Java ES 安装程序支持安装 Access Manager 的以下子组件:
Access Manager SDK 作为 Identity Management and Policy Services Core 组件的一部分自动安装,但也可以在远程主机上单独安装。有关单独安装 Access Manager SDK 的信息,参阅Access Manager SDK 配置信息
标签和状态文件参数 |
说明 |
---|---|
AM_REALM |
安装类型指示与其他组件之间的互操作性级别。可以选择“领域”模式(7.x 版样式)或“传统”模式(6.x 版样式)。默认值为“禁用”,这表示将使用“传统”模式。(对于“领域”模式,AM_REALM 应设置为“启用”,对于“传统”模式,则应设置为“禁用”。) 注:随 Portal Server 一起安装 Access Manager 时,既可为 Access Manager 选择“领域”(与 Access Manager 7.x 兼容)模式也可选择“传统” (与 6.x 兼容)模式(安装程序会显示一条消息,声称 Portal Server 需用“传统”模式,请忽略该消息)。不过, 仅当已安装并配置了 Directory Server 和 Access Manager SDK 时,Portal Server 才支持“领域”模式。如果使用的是 Communications 产品,则需使用“传统”模式。 |
管理员用户 ID |
Access Manager 顶层管理员。此用户对所有由 Access Manager 管理的条目具有不受限制的访问权限。 默认名称为 amadmin,不能更改此名称。这将确保在 Directory Server 中正确创建和映射 Access Manager 管理员角色及其权限,使您在完成安装后可以立即登录 Access Manager。 |
管理员密码 |
amadmin 用户的密码。其值必须至少包含八个字符。 |
LDAP 用户 ID |
用于在 LDAP 服务、成员资格服务和策略服务中绑定 DN 用户。此用户具有读取和搜索所有 Directory Server 条目的权限。 默认用户名为 amldapuser,不能更改此名称。 |
LDAP 密码 |
amldapuser 用户的密码。此密码必须不同于 amadmin 用户的密码。它可以是任何有效的 Directory Service 密码。 |
密码加密密钥 |
Access Manager 用来对用户密码进行加密的字符串。 交互式安装程序会生成默认的密码加密密钥。您可以接受默认值,也可以指定由 J2EE 随机数生成器生成的密钥。密码加密密钥可以为空白,或至少 12 个字符长。 安装 Access Manager 过程中,会更新其属性文件并将属性 am.encryption.pwd 设置为此值。属性文件为 AMConfig.properties。位置为: Solaris OS:/etc/opt/SUNWam/config Linux 和 HP-UX:/etc/opt/sun/identity/config 所有 Access Manager 子组件必须与 Identity Management and Policy Services Core 组件使用同一个加密密钥。如果将 Access Manager 子组件分布到主机中并安装 Administration Console 或安装 Common Domain Services for Federation Management,需复制由核心组件安装所生成的 am.encryption.pwd 的值,并将其粘贴到此字段中。 |
Access Manager 的 Identity Management and Policy Services Core 子组件在 Web 容器(通常为 Web Server 或 Application Server)中运行。
Access Manager 还可以在第三方 Web 容器中运行,特别是 IBM WebSphere Application Server 或 BEA WebLogic Server。在采用“以后再配置”选项安装完 Access Manager 之后,即可运行 amconfig 脚本来进行安装后配置。 必须按照 IBM 或 BEA 文档说明安装和配置第三方 Web 容器。
不同的 Web 容器,安装程序所需要的信息也不同:
本节介绍当 Application Server 为 Access Manager 的 Identity Management and Policy Services Core 子组件的 Web 容器时,安装程序所需的信息。
表 3–4 以 Application Server 作为 Web 容器的 Access Manager
标签和状态文件参数 |
说明 |
---|---|
Secure Server 实例端口 |
Application Server 侦听实例连接时使用的端口。 默认值为 8080。 如果您的选择与先前为 Application Server 设置的协议不一致,则会显示一个错误。必须先解决这种情形方可继续。 |
Secure Administrator Server 端口 |
Application Server 的 Administration Server 侦听连接时使用的端口。 默认值为 4849。 |
管理员用户 ID IS_IAS81_ADMIN |
Application Server 管理员的用户 ID。 默认值为您在“通用服务器设置”中提供的管理员用户 ID。 注:如果您选择使用单一管理员帐户,则不会显示此字段。 |
管理员密码 IS_IAS81_ADMINPASSWORD |
默认值为您在“通用服务器设置”中提供的管理员密码。 注:如果您选择使用单一管理员帐户,则不会显示此字段。 注:在 Java ES 安装程序中,不能在管理员密码中使用空白字符,也不能使用以下符号:; & ( ) ! | < > ' “ $ ^ \ # / , @ % |
本节介绍当 Web Server 为 Access Manager 的 Identity Management and Policy Services Core 子组件的 Web 容器时,安装程序所需的信息。
表 3–5 以 Web Server 作为 Web 容器的 Access Manager
标签和状态文件参数 |
说明 |
---|---|
主机名 |
主机的全限定域名。 例如,如果主机为 siroe.example.com,则该值为 siroe.example.com。 默认值为当前主机的全限定域名。 |
IS_WS_ADMIN_ID |
Web Server 管理员的用户 ID。 默认值为您在“通用服务器设置”中提供的管理员用户 ID。 注:如果您选择使用单一管理员帐户,则不会显示此字段。 |
IS_WS_ADMIN_PASSWORD |
Web Server 主管理员的密码。 默认值为您在“通用服务器设置”中提供的管理员密码。 注:如果您选择使用单一管理员帐户,则不会显示此字段。 注:在 Java ES 安装程序中,不能在管理员密码中使用空白字符,也不能使用以下符号:; & ( ) ! | < > ' “ $ ^ \ # / , @ % |
IS_WS_DOC_DIR |
Web Server 用来存储内容文档的目录。 Solaris OS:/var/opt/SUNWwbsvr7/https-hostname.domain /docs Linux 和 HP-UX:/var/opt/sun/webserver7/https- hostname.domain/docs |
Web Server 端口 |
Web Server 管理实例侦听 HTTPS 连接时使用的端口。如果此端口已占用,系统会提供可用端口供您选择。 默认值为 80。 |
Web Server 实例目录 |
安装 Web Server 实例的目录的路径,使用以下语法: WebServer-base/https- webserver-instancename 如果要在本会话期间安装 Web Server,则 WebServer-base 的默认值为 Web Server 实例目录: Solaris OS:/var/opt/SUNWwbsvr7 Linux 和 HP-UX:/var/opt/sun/webserver7 |
IS_WS_PROTOCOL |
为 Web Server 在 Web Server 端口上侦听所指定的协议。安全端口使用 HTTPS 协议。非安全端口使用 HTTP 协议。 默认值为 HTTP。 |
对于以下 Access Manager 子组件,安装程序需要不同的 Access Manager 服务信息。
本节介绍当指定 Web 容器详细信息时,安装程序所需的服务信息。
表 3–6 用于指定 Web 容器的 Access Manager 服务信息
标签和状态文件参数 |
说明 |
---|---|
主机名 |
正在其上安装 Java ES 的主机的全限定域名。 默认值为本地主机的全限定域名。 |
服务部署 URI |
统一资源标识符 (Uniform Resource Identifier, URI) 前缀,用于访问与 Identity Management and Policy Services Core 子组件相关联的 HTML 页面、类和 JAR 文件。此 URI 用于访问领域(与 Access Manager 7.x 兼容)控制台。 默认值为 amserver。请勿输入前导斜杠。 |
通用域部署 URI |
用于访问 Web 容器中通用域服务的 URI 前缀。 默认值为 amcommon。请勿输入前导斜杠。 |
Cookie 域 |
Access Manager 向用户授予会话 ID 时返回给浏览器的信任 DNS 域的名称。 可以将此值的范围限制到单个顶层域,如 example.com。会话 ID 将提供对 example.com 的所有子域的验证。 也可以将该值的范围限制到以逗号分隔的子域列表,如 .corp.example.com,.sales.example.com。会话 ID 将提供对该列表中的所有子域的验证。 列表中的每个域都需要有一个前导点 (.)。 默认值为当前域,以点 (.) 为前缀。 |
密码部署 URI |
URI,用于确定运行 Access Manager 的 Web 容器要在您指定的字符串和相应的已部署应用程序之间使用的映射。此 URI 用于 Access Manager 密码重置服务。 默认值为 ampassword。请勿输入前导斜杠。 |
CONSOLE_PROTOCOL |
为 Web Server 在 Web Server 端口上侦听所指定的协议。安全端口使用 HTTPS 协议。非安全端口使用 HTTP 协议。 默认值为 HTTP。 |
本节介绍安装程序所需的针对 Access Manager 控制台的服务信息。
表 3–7 针对 Access Manager 控制台的 Access Manager 服务信息
本节介绍符合以下两个条件时安装程序所需的服务信息:
仅安装 Access Manager Administration Console 子组件。
同一主机上已安装 Identity Management and Policy Services Core 子组件。
在“领域”模式(与 Access Manager 7.x 兼容)下可以只单独安装 AM 控制台。在“传统”模式(与 6.x 兼容)下则无法做到这一点。
标签和状态文件参数 |
说明 |
---|---|
控制台部署 URI |
用于访问与 Access Manager“传统”模式(与 Access Manager 6.x 兼容)控制台关联的 HTML 页面、类和 JAR 文件的 URI 前缀。仅适用于“传统”模式。 默认值为 amconsole。 如果 AM_REALM 为“启用”(设置领域模式 7.x),则 CONSOLE_DEPLOY_URI 将被忽略。 |
密码服务部署 URI |
URI,用于确定运行 Access Manager 的 Web 容器要在您指定的字符串和相应的已部署应用程序之间使用的映射。此 URI 用于 Access Manager 密码重置服务。 默认值为 ampassword。请勿输入前导斜杠。 |
本节介绍符合以下两个条件时安装程序所需的服务信息:
仅安装 Access Manager Administration Console 子组件。
同一主机上未安装 Identity Management and Policy Services Core 子组件。
标签和状态文件参数 |
说明 |
---|---|
Access Manager Administration Console 的 Web 容器 |
|
控制台主机名 |
正在其上进行安装的主机的全限定域名。 |
控制台部署 URI |
用于访问与 Access Manager“传统”模式(与 Access Manager 6.x 兼容)控制台关联的 HTML 页面、类和 JAR 文件的 URI 前缀。仅适用于“传统”模式。默认值为 amconsole。 如果 AM_REALM 为“启用”(设置领域模式 7.x),则 CONSOLE_DEPLOY_URI 将被忽略。 |
密码服务部署 URI |
密码服务的部署 URI。 默认值为 ampassword。请勿输入前导斜杠。 |
Access Manager 服务的 Web 容器 |
|
服务主机名 |
安装了 Identity Management and Policy Services Core 子组件的主机的全限定域名。 默认值为该主机的全限定域名。将默认值仅用作一个格式示例,编辑该值以便提供正确的远程主机名。 在状态文件中,提供了远程主机的全限定域名。 |
端口 |
Identity Management and Policy Services Core 子组件侦听连接时使用的端口。此端口为 Web 容器使用的 HTTP 或 HTTPS 端口。 |
服务部署 URI |
URI 前缀,用于访问与 Identity Management and Policy Services Core 子组件相关联的 HTML 页面、类和 JAR 文件。此 URI 用于访问领域(与 Access Manager 7.x 兼容)控制台。 默认值为 amserver。请勿输入前导斜杠。 |
Cookie 域 |
Access Manager 向用户授予会话 ID 时返回给浏览器的信任 DNS 域的名称。 可以将此值的范围限制到单个顶层域,如 example.com。会话 ID 将提供对 example.com 的所有子域的验证。 也可以将该值的范围限制到以逗号分隔的子域列表,如 .corp.example.com,.sales.example.com。会话 ID 将提供对该列表中的所有子域的验证。 每个域都需要一个前导点 (.)。 默认值为当前域,以点 (.) 为前缀。 |
本节介绍只安装 Common Domain Services for Federation Management 子组件时,安装程序所需的服务信息。
表 3–10 安装联合管理的 Access Manager 服务信息(核心组件已安装)
标签和状态文件参数 |
说明 |
---|---|
通用域部署 URI |
用于访问 Web 容器中通用域服务的 URI 前缀。 默认值为 amcommon。请勿输入前导斜杠。 |
如果您要安装 Identity Management and Policy Services Core 组件,则安装程序需要以下信息。
表 3–11 Access Manager 的 Directory Server 信息
标签和状态文件参数 |
说明 |
---|---|
Directory Server 主机 |
解析到 Directory Server 所在的主机上的主机名或值。 默认值为本地主机的全限定域名。例如,如果本地主机为 siroe.example.com,则默认值为 siroe.example.com。 |
Directory Server 端口 |
Directory Server 侦听客户机连接时使用的端口。 默认值为 389。 |
Access Manager 目录根后缀 |
要设置为 Access Manager 根后缀的标识名 (Distinguished name, DN)。 默认值为基于此主机的全限定域名去掉主机名。例如,如果主机为 siroe.subdomain.example.com,则该值为 dc=subdomain,dc=example,dc=com。 |
目录管理员 DN IS_DIRMGRDN |
对 Directory Server 具有不受限制的访问权限的用户的 DN。 默认值为 cn=Directory Manager。 |
目录管理员密码 |
目录管理员的密码。 |
配置已置备目录所需的信息取决于安装程序是否在您的主机上检测到现有已置备目录。生成状态文件时,如果安装程序发现现有已置备目录,则会在状态文件中写入 IS_EXISTING_DIT_SCHEMA=y。如果安装程序未发现现有已置备目录,则会在状态文件中写入 IS_EXISTING_DIT_SCHEMA=n。
如果安装程序发现现有的已置备目录,您需要提供以下信息。
表 3–12 Access Manager 的现有已置备目录信息
标签和状态文件参数 |
说明 |
---|---|
用户命名属性 IS_USER_NAMING_ATTR |
已置备目录中使用的用户命名属性。 默认值为 uid。 |
如果安装程序未发现现有的已置备目录,您可以选择是否要使用现有的已置备目录。如果对于此表中的第一个问题,您的答案为“是”,则必须回答表中的剩余问题。
表 3–13 无 Access Manager 的现有已置备目录信息
标签和状态文件参数 |
说明 |
---|---|
是否为 Directory Server 置备了用户数据? |
指定是否要使用现有的已置备目录。允许的值为 y 或 n。 默认值为 n。 |
组织标记对象类 |
现有已置备目录中为组织定义的对象类。仅当此表中第一项的值为 y 时才使用该值。 默认值为 SunISManagedOrganization。 |
组织命名属性 |
现有已置备目录中用于定义组织的命名属性。仅当此表中第一项的值为 y 时才使用该值。 默认值为 o。 |
用户标记对象类 |
现有已置备目录中为用户定义的对象类。仅当此表中第一项的值为 y 时才使用该值。 默认值为 inetorgperson。 |
用户命名属性 |
现有已置备目录中使用的用户命名属性。仅当此表中第一项的值为 y 时才使用该值。 默认值为 uid。 |