第 8 章 配置和使用单点登录
启用单点登录 (single sign-on, SSO) 时,Java ES 用户会登录到他们访问的第一个服务。此后,用户便可使用其他任何已启用单点登录的服务而不必再次登录。在此评估解决方案中,已为消息传送和日历服务启用 SSO。使用测试帐户可登录到 Communications Express 的基于 Web 的界面并可访问邮件和日历这两项服务。使用测试帐户也可登录到门户桌面,然后通过门户桌面访问邮件和日历这两项服务。在生产解决方案中,Access Manager 还支持其他种类的服务(包括自定义应用程序)的单点登录功能。
本章分以下几节介绍如何设置和使用单点登录:
关于单点登录
为了实现 SSO,Java ES 提供了两种相关机制,本节将介绍这两种机制。
关于 Access Manager 单点登录
Access Manager SSO 支持对所有基于 Web 的界面的 SSO 访问。当用户通过 Web 浏览器首次访问已启用 SSO 的服务时,Access Manager 会对该用户进行验证,然后向该用户的 Web 浏览器发送一个 SSO Cookie。当该用户访问其他已启用 SSO 的服务时,该用户的 Web 浏览器会首先通过 Access Manager 确认该用户的会话是否仍处于打开状态,如果是,随后会将用于确认已通过验证的该 SSO Cookie 返回给 Access Manager。该用户便可访问下一项服务而无需再次登录。
要为评估解决方案设置 Access Manager SSO,需要将 Messaging Server 和 Calendar Server 实例配置为使用 SSO,而不使用各自的默认验证机制。而 Access Manager 和 Communications Express 在默认情况下即被配置为使用 Access Manager SSO。
关于 Portal Server 代理验证
Portal Server 代理验证用代理用户 ID 来代替用户的个人 ID。当用户登录到门户服务时,门户服务将对用户的个人 ID 进行验证,以确认其是否能够访问门户服务。但如果已将门户桌面中的某些频道配置为代理验证,则门户服务使用代理用户 ID 来验证频道服务,同时该用户的信息会出现在门户桌面的频道部分。
要设置门户服务代理验证,需要使用 Access Manager 控制台为每项服务均配置一个门户 SSO 适配器,还要必须为每个用户帐户置备实现代理验证所必需的 LDAP 属性。
对于此评估解决方案,需要为样例门户桌面的邮件和日历频道设置代理验证。对于代理帐户,需要使用相应服务的管理员帐户:对于邮件服务使用 admin 帐户,对于日历服务使用 calmaster 帐户。为了实现这些服务,已对您的测试用户帐户进行了置备。
配置 Access Manager 单点登录
本节介绍如何配置评估解决方案的邮件和日历服务以实现 Access Manager SSO。
配置 Messaging Server 以实现 SSO
步骤
-
将目录更改为 Messaging Server 所在的目录:
cd /opt/SUNWmsgsr/sbin
-
运行 Messaging Server 配置命令的以下变型:
-
./configutil -o local.webmail.sso.amnamingurl -v http:// evaluation_host/amserver/namingservice
-
./configutil -o local.webmail.sso.uwcenabled -v 1
-
./configutil -o local.webmail.sso.uwclogouturl -v http:// evaluation_host:80/uwc/base/UWCMain\?op=logout
-
./configutil -o local.webmail.sso.uwcport -v 80
-
./configutil -o local.webmail.sso.uwccontexturi -v “uwc”
-
./configutil -o local.webmail.sso.amcookiename -v iPlanetDirectoryPro
-
./configutil -o local.webmail.sso.uwchome -v http:// evaluation_host/uwc
-
./configutil -o service.http.allowadminproxy -v yes
-
./configutil -o service.http.ipsecurity -v no
-
-
运行以下命令停止 Messaging Server:
./stop-msg
-
运行以下命令重新启动 Messaging Server:
./start-msg
启动过程将显示一系列启动消息。此过程可能需要几分钟的时间。启动完成后,将显示以下消息:
starting job-controller server
至此您便配置了 Messaging Server 以实现 SSO。
配置 Calendar Server 以实现 SSO
本节介绍如何配置 Calendar Server 以实现 SSO。
步骤
-
将目录更改为 Calendar Server 的配置目录:
cd /opt/SUNWics5/cal/config
-
编辑 ics.conf 文件。
找到以下各参数,并进行所述的更改。在某些情况下,这意味着需要更改值并取消注释行。而在其他情况下,只需取消注释行即可。
-
找到 service.http.allowadminproxy。将其值设置为 yes。
-
找到 local.calendar.sso.amnamingurl。取消注释该项,并将其值设置为 http://evaluation_host :80/amserver/namingservice。
-
找到 local.calendar.sso.singlesignoff。取消注释该项。将其值设置为 yes。
-
找到 local.calendar.sso.amcoookiename。取消注释该项。将其值设置为 iPlanetDirectoryPro。
-
找到 local.calendar.sso.logname。取消注释该项。将其值设置为 am_sso.log。
-
找到 service.calendarsearch.ldap。将其值设置为 no。
-
找到 service.http.ipsecurity。取消注释该项。将其值更改为 n。
-
找到 caldb.serveralarms。确认其值为 1。
-
找到 caldb.serveralarms.dispatch。确认其值为 yes。
-
找到 caldb.serveralarms.url。取消注释该项并确认其值为 enp:///ics/customalarm。
-
找到 caldb.serveralarms.contenttype。取消注释该项并将其值设置为 text/calendar。
-
找到 caldb.serveralarms.dispatchtype。确认其值为 ens。
-
-
保存并关闭 ics.conf 文件。
-
将目录更改为 Calendar Server 所在的目录:
cd /opt/SUNWics5/cal/sbin
-
运行以下命令停止 Calendar Server:
./stop-cal
-
运行以下命令重新启动 Calendar Server:
./start-cal
启动过程将显示一系列启动消息。此过程可能需要几分钟的时间。启动完成后,将显示以下消息:
Calendar services were started.
至此您便配置了 Calendar Server 以实现 SSO。
配合使用 Communications Express 和 Access Manager 单点登录
本节介绍如何登录到 Communications Express 及如何使用单点登录验证访问配置了单点登录的邮件和日历服务。
通过 SSO 登录到 Communications Express
步骤
-
在 Web 浏览器中,登录到 Communications Express。请访问以下 URL:
http://evaluation_host/uwc
将显示 Communications Express 授权页面。
-
以“测试用户”身份登录。键入下列值:
-
用户名:TestUser
-
密码:password
单击“登录”按钮。将显示 Communications Express 主窗口,“邮件”选项卡处于选中状态,同时显示“测试用户”的名称及电子邮件地址 (test.user@examplecorp.com)。从而核实了您是以“测试用户”身份登录的。
-
-
单击“撰写”。
将打开“新建邮件”窗口。
图 8–1 “新建邮件”窗口
-
编写一封测试邮件。执行以下操作:
-
在“收件人”文本字段中,键入 test.user@examplecorp.com。
-
在“主题”文本字段中,键入 Test Message。
-
单击“纯文本”。
-
在邮件正文中,键入 This is a test。
-
单击“发送”。
“新建邮件”窗口将关闭。
-
-
单击“接收邮件”。
该测试邮件将显示在“测试用户”的收件箱中。
-
单击“日历”选项卡。
将显示“测试用户”的日历。
-
单击“新建事件”。
将显示“新建事件”窗口。
-
添加一个测试事件。执行以下操作:
-
在“标题”文本字段中,键入 Test Event。
-
在“日期”、“时间”和“持续时间”字段中,接受默认值。
-
在“地点”文本字段中,键入 Test User's Office。
-
单击“保存”。
“新建事件”窗口将关闭。该测试事件将显示在“测试用户”的日历中。
-
-
这表明 SSO 有效,因为仅登录一次便能够访问邮件和日历两项服务。
-
单击“注销”。
至此您便配置了 Java ES 服务以实现单点登录,同时使用了单点登录验证,并使用了单点登录来访问邮件和日历服务。
配置 Portal Server 代理验证
本节介绍如何配置显示在样例门户桌面中的样例邮件频道和样例日历频道,从而实现代理验证。
配置门户日历频道以实现 SSO 适配器服务
要为样例门户日历频道启用代理验证,需要配置 SSO 适配器服务。您可以在 Identity Server 控制台中进行此配置。
步骤
-
请在 Web 浏览器中访问以下 URL:
http://evaluation_host/amconsole/index.html
将显示 Access Manager 登录页面。
-
键入用户名 (amadmin) 和密码 (password)。
单击“登录”。将显示 Access Manager 控制台窗口。
-
单击“服务配置”选项卡。
将显示“Access Manager 服务”。
-
在左侧窗格中向下滚动。在“Portal Server 配置”下,找到“SSO 适配器”,然后单击“SSO 适配器”名称后面的箭头符号。
右侧窗格将显示“SSO 适配器服务”属性。您会看到类似于图 8–2 的显示屏幕。
图 8–2 SSO 适配器属性
-
编辑 SUN-ONE-CALENDAR 配置属性。执行以下操作:
-
找到 host 属性。选中它,然后单击“更改类型”。
右侧窗格将显示“编辑属性类型”屏幕。
-
将以下几个属性的值从 "Merge" 更改为 "Default"。执行以下操作:
-
使用文本字段编辑以下属性的值:
-
在左侧窗格中,单击 SSO 适配器名称后面的箭头符号。
右侧窗格将显示“SSO 适配器服务”属性。您会看到类似于图 8–2 的显示屏幕。
-
编辑 SUN-UWC-CALENDAR 配置属性。执行以下操作:
-
找到 host 属性。选中它,然后单击“更改类型”。
右侧窗格将显示“编辑属性类型”屏幕。
-
将以下几个属性的值从 merge 更改为 default:
-
使用文本字段编辑以下属性的值:
-
单击“保存”应用所做更改。
至此您便配置了门户日历频道以实现代理验证。在 Access Manager 控制台中,您要继续进行操作。
配置门户邮件频道以实现 SSO 适配器服务
要为样例门户邮件频道启用代理验证,需要配置 SSO 适配器服务。您可以在 Access Manager 控制台中进行此配置。
步骤
-
在左侧窗格中,单击 SSO 适配器名称后面的箭头符号。
右侧窗格将显示“SSO 适配器服务”属性。您会看到类似于图 8–2 的显示屏幕。
-
编辑 SUN-ONE-MAIL 配置属性。执行以下操作:
-
找到 host 属性。选中它,然后单击“更改类型”。
右侧窗格将显示“编辑属性类型”屏幕。
-
将以下几个属性的值从 merge 更改为 default:
-
使用文本字段编辑以下属性的值:
-
找到 enableProxyAuth 属性。将值更改为 true。
-
找到 proxyAdminUid 属性。将值更改为 admin。
-
找到 proxyAdminPassword 属性。将值更改为 password。
-
找到 host 属性。将值更改为 evaluation_host。
-
找到 port 属性。将值更改为 143。
-
找到 smtpServer 属性。将值更改为 evaluation_host。
-
找到 clientPort 属性。将值更改为 88。
-
找到 smtpPort 属性。将值更改为 25。
-
找到 domain 属性。确认其为空白。
-
找到 serverSSOENabled 属性。将值更改为 true。
-
-
单击“保存”应用所做更改。
-
在左侧窗格中,单击 SSO 适配器名称后面的箭头符号。
右侧窗格将显示“SSO 适配器服务”属性。您会看到类似于图 8–2 的显示屏幕。
-
编辑 SUN-UWC-MAIL 配置属性。执行以下操作:
-
找到 host 属性。选中它,然后单击“更改类型”。
右侧窗格将显示“编辑属性类型”屏幕。
-
将以下几个属性的值从 merge 更改为 default:
-
使用文本字段编辑以下属性的值:
-
找到 enableProxyAuth 属性。将值更改为 true。
-
找到 proxyAdminUid 属性。将值更改为 admin。
-
找到 proxyAdminPassword 属性。将值更改为 password。
-
找到 host 属性。将值更改为 evaluation_host。
-
找到 port 属性。将值更改为 143。
-
找到 smtpServer 属性。将值更改为 evaluation_host。
-
找到 clientPort 属性。将值更改为 88。
-
找到 smtpPort 属性。将值更改为 25。
-
找到 domain 属性。确认其为空白
-
找到 serverSSOENabled 属性。将值更改为 true。
-
-
单击“保存”应用所做更改。
-
使用命令行将目录更改为 Web Server 所在的目录:
cd /opt/SUNWwbsvr/https-evaluation_host
-
运行以下命令重新启动 Web Server:
./stop; ./start
启动过程将显示一系列启动消息。此过程可能需要几分钟的时间。启动完成后,将显示以下消息:
startup: server started successfully
重新启动 Web Server 会重新启动 Portal Server 并应用所做的所有配置更改。
配置门户桌面以实现代理验证
步骤
-
返回到 Access Manager 控制台。单击“身份管理”选项卡。
-
在“查看”下拉菜单中选择“服务”。
左侧窗格将显示服务列表。
-
在左侧窗格中找到“Portal 桌面”服务。单击箭头。
右侧窗格将显示“Portal 桌面”设置。
-
在右侧窗格中,单击“管理通道和容器”。
右侧窗格将显示门户桌面通道列表。
-
在右侧窗格中,找到 MyFrontPageTabPanelContainer。单击它。(不要单击“编辑属性”。)
右侧窗格将显示 MyFrontPageTabPanelContainer 频道属性。
-
在右侧窗格中,找到“准备使用”列表。
-
将 UWCMail 和 UWCCalendar 频道从“准备使用”列表移至“最终用户可在内容页上使用”列表。
-
将 UWCMail 和 UWCCalendar 频道从“最终用户可在内容页上使用”列表移至“入口桌面上可见”列表。
-
将 Mail 和 Calendar 频道从“入口桌面上可见”列表移至“最终用户可在内容页上使用”列表。
-
将 Mail 和 Calendar 频道从“最终用户可在内容页上使用”列表移至“准备使用”列表。
-
单击“保存”。
-
在右侧窗格中,单击“顶部”。
将重新显示容器频道列表。
-
在右侧窗格中,找到 JSPNativeContainer 频道。单击它。(不要单击“编辑属性”。)
右侧窗格将显示 JSPNativeContainer 频道属性。
-
在右侧窗格中,找到“准备使用”列表。
-
将 UWCMail 和 UWCCalendar 频道从“准备使用”列表移至“最终用户可在内容页上使用”列表。
-
将 UWCMail 和 UWCCalendar 频道从“最终用户可在内容页上使用”列表移至“入口桌面上可见”列表。
-
将 Mail 和 Calendar 频道从“入口桌面上可见”列表移至“最终用户可在内容页上使用”列表。
-
将 Mail 和 Calendar 频道从“最终用户可在内容页上使用”列表移至“准备使用”列表。
-
单击“保存”。
-
在右侧窗格中,单击“顶部”。
将重新显示容器频道列表。
-
在右侧窗格中,找到 JSPRenderingContainer 频道。单击它。(不要单击“编辑属性”。)
右侧窗格将显示 JSPRenderingContainer 频道属性。
-
在右侧窗格中,找到“准备使用”列表。
-
将 UWCMail 和 UWCCalendar 频道从“准备使用”列表移至“最终用户可在内容页上使用”列表。
-
将 UWCMail 和 UWCCalendar 频道从“最终用户可在内容页上使用”列表移至“入口桌面上可见”列表。
-
将 Mail 和 Calendar 频道从“入口桌面上可见”列表移至“最终用户可在内容页上使用”列表。
-
将 Mail 和 Calendar 频道从“最终用户可在内容页上使用”列表移至“准备使用”列表。
-
单击“保存”。
-
单击窗口右上角的“注销”。
配置 Messaging Server 以实现代理验证
要配置 Messaging Server 以实现代理验证,需要在命令行中运行配置命令。
步骤
-
将目录更改为 Messaging Server 所在的目录:
cd /opt/SUNWmsgsr/sbin
-
运行以下命令配置 Messaging Server:
./configutil -o store.admins admin
此命令允许管理员用户 ID 管理 Messaging Server 消息存储并访问用户邮箱。
-
运行以下命令切换到邮件服务器根目录:
su mailsrv
-
运行以下命令配置 Messaging Server:
./configutil -o service.http.allowadminproxy -v yes
此命令允许 Messaging Server 验证代理帐户。
-
运行以下命令退出邮件服务器根目录:
exit
-
运行以下命令停止 Messaging Server。
./stop-msg
-
运行以下命令重新启动 Messaging Server。
./start-msg
启动过程将显示一系列启动消息。此过程可能需要几分钟的时间。启动完成后,将显示以下消息:
starting job-controller server
至此您便配置了 Messaging Server 以接受代理验证。
配置 Calendar Server 以实现代理验证
要配置 Calendar Server 以接受代理验证,需要使用文本编辑器编辑 Calendar Server 配置文件。此外,还要在命令行中运行配置命令。
步骤
-
将目录更改为 Calendar Server 所在的目录:
cd /etc/opt/SUNWics5/config
-
在文本编辑器中打开 ics.conf 文件。
找到以下各属性,并进行所述的更改。在某些情况下,这意味着需要更改值和取消注释行。而在其他情况下,只需取消注释行即可。
-
找到 service.http.allowadminproxy 属性。确认它未被注释。确保其值被设置为 yes:
service.http.allowadminproxy=”yes”
-
找到 service.admin.calmaster.cred 属性。确认它未被注释。确保其值被设置为 password。
service.admin.calmaster.cred=”password”
-
找到 service.admin.calmaster.userid 属性。确认它未被注释。确保其值被设置为 calmaster:
service.admin.calmaster.userid=”calmaster”
-
保存并关闭 ics.conf 文件。
-
-
将目录更改为 Calendar Server 所在的目录。
cd /opt/SUNWics5/cal/sbin
-
运行以下命令停止 Calendar Server。
./stop-cal
-
运行以下命令重新启动 Calendar Server。
./start-cal
启动过程将显示一系列启动消息。此过程可能需要几分钟的时间。启动完成后,将显示以下消息:
Calendar services were started.
至此您便配置了 Calendar Server 以实现代理验证。
配合使用门户桌面和代理验证
在本节中,您将登录到门户桌面并使用代理验证直接从该门户桌面打开 Messenger Express 和 Calendar Express 界面。
使用代理验证功能
步骤
-
请在 Web 浏览器中访问以下 URL:
http://evaluation_host/portal/dt
此时将显示样例门户桌面。
-
使用“成员登录”字段登录。键入下列值:
-
用户名:TestUser
-
密码:password
单击“登录”。门户桌面日历和邮件频道将显示 TestUser 的邮件和日历信息。您会看到类似于下图的显示屏幕。
图 8–3 显示邮件和日历频道的门户桌面
-
-
请注意日历和邮件频道此时将显示信息。
-
此时会显示 Calender Express 主窗口。从而核实了已为 Calendar Server 正确配置了代理验证。
-
单击“启动邮件”。
此时会显示 Messenger Express 主窗口。从而核实了已为 Messaging Server 正确配置了代理验证。
-
单击“注销”。
至此您便完成了评估方案。您可以继续试用评估部署的其他功能。
卸载组件
完成评估后,可使用 Java Enterprise System 卸载程序删除已安装的组件。可在 /var/sadm/prod/entsys 中找到卸载程序。
卸载 Java Enterprise System 组件
步骤
-
将目录更改为卸载程序所在的目录:
cd /var/sadm/prod/entsys
-
运行以下命令启动卸载程序:
./uninstall
-
回答卸载程序提示,以指定要卸载的组件。
有关使用卸载程序的完整说明,请参见 Java Enterprise System 安装指南,您可从 http://download.oracle.com/819-3315 找到该书的联机版本。
- © 2010, Oracle Corporation and/or its affiliates