Sun Java logo     上一页      目录      索引      下一页     

Sun logo
Sun Java System Instant Messaging 7 2005Q1 管理指南 

第 6 章
管理 Instant Messaging 和在线策略

Instant Messaging 提供了各种功能,如聊天、开会、轮询、在线访问等。策略描述一组可与这些功能关联的访问控制权限。反过来,又可以根据组织需要将最终用户和组分配给各策略。

本章介绍如何定义并使用策略来管理最终用户和管理员对 Instant Messaging 服务器功能和权限的访问:

保密性、安全性和站点策略概述

Instant Messaging 可用于控制对 Instant Messaging 功能的访问和为最终用户保密。

站点策略

站点策略指定最终用户对 Instant Messaging 中特定功能的访问。它可以指定:

Instant Messaging 管理员有权访问所有 Instant Messaging 功能。管理员对所有会议室和新闻频道具有 MANAGE 的访问权限,可以查看任何最终用户的在线信息,并且可以查看和修改最终用户的“联系人列表”和“Instant Messenger 设置”等属性。站点策略设置不影响管理员的权限。

默认情况下,最终用户有权访问其他最终用户的在线状态、发送警报给最终用户和保存属性到服务器上。大多数部署中的默认值都一样。当 Instant Messaging 专用于弹出功能时,需要更改这些默认值。

当 Instant Messaging 专用于弹出功能时,最终用户不能访问在线信息、聊天和新闻功能。

虽然某些权限可以设置为全局适用,但管理员也可以定义这些权限的例外情况。例如,管理员可以拒绝某些用于选择最终用户、角色或组的默认权限。

有关配置站点策略的更多信息,参见管理 Instant Messaging 和在线策略

会议室和新闻频道访问控制

最终用户对会议室和新闻频道可以具有下列访问权限:

具有 MANAGE 权限的最终用户可以为所有其他最终用户设置默认的权限级别。这些最终用户还可以定义例外规则,对特定最终用户或组授予不同于默认访问级别权限的访问级别。

设置 WRITE 权限,授予最终用户 READ 权限。

用户保密性

最终用户可以指定是否允许其他最终用户查看其在线状态。默认情况下,所有最终用户均可访问其他最终用户的在线信息。最终用户也可以设置例外情况,拒绝特定最终用户和组访问此信息。

如果最终用户拒绝其他最终用户访问其在线状态,则该最终用户在他人联系人列表中的可用性状态将显示为脱机。无法发送警报或聊天邀请到在线状态为脱机的最终用户。

可以使用 Instant Messenger 的“用户设置”窗口配置用户保密性。有关配置用户保密性的更多信息,参见 Instant Messenger 联机帮助

最终用户和管理员权限的控制方法

使用 Instant Messaging 服务器的不同站点在启用和限制最终用户对 Instant Messaging 服务的访问类型方面具有不同的需要。控制最终用户和管理员 Instant Messaging 服务器功能及权限的过程称为策略管理。策略管理有两种方法:使用访问控制文件或 Sun Java System Access Manager。

使用访问控制文件管理策略的简介

如果采用访问控制文件来管理策略,则可在以下方面调整最终用户权限:新闻频道管理、会议室管理、在“用户设置”对话框中更改首选项以及发送警报。还可以将特定的最终用户指定为系统管理员。

使用 Sun Java System Access Manager 管理策略简介

通过 Sun Java System Access Manager 管理策略,不仅可以获得与访问控制文件方法相同的权限控制,还可以对各种功能进行更精细的控制,例如:接收警报、发送轮询和接收轮询等。有关完整列表,请参阅表 6-4。此外,使用 Sun Java System Access Manager 管理策略时可以对权限进行更为精细的控制。

现有两种策略类型:Instant Messaging 策略和在线策略。Instant Messaging 策略管理一般的 Instant Messaging 功能,例如发送和接收警报功能、管理公共会议和新闻频道的功能以及发送文件的功能。在线策略管理最终用户的以下控制权:更改其在线状态、允许或阻止其他用户查看其在线信息。

管理策略:方法选用

在选择管理策略所用方法时,需要选择这些方法的保存位置。选择管理策略方法的步骤为:编辑 iim.conf 文件,然后将 iim.policy.modules 参数设置为 identity(对于 Access Manager 方法)或 iim_ldap(对于访问控制文件方法,该方法也是默认方法)。

如果使用仅 LDAP 部署,由于此时不能使用 Sun Java System Access Manager,故必须使用访问控制文件方法。如果结合使用 Sun Java System Access Manager 和 Instant Messaging 服务器,而且已安装了 Instant Messaging 和在线服务组件,则可以使用这两种策略管理方法中的任意一种。使用 Sun Java System Access Manager 管理策略的方法更容易理解。此方法的优点之一是可以将所有最终用户信息保存在目录中。

设置策略管理方法的具体步骤如下:

  1. 将目录更改为包含 iim.conf 文件的目录。
  2. 使用您选择的编辑器打开 iim.conf 文件。
  3. 通过将 iim.policy.modules 参数设置为下列值之一进行编辑:
    • iim_ldap(访问控制文件方法)
    • identity(Access Manager 方法)
  4. 编辑 iim.userprops.store 参数并将其设置为下列某个值:
    • ldap(在 LDAP 中保存用户属性)
    • file(默认值,在文件中保存用户属性)
  5. 保存更改。
  6. 刷新配置。

策略配置参数

表 6-1 列出并说明 iim.conf 文件中的可用参数,这些参数与 Sun Java System Access Manager 可在 Instant Messaging 部署中扮演的增强角色有关:

表 6-1 iim.conf 中与 Access Manager 有关的参数 

参数名称

用途

iim.policy.modules

指示是否用 Sun Java System Access Manager 存储策略

iim_ldap(默认)

identity

iim.userprops.store

指示用户属性在用户属性文件中还是来自 LDAP

file(默认)

ldap

目前,只有安装了在线服务和 Instant Messaging 服务的服务定义,iim.userprops.store 参数才有效。

使用访问控制文件管理策略

通过编辑访问控制文件,可以控制下列最终用户权限:

默认情况下,最终用户具有访问其他最终用户在线状态、向其他最终用户发送警报和将属性保存在服务器上的权限。在大多数部署中,默认值无需更改。

虽然某些权限可以设置为全局适用,但管理员也可以定义这些权限的例外情况。例如,管理员可以拒绝某些用于选择最终用户或组的默认权限。

访问控制文件的位置是 im_cfg_base/acls。其中 im_cfg_base 是配置目录。有关配置目录默认位置的信息,参见表 3-1

表 6-2 列出 Instant Messaging 的全局访问控制文件和这些文件提供给最终用户的权限。

表 6-2 访问控制文件 

ACL 文件

权限

sysSaveUserSettings.acl

定义谁可以更改自己的首选项、谁不可以。没有此权限的用户无法进行添加联系人、创建会议等操作。

sysTopicsAdd.acl

定义谁可以创建新闻频道、谁不可以。

sysRoomsAdd.acl

定义谁可以创建会议室、谁不可以。

sysSendAlerts.acl

定义谁可以发送警报、谁不可以。

sysWatch.acl

定义谁可以查看其他最终用户所做更改、谁不可以。为没有此权限(仅允许“会议和新闻频道订阅和非订阅”)的最终用户显示 Instant Messenger 窗口。

sysAdmin.acl

仅保留供管理员使用。此文件用于为所有最终用户设置对所有 Instant Messaging 功能的管理权限。此权限将覆盖所有其他权限,并可让管理员“管理”以下访问:所有会议室和新闻频道、最终用户在线信息、设置和属性。

访问控制文件格式

访问控制文件包含一系列定义权限的条目。每个条目都以下面一个标记开头:

标记后跟有冒号 (:)。如果是默认标记,后面跟有 truefalse

最终用户和组标记后跟有最终用户或组名称。

通过将多个最终用户 (u) 和组 (g) 串联,可以指定多个最终用户和组。

如果将默认值设置为 true,文件中的所有其他条目将是冗余的。如果默认值设置为 false,则只有在文件中指定的最终用户和组具有该权限。

以下是 ACL 文件中用于新安装的默认 d: 标记条目:

访问控制文件示例

本节展示一个样例访问控制文件,其中显示了为 sysTopicsAdd.acl 文件设置的权限。

sysTopicsAdd.acl 文件

在以下示例中,sysTopicsAdd.acl 文件的默认 d: 标记条目为 false。因此,默认值前的最终用户和组(即 user1user2sales 组)具有“添加”和“删除”新闻频道权限。

# Example sysTopicsAdd.acl file

u:user1

u:user2

g:cn=sales,ou=groups,o=siroe

d:False

更改最终用户权限

  要更改最终用户权限:
  1. 转到 config/acls 目录。例如,在 Solaris 上:

    2. cd /etc/opt/SUNWiim/default/config/acls

  2. 编辑适当的访问控制文件。例如:

    3. vi sysTopicsAdd.acl

  3. 保存更改。
  4. 最终用户需要刷新 Instant Messenger 窗口才能看到所作的更改。

使用 Sun Java System Access Manager 管理策略

Sun Java System Access Manager 中的 Instant Messaging 和在线服务提供了另一种控制最终用户和管理员权限的方法。每种服务具有三种属性类型:动态、用户和策略。策略属性是用于设置权限的属性类型。

将规则添加到在 Access Manager 中创建的策略后,策略属性将成为规则的一部分,从而可允许或拒绝管理员和最终用户参予各种 Instant Messaging 功能,如接收其他用户的轮询消息。

当 Instant Messaging 服务器是随 Sun Java System Access Manager 一起安装的时,会创建一些示例策略和角色。有关策略和角色的更多信息,参见 Sun Java System Access Manager 入门指南和 Sun Java System Access Manager 管理指南

此外,如果示例策略不足,可以创建新策略,并根据需要将这些策略分配给角色、组、组织或最终用户,以满足站点的要求。

将 Instant Messaging 服务或在线服务分配给最终用户后,会同时应用动态属性和用户属性。动态属性可以分配给 Sun Java System Access Manager 配置的角色或组织。

将角色分配给最终用户或在组织中创建了最终用户时,动态属性将成为最终用户的特征。用户属性将直接分配给每个最终用户。它们并非继承自角色或组织,通常对每个最终用户是不同的。

最终用户登录后,将依据分配给他们的角色和策略应用方式,取得适用他们的所有属性。

将在线服务和 Instant Messaging 服务分配给最终用户后,动态、用户或策略属性将与这些最终用户关联。

Instant Messaging 服务属性

表 6-3 列出了每种服务所具有的策略、动态及用户属性。

表 6-3 Instant Messaging 的 Access Manager 属性 

服务

策略属性

动态属性

用户属性

sunIM

sunIMAllowChat

sunIMAllowChatInvite

sunIMAllowForumAccess

sunIMAllowForumManage

sunIMAllowForumModerate

sunIMAllowAlertsAccess

sunIMAllowAlertsSend

sunIMAllowNewsAccess

sunIMAllowNewsManage

sunIMAllowFileTransfer

sunIMAllowContactListManage

sunIMAllowUserSettings

sunIMAllowPollingAccess

sunIMAllowPollingSend

sunIMProperties

sunIMRoster

sunIMConferenceRoster

sunIMNewsRoster

sunIMPrivateSettings

sunIMUserProperties

sunIMUserRoster

sunIMUserConferenceRoster

sunIMUserNewsRoster

sunIMUserPrivateSettings

sunPresence

sunPresenceAllowAccess

sunPresenceAllowPublish

sunPresenceAllowManage

sunPresenceDevices

sunPresencePrivacy

sunPresenceEntityDevices

sunPresenceUserPrivacy

对于以上表格中的每种属性,在 Access Manager 管理控制台中都会出现一个对应的标签。以下两个表格列出每种属性及其对应的标签和简要说明。表 6-4 列出并说明策略属性,表 6-5 列出并说明动态属性和用户属性。

表 6-4 Access Manager Instant Messaging 的策略属性 

策略属性

管理控制台标签

属性说明

sunIMAllowChat

聊天的能力

最终用户可以应邀加入聊天室并使用一般聊天功能

sunIMAllowChatInvite

邀请其他人聊天的能力

最终用户可以邀请其他用户聊天

sunIMAllowForumAccess

加入会议室的能力

Instant Messenger 中显示有一个会议选项卡,允许最终用户加入会议室

sunIMAllowForumManage

管理会议室的能力

最终用户可以创建、删除和管理会议室

sunIMAllowForumModerate

主持会议室的能力

最终用户可以成为会议主持人

sunIMAllowAlertsAccess

接收警报的能力

最终用户可以接收其他用户的警报

sunIMAllowAlertsSend

发送警报的能力

最终用户可以向其他用户发送警报

sunIMAllowNewsAccess

阅读新闻的能力

Instant Messenger 中显示有一个“新闻”按钮,最终用户可用它列出新闻频道以便接收和发送新闻消息

sunIMAllowNewsManage

管理新闻频道的能力

最终用户可以管理新闻频道,并可为新闻频道创建、删除和分配权限

sunIMAllowFileTransfer

交换文件的能力

最终用户可以为警报、聊天和新闻消息添加附件

sunIMAllowContactListManage

管理一个人的联系人列表的能力

最终用户可以管理自己的联系人列表;可以向列表添加用户或组,也可从中删除用户或组;可以重新命名联系人列表中的文件夹

sunIMAllowUserSettings

管理 Messenger 的能力

Instant Messenger 中显示有一个“设置”按钮,最终用户可用它更改自己的 Instant Messenger 设置

sunIMAllowPollingAccess

接收轮询的能力

最终用户可以接收其他用户发送的轮询消息,并可回应轮询

sunIMAllowPollingSend

发送轮询的能力

Instant Messenger 中显示有一个“轮询”按钮,最终用户可用它向其他人发送轮询消息并接收响应

sunPresenceAllowAccess

访问他人在线状态的能力

最终用户可以查看其他用户的在线状态。联系人列表除显示联系人之外,还通过更改状态图标反映联系人的在线状态变化

sunPresenceAllowPublish

发布在线状态的能力

最终用户可以通过单击选择他们的状态(联机、脱机、忙等),以便其他用户查看

sunPresenceAllowManage

管理在线状态访问的能力

Instant Messenger 的“设置”中显示有一个“访问”选项卡;最终用户可以设置自己的默认在线访问、允许在线或拒绝在线列表

直接修改属性

最终用户可以登录 Sun Java System Access Manager 管理控制台,查看 Instant Messaging 中的属性和在线服务属性的值。最终用户可以更改已定义为可修改的属性。但在默认情况下,Instant Messaging 服务中的属性均不可修改,也不建议允许最终用户更改它们。但是,从系统管理的观点来看,直接处理属性非常有用。

例如,由于角色不会影响某些系统属性(如设置会议订阅),因此系统管理员可能需要通过从其他最终用户(如从会议登记表)那里复制属性值来修改这些属性的值,或者直接对其进行修改。这些属性在表 6-5 中列出。

参见表 6-5,最终用户可通过 Sun Java System Access Manager 管理控制台设置用户属性。动态属性由管理员设置。设置的动态属性值将覆盖对应的用户属性值或与之合并。

对应的动态属性和用户属性特性将影响冲突与补充信息的解决方式。例如,两个来源(动态和用户)的会议订阅会互相补充;因此,订阅将合并。两种属性不会互相覆盖。

表 6-5 Instant Messaging 的 Access Manager 用户及动态属性 

管理控制台标签

用户属性

动态属性

属性说明

冲突解决方案

Messenger
设置

sunIMUserProperties

sunIMProperties

包含 Instant Messenger 的所有属性,且对应于基于文件的用户属性存储器中的 user.properties 文件

合并-但如果某个属性同时从用户属性和动态属性取得值,动态属性将覆盖用户
属性。            

订阅

sunIMUserRoster

sunIMRoster

包含订阅信息(用户联系人列表登记表)

合并-如果用户属性和动态属性中都存在 Jabber 标识符,则昵称将从用户属性中取得,组将是用户属性和动态属性中所有组的并集,订阅值将是用户值和动态值中的最高值。

会议订阅

sunIMUserConferenceRoster

sunIMConferenceRoster

包含会议室订阅信息

合并-合并动态和用户订阅,并且删除重复项。

新闻频道订阅

sunIMUserNewsRoster

sunIMNewsRoster

包含新闻频道订阅
信息

合并-合并动态和
用户订阅并删除重
复项。

在线状态代理

sunPresenceEntityDevices

sunPresenceDevices

本版本中未使用(将来会使用)

使用的是动态信息。

保密性

sunPresenceUserPrivacy

sunPresencePrivacy

对应于 Instant Messenger 中的保密设置

合并-如果有冲突,则采用动态值。

Instant Messenger 首选项

sunIMUserPrivateSettings

sunIMPrivateSettings

在此存储 Messenger 设置中未存储的私有首选项。

合并

Instant Messaging 和在线策略的预定义示例

表 6-6 列出并说明了在安装 Instant Messaging 服务组件时,于 Sun Java System Access Manager 中创建的七个示例策略和角色。您可以根据要为每个用户提供的访问控制,将最终用户添加到不同角色中。

典型站点可能会将“IM 正规用户”角色(接收默认的 Instant Messaging 和在线访问的角色)分配给仅使用 Instant Messenger 但没有管理 Instant Messaging 策略的责任的最终用户。同一站点可以将“IM 管理员”角色(与管理 Instant Messaging 和在线服务有关的角色)分配给具有管理 Instant Messaging 策略全部职责的特定最终用户。表 6-7 列出策略属性中默认的权限分配。如果未选中规则中的操作,值允许拒绝将与策略无关,也不会影响该属性。

表 6-6 Sun Java System Access Manager 的默认策略和角色 

策略

应用策略的角色

应用策略的服务

策略说明

默认的 Instant Messaging 和在线访问

IM 正规用户

sunIM、sunPresence

正规 Instant Messaging 最终用户应该具有的默认访问权。

管理 Instant Messaging 和在线服务的能力

IM 管理员

sunIM、sunPresence

Instant Messaging 管理员所具有的访问权,可以访问所有 Instant Messaging 功能。

管理 Instant Messaging 新闻频道的能力

IM 新闻管理员

sunIM

最终用户可以通过创建、删除等操作管理新闻频道。

管理 Instant Messaging 会议室的能力

IM 会议室管理员

sunIM

最终用户可以通过创建、删除等操作管理会议室。

更改自身 Instant Messaging 用户设置的
能力

IM 允许用户设置角色

sunIM

最终用户可单击 Instant Messenger 中的“设置”按钮来编辑设置。

发送 Instant Messaging 警报的能力

IM 允许发送警报角色

sunIM

最终用户可在 Instant Messenger 中发送
警报。

查看其他 Instant Messaging 最终用户变化的能力

IM 允许查看变化角色

sunIM

最终用户可以访问其他 Instant Messaging 最终用户的在线状态。

表 6-7 默认策略分配 

 

策略

属性

默认访问

可管理 Instant Messaging 和在线服务

可管理新闻频道

可管理会议室

可更改自身的最终用户设置

可发送警报

可监视其他用户变化

    sunIMAllowChat

允许      

允许

 

 

 

 

 

    sunIMAllowChatInvite

允许

允许

 

 

 

 

 

    sunIMAllowForumAccess

允许

允许

 

允许

 

 

 

    sunIMAllowForumManage

拒绝

允许

 

允许

 

 

 

    sunIMAllowForumModerate

拒绝

允许

 

允许

 

 

 

    sunIMAllowAlertsAccess

允许

允许

 

 

 

允许

 

    sunIMAllowAlertsSend

允许

允许

 

 

 

允许

 

    sunIMAllowNewsAccess

允许

允许

允许

 

 

 

 

    sunIMAllowNewsManage

拒绝

允许

允许

 

 

 

 

    sunIMAllowFileTransfer

允许

允许

 

 

 

 

 

    sunIMAllowContactListManage

允许

允许

 

 

 

 

 

    sunIMAllowUserSettings

允许

允许

 

 

允许

 

 

    sunIMAllowPollingAccess

允许

允许

 

 

 

 

 

    sunIMAllowPollingSend

允许

允许

 

 

 

 

 

    sunPresenceAllowManage

允许

允许

 

 

 

 

 

    sunPresenceAllowAccess

允许

允许

 

 

 

 

允许

    sunPresenceAllowPublish

允许

允许

 

 

 

 

 

创建新的 Instant Messaging 策略

您可以创建新策略以满足站点的特殊需要。

  创建新策略
  1. 以 http://hostname:port/amconsole 地址登录到 Access Manager 管理控制台,例如 http://imserver.company22.example.com:80/amconsole
  2. 选中“身份认证管理”选项卡,在浏览窗格(左下方框架)中的“查看”下拉列表中选择“策略”。
  3. 单击“新建”以在数据窗格(右下方框架)中显示“新策略”页。
  4. “策略类型”选择“常规”。
  5. 在“名称”字段中输入策略说明,例如执行 IM 任务的能力。
  6. 单击“创建”使新策略的名称显示在浏览窗格中的策略列表中,并使数据窗格中的页面变为新策略的“编辑”页。
  7. 在“编辑”页中,选择“查看”下拉列表中的“规则”,以显示“编辑”页面中的规则名称服务资源窗格。
  8. 单击“添加”以显示“添加规则”页。
  9. 选择应用的服务:Instant Messaging 服务或在线服务。

    10. 每种服务均可让您允许或拒绝最终用户执行特定操作。例如,“聊天的能力”为 Instant Messaging 服务的特有操作,而“访问他人在线状态的能力”是在线服务的特有操作。

  10. 在“规则名称”字段中输入规则的说明,例如规则 1。
  11. 输入适当的资源名称(IMResourcePresenceResource):
    • IMResource 适用于 Instant Messaging 服务
    • PresenceResource 适用于在线服务
  12. 选择要应用的操作。
  13. 选择每个操作的值:允许或拒绝。
  14. 单击“创建”在该策略的已存储规则列表中显示建议的规则。
  15. 单击“保存”使此建议规则成为已存储规则。
  16. 对于要应用到该策略的所有其他规则,重复步骤 8-15。对于每个新建规则,单击“保存”以将所作的更改保存至策略。

将策略分配给角色、组、组织或用户

您可以将策略(Instant Messaging 的默认策略,或可能已在安装 Instant Messaging 后创建的 Instant Messaging 策略)分配给角色、组、组织或用户。

  分配策略
  1. 以 http://hostname:port/amconsole 地址登录到 Access Manager 管理控制台,例如 http://imserver.company22.example.com:80/amconsole
  2. 选中“身份认证管理”选项卡,在浏览窗格(左下方框架)中的“查看”下拉列表中选择“策略”。
  3. 单击要分配策略名称旁边的箭头,以在数据窗格(右下方框架)中显示该策略的“编辑”页。
  4. 在“编辑”页中,从“查看”下拉列表中选择“主题”。
  5. 单击“添加”以显示“添加主题”页,将列出可能的主题类型:
    • Access Manager 角色
    • LDAP 组
    • LDAP 角色
    • LDAP 用户
    • 组织
  6. 选择与策略匹配的主题类型,例如组织。
  7. 单击“下一步”。
  8. 在“名称”字段中,输入主题的说明。
  9. 如有需要,请选中 Exclusive 复选框。

    10. 默认设置并未选中 Exclusive 复选框,表示策略将应用于主题的所有成员。

    选中 Exclusive 复选框会将策略应用于非主题成员的所有人员。

  10. 在“可用”字段中,搜索您要添加到主题的条目。
    1. 为要搜索的条目输入搜索条件。默认搜索条件是 *,这将显示该主题类型的所有主题。
    2. 单击“搜索”。
    3. 在“可用”文本框中突出显示打算添加到“选定”文本框中的条目。
    4. 单击“添加”或“全部添加”以应用它们。
    5. 重复步骤 a-d,直至您已将所要的全部名称添加到“选定”文本框。
  11. 单击“创建”在该策略的已存储主题列表中显示建议的主题。
  12. 单击“保存”使此建议主题成为已存储主题。
  13. 对于您要添加到策略的所有其他主题,重复步骤 5-12。对于每个新主题,单击“保存”,将所作更改保存至策略。

使用 Access Manager 创建新子组织

使用 Sun Java System Access Manager 创建子组织能够以组织形式分离要在 Instant Messaging 服务器内创建的群体。每个子组织可以映射至不同的 DNS 域。一个子组织中的最终用户与另一个子组织中的最终用户完全隔离。以下说明了创建 Instant Messaging 新子组织的最简单步骤。

  创建新的子组织
  1. http://hostname:port/amconsole 地址登录到 Access Manager 管理控制台,例如 http://imserver.company22.example.com:80/amconsole
  2. 创建新组织:
    1. 选中“身份认证管理”选项卡,在浏览窗格(左下方框架)的“查看”下拉列表中选择“组织”。
    2. 单击“新建”以在数据窗格(右下方框架)中显示“新组织”页。
    3. 在适当的字段中输入下列内容:
      • 子组织名称,例如 sub1
      • 域名,例如 sub1.company22.example.com
    4. 单击“创建”。
  3. 为新创建的子组织注册服务。
    1. 在浏览窗格中,单击新子组织的名称,例如 sub1(请务必单击名称,而不是右边的属性箭头。)
    2. 在浏览窗格的“查看”下拉列表中选择“服务”。
    3. 单击“注册”在数据窗格中显示“注册服务”页。
    4. 在“验证”标题下选择下列服务:
      • 核心
      • LDAP
    5. 在“Instant Messaging 配置”标题下选择下列服务:
      • Instant Messaging 服务
      • 在线服务
    6. 单击“注册”在浏览窗格中显示为此子组织新选择的服务。
  4. 为新选择的服务创建服务模板:
    1. 在浏览窗格中,单击服务的属性箭头(从“核心”服务开始)。

      2. “创建服务模板”页显示在数据窗格中。

    2. 在数据窗格中,单击“创建”,选中服务的模板选项页将替换“创建服务模板”页。

      3. 即使您不想修改模板选项,也应该针对每项服务单击“创建”。

    3. 按下列所述修改每项服务的服务模板选项:
      1. 核心:通常无需修改任何选项,请转至步骤 d
      2. LDAP:将新子组织的前缀添加到开始用户搜索的 DN 字段。添加前缀后,最后的 DN 应该是下列格式:

        3. o=sub1,dc=company22,dc=example,dc=com

        超级用户绑定密码超级用户绑定密码(确认)字段中输入 LDAP 密码。

        继续进行步骤 d

      3. Instant Messaging 服务:通常无需修改任何选项,请转至步骤 d
    4. 单击“保存”。
    5. 重复步骤 a 到 d,直到每项服务均创建了服务模板。

将最终用户添加至新子组织

在子组织中创建新的最终用户后,需要为他们分配角色。角色可以继承自父组织,下一节中将对此进行说明。

  向新子组织添加最终用户
  1. 转至父组织,然后从“查看”下拉列表中选择“角色”。具体步骤如下:
    1. http://hostname:port/amconsole 地址登录到 Access Manager 管理控制台,例如 http://imserver.company22.example.com:80/amconsole
    2. 选中“身份认证管理”选项卡,在浏览窗格(左下方框架)的“查看”下拉列表中选择“角色”。
  2. 单击要分配角色右边的属性箭头,以在数据窗格(右下方框架)中显示该角色页。
  3. 在数据窗格的“查看”下拉列表中选择“用户”。
  4. 单击“添加”以显示“添加用户”页。
  5. 输入用于标识用户的匹配模式。例如,在“用户 Id ”字段中输入星号 * 将列出所有用户。
  6. 单击“过滤器”以显示“选择用户”页。
  7. 在“选择用户”页中显示来源路径:
    1. 选中显示来源路径复选框。
    2. 单击“刷新”。
  8. 选择要分配给此角色的用户。
  9. 单击“提交”。


上一页      目录      索引      下一页     

文件号码 819-1489。 版权所有 2005 Sun Microsystems, Inc. 保留所有权利。