第 5 章 管理领域

访问控制领域是可以与用户或用户组关联的一组验证属性和授权策略。领域数据存储在专用信息树中，该树由 Access Manager 在指定的数据存储库中创建。Access Manager 框架聚集了 Access Manager 信息树中各领域所包含的策略和属性。默认情况下，除用户数据外，Access Manager 7 将 Access Manager 信息树作为 Sun Java Enterprise System Directory Server 中的一个特殊分支自动插入。您可以在使用任何 LDAPv3 数据库的同时使用访问控制领域。

有关领域的详细信息，请参阅《Sun Java System Access Manager 7 2005Q4 Technical Overview》。

在“领域”选项卡中，可以配置访问控制的以下属性：

• 验证

• 服务

• 权限

创建和管理领域

本节说明了如何创建和管理领域。

创建新的领域

步骤

1. 从“访问控制”选项卡下的“领域”列表中选择“新建”。

2. 定义以下常规属性：

   名称

   输入领域名称。

   父领域

   定义要创建的领域的位置。选择要在其中创建新领域的父领域。

3. 定义以下领域属性：

   领域状态

   选择“活动”状态或“不活动”状态。 默认值为“活动”。在领域的生命期内，可以随时通过选择“属性”图标来更改其状态。如果选择“不活动”，则当登录时，将禁止用户访问。

   领域/DNS 别名

   允许为领域的 DNS 名称添加别名。该属性只接受“真实的”域别名（不允许使用随机字符串）。

4. 单击“确认”保存或单击“取消”返回上一页面。

常规属性

“常规属性”页面显示领域的基本属性。要修改这些属性，请从“访问控制”选项卡下的“领域名称”列表中单击某领域。然后编辑以下属性：

领域状态

选择“活动”状态或“不活动”状态。 默认值为“活动”。在领域的生命期内，可以随时通过选择“属性”图标来更改其状态。如果选择“不活动”，则当登录时，将禁止用户访问。

领域/DNS 别名

允许为领域的 DNS 名称添加别名。该属性只接受“真实的”域别名（不允许使用随机字符串）。

编辑属性后，单击“保存”。

验证

在用户可以使用其他验证模块登录之前，常规验证服务必须注册为领域的服务。核心验证服务允许 Access Manager 7 管理员为领域的验证参数定义默认值。如果在指定的验证模块中没有定义覆盖值，则可以使用这些值。“核心验证服务”的默认值在 amAuth.xml 文件中进行定义，安装结束后将保存在 Directory Server 中。

有关详细信息，请参阅第 7 章，管理验证

服务

在 Access Manager 中，服务是由 Access Manager 控制台同时管理的一组属性。属性可以仅仅是一些相关的信息，如雇员姓名、职务以及电子邮件地址。但是属性常被用作软件模块（如邮件应用程序或工资单服务）的配置参数。

您可以通过“服务”选项卡在领域中添加和配置许多 Access Manager 默认服务。您可以添加以下服务：

• 管理

• 搜索服务

• 全局化设置

• 密码重置

• 会话

• 用户

Access Manager 要求服务 .xml 文件中的必需属性有一些默认值。如果服务的必需属性没有值，则需要添加默认值并重新加载服务。

将服务添加到领域

步骤

1. 单击要为其添加新服务的领域的名称。

2. 选择“服务”选项卡。

3. 单击“服务”列表中的“添加”。

4. 选择要为领域添加的服务。

5. 单击“下一步”。

6. 通过定义领域属性来配置服务。有关服务属性的说明，请参阅联机帮助中的“配置”。

7. 单击“完成”。

8. 要编辑服务的属性，请在“服务”列表中单击其名称。

权限

权限定义领域中现有的角色或组的访问权限。这些角色或组可用作“Access Manager 身份主题”类型的策略主题定义。单击您要进行编辑的角色或组的名称，可指定或修改权限。您可以指定的权限包括：

• 仅针对策略属性的读写访问权限

• 所有领域和策略属性的读写访问权限

• 所有属性和服务的只读访问权限