式之前，必須在 Directory Server 中定義物件類型與屬性模式。

群組成員身份的屬性名稱

指定屬性名稱，其值為 DN 所屬之所有群組的名稱。預設值為 memberOf。

群組成員的屬性名稱

指定屬性名稱，其值為屬於此群組的 DN。預設值為 uniqueMember。

群組成員 URL 的屬性名稱

指定屬性名稱，其值為解析為此群組所屬成員的一個 LDAP URL。預設值為 memberUrl。

LDAP 使用者容器命名屬性

若使用者存在於容器中，請指定使用者容器的命名屬性。若使用者並未位於使用者容器中，此欄位應為空白。例如，假設使用者 dn uid=kuser5,ou=people,dc=iplanet,dc=com,，若 ou=people 為使用者容器名稱，則命名屬性為 ou。

LDAP 使用者容器值

指定使用者容器值。預設值為 people。例如，給定使用者 DN uid=kuser5,ou=people,dc=iplanet,dc=com，如果 ou=people 是使用者容器的名稱，則命名屬性為 ou 且「LDAP 使用者容器值」是 people。

代理程式搜尋屬性

此欄位定義對代理程式進行搜尋的屬性類型。預設值為 uid。例如，如果代理程式的 DN 是 uid=kagent1,ou=agents,dc=iplanet,dc=com，則其命名屬性為 uid。(uid=*) 將會附加到代理程式的搜尋篩選器。

LDAP 代理程式容器命名屬性

若代理程式位於一個代理程式容器中，則為代理程式容器的命名屬性。若代理程式並未位於代理程式容器中，此欄位應為空白。例如，給定使用者 DN uid=kagent1,ou=agents,dc=iplanet,dc=com，則代理程式命名屬性為 ou。

LDAP 代理程式容器值

指定代理程式容器值。若代理程式並未位於代理程式容器中，則其為空白。於前一個範例中，代理程式容器值應為 agents。

LDAP 代理程式搜尋篩選器

定義用來搜尋代理程式的篩選器。[LDAP 代理程式搜尋] 屬性置於此欄位之前以形成實際代理程式搜尋篩選器。

例如，若 [LDAP 代理程式搜尋屬性] 為 uid 而 [LDAP 使用者搜尋篩選器] 為 (objectClass=sunIdentityServerDevice)，則實際使用者搜尋篩選器將為：(&(uid=*)(objectClass=sunIdentityServ erDevice))

LDAP 代理程式物件類別

定義代理程式的物件類別。當建立了一個代理程式時，本使用者物件類別清單將新增至代理程式的屬性清單

LDAP 代理程式屬性

定義與代理程式相關聯的屬性清單。任何不在本清單上的讀取/寫入代理程式屬性嘗試皆不被允許。這些屬性區分大小寫。於此處定義物件類別與屬性模式之前，必須在 Directory Server 中定義物件類型與屬性模式。

永久性搜尋基底 DN

定義用於永久性搜尋的基 DN。某些 LDAPv3 伺服器僅在根字尾層次上支援永久性搜尋。

重新啟動前永久性搜尋最長閒置時間

重新啟動永久性搜尋前，請定義最大閒置時間。此值必須大於 1。若值小於或等於 1，則無論連線的閒置時間為何，皆將重新啟動搜尋。

若 Access Manager 與載入平衡器同時部署，則某些載入平衡器將在閒置一段特定時間後逾時。於此條件中，您應該將 [重新啟動前永久性搜尋最長閒置時間] 設定為一個小於載入平衡器之指定時間的值。

出現錯誤碼後的最大重試次數

若遇到 [需要重試的 LDAPException 錯誤碼] 中指定的錯誤碼，請定義永久性搜尋作業的最大重試次數。

重試之間的延遲時間

指定每次重試前的等待時間。僅適用於永久性搜尋連線。

需要重試的 LDAPException 錯誤碼

指定錯誤碼以初始永久性搜尋作業重試。此屬性僅適用於永久性搜尋，並不適用於所有 LDAP 作業。

AMSDK 儲存庫外掛程式

當 Access Manager 以「舊有」模式安裝時，AMSDK 識別儲存庫將自動地與 Access Manager 資訊樹狀結構融合。於「範圍」模式中，您可選擇安裝 AMSDK 儲存庫，但識別儲存庫並未與 Access Manager 資訊樹狀結構融合。於下列狀況之下您應選擇 AMSDK 儲存庫類型：

• 若要利用 Sun Java System Directory Server 的特定功能，如角色和服務類別 (CoS)。

• 若要取得與 Access Manager 先前版本的相容性。

若要建立一個新的 AMSDK 儲存庫外掛程式

步驟

1. 請選取範圍，以便在其中配置 Access Manager 儲存庫外掛程式。

2. 按一下 [資料存放區] 標籤。

3. 按一下 [資料存放區] 清單中的 [新建]。

4. 輸入儲存庫外掛程式的名稱。

5. 選取 [Access Manager 儲存庫外掛程式]。

6. 按 [下一步]。

7. 定義下列欄位：

   Access Manager 外掛程式類別名稱

   指定實作 Access Manager 儲存庫外掛程式的類別檔案位置。

   Access Manager 組織

   指向 Access Manager 所管理 Directory Server 之組織的 DN。此將為於此資料存放區中執行之所有作業的基底 DN。

8. 按一下 [完成]。