适用于 UNIX 的 Sun Java Enterprise System 5 安装参考

Access Manager 配置信息

Java ES 安装程序支持安装 Access Manager 的以下子组件:


注 –

Access Manager SDK 作为 Identity Management and Policy Services Core 组件的一部分自动安装,但也可以在远程主机上单独安装。有关单独安装 Access Manager SDK 的信息,参阅Access Manager SDK 配置信息


Access Manager 管理信息

表 3–3 Access Manager 管理信息

标签和状态文件参数 

说明 

安装类型

AM_REALM

指示是否将“领域”模式用作此安装的安装类型。

安装类型指示与其他组件之间的互操作性级别。可以选择“领域”模式(7.x 版样式)或“传统”模式(6.x 版样式)。默认值为“禁用”,这表示将使用“传统”模式。(对于“领域”模式,AM_REALM 应设置为“启用”,对于“传统”模式,则应设置为“禁用”。)

注:随 Portal Server 一起安装 Access Manager 时,既可为 Access Manager 选择“领域”(与 Access Manager 7.x 兼容)模式也可选择“传统” (与 6.x 兼容)模式(安装程序会显示一条消息,声称 Portal Server 需用“传统”模式,请忽略该消息)。不过, 仅当已安装并配置了 Directory Server 和 Access Manager SDK 时,Portal Server 才支持“领域”模式。如果使用的是 Communications 产品,则需使用“传统”模式。 

管理员用户 ID 

IS_ADMIN_USER_ID

Access Manager 顶层管理员。此用户对所有由 Access Manager 管理的条目具有不受限制的访问权限。 

默认名称为 amadmin,不能更改此名称。这将确保在 Directory Server 中正确创建和映射 Access Manager 管理员角色及其权限,使您在完成安装后可以立即登录 Access Manager。

管理员密码 

IS_ADMINPASSWD

amadmin 用户的密码。其值必须至少包含八个字符。

LDAP 用户 ID 

IS_LDAP_USER

用于在 LDAP 服务、成员资格服务和策略服务中绑定 DN 用户。此用户具有读取和搜索所有 Directory Server 条目的权限。 

默认用户名为 amldapuser,不能更改此名称。

LDAP 密码 

IS_LDAPUSERPASSWD

amldapuser 用户的密码。此密码必须不同于 amadmin 用户的密码。它可以是任何有效的 Directory Service 密码。

密码加密密钥 

AM_ENC_PWD

Access Manager 用来对用户密码进行加密的字符串。 

交互式安装程序会生成默认的密码加密密钥。您可以接受默认值,也可以指定由 J2EE 随机数生成器生成的密钥。密码加密密钥可以为空白,或至少 12 个字符长。 

安装 Access Manager 过程中,会更新其属性文件并将属性 am.encryption.pwd 设置为此值。属性文件为 AMConfig.properties。位置为:

Solaris OS:/etc/opt/SUNWam/config

Linux 和 HP-UX:/etc/opt/sun/identity/config

所有 Access Manager 子组件必须与 Identity Management and Policy Services Core 组件使用同一个加密密钥。如果将 Access Manager 子组件分布到主机中并安装 Administration Console 或安装 Common Domain Services for Federation Management,需复制由核心组件安装所生成的 am.encryption.pwd 的值,并将其粘贴到此字段中。

Access Manager Web 容器信息

Access Manager 的 Identity Management and Policy Services Core 子组件在 Web 容器(通常为 Web Server 或 Application Server)中运行。


注 –

Access Manager 还可以在第三方 Web 容器中运行,特别是 IBM WebSphere Application Server 或 BEA WebLogic Server。在采用“以后再配置”选项安装完 Access Manager 之后,即可运行 amconfig 脚本来进行安装后配置。 必须按照 IBM 或 BEA 文档说明安装和配置第三方 Web 容器。


不同的 Web 容器,安装程序所需要的信息也不同:

Access Manager 结合 Application Server

本节介绍当 Application Server 为 Access Manager 的 Identity Management and Policy Services Core 子组件的 Web 容器时,安装程序所需的信息。

表 3–4 以 Application Server 作为 Web 容器的 Access Manager

标签和状态文件参数 

说明 

Secure Server 实例端口 

IS_IAS81INSTANCE_PORT

Application Server 侦听实例连接时使用的端口。 

默认值为 8080

如果您的选择与先前为 Application Server 设置的协议不一致,则会显示一个错误。必须先解决这种情形方可继续。 

Secure Administrator Server 端口 

IS_IAS81_ADMINPORT

Application Server 的 Administration Server 侦听连接时使用的端口。 

默认值为 4849

管理员用户 ID 

IS_IAS81_ADMIN

Application Server 管理员的用户 ID。 

默认值为您在“通用服务器设置”中提供的管理员用户 ID。 

注:如果您选择使用单一管理员帐户,则不会显示此字段。 

管理员密码 

IS_IAS81_ADMINPASSWORD

默认值为您在“通用服务器设置”中提供的管理员密码。 

注:如果您选择使用单一管理员帐户,则不会显示此字段。 

注:在 Java ES 安装程序中,不能在管理员密码中使用空白字符,也不能使用以下符号:; & ( ) ! | < > ' “ $ ^ \ # / , @ % 

Access Manager 结合 Web Server

本节介绍当 Web Server 为 Access Manager 的 Identity Management and Policy Services Core 子组件的 Web 容器时,安装程序所需的信息。

表 3–5 以 Web Server 作为 Web 容器的 Access Manager

标签和状态文件参数 

说明 

主机名 

IS_WS_HOST_NAME

主机的全限定域名。 

例如,如果主机为 siroe.example.com,则该值为 siroe.example.com

默认值为当前主机的全限定域名。 

管理员用户 ID

IS_WS_ADMIN_ID

Web Server 管理员的用户 ID。 

默认值为您在“通用服务器设置”中提供的管理员用户 ID。 

注:如果您选择使用单一管理员帐户,则不会显示此字段。 

管理员密码

IS_WS_ADMIN_PASSWORD

Web Server 主管理员的密码。 

默认值为您在“通用服务器设置”中提供的管理员密码。 

注:如果您选择使用单一管理员帐户,则不会显示此字段。 

注:在 Java ES 安装程序中,不能在管理员密码中使用空白字符,也不能使用以下符号:; & ( ) ! | < > ' “ $ ^ \ # / , @ % 

文档根目录

IS_WS_DOC_DIR

Web Server 用来存储内容文档的目录。 

Solaris OS:/var/opt/SUNWwbsvr7/https-hostname.domain /docs

Linux 和 HP-UX:/var/opt/sun/webserver7/https- hostname.domain/docs

Web Server 端口 

IS_WS_INSTANCE_PORT

Web Server 管理实例侦听 HTTPS 连接时使用的端口。如果此端口已占用,系统会提供可用端口供您选择。 

默认值为 80。 

Web Server 实例目录 

IS_WS_INSTANCE_DIR

安装 Web Server 实例的目录的路径,使用以下语法: 

WebServer-base/https- webserver-instancename

如果要在本会话期间安装 Web Server,则 WebServer-base 的默认值为 Web Server 实例目录:

Solaris OS:/var/opt/SUNWwbsvr7

Linux 和 HP-UX:/var/opt/sun/webserver7

Web Server 协议

IS_WS_PROTOCOL

为 Web Server 在 Web Server 端口上侦听所指定的协议。安全端口使用 HTTPS 协议。非安全端口使用 HTTP 协议。 

默认值为 HTTP。 

Access Manager 服务

对于以下 Access Manager 子组件,安装程序需要不同的 Access Manager 服务信息。

Access Manager Web 容器信息

本节介绍当指定 Web 容器详细信息时,安装程序所需的服务信息。

表 3–6 用于指定 Web 容器的 Access Manager 服务信息

标签和状态文件参数 

说明 

主机名 

IS_SERVER_HOST

正在其上安装 Java ES 的主机的全限定域名。 

默认值为本地主机的全限定域名。 

服务部署 URI 

SERVER_DEPLOY_URI

统一资源标识符 (Uniform Resource Identifier, URI) 前缀,用于访问与 Identity Management and Policy Services Core 子组件相关联的 HTML 页面、类和 JAR 文件。此 URI 用于访问领域(与 Access Manager 7.x 兼容)控制台。 

默认值为 amserver。请勿输入前导斜杠。

通用域部署 URI 

CDS_DEPLOY_URI

用于访问 Web 容器中通用域服务的 URI 前缀。 

默认值为 amcommon。请勿输入前导斜杠。

Cookie 域 

COOKIE_DOMAIN_LIST

Access Manager 向用户授予会话 ID 时返回给浏览器的信任 DNS 域的名称。 

可以将此值的范围限制到单个顶层域,如 example.com。会话 ID 将提供对 example.com 的所有子域的验证。

也可以将该值的范围限制到以逗号分隔的子域列表,如 .corp.example.com,.sales.example.com。会话 ID 将提供对该列表中的所有子域的验证。

列表中的每个域都需要有一个前导点 (.)。

默认值为当前域,以点 (.) 为前缀。

密码部署 URI 

PASSWORD_SERVICE_DEPLOY_URI

URI,用于确定运行 Access Manager 的 Web 容器要在您指定的字符串和相应的已部署应用程序之间使用的映射。此 URI 用于 Access Manager 密码重置服务。 

默认值为 ampassword。请勿输入前导斜杠。

控制台协议

CONSOLE_PROTOCOL

为 Web Server 在 Web Server 端口上侦听所指定的协议。安全端口使用 HTTPS 协议。非安全端口使用 HTTP 协议。 

默认值为 HTTP。 

Access Manager 控制台服务信息

本节介绍安装程序所需的针对 Access Manager 控制台的服务信息。

表 3–7 针对 Access Manager 控制台的 Access Manager 服务信息

标签和状态文件参数 

说明 

管理控制台:

部署新的控制台或使用现有控制台 

USE_DSAME_SERVICES_WEB_CONTAINER

CONSOLE_REMOTE

选择“部署新的控制台”以将控制台部署到正在其上安装 Access Manager 的主机的 Web 容器中。 

选择“使用现有控制台”以使用已经或将要在“领域”模式下部署在某远程主机上的现有控制台。默认值为 False。 

两种情况下,您都要指定“控制台部署 URI”和“密码部署 URI”。如果选择使用现有控制台,还必须指定“控制台主机名”和“控制台端口”。 

控制台部署 URI 

CONSOLE_DEPLOY_URI

用于访问与 Access Manager“传统”模式(与 Access Manager 6.x 兼容)控制台关联的 HTML 页面、类和 JAR 文件的 URI 前缀。仅适用于“传统”模式。默认值为 amconsole

注:如果 AM_REALM 为“启用”(设置领域模式 7.x),则 CONSOLE_DEPLOY_URI 将被忽略。

控制台主机名 

CONSOLE_HOST

现有控制台所在的服务器的全限定域名。如果您部署的是新的控制台,则无需使用此值。在图形安装模式中,仅当您使用的是现有控制台时,才可以编辑此字段。 

默认值包含为主机 (IS_SERVER_HOST) 提供的值、一个圆点以及在“通用服务器设置”中为“DNS 名称”提供的值。

例如,如果主机为 siroe,域为 example.com,则默认值为 siroe.example.com

控制台端口 

CONSOLE_PORT

现有控制台正在侦听或即将侦听连接时使用的端口。允许的值为任何有效的和未被使用的端口号,范围从 0(零)到 65535。 

如果您部署的是新的控制台,则无需使用此值。在图形安装模式中,仅当您使用的是现有控制台时,才可以编辑此字段。 

默认值是您为以下 Web 容器端口之一提供的值: 

  • Web Server 默认值为 80

  • Application Server 默认值为 8080

安装 Access Manager 控制台(核心组件已安装)

本节介绍符合以下两个条件时安装程序所需的服务信息:


注 –

在“领域”模式(与 Access Manager 7.x 兼容)下可以只单独安装 AM 控制台。在“传统”模式(与 6.x 兼容)下则无法做到这一点。


表 3–8 仅安装控制台的 Access Manager 服务信息(核心组件已安装)

标签和状态文件参数 

说明 

控制台部署 URI 

CONSOLE_DEPLOY_URI

用于访问与 Access Manager“传统”模式(与 Access Manager 6.x 兼容)控制台关联的 HTML 页面、类和 JAR 文件的 URI 前缀。仅适用于“传统”模式。 

默认值为 amconsole

如果 AM_REALM 为“启用”(设置领域模式 7.x),则 CONSOLE_DEPLOY_URI 将被忽略。

密码服务部署 URI 

PASSWORD_SERVICE_DEPLOY_URI

URI,用于确定运行 Access Manager 的 Web 容器要在您指定的字符串和相应的已部署应用程序之间使用的映射。此 URI 用于 Access Manager 密码重置服务。 

默认值为 ampassword。请勿输入前导斜杠。

安装 Access Manager 控制台(核心组件未安装)

本节介绍符合以下两个条件时安装程序所需的服务信息:

表 3–9 安装控制台的 Access Manager 服务信息(核心组件未安装)

标签和状态文件参数 

说明 

Access Manager Administration Console 的 Web 容器

控制台主机名 

CONSOLE_HOST

正在其上进行安装的主机的全限定域名。 

控制台部署 URI 

CONSOLE_DEPLOY_URI

用于访问与 Access Manager“传统”模式(与 Access Manager 6.x 兼容)控制台关联的 HTML 页面、类和 JAR 文件的 URI 前缀。仅适用于“传统”模式。默认值为 amconsole

如果 AM_REALM 为“启用”(设置领域模式 7.x),则 CONSOLE_DEPLOY_URI 将被忽略。

密码服务部署 URI 

PASSWORD_SERVICE_DEPLOY_URI

密码服务的部署 URI。 

默认值为 ampassword。请勿输入前导斜杠。

Access Manager 服务的 Web 容器

服务主机名 

IS_SERVER_HOST

安装了 Identity Management and Policy Services Core 子组件的主机的全限定域名。 

默认值为该主机的全限定域名。将默认值仅用作一个格式示例,编辑该值以便提供正确的远程主机名。 

在状态文件中,提供了远程主机的全限定域名。 

端口 

CONSOLE_PORT

Identity Management and Policy Services Core 子组件侦听连接时使用的端口。此端口为 Web 容器使用的 HTTP 或 HTTPS 端口。 

服务部署 URI 

SERVER_DEPLOY_URI

URI 前缀,用于访问与 Identity Management and Policy Services Core 子组件相关联的 HTML 页面、类和 JAR 文件。此 URI 用于访问领域(与 Access Manager 7.x 兼容)控制台。 

默认值为 amserver。请勿输入前导斜杠。

Cookie 域 

COOKIE_DOMAIN_LIST

Access Manager 向用户授予会话 ID 时返回给浏览器的信任 DNS 域的名称。 

可以将此值的范围限制到单个顶层域,如 example.com。会话 ID 将提供对 example.com 的所有子域的验证。

也可以将该值的范围限制到以逗号分隔的子域列表,如 .corp.example.com,.sales.example.com。会话 ID 将提供对该列表中的所有子域的验证。

每个域都需要一个前导点 (.)。

默认值为当前域,以点 (.) 为前缀。

安装 Federation Management(核心组件已安装)

本节介绍只安装 Common Domain Services for Federation Management 子组件时,安装程序所需的服务信息。

表 3–10 安装联合管理的 Access Manager 服务信息(核心组件已安装)

标签和状态文件参数 

说明 

通用域部署 URI 

CDS_DEPLOY_URI

用于访问 Web 容器中通用域服务的 URI 前缀。 

默认值为 amcommon。请勿输入前导斜杠。

Access Manager Directory Server 信息

如果您要安装 Identity Management and Policy Services Core 组件,则安装程序需要以下信息。

表 3–11 Access Manager 的 Directory Server 信息

标签和状态文件参数 

说明 

Directory Server 主机 

IS_DS_HOSTNAME

解析到 Directory Server 所在的主机上的主机名或值。 

默认值为本地主机的全限定域名。例如,如果本地主机为 siroe.example.com,则默认值为 siroe.example.com

Directory Server 端口 

IS_DS_PORT

Directory Server 侦听客户机连接时使用的端口。 

默认值为 389

Access Manager 目录根后缀 

IS_ROOT_SUFFIX

要设置为 Access Manager 根后缀的标识名 (Distinguished name, DN)。 

默认值为基于此主机的全限定域名去掉主机名。例如,如果主机为 siroe.subdomain.example.com,则该值为 dc=subdomain,dc=example,dc=com

目录管理员 DN 

IS_DIRMGRDN

对 Directory Server 具有不受限制的访问权限的用户的 DN。 

默认值为 cn=Directory Manager

目录管理员密码 

IS_DIRMGRPASSWD

目录管理员的密码。 

Access Manager 已置备目录信息

配置已置备目录所需的信息取决于安装程序是否在您的主机上检测到现有已置备目录。生成状态文件时,如果安装程序发现现有已置备目录,则会在状态文件中写入 IS_EXISTING_DIT_SCHEMA=y。如果安装程序发现现有已置备目录,则会在状态文件中写入 IS_EXISTING_DIT_SCHEMA=n

发现现有已置备目录

如果安装程序发现现有的已置备目录,您需要提供以下信息。

表 3–12 Access Manager 的现有已置备目录信息

标签和状态文件参数 

说明 

用户命名属性 

IS_USER_NAMING_ATTR

已置备目录中使用的用户命名属性。 

默认值为 uid

未发现现有已置备目录

如果安装程序未发现现有的已置备目录,您可以选择是否要使用现有的已置备目录。如果对于此表中的第一个问题,您的答案为“是”,则必须回答表中的剩余问题。

表 3–13 无 Access Manager 的现有已置备目录信息

标签和状态文件参数 

说明 

是否为 Directory Server 置备了用户数据? 

IS_LOAD_DIT

指定是否要使用现有的已置备目录。允许的值为 yn

默认值为 n

组织标记对象类 

IS_ORG_OBJECT_CLASS

现有已置备目录中为组织定义的对象类。仅当此表中第一项的值为 y 时才使用该值。

默认值为 SunISManagedOrganization

组织命名属性 

IS_ORG_NAMING_ATTR

现有已置备目录中用于定义组织的命名属性。仅当此表中第一项的值为 y 时才使用该值。

默认值为 o

用户标记对象类 

IS_USER_OBJECT_CLASS

现有已置备目录中为用户定义的对象类。仅当此表中第一项的值为 y 时才使用该值。

默认值为 inetorgperson

用户命名属性 

IS_USER_NAMING_ATTR

现有已置备目录中使用的用户命名属性。仅当此表中第一项的值为 y 时才使用该值。

默认值为 uid