這是「Sun Java System Access ManagerTM 7 2005Q4 管理指南」的第一部分。討論安裝 Access Manager 後您可以執行的配置選項。本部分包含以下章節:
本章描述如何使用 amconfig 程序檔以及範例無訊息模式輸入檔案 (amsamplesilent) 來配置及部署 Sun JavaTM System Access Manager。主題包括:
對於新安裝,始終透過執行 Sun Java Enterprise System (Java ES) 安裝程式安裝 Access Manager 7 2005Q4 的第一個實例。執行安裝程式時,可以選擇下列的配置選項之一:
[立即配置] 選項可藉由在 Access Manager 安裝面板上所做的選擇 (或預設值),讓您於安裝期間安裝與配置第一個實例。
[以後配置] 選項會安裝 Access Manager 7 2005Q4 元件,在安裝之後,您必須對其進行手動配置,或如同配置與重新配置 Access Manager 實例中的描述來執行 Access Manager 程序檔。如果選擇此選項,將不會配置您目前安裝的任何產品。例如,如果選擇要安裝 Access Manager 和 Application Server,並選取 [以後配置] 選項,那麼這兩個應用程式都不會配置。
如果您將 BEA WebLogic 或 IBM WebSphere Application Server 安裝為 Access Manager Web 容器,則安裝 Access Manager 時必須選擇 [以後配置] 選項。請參閱第 2 章, 安裝並配置協力廠商 Web 容器以取得更多資訊。
如需有關此安裝程式的資訊,請參閱「Sun Java Enterprise System 2005Q4 Installation Guide for UNIX」。
Java Enterprise System 安裝程式會將 Access Manager 7 2005Q4 amconfig 程序檔和範例無訊息模式輸入檔案 (amsamplesilent) 安裝在 AccessManager-base/SUNWam/bin 目錄 (Solaris 系統) 或 AccessManager-base/identity/bin 目錄 (Linux 系統)。
AccessManager-base 代表 Access Manager 基底安裝目錄。在 Solaris 系統上,預設基底安裝目錄是 /opt,在 Linux 系統上,則是 /opt/sun。不過,執行安裝程式時您可以決定指定另一個目錄。
amconfig 程序檔為最高層程序檔,可視需要呼叫其他程序檔,以執行請求的作業。如需更多資訊,請參閱Access Manager amconfig 程序檔。
範例配置程序檔輸入檔案 (amsamplesilent) 是一個可用來建立輸入檔案的範本,當您以無訊息模式執行 amconfig 程序檔時必須指定此輸入檔案。
這個範例配置程序檔輸入檔案是 ASCII 文字檔案,其中包含 Access Manager 配置變數。執行 amconfig 程序檔之前,請複製 (並重新命名,如果需要的話) amsamplesilent 檔案,然後根據系統環境來編輯檔案中的變數。配置變數格式如下:
variable-name=value
例如:
DEPLOY_LEVEL=1 NEW_INSTANCE=true SERVER_HOST=ishost.example.com
如需可在配置程序檔輸入檔案中設定的變數清單,請參閱Access Manager 範例配置程序檔輸入檔案。
當您以無訊息模式執行 amconfig 程序檔時,所使用範例配置程序檔輸入檔案的格式並未遵循相同的格式,或必須使用相同的變數名稱做為 Java Enterprise System 無訊息安裝狀態檔案。這個檔案中包含機密資料,例如管理員密碼。視需要確實保護或刪除這個檔案。
以 Sun Java Enterprise System 安裝程式安裝 Access Manager 的第一個實例後,可執行 amconfig 程序檔,依無訊息模式輸入檔案中的變數值執行以下作業:
部署和配置 Access Manager 的第一個實例或在相同主機系統上部署和配置 Access Manager 的附加實例。例如,當您配置 Web 容器的附加實例後,您可以為該 Web 容器實例部署並配置新的 Access Manager 實例。
重新配置 Access Manager 第一個實例和任何附加實例。
部署並配置 Access Manager 完整伺服器服務,或僅部署並配置可啟用下列產品支援的 SDK 服務:
解除安裝您以 amconfig 程序檔部署的 Access Manager 實例和元件。
當您執行 Java Enterprise System 安裝程式後,可以在 Solaris 系統中的 AccessManager-base/SUNWam/bin 目錄,或 Linux 系統中的 AccessManager-base/identity/bin 目錄找到 Access Manager 範例配置程序檔輸入檔案 (amsamplesilent)。
若要設定配置變數,先複製並重新命名 amsamplesilent 檔案。然後為您要執行的作業在副本中設定變數。如需此檔案的範例,請參閱範例配置程序檔輸入檔案。
本節說明必要 DEPLOY_LEVEL 變數的值。此變數決定您要 amconfig 程序檔執行的作業。
表 1–1 變數
作業 |
DEPLOY_LEVEL 變數值和說明 |
---|---|
安裝 |
1 = 新實例的完整 Access Manager 安裝 (預設) 2 = 僅安裝 Access Manager 主控台 3 = 僅安裝 Access Manager SDK 4 = 僅安裝 SDK 並配置容器 5 = 僅安裝聯合管理模組 6 = 限安裝伺服器 7=安裝 Access Manager 並配置容器,以與 Portal Server 一起部署。 警告 DEPLOY_MODE=7 僅用於與 Portal Server 一起部署的 Access Manager。 在部份部署中,您可能想使用不同的 Web 容器在單一主機上只安裝主控台和伺服器。首先,執行 Java ES 安裝程式,使用 [以後配置] 選項安裝所有的 Access Manager 子元件。然而,執行 amconfig 程序檔配置主控台和伺服器。 |
解除安裝 (取消配置) |
11 = 完全解除安裝 12 = 完全解除安裝主控台 13 = 僅解除安裝 SDK 14 = 僅解除安裝 SDK 並取消配置容器 15 = 解除安裝聯合管理模組 16 = 僅解除安裝伺服器 與 Portal Server 一起部署時,解除安裝 Access Manager 並取消配置容器。 警告 DEPLOY_MODE=7 僅用於與 Portal Server 一起部署 Access Manager 時。 |
重新安裝 (也稱為重新部署或重新配置) |
21 = 重新部署所有主控台、密碼、服務和共用 Web 應用程式。 26 = 取消部署所有主控台、密碼、服務和共用 Web 應用程式。 |
本節說明 Access Manager 配置變數。
表 1–2 Access Manager 配置變數
變數 |
說明 |
---|---|
AM_REALM |
指定 Access Manager 模式:
預設:enabled 注意 – 依預設會啟用 Access Manager 範圍模式。若您與 Portal Server、Messaging Server、Calendar Server、Delegated Administrator 或 Instant Messaging 一起部署 Access Manager,則在執行 amconfig 程序檔前必須先選取「舊有模式」(AM_REALM=disabled)。 |
BASEDIR |
Access Manager 套裝軟體的基底安裝目錄。 預設:PLATFORM_DEFAULT Solaris 系統中,PLATFORM_DEFAULT 為 /opt Linux 系統中,PLATFORM_DEFAULT 為 /opt/sun |
SERVER_HOST |
完全合格的系統主機名稱,此系統會執行或安裝 Access Manager。 對於遠端 SDK 安裝,請將此變數設為安裝或即將安裝 Access Manager 的主機,而非遠端用戶端主機。 此變數應符合 Web 容器配置中的對等變數。例如,對於 Application Server 8,此變數應符合 AS81_HOST。 |
SERVER_PORT |
Access Manager 連接埠號。預設:58080 對於遠端 SDK 安裝,請將此變數設為安裝或即將安裝 Access Manager 的主機上的連接埠,而非遠端用戶端主機。 此變數應符合 Web 容器配置中的對等變數。例如,對於 Application Server 8,此變數應符合 AS81_PORT。 |
SERVER_PROTOCOL |
伺服器通訊協定:http 或 https。預設:http 對於遠端 SDK 安裝,請將此變數設為安裝或即將安裝 Access Manager 的主機上的通訊協定,而非遠端用戶端主機。 此變數應符合 Web 容器配置中的對等變數。例如,對於 Application Server 8,此變數應符合 AS81_PROTOCOL。 |
CONSOLE_HOST |
安裝現有主控台的伺服器之完全合格的主機名稱。 預設:提供給 Access Manager 主機的值 |
CONSOLE_PORT |
安裝主控台並偵聽連結的 Web 容器連接埠。 預設:提供給 Access Manager 連接埠的值 |
CONSOLE_PROTOCOL |
安裝主控台的 Web 容器之通訊協定。 預設:伺服器通訊協定 |
CONSOLE_REMOTE |
如果主控台對 Access Manager 服務而言是遠端的,設為 true。否則,設為 false。預設:false |
DS_HOST |
Directory Server 完全合格的主機名稱。 |
DS_PORT |
Directory Server 連接埠。預設:389。 |
DS_DIRMGRDN |
目錄管理員 DN:對 Directory Server 擁有無限存取權的使用者。 預設:「cn=Directory Manager」 |
DS_DIRMGRPASSWD |
目錄管理員密碼 請參閱Access Manager 配置變數描述中關於特殊字元的備註。 |
ROOT_SUFFIX |
目錄的初始或根字尾。您必須確定此值存在於您所使用的 Directory Server 中。 請參閱Access Manager 配置變數描述中關於特殊字元的備註。 |
ADMINPASSWD |
管理員 (amadmin) 的密碼。必須與 amldapuser 密碼不同。 備註:如果密碼包含特殊字元如斜線 (/) 或反斜線 (\\),特殊字元必須加上單括號 (”)。例如: ADMINPASSWD=’\\\\\\\\\\####///’ 然而,密碼不能將單括號做為實際密碼字元之一。 |
AMLDAPUSERPASSWD |
amldapuser 的密碼。必須與 amadmin 密碼不同。 請參閱Access Manager 配置變數描述中關於特殊字元的備註。 |
CONSOLE_DEPLOY_URI |
用於存取與 Access Manager 管理主控台子元件相關聯的 HTML 頁面、類別以及 JAR 檔案的 URI 前綴。 預設:/amconsole |
SERVER_DEPLOY_URI |
用於存取和識別管理與策略服務核心子元件相關聯的 HTML 頁面、類別以及 JAR 檔案的 URI 前綴。 預設:/amserver |
PASSWORD_DEPLOY_URI |
該 URI 用於決定將由執行 Access Manager 的 Web 容器用在您指定的字串與相應已部署應用程式之間的對映。 預設:/ampassword |
COMMON_DEPLOY_URI |
用於在 Web 容器上存取共用網域服務的 URI 前綴。 預設:/amcommon |
COOKIE_DOMAIN |
當 Access Manager 授予使用者階段作業 ID 時,傳回到瀏覽器的可信任 DNS 網域之名稱。至少要提供一個值。一般而言,此格式為以點號開頭的伺服器網域名稱。 範例:.example.com |
JAVA_HOME |
JDK 安裝目錄的路徑。預設:/usr/jdk/entsys-j2se。此變數提供指令行介面 (如 amadmin) 之可執行檔使用的 JDK。此版本必須是 1.4.2 或更高版本。 |
AM_ENC_PWD |
密碼加密金鑰:Access Manager 用來加密使用者密碼的字串。預設:無。將值設為 none 時,amconfig 會為使用者產生密碼加密金鑰,因此密碼加密將會存在於使用者指定或經由 amconfig 建立的安裝中。 重要:如果部署多個 Access Manager 或遠端 SDK 實例,所有實例將使用相同的密碼加密金鑰。當您部署附加實例時,從第一個實例之 AMConfig.properties 檔案中的 am.encryption.pwd 特性複製值。 |
PLATFORM_LOCALE |
平台的語言環境。預設:en_US (美國英語) |
NEW_OWNER |
安裝後 Access Manager 檔案的新所有者。預設:root |
NEW_GROUP |
安裝後 Access Manager 檔案的新群組。預設:other 對於 Linux 安裝,將 NEW_GROUP 設為 root。 |
PAM_SERVICE_NAME |
來自 PAM 配置或作業系統隨附之堆疊的 PAM 服務名稱,用於 Unix 認證模組 (一般而言,對於 Solaris 是 other,對於 Linux 是 password)。預設:other。 |
XML_ENCODING |
XML 編碼。預設:ISO-8859-1 |
NEW_INSTANCE |
指定配置程序檔是否應部署 Access Manager 到一個使用者建立的新 Web 容器實例:
|
SSL_PASSWORD |
不是用於此版本中。 |
若要指定 Access Manager 的 Web 容器,請在無訊息模式輸入檔案中設定 WEB_CONTAINER 變數。如需 Access Manager 7 2005Q4 支援的 Web 容器版本資訊,請參閱「Sun Java System Access Manager 7 2005Q4 版本說明」。
表 1–3 Access Manager WEB_CONTAINER 變數
值 |
Web 容器 |
---|---|
WS6 (預設) | |
AS8 | |
WL8 | |
WAS5 |
本節說明 Web Server 6.1 2005Q4 SP5 無訊息模式輸入檔案中的配置變數。
表 1–4 Web Server 6.1 配置變數
變數 |
說明 |
---|---|
WS61_INSTANCE |
將部署或取消部署 Access Manager 的 Web Server 實例名稱。 預設:https-web-server-instance-name 其中 web-server-instance-name 是 Access Manager 主機 (Access Manager 配置變數變數) |
WS61_HOME |
Web Server 基底安裝目錄。 預設:/opt/SUNWwbsvr |
WS61_PROTOCOL |
將部署 Access Manager 的 Web Server 實例使用之通訊協定,由Sun Java System Web Server 6.1 SP5變數設定:http 或 https。 預設:Access Manager 通訊協定 (Access Manager 配置變數變數) |
WS61_HOST |
Web Server 實例之完全合格的主機名稱 (Sun Java System Web Server 6.1 SP5變數)。 預設:Access Manager 主機實例 (Access Manager 配置變數變數) |
WS61_PORT |
Web Server 偵聽連線時所在的連接埠。 預設:Access Manager 連接埠號 (Access Manager 配置變數變數) |
WS61_ADMINPORT |
Web Server Administration Server 偵聽連線時所在的連接埠。 預設:8888 |
WS61_ADMIN |
Web Server 管理員的使用者 ID。 預設:「admin」 |
本節說明 Application Server 8.1 無訊息模式輸入檔案中的配置變數。
表 1–5 Application Server 8.1 配置變數
變數 |
說明 |
---|---|
AS81_HOME |
Application Server 8.1 安裝目錄的路徑。 預設:/opt/SUNWappserver/appserver |
AS81_PROTOCOL |
Application Server 實例使用的通訊協定:http 或 https。 預設:Access Manager 通訊協定 (Access Manager 配置變數變數) |
AS81_HOST |
Application Server 實例偵聽連線時所在之完全合格的網域名稱。 預設:Access Manager 主機 (Access Manager 配置變數變數) |
AS81_PORT |
Application Server 實例偵聽連線時所在的連接埠。 預設:Access Manager 連接埠號 (Access Manager 配置變數變數) |
AS81_ADMINPORT |
Application Server 的管理伺服器偵聽連線時所在的連接埠。 預設:4849 |
AS81_ADMIN |
為 Application Server 所顯示網域管理 Application Server 管理伺服器的使用者名稱。 預設:admin |
AS81_ADMINPASSWD |
Application Server 所顯示網域的 Application Server 管理員密碼。 請參閱Access Manager 配置變數描述中關於特殊字元的備註。 |
AS81_INSTANCE |
要執行 Access Manager 的 Application Server 實例的名稱。 預設:server |
AS81_DOMAIN |
您要將此 Access Manager 實例部署至的網域之 Application Server 目錄路徑。 預設:domain1 |
AS81_INSTANCE_DIR |
Application Server 儲存實例檔案的目錄路徑。 預設:/var/opt/SUNWappserver/domains/domain1 |
AS81_DOCS_DIR |
Application Server 儲存內容文件的目錄。 預設:/var/opt/SUNWappserver/domains/domain1/docroot |
AS81_ADMIN_IS_SECURE |
指定 Application Server 管理實例是否正在使用 SSL:
|
本節說明 BEA WebLogic Server 8.1 於無訊息模式輸入檔案中的配置變數。
表 1–6 BEA WebLogic Server 8.1 配置變數
變數 |
說明 |
---|---|
WL8_HOME |
WebLogic 主目錄。預設:/usr/local/bea |
WL8_PROJECT_DIR |
WebLogic 專案目錄。預設:user_projects |
WL8_DOMAIN |
WebLogic 網域名稱。預設:mydomain |
WL8_SERVER |
WebLogic 伺服器名稱。預設:myserver |
WL8_INSTANCE |
WebLogic 實例名稱。預設:/usr/local/bea/weblogic81 ($WL8_HOME/weblogic81) |
WL8_PROTOCOL |
WebLogic 通訊協定。預設:http |
WL8_HOST |
WebLogic 主機名稱。預設:伺服器主機名稱 |
WL8_PORT |
WebLogic 連接埠。預設:7001 |
WL8_SSLPORT |
WebLogic SSL 連接埠。預設:7002 |
WL8_ADMIN |
WebLogic 管理員。預設:「weblogic」 |
WL8_PASSWORD |
WebLogic 管理員密碼。 請參閱Access Manager 配置變數描述中關於特殊字元的備註。 |
WL8_JDK_HOME |
WebLogic JDK 主目錄。預設:BEA WebLogic Server 8.1 /jdk142_04 |
WL8_CONFIG_LOCATION |
應設為 WebLogic 啟動程序檔之位置的父系目錄。 |
本節說明 IBM WebSphere Server 5.1 無訊息模式輸入檔案中的配置變數。
表 1–7 IBM WebSphere 5.1 配置變數
變數 |
說明 |
---|---|
WAS51_HOME |
WebSphere 主目錄。預設:/opt/WebSphere/AppServer |
WAS51_JDK_HOME |
WebSphere JDK 主目錄。預設:/opt/WebSphere/AppServer/java |
WAS51_CELL |
WebSphere 儲存格。預設:主機名稱值 |
WAS51_NODE |
WebSphere 節點名稱。預設:安裝 WebSphere 的伺服器之主機名稱。預設:主機名稱值 |
WAS51_INSTANCE |
WebSphere 實例名稱。預設:server1 |
WAS51_PROTOCOL |
WebSphere 通訊協定。預設:http |
WAS51_HOST |
WebSphere 主機名稱。預設:伺服器主機名稱 |
WAS51_PORT |
WebSphere 連接埠。預設:9080 |
WAS51_SSLPORT |
WebSphere SSL 連接埠。預設:9081 |
WAS51_ADMIN |
WebSphere 管理員。預設:「admin」 |
WAS51_ADMINPORT |
WebSphere 管理員連接埠。預設:9090 |
如需 Access Manager 7 2005Q4 支援的 Directory Server 版本資訊,請參閱「Sun Java System Access Manager 7 2005Q4 版本說明」。本節說明無訊息模式輸入檔案中的 Directory Server 配置變數。
表 1–8 Directory Server 配置變數
變數 |
說明 |
---|---|
DIRECTORY_MODE |
Directory Server 模式: 1 = 用於目錄資訊樹 (DIT) 的新安裝。 2 = 用於現有 DIT。命名屬性和物件類別相同,因此配置程序檔載入 installExisting.ldif 以及 umsExisting.ldif 檔案。 配置程序檔也以配置時實際輸入的值 (例如,BASE_DIR、BASE_DIR 及 ROOT_SUFFIX) 更新 LDIF 以及特性檔案。 此更新亦稱為「標記交換」,因為配置程序檔以實際配置值取代檔案中的定位字元標記。 3 = 當您希望以手動載入時用於現有 DIT。命名屬性和物件類別不同,因此配置程序檔不會載入 installExisting.ldif 以及 umsExisting.ldif 檔案。程序檔進行標記交換 (如模式 2 所述)。 您必須檢查並修改 (視需要) LDIF 檔案後手動載入 LDIF 檔案和服務。 4 = 用於現有多重伺服器安裝。配置程序檔不會載入 LDIF 檔案和服務,因為該作業是根據現有 Access Manager 安裝。程序檔僅進行標記交換 (如模式 2 所述),並新增平台清單中的一個伺服器項目。 5 = 用於現有升級。程序檔僅進行標記交換 (如模式 2 所述)。 預設:1 |
USER_NAMING_ATTR |
使用者命名屬性:使用者或資源於其相關明稱空間中的專屬辨識符號。預設:uid |
ORG_NAMING_ATTR |
使用者之公司或組織的命名屬性。預設:o |
ORG_OBJECT_CLASS |
組織物件類別。預設:sunismanagedorganization |
USER_OBJECT_CLASS |
使用者物件類別。預設:inetorgperson |
DEFAULT_ORGANIZATION |
預設的組織名稱。預設:無 |
執行 Java Enterprise System 安裝程式後,amconfig 程序檔位於 AccessManager-base/SUNWam/bin 目錄中 (Solaris 系統) 或 AccessManager-base/identity/bin 目錄中 (Linux 系統)。
amconfig 程序檔讀取無訊息配置輸入檔案,然後視需要以無訊息模式呼叫其他程序檔,以執行請求的作業。
若要執行 amconfig 程序檔,請使用此語法:
amconfig -s input-file |
其中:
-s 於無訊息模式中執行 amconfig。
input-file 是無訊息配置輸入檔案,包含您要執行作業的配置變數。如需更多資訊,請參閱Access Manager 範例配置程序檔輸入檔案。
執行 amconfig 程序檔有幾個注意事項:
您必須以超級使用者 (root) 執行。
指定 amsamplesilent 檔 (或檔案副本) 的完整路徑。例如:
# cd /opt/SUNWam/bin # ./amconfig -s ./amsamplesilent
或
# ./amconfig -s /opt/SUNWam/bin/amsamplesilent
在 Access Manager 7 2005Q4 發行版本中,不支援以下程序檔:
同時,依預設 amserver start 僅啟動認證 amsecuridd 與 amunixd 輔助程式。amsecuridd 輔助程式只能在 Solaris OS SPARC 平台上使用。
在您使用 Java Enterprise System 安裝程式安裝 Access Manager 的第一個實例後,可部署和配置附加 Access Manager 實例,做法是先編輯無訊息配置輸入檔案中的配置變數,再執行 amconfig 程序檔。
本節描述以下方案:
您必須使用 Web 容器的管理工具建立並啟動新的 Web 容器實例,才能部署新的 Access Manager 實例。相關資訊請參考特定 Web 容器說明文件:
針對 Web Server,請參閱 http://docs.sun.com/coll/1308.1 與 http://docs.sun.com/coll/1425.1
針對 Application Server,請參閱 http://docs.sun.com/coll/1310.1 與 http://docs.sun.com/coll/1416.1
本節中說明的各項步驟,僅適用於已使用 [立即配置] 選項安裝的 Access Manager 實例。如果您計劃使用 WebLogic 或 WebSphere 來做為 Web 容器,在安裝 Access Manager 時必須使用 [以後配置] 選項。請參閱第 2 章, 安裝並配置協力廠商 Web 容器以取得更多資訊。
本節說明如何在其他主機伺服器上部署 Access Manager 附加實例,以及如何更新 [平台伺服器清單]。
以管理員身份登入,視實例的 Web 容器而異。例如,如果 Web Server 6.1 為新實例的 Web 容器,以超級使用者 (root) 或 Web Server Administration Server 的使用者帳號登入。
複製 amsamplesilent 檔案到可寫入目錄,並將該目錄設為目前使用的目錄。例如,您可以建立一個稱為 /newinstances 的目錄。
提示:重新命名 amsamplesilent 檔案的副本,以說明您要部署的新實例。例如,下列步驟使用一個稱為 amnewws6instance 的輸入檔案,以安裝 Web Server 6.1 的新實例。
在新的 amnewws6instance 檔案中設定下列變數:
DEPLOY_LEVEL=1 NEW_INSTANCE=true |
在 amnewws6instance 檔案中,視需要為您要建立的新實例設定其他變數。關於這些變數的描述,請參閱下列章節中的表格:
執行 amconfig,指定新的 amnewws6instance 檔案。例如,在 Solaris 系統上:
# cd opt/SUNWam/bin/ # ./amconfig -s ./newinstances/amnewws6instance |
-s 選項於無訊息模式中執行 amconfig。
amconfig 程序檔視需要呼叫其他配置程序檔,使用 amnewws6instance 檔案中的變數部署新實例。
當您建立附加容器實例時,必須更新 Access Manager 的 [平台伺服器清單],使其反映附加的容器。
請以頂層管理員的身份登入 Access Manager 主控台。
按一下 [服務配置] 標籤。
按一下 [平台] 服務。
請在 [伺服器清單] 中為新實例輸入下列資訊:
protocol:// fqdn:port|instance-number
實例編號應為下一個未使用的可用號碼。
按一下 [加入] 。
按一下 [儲存]。
您可以配置以 [以後配置] 選項安裝的 Access Manager 實例,或執行 amconfig 程序檔在 Java Enterprise System 安裝程式中重新配置以 [立即配置] 選項安裝的第一個實例。
例如,您可能想要重新配置實例,以變更 Access Manager 所有者和群組。
以管理員身份登入,視實例的 Web 容器而異。例如,如果 Web Server 6.1 為新實例的 Web 容器,以超級使用者 (root) 或 Web Server Administration Server 的使用者帳號登入。
將用來部署實例的無訊息配置輸入檔案複製到可寫入的目錄,並使該目錄成為您的目前目錄。例如,若要重新配置 Web Server 6.1 的實例,在下列步驟中是使用 /reconfig 目錄中名為 amnewinstanceforWS61 的輸入檔案。
在 amnewinstanceforWS61 檔案中,將 DEPLOY_LEVEL 變數設定為配置模式變數作業描述的變數之一。例如,設定 DEPLOY_LEVEL=21 以重新配置一個完全安裝。
在 amnewinstanceforWS61 檔案中,將 NEW_INSTANCE 變數設為 false:
NEW_INSTANCE=false |
設定其他在 amnewinstanceforWS61 檔案中的變數以重新配置實例。例如,要變更實例的所有者和群組,將 NEW_OWNER 和 NEW_GROUP 變數設成新值。
關於其他變數的描述,請參閱下列章節中的表格:
執行 amconfig 程序檔,指定新的已編輯輸入檔案。例如,在 Solaris 系統上:
# cd opt/SUNWam/bin/ # ./amconfig -s ./reconfig/amnewinstanceforWS61 |
-s 選項於無訊息模式中執行程序檔。 amconfig 程序檔視需要呼叫其他配置程序檔,使用 amnewinstanceforWS61 檔案中的變數以重新配置實例。
您可以解除安裝由執行 amconfig 程序檔所安裝的 Access Manager 實例。您也可以暫時取消配置 Access Manager 實例,除非您移除 Web 容器實例,否則仍可於稍後重新部署另一個 Access Manager 實例。
以管理員身份登入,視實例的 Web 容器而異。例如,如果 Web Server 6.1 為新實例的 Web 容器,以超級使用者 (root) 或 Web Server Administration Server 的使用者帳號登入。
將用來部署實例的無訊息配置輸入檔案複製到可寫入的目錄,並使該目錄成為您的目前目錄。例如,若要取消配置 Web Server 6.1 的實例,在下列步驟中是使用 /unconfigure 目錄中名為 amnewinstanceforWS61 的輸入檔案。
在 amnewinstanceforWS61 檔案中,將 DEPLOY_LEVEL 變數設定為配置模式變數作業描述的變數之一。例如,設定 DEPLOY_LEVEL=11 以解除安裝 (或取消配置) 一個完全安裝。
執行 amconfig 程序檔,指定新的已編輯輸入檔案。例如,在 Solaris 系統上:
# cd opt/SUNWam/bin/ # ./amconfig -s ./unconfigure/aminstanceforWS61 |
-s 選項於無訊息模式中執行程序檔。 amconfig 程序檔讀取 amnewinstanceforWS61 檔案然後解除安裝實例。
如果您稍後要重新部署另一個 Access Manager 實例,仍可以使用 Web 容器實例。
此方案會從系統中完整地移除所有 Access Manager 7 2005Q4 實例與套裝軟體。
請以超級使用者的身份登入或成為超級使用者 (root)。
在用來部署實例的輸入檔案中,將 DEPLOY_LEVEL 變數設定為配置模式變數作業描述的變數之一。例如,設定 DEPLOY_LEVEL=11 以解除安裝 (或取消配置) 一個完全安裝。
使用您在解除安裝所有 Access Manager 實例中編輯的檔案來執行 amconfig 程序檔。例如,在 Solaris 系統上:
# cd opt/SUNWam/bin/ # ./amconfig -s ./newinstances/amnewws6instance |
amconfig 程序檔於無訊息模式中執行以解除安裝實例。
為所有您要解除安裝的其他 Access Manager 實例重複這個步驟,但您使用 Java Enterprise System 安裝程式安裝的實例 (第一個實例) 除外。
若要解除安裝第一個實例,並移除系統中所有 Access Manager 套裝軟體,請執行 Java Enterprise System 解除安裝程式。如需有關解除安裝程式的更多資訊,請參閱「Sun Java Enterprise System 2005Q4 Installation Guide for UNIX」。
下節包含 Access Manager 配置程序檔輸入檔案的範例,用於與 WebLogic 8.1 共同部署。
DEPLOY_LEVEL=1 BASEDIR=/opt SERVER_HOST=ide-56.example.company.com SERVER_PORT=7001 SERVER_PROTOCOL=http CONSOLE_HOST=$SERVER_HOST CONSOLE_PORT=$SERVER_PORT CONSOLE_PROTOCOL=$SERVER_PROTOCOL CONSOLE_REMOTE=false DS_HOST=ide-56.example.company.com DS_PORT=389 DS_DIRMGRDN=”cn=Directory Manager” DS_DIRMGRPASSWD=11111111 ROOT_SUFFIX=”dc=company,dc=com” ADMINPASSWD=11111111 AMLDAPUSERPASSWD=00000000 CONSOLE_DEPLOY_URI=/amconsole SERVER_DEPLOY_URI=/amserver PASSWORD_DEPLOY_URI=/ampassword COMMON_DEPLOY_URI=/amcommon COOKIE_DOMAIN=.iplanet.com JAVA_HOME=/usr/jdk/entsys-j2se AM_ENC_PWD=”” PLATFORM_LOCALE=en_US NEW_OWNER=root NEW_GROUP=other XML_ENCODING=ISO-8859-1 NEW_INSTANCE=false WEB_CONTAINER=WL8 WL8_HOME=/export/bea8 WL8_PROJECT_DIR=user_projects WL8_DOMAIN=mydomain WL8_CONFIG_LOCATION=$WL8_HOME/$WL8_PROJECT_DIR/domains WL8_SERVER=myserver WL8_INSTANCE=/export/bea8/weblogic81 WL8_PROTOCOL=http WL8_HOST=ide-56.example.company.com WL8_PORT=7001 WL8_SSLPORT=7002 WL8_ADMIN=”weblogic” WL8_PASSWORD=”11111111” WL8_JDK_HOME=$WL8_HOME/jdk142_04 DIRECTORY_MODE=1 USER_NAMING_ATTR=uid ORG_NAMING_ATTR=o ORG_OBJECT_CLASS=examplemanagedorganization USER_OBJECT_CLASS=inetorgperson DEFAULT_ORGANIZATION= Sample Configuration Script Input File for WebLogic 8.1.x |
本章說明安裝並配置與 Sun Java™ System Access Manager 一起部署之協力廠商 Web 容器的程序。針對此版本,Access Manager 支援 BEA WebLogic 8.1 (及其目前修補程式) 與 IBM WebSphere 5.1 (及其目前修補程式)。
WebLogic 和 WebSphere 並不是 Java Enterprise System 的一部份,所以您必須分別以 Java ES 安裝程式來安裝並配置它們。一般而言,程序如下:
安裝、配置與啟動 Web 容器實例。
從 Java ES 安裝程式來安裝 Directory Server。
從 Java ES 安裝程式以「以後配置」模式安裝 Access Manager,這會使 Access Manager 仍保留未配置的狀態。
執行 Access Manager 配置程序檔,以在 Web 容器內部署 Access Manager。
重新啟動 Web 容器。
當您安裝 WebLogic 之前,請確認已在 DNS 中註冊主機網域。同時,驗證您安裝的 WebLogic 軟體版本正確。如需更多資訊,請移至 BEA 產品網站,網址為 http://commerce.bea.com/index.jsp。
將下載的軟體影像 (.zip 或 .gz 格式) 解壓縮。確定 zip/gzip 公用程式適用於正確的平台,否則您在解壓縮時會收到總和檢查錯誤的訊息。
從目標系統的 shell 視窗執行安裝程式。
遵循 WebLogic 安裝公用程式所提供的程序 (可以在以下網址找到詳細的安裝指示:http://e-docs.bea.com/wls/docs81/)。
在安裝程序期間,請確定記錄以下資訊,稍後在 Access Manager 配置時會用到這些資訊:
完成安裝之後,請從下列位置執行 WebLogic 配置工具來配置網域和伺服器實例:
WebLogic-base/WebLogic-instance/common/bin/quickstart.sh
依預設,WebLogic 會將伺服器實例定義成 myserver,網域定義成 mydomain。您可能不會選擇使用這些預設。如果您建立新的網域和實例,請確認記錄此資訊,以供 Access Manager 配置與部署使用。請參閱 WebLogic 8.1 文件以取得指示。
如果您在管理實例上進行安裝,請從以下位置使用 startWebLogic.sh 公用程式來啟動 WebLogic:
WebLogic-base/WebLogic-Userhome /domains/ WebLogic-domain/startWebLogic.sh
如果是在管理式實例上進行安裝,請使用以下指令啟動 WebLogic:
WebLogic-base /WebLogic-Userhome/domains/ WebLogic-domain /startManagedWebLogic WebLogic-managed-instancename admin-url
安裝 WebSphere 之前,請確認已在 DNS 中註冊您的主機網域,並驗證您安裝的 WebSphere 軟體是適用於平台的正確版本。如需更多資訊,請移至 IBM 產品支援網站,網址為 http://www-306.ibm.com/software/websphere/support/。
將下載的軟體影像 (.zip 或 .gz 格式) 解壓縮。確定 zip/gzip 公用程式適用於正確的平台,否則您在解壓縮時會收到總和檢查錯誤的訊息。
從目標系統的 shell 視窗執行安裝程式。如果您計劃要安裝修補程式,請先安裝 5.1 版,然後再套用修補程式。您可在以下網址找到詳細的安裝指示:http://publib.boulder.ibm.com/infocenter/ws51help/index.jsp。
在安裝程序期間,請確定記錄以下資訊,稍後在 Access Manager 配置時會用到這些資訊:
驗證伺服器已成功安裝。
驗證安裝順利完成之後,使用 stopServer.sh 公用程式來停止伺服器。例如:
opt/WebSphere/AppServer/bin/stopServer.sh server1
若您要安裝 WebSphere 5.1 修補程式,請使用 updateWizard.sh 指令行公用程式在原始 5.1 實例上安裝修補程式。
重新啟動 WebSphere 並驗證安裝已順利完成。
Access Manager 安裝牽涉到兩個獨立的 Java Enterprise System (Java ES) 安裝程式呼叫。
執行第一個 Java ES 呼叫,以 [立即配置] 選項來安裝 Directory Server (本機或遠端)。[立即配置] 選項可讓您在安裝期間,依選取的選項 (或預設值) 來配置第一個實例。
執行第二個 Java ES 呼叫,以 [以後配置] 選項來安裝 Access Manager。這個選項會安裝 Access Manager 2005Q4 元件。在安裝之後,您必須配置 Access Manager。
WebLogic 與 WebSphere 的安裝獨立於 Java ES 安裝,所以安裝程式中並沒有包含自動部署容器所需的配置資料。因此,安裝 Access Manager 時您必須選取 [以後配置] 選項。此選項會將 Access Manager 部署保留在以下狀態:
在目標系統的本機磁碟上完成 Access Manager 安裝之後,您需要以 WebLogic 8.1 或 WebSphere 5.1 手動配置 Access Manager。這個程序有以下三個步驟:
Access Manager 配置程序檔輸入檔案中包含所有的部署層級、Access Manager、Web 容器以及 Directory Server 變數定義。Access Manager 包含範例配置程序檔輸入檔案範本 (amsamplesilent),位於 AccessManager-base/SUNWam/bin 目錄 (Solaris 系統) 或 AccessManager-base/identity/bin 目錄 (Linux 系統) 中。
您可以使用 amsamplesilent 範本來建構配置程序檔輸入檔案。Access Manager 範例配置程序檔輸入檔案中說明編輯此檔案的指示以及變數定義。
編輯檔案之前,請確認已從 Web 容器安裝取得以下資訊:
安裝位置
實例名稱和位置
主機名稱
FQDN
其偵聽的連接埠號
管理 ID
使用的通訊協定
管理密碼
共用程式庫位置
網域名稱和位置
專案目錄名稱
JDK 位置
儲存格名稱
節點名稱
JDK 位置
當您儲存了配置程序檔輸入檔案之後,請執行 amconfig 程序檔以完成配置程序。例如:
AccessManager-base/SUMWam/bin/amconfig -s silentfile
silentfile 應該是配置輸入檔案的絕對路徑。
執行此程序檔會執行以下功能:
將 Access Manager 模式載入到使用中的 Directory Server 實例。
將 Access Manager 服務資料載入到 Directory Server 實例。
產生使用中的 Access Manager 實例所使用的 Access Manager 配置檔案。
將 Access Manager Web 應用程式資料部署到 Web 容器。
自訂 Web 容器配置以符合 Access Manager 的需求。
在您完成配置程序之後,必須重新啟動 Web 容器。請參照產品的文件以取得指示。
針對 BEA WebLogic 8.1,請參閱 http://e-docs.bea.com/wls/docs81。
針對 IBM WebSphere 5.1,請參閱 http://publib.boulder.ibm.com/infocenter/ws51help/index.jsp。
使用具有簡單認證的安全套接層 (SSL) 可以保證機密性和資料完整性。若要在 SSL 模式中啟用 Access Manager,通常要:
以安全 Web 容器配置 Access Manager
將 Access Manager 配置到安全的 Directory Server
若要使用 Web Server 在 SSL 模式中配置 Access Manager,請參閱以下步驟:
在 Access Manager 主控台中,移至服務配置模組並選取 [平台] 服務。在 [伺服器清單] 屬性中,移除 http:// 協定,然後加入 https:// 協定。按一下 [儲存]。
請務必按一下 [儲存]。否則,雖然您仍可以繼續執行下面的步驟,但您所做的所有配置變更均會遺失,並且無法以管理員身份登入以修正此問題。
步驟 2 至 24 描述 Web Server。
登入 Web Server 主控台。預設連接埠為 8888。
選取 Access Manager 於其上執行的 Web Server 實例,然後按一下 [管理]。
系統會顯示快顯式視窗,說明配置已變更。按一下 [確定]。
按一下畫面右上角的 [套用] 按鈕。
按一下 [套用變更]。
Web Server 會自動重新啟動。按一下 [確定] 以繼續。
停止選取的 Web Server 實例。
按一下 [安全] 標籤。
按一下 [建立資料庫]。
輸入新的資料庫密碼並按一下 [確定]。
請確保記下資料庫密碼,以備稍後使用。
建立憑證資料庫後,按一下 [請求憑證]。
在畫面提供的欄位中輸入資料。
[鍵值對欄位密碼] 欄位和您在步驟 9 中輸入的內容相同。在位置欄位中,您必須完整拼出位置。縮寫詞 (如 CA) 無效。必須定義所有欄位。在[共用名稱] 欄位中,提供您 Web Server 的主機名稱。
提交表格後,您將看到與以下訊息類似的訊息:
--BEGIN CERTIFICATE REQUEST--- afajsdllwqeroisdaoi234rlkqwelkasjlasnvdknbslajowijalsdkjfalsdflasdf alsfjawoeirjoi2ejowdnlkswnvnwofijwoeijfwiepwerfoiqeroijeprwpfrwl --END CERTIFICATE REQUEST-- |
複製這些文字並提交,以請求憑證。
請確保您取得了 Root CA 憑證。
您將接收到包含憑證的憑證回應,如:
--BEGIN CERTIFICATE--- afajsdllwqeroisdaoi234rlkqwelkasjlasnvdknbslajowijalsdkjfalsdflasdf alsfjawoeirjoi2ejowdnlkswnvnwofijwoeijfwiepwerfoiqeroijeprwpfrwl --END CERTIFICATE--- |
將這些文字複製到剪貼簿,或儲存在檔案中。
移至 Web Server 主控台並按一下 [安裝憑證]。
按一下該 Server 的憑證。
在 [鍵值對檔案密碼] 欄位中輸入憑證資料庫密碼。
在提供的文字欄位中貼上憑證,或核取單選按鈕並在文字方塊中輸入檔案名稱。按一下 [提交]。
瀏覽器將顯示該憑證,並提供加入憑證的按鈕。
按一下 [安裝憑證]。
按一下 [可信任的憑證授權機構的憑證]。
以步驟 16 至 21 中所述的相同方式安裝 Root CA 憑證。
兩個憑證安裝完成後,按一下 Web Server 主控台中的 [喜好設定] 標籤。
如果要在不同的連接埠上啟用 SSL,請選取 [加入偵聽套接字]。然後選取 [編輯偵聽套接字]。
從 [停用至啟用] 變更安全性狀態,然後按一下 [確定] 提交變更,再按一下 [套用] 和 [套用變更]。
步驟 26–29 適用於 Access Manager。
開啟 AMConfig.properties 檔案。依預設,此檔案位於 etc/opt/SUNWam/config。
用 https:// 取代所有出現的 http:// 協定,Web Server 實例目錄中的除外。AMConfig.properties 中也指定了這一點,但必須保持一致。
儲存 AMConfig.properties 檔案。
在 Web Server 主控台中,按一下託管 Web 伺服器實例之 Access Manager 的 [開啟/關閉] 按鈕。
Web Server 會在 [啟動/停止] 頁面中顯示一個文字方塊。
在文字欄位中輸入憑證資料庫密碼並選取 [啟動]。
將 Access Manager 設定為在已啟用 SSL 的 Application Server 上執行,過程分兩步驟。首先,將 Application Server 實例與安裝的 Access Manager 安全結合在一起,然後配置 Access Manager 本身。
本節說明於 SSL 模式下設定 Application Server 6.2 的步驟。
在您的瀏覽器中輸入以下位址,以管理員身份登入 Sun Java System Application Server 主控台:
http://fullservername:port
預設連接埠為 4848。
輸入您在安裝時輸入的使用者名稱和密碼。
選取您在其上安裝 (或將要安裝) 的 Application Server 實例。右框架會顯示配置已變更。
按一下 [套用變更]。
按一下 [重新啟動]。Application Server 會自動重新啟動。
在左框架中,按一下 [安全]。
按一下 [管理資料庫] 標籤。
按一下 [建立資料庫] (如果未選取)。
輸入新的資料庫密碼並確認,然後按一下 [確定] 按鈕。請確保記下資料庫密碼,以備稍後使用。
建立憑證資料庫後,按一下 [憑證管理] 標籤。
按一下 [請求] 連結 (如果未選取)。
為憑證輸入以下請求資料
如果該憑證為新憑證或更新的憑證,則選取它。許多憑證會在一段特定時間後過期,某些憑證授權機構 (CA) 會自動給您傳送換新通知。
指定您要提交憑證請求的方式。
如果希望 CA 接收電子郵件訊息形式的請求,請核取 [CA 電子郵件] 並輸入 CA 的電子郵件位址。如需 CA 清單,請按一下 [可用憑證授權機構清單]。
如果您從使用憑證伺服器的內部 CA 請求憑證,則請按一下 [CA URL] 並輸入憑證伺服器的 URL。此 URL 應指向用於處理憑證申請的憑證伺服器程式。
輸入您鍵值對檔案的密碼 (您在步驟 9 中指定的密碼)。
輸入以下識別資訊:
共用名稱。伺服器的完整名稱,包含連接埠號。
請求者名稱。請求者的名稱。
電話號碼。請求者的電話號碼。
共用名稱 。Sun Java System Application Server 的完全合格名稱,將會安裝數位憑證。
電子郵件位址。管理員的電子郵件位址。
組織名稱。您的組織名稱。憑證授權機構可能會要求在此屬性中輸入的所有主機名稱均屬於註冊到該組織的領域。
組織單元名稱。組織的分支、部門或其他運作部門的名稱。
地區名稱 (城市)。您所在城市或城鎮的名稱。
州的名稱。如果您的組織分別在美國或加拿大,此項指組織所在州或省的名稱。請勿縮寫。
國家/地區代碼。代表您國家/地區的兩個字母的 ISO 代碼。例如,美國的代碼是 US。
按一下 [確定] 按鈕。畫面上將會顯示訊息,例如:
--BEGIN NEW CERTIFICATE REQUEST--- afajsdllwqeroisdaoi234rlkqwelkasjlasnvdknbslajowijalsdkjfalsdfla alsfjawoeirjoi2ejowdnlkswnvnwofijwoeijfwiepwerfoiqeroijeprwpfrwl --END NEW CERTIFICATE REQUEST-- |
將所有這些文字複製到一個檔案並按一下 [確定]。請確定您取得了 Root CA 憑證。
選取一個 CA,然後依循該授權單位網站的指示,取得數位憑證。您可以從 CMS、Verisign 或 Entrust.net 取得憑證
從憑證授權機構接收到數位憑證後,您可以將文字複製到剪貼簿,或將其儲存到檔案中。
移至 Application Server 主控台並按一下 [安裝] 連結。
選取 [此伺服器的憑證]。
在 [鍵值對檔案密碼] 欄位中輸入憑證資料庫密碼。
在提供的文字欄位、訊息文字 (帶有標頭) 中貼上憑證,或在此檔案文字方塊的訊息中輸入檔案名稱。選取相應的單選按鈕。
按一下 [確定] 按鈕。瀏覽器會顯示憑證,並提供加入憑證的按鈕。
按一下 [新增伺服器憑證]。
以上述方式安裝 Root CA 憑證。但是,請選取 [可信任的憑證授權機構的憑證]。
安裝完兩個憑證後,展開左框架中的 HTTP 伺服器節點。
選取 HTTP 伺服器下的 HTTP 偵聽程式。
選取 http-listener-1。瀏覽器會顯示套接字資訊。
將 http-listener-1 使用之連接埠的值從安裝應用程式伺服器時所輸入的值變更為更適當的值,如:443。
選取 [啟用 SSL/TLS]。
選取 [憑證別名]。
指定回傳伺服器。該伺服器應該與步驟 12 中指定的共用名稱相符。
按一下 [儲存]。
選取您要在其上安裝 Access Manager 軟體的 Application Server 實例。右框架會顯示配置已變更。
按一下 [套用變更]。
按一下 [重新啟動]。Application Server 會自動重新啟動。
使用 SSL 配置 Application Server 8.1 的基本步驟如下。請參閱 Application Server 8.1 文件以取得詳細的指示。
透過 Application Server 管理主控台在 Application Server 上建立一個安全的連接埠。如需更多資訊,請參閱位於下列位置之「Sun Java System Application Server Enterprise Edition 8.1 管理指南」中的「配置安全性」。
http://docs.sun.com/app/docs/coll/1310.1 與 http://docs.sun.com/app/docs/coll/1416.1
驗證信任伺服器憑證的憑證授權機構 (CA) 是否存在於 web 容器的信任資料庫中。之後,獲取並安裝 web 容器的伺服器憑證。如需更多資訊,請參閱位於下列位置之「Sun Java System Application Server Enterprise Edition 8.1 管理指南」中的「使用證書和SSL」。
http://docs.sun.com/app/docs/coll/1310.1 與 http://docs.sun.com/app/docs/coll/1416.1
重新啟動 Web 容器。
本節說明在 SSL 模式中配置 Access Manager 的步驟。設定 Access Manager 的 SSL 之前,請確定您已為您的部署配置 Web 容器。
在 Access Manager 主控台中,移至服務配置模組並選取 [平台] 服務。在伺服器清單屬性中,加入使用 HTTPS 協定的相同的 URL 和一個已啟用 SSL 的連接埠號。按一下 [儲存]。
如果 Access Manager 單一實例正在偵聽兩個連接埠 (一個 HTTP,一個 HTTPS),且您試圖以停止的 Cookie 存取 Access Manager,Access Manager 將沒有回應。這並非支援的配置。
從下列預設位置開啟 AMConfig.properties 檔案:
/etc/opt/SUNWam/config。 |
用 https:// 取代所有出現的 http:// 協定,並將連接埠埠號變更為已啟用 SSL 的連接埠埠號。
儲存 AMConfig.properties 檔案。
重新啟動 Application Server。
在 SSL 中使用 AMSDK 進行配置之前,必須先安裝 BEA WebLogic Server 並配置成 Web 容器。如需安裝說明,請參閱 BEA WebLogic 伺服器文件。若要針對 Access Manager 將 WebLogic 配置為 Web 容器,請參閱第 1 章, Access Manager 7 2005Q4 配置程序檔。
使用快速開始功能表來建立網域
移至 BEA WebLogic 安裝目錄並產生憑證請求。
使用 CSR 文字檔將伺服器憑證套用至 CA。
將核准的憑證儲存到文字檔中。例如,approvedcert.txt。
使用下列指令,載入 cacerts 中的根 CA:
cd jdk141_03/jre/lib/security/
jdk141_03/jre/bin/keytool -keystore cacerts -keyalg RSA -import -trustcacerts -alias "<alias name>" -storepass changeit -file /opt/bea81/cacert.txt
使用以下指令來載入伺服器憑證:
jdk141_03/jre/bin/keytool -import -keystore <keystorename> -keyalg RSA -import -trustcacerts -file approvedcert.txt -alias "mykey"
使用您的使用者名稱和密碼登入 BEA WebLogic 主控台。
瀏覽至以下位置:
您的網域 > 伺服器 > myserver > 配置金鑰庫
選取自訂身份和 Java Standard Trust
輸入鍵值儲存區位置。例如,/opt/bea81/keystore。
輸入鍵值儲存區密碼和鍵值儲存區通行密語。例如:
鍵值儲存區密碼:JKS/Java Standard Trust (對 WL 8.1,則僅為 JKS)
鍵值儲存區通行密語:changeit
檢閱 SSL 私密金鑰設定的私密金鑰別名與密碼。
您必須使用完整強度 SSL 授權,否則 SSL 啟動將會失敗
在 Access Manager 中,下列 AmConfig.properties 中的參數會於安裝期間自動配置。如果未自動配置,您可以編輯它們:
com.sun.identity.jss.donotInstallAtHighestPriority=true [ this is not required for AM 6.3 and above] com.iplanet.security.SecureRandomFactoryImpl=com.iplanet.am.util.SecureRandomFactoryImpl com.iplanet.security.SSLSocketFactoryImpl=netscape.ldap.factory.JSSESocketFactory com.iplanet.security.encryptor=com.iplanet.services.util.JCEEncryption |
如果您的 JDK 路徑如下所示:
com.iplanet.am.jdk.path=/usr/jdk/entsys-j2se |
那麼請使用鍵工具公用程式,在憑證資料庫中匯入根 CA。例如:
/usr/jdk/entsys-j2se/jre/lib/security /usr/jdk/entsys-j2se/jre/bin/keytool -keystore cacerts -keyalg RSA -import -trustcacerts -alias "machinename" -storepass changeit -file /opt/bea81/cacert.txt |
鍵工具公用程式位於以下目錄中:
/usr/jdk/entsys-j2se/jre/bin/keytool |
從 Access Manager amadmin 指令行公用程式移除 -D"java.protocol.handler.pkgs=com.iplanet.services.comm"。
在 SSL 模式中配置 Access Manager。如需更多資訊,請參閱在 SSL 模式中配置 Access Manager。
在 SSL 中使用 AMSDK 進行配置之前,必須先安裝 IBM WebSphere Server 並配置成 Web 容器。如需安裝說明,請參閱 WebSphere 伺服器的文件。若要針對 Access Manager 將 WebLogic 配置為 Web 容器,請參閱第 1 章, Access Manager 7 2005Q4 配置程序檔。
啟動 ikeyman.sh (位於 Websphere /bin 目錄下)。
從 [簽署人] 功能表匯入憑證授權機構 (CA) 的憑證。
從 [個人憑證] 功能表產生 CSR。
擷取在上個步驟中建立的憑證。
選取 [個人憑證] 並匯入伺服器憑證。
從 WebSphere 主控台,變更預設 SSL 設定並選取密碼。
設定預設 IBM JSSE SSL 提供者。
輸入以下指令,從您剛才建立的檔案,將 Root CA 憑證匯入到 Application Server JVM 鍵值儲存區:
$ appserver_root-dir/java/bin/ keytool -import -trustcacerts -alias cmscacert -keystore ../jre/lib/security/cacerts -file /full_path_cacert_filename.txt |
app-server-root-dir 是應用程式伺服器的根目錄,而 full_path_cacert_filename.txt 是包含憑證的檔案之完整路徑。
在 Access Manager 中,更新下列 AmConfig.properties 中的參數以使用 JSSE:
com.sun.identity.jss.donotInstallAtHighestPriority=true com.iplanet.security.SecureRandomFactoryImpl=com.iplanet. am.util.SecureRandomFactoryImpl com.iplanet.security.SSLSocketFactorImpl=netscape.ldap.factory. JSSESocketFactory com.iplanet.security.encyptor=com.iplanet.services.unil.JCEEncryption |
在 SSL 模式中配置 Access Manager。如需更多資訊,請參閱在 SSL 模式中配置 Access Manager。
為了在網路上提供安全通訊,Access Manager 包含 LDAPS 通訊協定。LDAPS 是標準的 LDAP 通訊協定,但於 Secure Sockets Layer (SSL) 頂層執行。為啟用 SSL 通訊,您必須先在 SSL 模式中配置 Directory Server,然後連接 Access Manager 到 Directory Server。基本步驟如下:
取得並安裝 Directory Server 的憑證,並將 Directory Server 配置為信任憑證授權機構 (CA) 的憑證。
開啟目錄中的 SSL。
配置認證、策略和平台服務以連接到啟用 SSL 的 Directory Server。
配置 Access Manager 以安全地連接到 Directory Server 後端。
為了能在 SSL 模式下配置 Directory Server,您必須取得與安裝伺服器憑證、將 Directory Server 配置為信任 CA 的憑證,然後啟用 SSL。有關如何完成這些工作的詳細指示,請參閱「Directory Server 管理指南」中的第十一章 「管理認證和加密」。 此文件位於以下位置:
http://docs.sun.com/coll/DirectoryServer_04q2 與 http://docs.sun.com/coll/DirectoryServer_04q2_zh_TW
如果您的 Directory Server 已經啟用 SSL,前往下一節以參考有關連接 Access Manager 到 Directory Server 的詳細資料。
將 Directory Server 配置為 SSL 模式後,您必須安全地將 Access Manager 連接到 Directory Server 後端。