Sun Java System Instant Messaging 7 2005Q1 管理指南 |
第 6 章
管理 Instant Messaging 和在线策略Instant Messaging 提供了各种功能,如聊天、开会、轮询、在线访问等。策略描述一组可与这些功能关联的访问控制权限。反过来,又可以根据组织需要将最终用户和组分配给各策略。
本章介绍如何定义并使用策略来管理最终用户和管理员对 Instant Messaging 服务器功能和权限的访问:
保密性、安全性和站点策略概述Instant Messaging 可用于控制对 Instant Messaging 功能的访问和为最终用户保密。
站点策略
站点策略指定最终用户对 Instant Messaging 中特定功能的访问。它可以指定:
Instant Messaging 管理员有权访问所有 Instant Messaging 功能。管理员对所有会议室和新闻频道具有 MANAGE 的访问权限,可以查看任何最终用户的在线信息,并且可以查看和修改最终用户的“联系人列表”和“Instant Messenger 设置”等属性。站点策略设置不影响管理员的权限。
默认情况下,最终用户有权访问其他最终用户的在线状态、发送警报给最终用户和保存属性到服务器上。大多数部署中的默认值都一样。当 Instant Messaging 专用于弹出功能时,需要更改这些默认值。
当 Instant Messaging 专用于弹出功能时,最终用户不能访问在线信息、聊天和新闻功能。
有关配置站点策略的更多信息,参见管理 Instant Messaging 和在线策略。
会议室和新闻频道访问控制
最终用户对会议室和新闻频道可以具有下列访问权限:
具有 MANAGE 权限的最终用户可以为所有其他最终用户设置默认的权限级别。这些最终用户还可以定义例外规则,对特定最终用户或组授予不同于默认访问级别权限的访问级别。
用户保密性
最终用户可以指定是否允许其他最终用户查看其在线状态。默认情况下,所有最终用户均可访问其他最终用户的在线信息。最终用户也可以设置例外情况,拒绝特定最终用户和组访问此信息。
如果最终用户拒绝其他最终用户访问其在线状态,则该最终用户在他人联系人列表中的可用性状态将显示为脱机。无法发送警报或聊天邀请到在线状态为脱机的最终用户。
可以使用 Instant Messenger 的“用户设置”窗口配置用户保密性。有关配置用户保密性的更多信息,参见 Instant Messenger 联机帮助。
最终用户和管理员权限的控制方法使用 Instant Messaging 服务器的不同站点在启用和限制最终用户对 Instant Messaging 服务的访问类型方面具有不同的需要。控制最终用户和管理员 Instant Messaging 服务器功能及权限的过程称为策略管理。策略管理有两种方法:使用访问控制文件或 Sun Java System Access Manager。
使用访问控制文件管理策略的简介
如果采用访问控制文件来管理策略,则可在以下方面调整最终用户权限:新闻频道管理、会议室管理、在“用户设置”对话框中更改首选项以及发送警报。还可以将特定的最终用户指定为系统管理员。
使用 Sun Java System Access Manager 管理策略简介
通过 Sun Java System Access Manager 管理策略,不仅可以获得与访问控制文件方法相同的权限控制,还可以对各种功能进行更精细的控制,例如:接收警报、发送轮询和接收轮询等。有关完整列表,请参阅表 6-4。此外,使用 Sun Java System Access Manager 管理策略时可以对权限进行更为精细的控制。
现有两种策略类型:Instant Messaging 策略和在线策略。Instant Messaging 策略管理一般的 Instant Messaging 功能,例如发送和接收警报功能、管理公共会议和新闻频道的功能以及发送文件的功能。在线策略管理最终用户的以下控制权:更改其在线状态、允许或阻止其他用户查看其在线信息。
管理策略:方法选用
在选择管理策略所用方法时,需要选择这些方法的保存位置。选择管理策略方法的步骤为:编辑 iim.conf 文件,然后将 iim.policy.modules 参数设置为 identity(对于 Access Manager 方法)或 iim_ldap(对于访问控制文件方法,该方法也是默认方法)。
如果使用仅 LDAP 部署,由于此时不能使用 Sun Java System Access Manager,故必须使用访问控制文件方法。如果结合使用 Sun Java System Access Manager 和 Instant Messaging 服务器,而且已安装了 Instant Messaging 和在线服务组件,则可以使用这两种策略管理方法中的任意一种。使用 Sun Java System Access Manager 管理策略的方法更容易理解。此方法的优点之一是可以将所有最终用户信息保存在目录中。
设置策略管理方法的具体步骤如下:
策略配置参数
表 6-1 列出并说明 iim.conf 文件中的可用参数,这些参数与 Sun Java System Access Manager 可在 Instant Messaging 部署中扮演的增强角色有关:
表 6-1 iim.conf 中与 Access Manager 有关的参数
参数名称
用途
值
iim.policy.modules
指示是否用 Sun Java System Access Manager 存储策略
iim_ldap(默认)
identity
iim.userprops.store
指示用户属性在用户属性文件中还是来自 LDAP
file(默认)
ldap
使用访问控制文件管理策略通过编辑访问控制文件,可以控制下列最终用户权限:
默认情况下,最终用户具有访问其他最终用户在线状态、向其他最终用户发送警报和将属性保存在服务器上的权限。在大多数部署中,默认值无需更改。
访问控制文件的位置是 im_cfg_base/acls。其中 im_cfg_base 是配置目录。有关配置目录默认位置的信息,参见表 3-1。
表 6-2 列出 Instant Messaging 的全局访问控制文件和这些文件提供给最终用户的权限。
访问控制文件格式
访问控制文件包含一系列定义权限的条目。每个条目都以下面一个标记开头:
标记后跟有冒号 (:)。如果是默认标记,后面跟有 true 或 false。
最终用户和组标记后跟有最终用户或组名称。
通过将多个最终用户 (u) 和组 (g) 串联,可以指定多个最终用户和组。
如果将默认值设置为 true,文件中的所有其他条目将是冗余的。如果默认值设置为 false,则只有在文件中指定的最终用户和组具有该权限。
以下是 ACL 文件中用于新安装的默认 d: 标记条目:
访问控制文件示例
本节展示一个样例访问控制文件,其中显示了为 sysTopicsAdd.acl 文件设置的权限。
sysTopicsAdd.acl 文件
在以下示例中,sysTopicsAdd.acl 文件的默认 d: 标记条目为 false。因此,默认值前的最终用户和组(即 user1、user2 和 sales 组)具有“添加”和“删除”新闻频道权限。
更改最终用户权限
要更改最终用户权限:
使用 Sun Java System Access Manager 管理策略Sun Java System Access Manager 中的 Instant Messaging 和在线服务提供了另一种控制最终用户和管理员权限的方法。每种服务具有三种属性类型:动态、用户和策略。策略属性是用于设置权限的属性类型。
将规则添加到在 Access Manager 中创建的策略后,策略属性将成为规则的一部分,从而可允许或拒绝管理员和最终用户参予各种 Instant Messaging 功能,如接收其他用户的轮询消息。
当 Instant Messaging 服务器是随 Sun Java System Access Manager 一起安装的时,会创建一些示例策略和角色。有关策略和角色的更多信息,参见 Sun Java System Access Manager 入门指南和 Sun Java System Access Manager 管理指南。
此外,如果示例策略不足,可以创建新策略,并根据需要将这些策略分配给角色、组、组织或最终用户,以满足站点的要求。
将 Instant Messaging 服务或在线服务分配给最终用户后,会同时应用动态属性和用户属性。动态属性可以分配给 Sun Java System Access Manager 配置的角色或组织。
将角色分配给最终用户或在组织中创建了最终用户时,动态属性将成为最终用户的特征。用户属性将直接分配给每个最终用户。它们并非继承自角色或组织,通常对每个最终用户是不同的。
最终用户登录后,将依据分配给他们的角色和策略应用方式,取得适用他们的所有属性。
将在线服务和 Instant Messaging 服务分配给最终用户后,动态、用户或策略属性将与这些最终用户关联。
Instant Messaging 服务属性
表 6-3 列出了每种服务所具有的策略、动态及用户属性。
对于以上表格中的每种属性,在 Access Manager 管理控制台中都会出现一个对应的标签。以下两个表格列出每种属性及其对应的标签和简要说明。表 6-4 列出并说明策略属性,表 6-5 列出并说明动态属性和用户属性。
直接修改属性
最终用户可以登录 Sun Java System Access Manager 管理控制台,查看 Instant Messaging 中的属性和在线服务属性的值。最终用户可以更改已定义为可修改的属性。但在默认情况下,Instant Messaging 服务中的属性均不可修改,也不建议允许最终用户更改它们。但是,从系统管理的观点来看,直接处理属性非常有用。
例如,由于角色不会影响某些系统属性(如设置会议订阅),因此系统管理员可能需要通过从其他最终用户(如从会议登记表)那里复制属性值来修改这些属性的值,或者直接对其进行修改。这些属性在表 6-5 中列出。
参见表 6-5,最终用户可通过 Sun Java System Access Manager 管理控制台设置用户属性。动态属性由管理员设置。设置的动态属性值将覆盖对应的用户属性值或与之合并。
对应的动态属性和用户属性特性将影响冲突与补充信息的解决方式。例如,两个来源(动态和用户)的会议订阅会互相补充;因此,订阅将合并。两种属性不会互相覆盖。
表 6-5 Instant Messaging 的 Access Manager 用户及动态属性
管理控制台标签
用户属性
动态属性
属性说明
冲突解决方案
Messenger
设置sunIMUserProperties
sunIMProperties
包含 Instant Messenger 的所有属性,且对应于基于文件的用户属性存储器中的 user.properties 文件
合并-但如果某个属性同时从用户属性和动态属性取得值,动态属性将覆盖用户
属性。订阅
sunIMUserRoster
sunIMRoster
包含订阅信息(用户联系人列表登记表)
合并-如果用户属性和动态属性中都存在 Jabber 标识符,则昵称将从用户属性中取得,组将是用户属性和动态属性中所有组的并集,订阅值将是用户值和动态值中的最高值。
会议订阅
sunIMUserConferenceRoster
sunIMConferenceRoster
包含会议室订阅信息
合并-合并动态和用户订阅,并且删除重复项。
新闻频道订阅
sunIMUserNewsRoster
sunIMNewsRoster
包含新闻频道订阅
信息合并-合并动态和
用户订阅并删除重
复项。在线状态代理
sunPresenceEntityDevices
sunPresenceDevices
本版本中未使用(将来会使用)
使用的是动态信息。
保密性
sunPresenceUserPrivacy
sunPresencePrivacy
对应于 Instant Messenger 中的保密设置
合并-如果有冲突,则采用动态值。
Instant Messenger 首选项
sunIMUserPrivateSettings
sunIMPrivateSettings
在此存储 Messenger 设置中未存储的私有首选项。
合并
Instant Messaging 和在线策略的预定义示例
表 6-6 列出并说明了在安装 Instant Messaging 服务组件时,于 Sun Java System Access Manager 中创建的七个示例策略和角色。您可以根据要为每个用户提供的访问控制,将最终用户添加到不同角色中。
典型站点可能会将“IM 正规用户”角色(接收默认的 Instant Messaging 和在线访问的角色)分配给仅使用 Instant Messenger 但没有管理 Instant Messaging 策略的责任的最终用户。同一站点可以将“IM 管理员”角色(与管理 Instant Messaging 和在线服务有关的角色)分配给具有管理 Instant Messaging 策略全部职责的特定最终用户。表 6-7 列出策略属性中默认的权限分配。如果未选中规则中的操作,值允许和拒绝将与策略无关,也不会影响该属性。
创建新的 Instant Messaging 策略
您可以创建新策略以满足站点的特殊需要。
创建新策略
- 以 http://hostname:port/amconsole 地址登录到 Access Manager 管理控制台,例如 http://imserver.company22.example.com:80/amconsole
- 选中“身份认证管理”选项卡,在浏览窗格(左下方框架)中的“查看”下拉列表中选择“策略”。
- 单击“新建”以在数据窗格(右下方框架)中显示“新策略”页。
- “策略类型”选择“常规”。
- 在“名称”字段中输入策略说明,例如执行 IM 任务的能力。
- 单击“创建”使新策略的名称显示在浏览窗格中的策略列表中,并使数据窗格中的页面变为新策略的“编辑”页。
- 在“编辑”页中,选择“查看”下拉列表中的“规则”,以显示“编辑”页面中的规则名称服务资源窗格。
- 单击“添加”以显示“添加规则”页。
- 选择应用的服务:Instant Messaging 服务或在线服务。
每种服务均可让您允许或拒绝最终用户执行特定操作。例如,“聊天的能力”为 Instant Messaging 服务的特有操作,而“访问他人在线状态的能力”是在线服务的特有操作。
- 在“规则名称”字段中输入规则的说明,例如规则 1。
- 输入适当的资源名称(IMResource 或 PresenceResource):
- 选择要应用的操作。
- 选择每个操作的值:允许或拒绝。
- 单击“创建”在该策略的已存储规则列表中显示建议的规则。
- 单击“保存”使此建议规则成为已存储规则。
- 对于要应用到该策略的所有其他规则,重复步骤 8-15。对于每个新建规则,单击“保存”以将所作的更改保存至策略。
将策略分配给角色、组、组织或用户
您可以将策略(Instant Messaging 的默认策略,或可能已在安装 Instant Messaging 后创建的 Instant Messaging 策略)分配给角色、组、组织或用户。
分配策略
- 以 http://hostname:port/amconsole 地址登录到 Access Manager 管理控制台,例如 http://imserver.company22.example.com:80/amconsole
- 选中“身份认证管理”选项卡,在浏览窗格(左下方框架)中的“查看”下拉列表中选择“策略”。
- 单击要分配策略名称旁边的箭头,以在数据窗格(右下方框架)中显示该策略的“编辑”页。
- 在“编辑”页中,从“查看”下拉列表中选择“主题”。
- 单击“添加”以显示“添加主题”页,将列出可能的主题类型:
- 选择与策略匹配的主题类型,例如组织。
- 单击“下一步”。
- 在“名称”字段中,输入主题的说明。
- 如有需要,请选中 Exclusive 复选框。
默认设置并未选中 Exclusive 复选框,表示策略将应用于主题的所有成员。
选中 Exclusive 复选框会将策略应用于非主题成员的所有人员。
- 在“可用”字段中,搜索您要添加到主题的条目。
- 单击“创建”在该策略的已存储主题列表中显示建议的主题。
- 单击“保存”使此建议主题成为已存储主题。
- 对于您要添加到策略的所有其他主题,重复步骤 5-12。对于每个新主题,单击“保存”,将所作更改保存至策略。
使用 Access Manager 创建新子组织
使用 Sun Java System Access Manager 创建子组织能够以组织形式分离要在 Instant Messaging 服务器内创建的群体。每个子组织可以映射至不同的 DNS 域。一个子组织中的最终用户与另一个子组织中的最终用户完全隔离。以下说明了创建 Instant Messaging 新子组织的最简单步骤。
创建新的子组织
将最终用户添加至新子组织
在子组织中创建新的最终用户后,需要为他们分配角色。角色可以继承自父组织,下一节中将对此进行说明。
向新子组织添加最终用户