記錄 AMConfig.properties 中的 com.iplanet.am.session.protectedPropertiesList (6351192)
伺服器端的 com.iplanet.am.session.client.polling.enable 不得為 true (6320475)
如果您在範圍模式下安裝 Access Manager 7 2005Q4,將無法復原為舊有模式。
不過,如果您在舊有模式下安裝 Access Manager 7 2005Q4,則可使用含 -M 選項的 amadmin 指令變更為範圍模式。例如:
amadmin -u cn=amAdmin,ou=People,dc=example,dc=com -w amadmin-password -M dc=example,dc=com
Access Manager 會使用持續搜尋來接收關於 Sun Java System Directory Server 項目變更的資訊。依預設,Access Manager 會在伺服器啟動期間建立下列持續搜尋連線:
aci - 對 aci 屬性的變更,使用 LDAP 篩選器 (aci=*) 進行搜尋
sm - 在 Access Manager 資訊樹狀結構 (或服務管理節點) 中進行的變更,其中包含 sunService 或 sunServiceComponent 記號物件類別的物件。例如,您可能需要建立策略來定義受保護資源的存取權限,或者需要修改現有策略的規則、主旨、條件或回應提供者。
um - 在使用者目錄 (或使用者管理節點) 中進行的變更。例如,您可能要變更使用者的名稱或位址。
我們不建議您停用這些元件的持續搜尋,因為停用持續搜尋後的元件將無法從 Directory Server 接收通知。因此,元件快取將不會收到 Directory Server 中該特殊元件的變更通知,使得元件快取的內容會變得比較陳舊。
例如,如果您停用使用者目錄 (um) 變更的持續搜尋,Access Manager 伺服器將不會從 Directory Server 收到通知。因此,代理程式將不會從 Access Manager 取得通知,從而不會以使用者屬性的新值來更新其本機使用者快取。然後,當應用程式查詢代理程式的使用者屬性時,它可能會收到該屬性的舊值。
只有在特殊情況下有絕對必要時才使用此特性。例如,當您知道生產環境中不會發生 [服務配置] 變更 (涉及變更諸如 [階段作業服務] 和 [認證服務] 等服務的值) 時,則可以停用 [服務管理] (sm) 元件的持續搜尋。不過,如果任何服務發生任何變更,將需要重新啟動伺服器。相同的條件也會套用到由 aci 和 um 值所指定的其他持續搜尋。
如需更多資訊,請參閱CR# 6363157:新特性會在絕對必要時停用持續搜尋。
權限用於定義做為某範圍內角色或群組成員的管理員所具備的存取權限。Access Manager 允許您配置下列管理員類型的權限:
範圍管理員可執行所有與範圍相關的作業,包括定義識別儲存庫 (資料存放區)、配置認證及定義策略。
策略管理員可配置現有範圍內的策略。
支援下列權限:
所有範圍與策略特性的讀取與寫入存取權。定義範圍管理員的讀取和寫入存取權限。
僅針對策略特性的讀取與寫入存取權。定義策略管理員的讀取和寫入存取權限。
支援的權限組合:僅針對策略特性的讀取與寫入存取權,以及資料存放區的唯讀存取權。不支援其他的權限組合。
若 Access Manager 伺服器部署在負載平衡器之後,基於 cookie 的居留式請求路由可避免將用戶端請求誤送到不正確的 Access Manager 伺服器 (也就是未代管階段作業的伺服器)。Access Manager 7 2005Q4 修補程式 3 已實作此功能。
依照以前的運作方式,若沒有基於 cookie 的居留式請求路由,則非瀏覽器式用戶端 (例如策略代理程式及使用遠端 Access Manager 用戶端 SDK 的用戶端) 請求通常都會誤送到未代管階段作業的 Access Manager 伺服器。然後,為將請求傳送到正確的伺服器,Access Manager 伺服器必須使用回返通道通訊來驗證階段作業,而這通常會造成效能降低。基於 cookie 的居留式請求路由不需要此回返通道通訊,因此可改善 Access Manager 的效能。
若要實作基於 cookie 的居留式請求路由,必須將 Access Manager 部署配置為站點。如需相關資訊,請參閱「Sun Java System Access Manager 7 2005Q4 Deployment Planning Guide」中的「Configuring an Access Manager Deployment as a Site」。
若要配置基於 cookie 的居留式請求路由:
若要指定 cookie 名稱,請設定 AMConfig.properties 檔案中的 com.iplanet.am.lbcookie.name 特性。然後 Access Manager 便會使用兩個位元組的伺服器 ID (例如 01、02 和 03) 來產生負載平衡器 cookie 值。如果不指定 cookie 名稱,Access Manager 會使用預設名稱 amlbcookie 加上兩個位元組的伺服器 ID 來產生負載平衡器 cookie 值。
如果在 Access Manager 伺服器上設定了 cookie 的名稱,則策略代理程式的 AMAgent.properties 檔案中必須使用相同的名稱。同樣,如果使用的是 Access Manager 用戶端 SDK,也必須使用與 Access Manager 伺服器相同的 cookie 名稱。
備註:請勿設定 com.iplanet.am.lbcookie.value 特性,因為 Access Manager 會使用兩個位元組的伺服器 ID 來設定 cookie 值。
使用步驟 1 中的 cookie 名稱來配置負載平衡器。您可以在 Access Manager 部署使用硬體或軟體負載平衡器。
如果已實作階段作業容錯移轉,請啟用策略代理程式和 Access Manager 伺服器的 com.sun.identity.session.resetLBCookie 特性。
若為策略代理程式,請增加並啟用 AMAgent.properties 檔案中的特性。
若為 Access Manager 伺服器,請增加並啟用 AMConfig.properties 檔案中的特性。
例如:
com.sun.identity.session.resetLBCookie='true'
如果發生容錯移轉的情況,階段作業會被路由到輔助 Access Manager 伺服器,並使用輔助 Access Manager 伺服器的伺服器 ID 來設定負載平衡器的 cookie 值。然後任何後續階段作業請求也將路由到輔助 Access Manager 伺服器。
要在 Windows 2003 上配置 Windows Desktop SSO, 如「Sun Java System Access Manager 7 2005Q4 管理指南」中的「配置 Windows Desktop SSO」中所述,請使用下列 ktpass 指令:
ktpass /out filename /mapuser username /princ HTTP/hostname.domainname /crypto encryptiontype /rndpass /ptype principaltype /target domainname
例如:
ktpass /out demo.HTTP.keytab /mapuser http /princ HTTP/demo.identity.sun.com@IDENTITY.SUN.COM /crypto RC4-HMAC-NT /rndpass /ptype KRB5_NT_PRINCIPAL /target IDENTITY.SUN.COM
如需語法定義,請參閱下列網站:
下列程序描述如何設定分散式認證 UI 伺服器與 Access Manager 伺服器進行通訊的加密密碼。
若要設定分散式認證 UI 伺服器的密碼:
在 Access Manager 伺服器中:
在分散式認證 UI 伺服器上,對 AMConfig.properties 檔案進行如下變更:
將 com.iplanet.am.service.password 特性標記為註釋。
將 com.iplanet.am.service.secret 特性設為在步驟 1a 中加密的 amadmin 密碼。
增加從步驟 1b 中複製的 am.encryption.pwd 及加密值。例如:
com.sun.identity.agents.app.username=username #com.iplanet.am.service.password=password com.iplanet.am.service.secret=AQIC0K3omEozd544XEJIg25GT2wi1D7UAQLX am.encryption.pwd=ydV8JXhJF2J35vpxjZRiGt7SH/7mUr+Y
重新啟動分散式認證 UI 伺服器。
Access Manager 主控台線上說明中,未描述在 [配置] > [系統特性] > [平台] 之下「建立新站點名稱」的 [儲存] 步驟。如果您在增加新站點名稱後沒有按一下 [儲存],當您再嘗試增加實例名稱時,該程序會失敗。因此,在增加站點名稱後請務必按一下 [儲存],然後再增加實例名稱。
在 Solaris 和 Linux 系統中,amsamplesilent 中的 Access Manager 管理員 (amadmin) 密碼配置參數為 ADMINPASSWD。不過,在 Windows 系統中,AMConfigurator.properties 檔案中的參數為 ADMIN_PASSWD。
如果您在 Windows 系統中執行 amconfig.bat,請使用 ADMIN_PASSWORD 參數而不要使用 ADMINPASSWD 設定 AMConfigurator.properties 檔案中的 amadmin 密碼。
已更正針對執行 Web 服務範例時傳回 [找不到資源提供](6359900) 之解決方法的步驟 3。
com.iplanet.am.session.protectedPropertiesList 參數讓您可以保護特定的核心或內部階段作業特性,使它們不會被階段作業服務的 SetProperty 方法從遠端更新。藉由設定此「隱藏」的關鍵安全性參數,您可自訂階段作業屬性以便參與授權以及其他的 Access Manager 功能。若要使用此參數:
使用文字編輯器,將參數加入 AMConfig.properties 檔案。
將參數設定為要保護的階段作業特性。例如:
com.iplanet.am.session.protectedPropertiesList = PropertyName1,PropertyName2,PropertyName3
重新啟動 Access Manager Web 容器以使這些值生效。
如果資料儲存於 Sun Java System Directory Server 中,則套用對應的修補程式後,可為 LDAPv3 外掛程式配置角色和已篩選角色 (可修正 CR 6349959)。在 Access Manager 7 2005Q4 管理員主控台中,在 LDAPv3 配置的 [LDAPv3 外掛程式支援的類型和作業] 欄位中,輸入下列值:
role: read,edit,create,delete filteredrole: read,edit,create,delete
您可輸入上述項目之一或二者皆輸入,依您計劃在 LDAPv3 配置中使用的角色和已篩選角色而定。
AMConfig.properties 檔案中未使用下列特性:
com.iplanet.am.directory.host com.iplanet.am.directory.port
AMConfig.properties 檔案中的 com.iplanet.am.session.client.polling.enable 特性在伺服器端永遠不可以設定為 true。
解決方法:依預設,此特性設為 false,應永遠不得重設為 true。
service.scserviceprofile.iplanetamauthservice.html 線上說明檔案中的預設成功 URL 不正確。[預設成功 URL] 欄位接受多重值清單,此清單指定認證成功後,會將使用者重新導向至的 URL。此屬性格式為 clientType|URL,您僅能指定 URL 的值,預設為 HTML 類型。
“/amconsole” 預設值不正確。
解決方法:正確的預設值為「/amserver/console」。
若要啟用 Access Manager 或 Federation Manager 的 XML 加密 (使用 Bouncy Castle JAR 檔來產生傳輸的金鑰),依下列步驟操作:
若您使用的 JDK 版本早於 JDK 1.5,從 Bouncy Castle 網站 (http://www.bouncycastle.org/) 下載 Bouncy Castle JCE 提供者。例如,若使用 JDK 1.4,則下載 bcprov-jdk14-131.jar 檔。
若您已依前述步驟下載 JAR 檔,將檔案複製到 jdk_root/jre/lib/ext 目錄中。
有關各國的 JDK 版本資訊,從 Sun 網站 (http://java.sun.com) 下載針對您的 JDK 版本的 JCE Unlimited Strength Jurisdiction Policy Files。若使用 IBM WebSphere,前往對應的 IBM 網站下載所需的檔案。
將下載的 US_export_policy.jar 和 local_policy.jar 檔案複製到 jdk_root/jre/lib/security 目錄。
若您使用的 JDK 版本早於 JDK 1.5,則編輯 jdk_root/jre/lib/security/java.security 檔案,增加 Bouncy Castle 做為提供者之一。例如:
security.provider.6=org.bouncycastle.jce.provider.BouncyCastleProvider
在 AMConfig.properties 檔案中將下列特性設定為 true:
com.sun.identity.jss.donotInstallAtHighestPriority=true
重新啟動 Access Manager Web 容器。
如需更多資訊,請參考問題 ID 5110285 (XML 加密需有 Bouncy Castle JAR 檔)。