test

Sun Java System Access Manager 7 2005Q4 管理指南

第 III 部分 目录管理和默认服务

这是《Sun Java System Access Manager 7 2005Q4 管理指南》的第三部分。“目录管理”一章介绍当 Access Manager 在“传统模式”下部署时如何管理“目录”对象。其他几章介绍如何配置和使用 Access Manager 的一些默认服务。本部分包含以下各章:

第 10 章 目录管理

“目录管理”选项卡只有在“传统”模式下安装 Access Manager 时才显示。此目录管理功能可以为已启用了 Sun Java System Directory Server 的 Access Manager 部署提供身份管理解决方案。

有关“传统模式”安装选项的详细信息,参见《Sun Java Enterprise System 2005Q4 Installation Guide for UNIX》

管理目录对象

“目录管理”选项卡包含查看和管理 Directory Server 对象所需的所有组件。本部分说明对象类型及其详细配置方法。使用 Access Manager 控制台或命令行界面可以定义、修改或删除用户、角色、组、组织、子组织和容器对象。控制台有默认的管理员,他们拥有不同的权限级别以创建和管理目录对象。(可以基于角色创建其他管理员。)与 Access Manager 一起安装时,在 Directory Server 中会定义管理员。 可以管理的 Directory Server 对象有:

组织

在企业用来管理部门和资源的层次结构中,组织代表其最高一级。Access Manager 在安装时会动态创建一个顶级组织(在安装期间定义)来管理 Access Manager 企业配置。 安装后可以创建其他组织,以管理单独的企业。创建的所有组织都位列顶级组织之下。

Procedure创建组织

步骤

  1. 单击“目录管理”选项卡。

  2. 在“组织”列表中,单击“新建”。

  3. 输入字段的值。仅“名称”是必需字段。这些字段包括:

    名称

    输入组织名称的值。

    域名

    输入组织的完整域名系统 (DNS) 名称(如果存在)。

    组织状态

    选择不活动活动状态。默认值为活动。在组织的生命期内,可以随时选择“属性”图标来更改该状态。 如果选择不活动状态,则当登录到组织时,将禁止用户访问。

    组织别名

    该字段定义组织的别名,以允许您在通过 URL 登录时使用别名进行验证。For example, if you have an organization named exampleorg, and define 123 and abc as aliases, you can log into the organization using any of the following URLs:

    http://machine.example.com/amserver/UI/Login?org=exampleorg

    http://machine.example.com/amserver/UI/Login?org=abc

    http://machine.example.com/amserver/UI/Login?org=123

    组织别名在组织中必须唯一。可以使用“唯一属性列表”来强制执行唯一性。

    DNS 别名

    用于添加组织的 DNS 名称的别名。该属性只接受“真实的”域别名(不允许使用随机字符串)。例如,如果 DNS 的名称为 example.com,而名为 exampleorg 的组织的别名定义为 example1.comexample2.com,则可以使用以下任一 URL 登录到组织:

    http://machine.example.com/amserver/UI/

    Login?org=exampleorg

    http://machine.example1.com/amserver/

    UI/Login?org=exampleorg

    http://machine.example2.com/amserver/

    UI/Login?org=exampleorg

    唯一属性列表

    用于添加组织中用户的唯一属性名列表。例如,如果添加用于指定电子邮件地址的唯一属性名,则不能创建两个使用相同电子邮件地址的用户。也可以在该字段中输入以逗号分隔的列表。列表中的任一属性名均定义了唯一性。例如,如果该字段包含以下属性名列表:

    PreferredDomain, AssociatedDomain

    并且针对特定用户 PreferredDomain 被定义为 http://www.example.com,则整个以逗号分隔的列表在该 URL 中唯一。将命名属性 'ou' 添加到“唯一属性列表”并不会强制执行默认组和人员容器的唯一性。(ou=Groups,ou=People)。

    对于所有子组织都强制执行唯一性。

  4. 单击 “确定” 。

    新组织将显示在“组织”列表中。 要编辑在创建组织过程中定义的属性,请单击要编辑的组织的名称,更改属性,然后单击“保存”。

Procedure删除组织

步骤

  1. 选中要删除的组织名称旁边的复选框。

  2. 单击“删除”。

    注 –

    执行删除时不会显示警告消息。组织内的所有条目都将被删除,并且不能执行撤消操作。

将组织添加到策略

可以通过定义策略的主题将 Access Manager 对象添加到策略中。创建或修改策略时,组织、角色、组和用户可以被定义为主题。定义了主题后,策略将被应用到对象。有关详细信息,请参阅管理策略

容器

当由于对象类和属性的不同而无法使用组织条目时,将使用容器条目。请切记 Access Manager 容器条目和 Access Manager 组织条目不必等同于 LDAP 对象类 organizationalUnitorganization。它们是抽象身份条目。理想情况下,将使用组织条目而不使用容器条目。

注 –

容器的显示是可选的。要查看容器,必须选择“配置”>“控制台属性”下方“管理”服务中的“显示容器”。

Procedure创建容器

步骤

  1. 选择将在其中创建新容器的组织或容器的位置链接。

  2. 单击“容器”选项卡。

  3. 在“容器”列表中单击“新建”。

  4. 输入要创建的容器的名称。

  5. 单击 “确定” 。

Procedure删除容器

步骤

  1. 单击“容器”选项卡。

  2. 选中要删除的容器名称旁边的复选框。

  3. 单击“删除”。

    注 –

    如果删除某个容器,就会删除该容器中存在的所有对象,包括所有对象和子容器。

组容器

组容器用于管理组。它只能包含组和其他组容器。组容器组会被动态指定为所有受管组的父项。如果需要,可以添加其他组容器。

注 –

组容器的显示是可选的。要查看组容器,必须选择“配置”>“控制台属性”下方“管理”服务中的“启用组容器”。

Procedure创建组容器

步骤

  1. 选择将包含新的组容器的组织或组容器的位置链接。

  2. 选择“组容器”选项卡。

  3. 在“组容器”列表中单击“新建”。

  4. 在“名称”字段中输入值,然后单击“确定”。新的组容器将显示在“组容器”列表中。

Procedure删除组容器

步骤

  1. 找到包含要删除的组容器的组织。

  2. 选择“组容器”选项卡。

  3. 选中要删除的组容器旁边的复选框。

  4. 单击“删除”。

代表具有共同职责、特征或利益的用户集合。通常来说,这种分组不会涉及权限。组可存在于两个级别,分别是组织和其他受管组中。存在于其他组中的组称为子组。子组是“物理上”存在于父组内的子节点。

Access Manager 还支持嵌套组,它“代表”了单个组中所包含的现有组。与子组不同,嵌套组可以存在于 DIT 中的任何位置。使用嵌套组可以快速地为多个用户设置访问权限。

可以创建两种类型的组:静态组和动态组。只能手动将用户添加到静态组,动态组则通过过滤器控制用户的添加。这两种类型的组中都可以添加嵌套组或子组。

静态组

静态组是根据您指定的“受管组类型”创建的组。 使用 groupOfNamesgroupOfUniqueNames 对象类将组成员添加到组条目中。

注 –

默认情况下,受管组类型为动态的。 您可以在“管理”服务配置中更改此默认设置。

动态组

动态组是通过使用 LDAP 过滤器创建的。所有条目均由过滤器过滤并动态分配给组。过滤器将查找条目中的任何属性,并返回那些包含特定属性的条目。例如,如果您要根据构建号创建组,则可以使用过滤器返回一组包含该构建号属性的用户。

注 –

要使用参考完整性插件,应将 Access Manager 与 Directory Server 一起进行配置。当启用参照完整性插件后,它将直接在删除或重命名操作后对指定属性执行完整性更新。这将确保在整个数据库中维持相关条目之间的关系。数据库索引则增强了 Directory Server 中的搜索性能。有关启用插件的详细信息,参见《Sun Java System Access Manager 6 2005Q1 Migration Guide》

Procedure创建静态组

步骤

  1. 找到要在其中创建新组的组织、组或组容器。

  2. 在“组”列表中,单击“新建静态”。

  3. 在“名称”字段中输入组的名称。单击“下一步”。

  4. 选择“用户可以订阅此组”属性可以使用户自行订阅组。

  5. 单击 “确定” 。

    组创建完毕后,可以通过选择组的名称并单击“常规”选项卡来编辑“用户可以订阅此组”属性。

Procedure向静态组添加成员或从中移除

步骤

  1. 在“组”列表中,选择要添加成员的组。

  2. 在“选择操作”菜单中选择要执行的操作。可以执行以下操作:

    新建用户

    保存用户信息时,此操作将创建新用户并将该用户添加到组。

    添加用户

    此操作可将现有用户添加到组。选择此操作后,请创建搜索条件指定要添加的用户。用于构建该条件的字段使用 ANYALL 运算符。ALL 将根据所有指定的字段向用户返回结果。ANY 将根据所指定的任一字段向用户返回结果。如果某个字段保留为空,则该字段将匹配该特定属性的所有可能条目。

    搜索标准创建完毕后,单击“下一步”。从返回的用户列表中,选择要添加的用户并单击“完成”。

    添加组

    此操作可以将嵌套组添加到当前组。选择此操作时要创建搜索条件,包括搜索范围、组的名称(允许使用通配符“*”),并且可指定用户是否可以自行订阅组。信息输入完毕后,单击“下一步”。 从返回的组列表中,选择要添加的组并单击“完成”。

    移除成员

    此操作将从组中移除成员(包括用户和组),但不会将其删除。 选择要移除的成员并从“选择操作”菜单中选择“移除成员”。

    删除成员

    此操作将永久删除所选成员。选择要删除的成员,然后选择“删除成员”。

Procedure创建动态组

步骤

  1. 找到要在其中创建新组的组织或组。

  2. 单击“组”选项卡。

  3. 单击“新建动态”。

  4. 在“名称”字段中输入组的名称。

  5. 构造 LDAP 搜索过滤器。

    默认情况下,Access Manager 将显示“基本”搜索过滤器界面。 用于构造过滤器的“基本”字段使用 ANYALL 操作符。ALL 将根据所有指定的字段向用户返回结果。ANY 将根据所指定的任一字段向用户返回结果。如果某个字段保留为空,则该字段将匹配该特定属性的所有可能条目。

  6. 单击“确定”后,系统会自动将与搜索条件匹配的所有用户添加到组。

Procedure向动态组添加成员或从中移除

步骤

  1. 在“组”列表中,单击要添加成员的组的名称。

  2. 在“选择操作”菜单中选择要执行的操作。可以执行以下操作:

    添加组

    此操作可以将嵌套组添加到当前组。选择此操作时要创建搜索条件,包括搜索范围、组的名称(允许使用通配符“*”),并且可指定用户是否可以自行订阅组。信息输入完毕后,单击“下一步”。 从返回的组列表中,选择要添加的组并单击“完成”。

    移除成员

    此操作将从组中移除成员(包括组),但不会将其删除。 选择要移除的成员,然后选择“移除成员”

    删除成员

    此操作将永久删除所选成员。选择要删除的成员,然后选择“删除成员”。

将组添加到策略

可以通过定义策略的主题将 Access Manager 对象添加到策略中。在创建或修改策略时,可以在策略的“主题”页面中将组织、角色、组和用户定义为主题。定义了主题后,策略将被应用到对象。有关详细信息,请参阅管理策略

人员容器

人员容器是默认的 LDAP 组织单位。在组织中创建用户时,所有的用户都将被指定到该容器。 人员容器位于组织级别和人员容器级别(作为子人员容器)。它们只能包含其他人员容器和用户。如果需要,可以将其他人员容器添加到组织中。

注 –

人员容器的显示是可选的。要查看“人员容器”,必须在“管理服务”中选择“启用人员容器”。

Procedure创建人员容器

步骤

  1. 找到要在其中创建新人员容器的组织或人员容器。

  2. 在“人员容器”列表中单击“新建”。

  3. 输入要创建的人员容器的名称。

  4. 单击 “确定” 。

Procedure删除人员容器

步骤

  1. 找到包含要删除的人员容器的组织或人员容器。

  2. 选中要删除的人员容器名称旁边的复选框。

  3. 单击“删除”。

    注 –

    删除人员容器将删除该人员容器中存在的所有对象, 包括所有用户和子人员容器。

用户

用户表示个人身份。通过“Access Manager 身份管理”模块,可以在组织、容器和组中创建和删除用户,还可以在角色和/或组中添加或移除用户。此外,还可以将服务指定给用户。

注 –

如果在子组织中创建的用户使用了与 amadmin 相同的用户 ID,登录 amadmin 时将失败。如果发生了这样的问题,管理员应该通过 Directory Server 控制台更改用户 ID。这样可使管理员登录到默认组织。另外,验证服务中的“起始用户搜索的 DN”可以设置为人员容器 DN,以确保在登录过程中返回唯一匹配项。

Procedure创建用户

步骤

  1. 找到要在其中创建用户的组织、容器或人员容器。

  2. 单击“用户”选项卡。

  3. 在“用户”列表中单击“新建”。

  4. 为以下值输入数据:

    用户 ID

    此字段中应填入用户用来登录到 Access Manager 的名称。该属性可能是一个非 DN 值。

    名字

    此字段中应填入用户的名字。“名字”值和“姓氏”值可以标识“当前已登录”字段中的用户。 此值不用必须填写。

    姓氏

    此字段中应填入用户的姓氏。“名字”值和“姓氏”值可以标识用户。

    全名

    此字段中应填入用户的全名。

    密码

    此字段中应填入“用户 ID”字段中所指定名称的密码。

    密码(确认)

    确认密码。

    用户状态

    此选项指示是否允许用户通过 Access manager 进行验证。只有活动用户才能进行验证。默认值为活动

  5. 单击 “确定” 。

Procedure编辑用户概要文件

当某个尚未指定管理角色的用户通过 Access Manager 进行验证时,默认视图为用户自己的“用户概要文件”视图。 另外,具有适当权限的管理员可以编辑用户概要文件。 在该视图中,用户可以修改其个人概要文件的属性值。 “用户概要文件”视图中显示的属性可以扩展。 有关添加对象和身份的自定义属性的详细信息,请参阅 Access Manager Developer's Guide。

步骤

  1. 选择要对其概要文件进行编辑的用户。 默认情况下,屏幕上将显示“常规”视图。

  2. 编辑以下字段:

    名字

    此字段中应填入用户的名字。

    姓氏

    此字段中应填入用户的姓氏。

    全名

    此字段中应填入用户的全名。

    密码

    单击“编辑”链接以添加和确认用户密码。

    电子邮件地址

    此字段中应填入用户的电子邮件地址。

    员工编号

    此字段中应填入用户的员工编号。

    电话号码

    此字段中应填入用户的电话号码。

    家庭地址

    此字段中应填入用户的家庭地址。

    用户状态

    此选项指示是否允许用户通过 Access Manager 进行验证。只有活动用户才能通过 Access Manager 进行验证。默认值为“活动”。可以从下拉菜单中选择以下任意一个选项:。

    • 活动 — 用户可通过 Access Manager 进行验证。

    • 不活动 — 用户不能通过 Access Manager 进行验证,但用户概要文件仍会存储在目录中。

      注 –

      将用户状态更改为“不活动”仅影响通过 Access Manager 进行的验证。Directory Server 使用 nsAccountLock 属性来确定用户帐户的状态。 禁用 Access Manager 验证的用户帐户仍然可以执行不需要 Access Manager 的任务。要禁用目录中的某个用户帐户,而不仅仅是禁用 Access Manager 验证,应将 nsAccountLock 的值设置为 false。 如果站点的委托管理员要定期禁用用户,应考虑将 nsAccountLock 属性添加到“Access Manager 用户概要文件”页面。有关详细信息,请参阅《Sun Java System Access Manager 7 2005Q4 Developer’s Guide》

    帐户失效日期

    如果存在此属性,则当前日期和时间超过指定的“帐户失效日期”时,验证服务将不允许进行登录。 此属性的格式为 mm/dd/yyyy hh:mm

    用户验证配置

    此属性设置用户的验证链。

    用户别名列表

    此字段定义了一组应用于用户的别名。 要使用此属性中配置的别名,必须修改 LDAP 服务,即向 LDAP 服务中的“用户条目搜索属性”字段添加 iplanet-am-user-alias-list 属性。

    首选语言环境

    此字段指定用户的语言环境。

    成功 URL

    此属性指定用户在验证成功后,重新指向的 URL。

    失败 URL。

    此属性指定用户在验证失败后,重新指向的 URL。

    密码重置选项

    此字段用于选择要在忘记密码页面中使用的问题,该页面用来恢复忘记的密码。

    用户搜索资源提供

    设置用户的“用户搜索”服务的资源提供。

    MSISDN 号码

    使用 MSISDN 验证时,定义用户的 MSISDN 号码。

Procedure将用户添加到角色和组

步骤

  1. 单击“用户”选项卡。

  2. 单击所要修改的用户的名称。

  3. 选择“角色”或“组”选项卡。

  4. 选择要向其添加用户的角色或组,然后单击“添加”。

  5. 单击“保存”。

    注 –

    要从“角色”或“组”中移除用户,请选择角色或组并单击“移除”,然后单击“保存”。

将用户添加到策略

可以通过定义策略的主题将 Access Manager 对象添加到策略中。在创建或修改策略时,可以在策略的“主题”页面中将组织、角色、组和用户定义为主题。定义了主题后,策略将被应用到对象。有关详细信息,请参阅管理策略

角色

角色是与的概念类似的 Directory Server 条目机制。组有成员,角色也有成员。角色的成员是指拥有该角色的 LDAP 条目。角色本身的条件被定义为具有属性的 LDAP 条目,由条目的区别名 (DN) 属性来标识。 Directory Server 具有许多不同类型的角色,但 Access Manager 只能管理其中的一种:被管理的角色。

注 –

在目录部署中还可以使用其他的 Directory Server 角色类型,只是它们不能被 Access Manager 控制台管理。还可以在策略的主题定义中使用其他的 Directory Server 类型。有关策略主题的详细信息,请参阅创建策略

用户可以拥有一个或多个角色。例如,可以创建一个承包商角色,其属性来自“会话服务”和“密码重置服务”。新承包商雇员加入公司时,管理员可以将该角色指定给他们,而不需在承包商条目中分别设置各个属性。如果承包商在工程部工作并且需要适用于工程员工的服务以及访问权限,则管理员可以为该承包商同时指定工程角色和承包商角色。

Access Manager 使用角色来应用访问控制指令。首次安装时,Access Manager 会配置定义管理员权限的访问控制指令 (ACI)。然后在角色(如“组织管理员角色”和“组织帮助台管理员角色”)中指定这些 ACI,当这些角色被指定到用户时,可定义用户的访问权限。

仅当“管理服务”中启用了“在用户概要文件页面中显示角色”属性时,用户才可查看为其分配的角色。

注 –

要使用参考完整性插件,应将 Access Manager 与 Directory Server 一起进行配置。当启用参照完整性插件后,它将直接在删除或重命名操作后对指定属性执行完整性更新。这将确保在整个数据库中维持相关条目之间的关系。数据库索引则增强了 Directory Server 中的搜索性能。有关启用插件的详细信息,参见《Sun Java System Access Manager 6 2005Q1 Migration Guide》

有两种类型的角色:

Procedure创建静态角色

步骤

  1. 转到要在其中创建角色的组织。

  2. 单击“角色”选项卡。

    “角色”列表中将显示在配置组织时创建的一组默认角色。默认角色包括:

    容器帮助台管理员。“容器帮助台管理员”角色拥有对组织单位中所有条目的读取权限,但仅对自身容器单位中用户条目的 userPassword 属性拥有写入权限。

    组织帮助台管理员。“组织帮助台管理员”拥有对组织中所有条目的读取权限以及对 userPassword 属性的写入权限。

    注 –

    在创建子组织时,请记住管理角色是在子组织而不是父组织中创建的。

    容器管理员。“容器管理员”角色拥有对 LDAP 组织单位中所有条目的读写权限。 在 Access Manager 中,LDAP 组织单位通常被称为容器。

    组织策略管理员。“组织策略管理员”具有对所有策略的读写权限,可以创建、指定、修改和删除自身组织内的所有策略。

    人员管理员。默认情况下,新创建的组织中的所有用户条目都是该组织的成员。 “人员管理员”拥有对组织中所有用户条目的读写权限。请注意,该角色“并不”具有对包含角色和组 DN 的属性的读写权限,因此他们不能修改角色或组的属性,也不能从角色或组中移除用户。

    注 –

    可以使用 Access Manager 配置其他容器,以包含用户条目、组条目甚至其他容器。要将管理员角色应用到配置组织之后创建的容器,请使用默认的“容器管理员角色”或“容器帮助台管理员”。

    组管理员。创建组时所创建的“组管理员”拥有对特定组所有成员的读写权限,可以创建新用户、将用户指定到自己所管理的组以及删除自己创建的用户。

    创建组时,将自动生成“组管理员”角色,并赋予管理组所必需的权限,但不会将角色自动指定到组成员。角色必须由组创建者或任何拥有“组管理员角色”访问权限的人员来指定。

    顶级管理员。 “顶级管理员”拥有对顶级组织中所有条目的读写权限。换句话说,“顶级管理员”角色具有 Access Manager 应用程序内所有配置负责人所拥有的权限。

    组织管理员。“组织管理员”拥有对组织中所有条目的读写权限。创建组织时将自动生成“组织管理员”角色,该角色拥有管理组织所必需的权限。

  3. 单击“新建静态”按钮。

  4. 输入角色的名称。

  5. 输入角色的说明。

  6. 从“类型”菜单中选择角色类型。

    角色可以是“管理”角色,也可以是“服务”角色。角色类型由控制台使用,用来确定在哪里启动 Access Manager 控制台中的用户。管理角色会通知控制台,角色的所有人拥有管理权限;服务角色会通知控制台,角色的所有人为最终用户。

  7. 从“访问权限”菜单中选择默认的一组权限,以应用到角色。拥有这些权限,可以访问组织中的条目。显示的默认权限未按照特定顺序排列。这些权限包括:

    无权限

    对角色不设置权限。

    组织管理员

    “组织管理员”拥有对已配置的组织中所有条目的读写权限。

    组织帮助台管理员

    “组织帮助台管理员”拥有对已配置的组织中所有条目的读取权限以及对 userPassword 属性的写入权限。

    组织策略管理员

    “组织策略管理员”拥有对组织中所有策略的读写权限。“组织策略管理员”不能创建对等组织的侯选策略。

    通常,“无权限 ACI”会指定给“服务”角色,而默认的 ACI 会指定给“管理”角色。

Procedure将用户添加到静态角色

步骤

  1. 单击要为其添加用户的角色的名称。

  2. 在“成员”列表中,从“选择操作”菜单选择“添加用户”。

  3. 输入搜索条件信息。可以选择一个或多个显示的字段,根据这些字段来搜索用户。这些字段包括:

    匹配

    允许选择过滤器要包含的字段。ALL 将根据所有指定的字段向用户返回结果。ANY 将根据所指定的任一字段向用户返回结果。

    名字

    按照用户的名字搜索用户。

    用户 ID

    按照用户 ID 搜索用户。

    姓氏

    按照用户的姓氏搜索用户。

    全名

    按照用户的全名搜索用户。

    用户状态

    按照用户的状态(活动或不活动)搜索用户。

  4. 单击“下一步”开始搜索。将显示搜索结果。

  5. 选中用户名称旁边的复选框,可以从返回的名称中选择用户。

  6. 单击“完成”。

    用户将被分配到角色。

Procedure创建动态角色

步骤

  1. 转到要在其中创建角色的组织。

  2. 单击“角色”选项卡。

    “角色”列表中将显示在配置组织时创建的一组默认角色。默认角色包括:

    容器帮助台管理员。“容器帮助台管理员”角色拥有对组织单位中所有条目的读取权限,但仅对自身容器单位中用户条目的 userPassword 属性拥有写入权限。

    组织帮助台管理员。“组织帮助台管理员”拥有对组织中所有条目的读取权限以及对 userPassword 属性的写入权限。

    注 –

    在创建子组织时,请记住管理角色是在子组织而不是父组织中创建的。

    容器管理员。“容器管理员”角色拥有对 LDAP 组织单位中所有条目的读写权限。 在 Access Manager 中,LDAP 组织单位通常被称为容器。

    组织策略管理员。“组织策略管理员”具有对所有策略的读写权限,可以创建、指定、修改和删除自身组织内的所有策略。

    人员管理员。默认情况下,新创建的组织中的所有用户条目都是该组织的成员。 “人员管理员”拥有对组织中所有用户条目的读写权限。请注意,该角色“并不”具有对包含角色和组 DN 的属性的读写权限,因此他们不能修改角色或组的属性,也不能从角色或组中移除用户。

    注 –

    可以使用 Access Manager 配置其他容器,以包含用户条目、组条目甚至其他容器。要将管理员角色应用到配置组织之后创建的容器,请使用默认的“容器管理员角色”或“容器帮助台管理员”。

    组管理员。创建组时所创建的“组管理员”拥有对特定组所有成员的读写权限,可以创建新用户、将用户指定到自己所管理的组以及删除自己创建的用户。

    创建组时,将自动生成“组管理员”角色,并赋予管理组所必需的权限,但不会将角色自动指定到组成员。角色必须由组创建者或任何拥有“组管理员角色”访问权限的人员来指定。

    顶级管理员。 “顶级管理员”拥有对顶级组织中所有条目的读写权限。换句话说,“顶级管理员”角色具有 Access Manager 应用程序内所有配置负责人所拥有的权限。

    组织管理员。“组织管理员”拥有对组织中所有条目的读写权限。创建组织时将自动生成“组织管理员”角色,该角色拥有管理组织所必需的权限。

  3. 单击“新建动态”按钮。

  4. 输入角色的名称。

  5. 输入角色的说明。

  6. 从“类型”菜单中选择角色类型。

    角色可以是“管理”角色,也可以是“服务”角色。角色类型由控制台使用,用来确定在哪里启动 Access Manager 控制台中的用户。管理角色会通知控制台,角色的所有人拥有管理权限;服务角色会通知控制台,角色的所有人为最终用户。

  7. 从“访问权限”菜单中选择默认的一组权限,以应用到角色。拥有这些权限,可以访问组织中的条目。显示的默认权限未按照特定顺序排列。这些权限包括:

    无权限

    对角色不设置权限。

    组织管理员

    “组织管理员”拥有对已配置的组织中所有条目的读写权限。

    组织帮助台管理员

    “组织帮助台管理员”拥有对已配置的组织中所有条目的读取权限以及对 userPassword 属性的写入权限。

    组织策略管理员

    “组织策略管理员”拥有对组织中所有策略的读写权限。“组织策略管理员”不能创建对等组织的侯选策略。

    通常,“无权限 ACI”会指定给“服务”角色,而默认的 ACI 会指定给“管理”角色。

  8. 输入搜索条件信息。这些字段包括:

    匹配

    允许您使用运算符来连接所有用于过滤的字段。ALL 将根据所有指定的字段向用户返回结果。ANY 将根据所指定的任一字段向用户返回结果。

    名字

    按照用户的名字搜索用户。

    用户 ID

    按照用户 ID 搜索用户。

    姓氏

    按照用户的姓氏搜索用户。

    全名

    按照用户的全名搜索用户。

    用户状态

    按照用户的状态(活动或不活动)搜索用户。

  9. 单击“确定”以基于过滤条件启动搜索。通过过滤条件定义的用户会自动被指定到角色。

Procedure从角色中移除用户

步骤

  1. 找到包含要修改的角色的组织。

    从“身份管理” 模块的“查看”菜单中选择“组织”,然后选择“角色”选项卡。

  2. 选择要修改的角色。

  3. 从“查看”菜单中选择“用户”。

  4. 选中每个要移除的用户旁边的复选框。

  5. 单击“选择操作”菜单中的“移除用户”。

    用户将从角色中移除。

将角色添加到策略

可以通过定义策略的主题将 Access Manager 对象添加到策略中。在创建或修改策略时,可以在策略的“主题”页面中将组织、角色、组和用户定义为主题。定义了主题后,策略将被应用到对象。有关详细信息,请参阅管理策略

第 11 章 当前会话

本章介绍 Access Manager 的会话管理功能。“会话管理”模块提供了查看用户会话信息和管理用户会话的解决方案。它记录多个会话时间,并允许管理员终止会话。系统管理员应忽略“平台服务器”列表中列出的“负载平衡器”服务器。

当前会话界面

拥有适当权限的管理员可以通过“当前会话”模块界面,查看当前登录到 Access Manager 的用户的会话信息。

会话管理

“会话管理”窗格显示当前所管理的 Access Manager 的名称。

会话信息

“会话信息”窗口显示当前登录到 Access Manager 的所有用户,并显示每个用户的会话时间。显示的字段包括:

用户 ID。显示当前登录用户的用户 ID。

剩余时间。显示需要重新验证之前,用户的该会话所剩余的时间(以分钟为单位)。

最长会话时间。 显示会话过期之前用户可以登录的最长时间(以分钟为单位),过期后用户就必须重新验证才能重新获得访问权。

空闲时间。显示用户处于空闲状态的时间(以分钟为单位)。

最大空闲时间。显示用户在需要重新验证之前,可以处于空闲状态的最长时间(以分钟为单位)。

时间限制由管理员在“会话管理服务”中定义。

在“用户 ID”字段中输入字符串,然后单击“过滤”可以显示特定的用户会话或用户会话中特定的部分。允许输入通配符。

单击“刷新”按钮可以更新用户会话的显示。

终止会话

拥有适当权限的管理员可以随时终止用户会话。

Procedure终止会话

步骤

  1. 选择要终止的用户会话。

  2. 单击“终止”。

第 12 章 密码重置服务

Access Manager 提供的“密码重置”服务允许用户重新设置用于访问给定服务或受 Access Manager 保护的应用程序的密码。顶级管理员定义的“密码重置”服务属性控制了用户验证证书(以密码提示问题的形式),还控制了新的或现有密码通知的机制,以及为不正确用户验证设置可能的封锁间隔。

本章包括以下内容:

注册密码重置服务

用户所在领域无需注册“密码重置”服务。如果用户所在组织中不存在“密码重置”服务,它将继承为“服务配置”中的服务定义的值。

Procedure为不同领域中的用户注册密码重置

步骤

  1. 找到要为用户注册密码的领域。

  2. 单击领域名称,然后单击“服务”选项卡。

    如果尚未将其添加到领域,请单击“添加”按钮。

  3. 选择“密码重置”,然后单击“下一步”

    将显示“密码重置”服务属性。有关属性定义的信息,请参阅联机帮助。

  4. 单击“完成”。

配置密码重置服务

注册“密码重置”服务之后,必须由拥有管理员权限的用户配置该服务。

Procedure配置服务

步骤

  1. 选择已注册“密码重置”服务的领域。

  2. 单击“服务”选项卡。

  3. 单击服务列表中的“密码重置”。

  4. 出现“密码重置”属性,它允许定义“密码重置”服务的要求。确保启用“密码重置”服务(默认情况下)。必须至少定义以下属性:

    • 用户验证

      • 密码提示问题

      • 绑定 DN

      • 绑定密码

        “绑定 DN”属性必须包含拥有重置密码权限的用户(例如,帮助台管理员)。由于 Directory Server 中存在限制,因此当绑定 DN 为 cn=Directory Manager 时,“密码重置”将不生效。

        剩余属性则为可选。有关服务属性的说明,请参阅联机帮助。

      注 –

      Access Manager 将自动安装可随机生成密码的“密码重置”Web 应用程序。 但是,您也可写入自己的密码生成和密码通知插件类。有关这些插件类的范例,请参阅位于以下位置的 Readme.html 文件。

      PasswordGenerator:


      AccessManager-base/SUNWam/samples/console/PasswordGenerator

      NotifyPassword:


      AccessManager-base/SUNWam/samples/console/NotifyPassword

  5. 如果用户要定义他/她的唯一个人问题,则选择“已启用个人问题”属性。定义属性后,单击“保存”。

密码重置封锁

“密码重置”服务包含封锁功能,该功能限制了用户尝试正确回答其密码提示问题的次数。封锁功能是通过“密码重置”服务属性来配置的。有关服务属性的说明,请参阅联机帮助。“密码重置”支持两种类型的封锁:内存封锁和物理封锁。

内存封锁

这是一种临时封锁,仅当“密码重置失败封锁时间”属性中的值大于零且启用了“启用密码重置失败封锁”属性时才有效。该封锁将阻止用户通过“密码重置”Web 应用程序重置他们的密码。该封锁将持续到“密码重置失败封锁时间”中指定的时间,或是重新启动服务器前。有关服务属性的说明,请参阅联机帮助。

物理封锁

这是一种更为永久性的封锁。如果将“密码重置失败封锁计数”属性中的值设置为 0 且启用了“启用密码重置失败封锁”属性,则当用户未能正确回答密码提示问题时,其用户帐户的状态将变为不活动。有关服务属性的说明,请参阅联机帮助。

最终用户的密码重置

以下几节介绍“密码重置”服务的用户体验。

自定义密码重置

一旦启用了“密码重置”服务并且管理员定义了属性,用户便可登录到 Access Manager 控制台自定义他们的密码提示问题。

Procedure自定义密码重置

步骤

  1. 用户登录到 Access Manager 控制台,假设“用户名”和“密码”已验证成功。

  2. 在“用户概要文件”页面上,用户选择“密码重置”选项。此时将显示“可用问题答案”屏幕。

  3. 用户可看到管理员为服务定义的可用问题,如:

    • 您的宠物名称?

      • 您喜欢哪个电视节目?

      • 您母亲的娘家姓?

      • 您喜欢哪家餐馆?

  4. 用户选择密码提示问题,最多可选择管理员为领域定义问题的最大数目(“密码重置服务”定义的最大量)。然后,用户提供所选问题的答案。这些问题和答案会成为重置用户密码的基础(请参阅下一节)。如果管理员选择了“已启用个人问题”属性,则提供的文本字段将允许用户输入唯一密码提示问题并提供其答案。

  5. 用户单击“保存”。

重置忘记密码

如果用户忘记他们的密码,Access Manager 将使用“密码重置”Web 应用程序来随机生成新密码并将其告知用户。忘记密码的典型方案如下:

Procedure重置忘记密码

步骤

  1. 用户通过管理员赋予他们的 URL 登录到“密码重置”Web 应用程序。例如:

    http://hostname:port /ampassword(适用于默认领域)

    http://hostname: port/deploy_uri /UI/PWResetUserValidation?realm=realmname, 其中 realmname 为领域名称。

    注 –

    如果没有为父领域但为子领域启用了“密码重置”服务,则用户必须使用以下语法访问服务:


    http://hostname: port/deploy_uri/UI/PWResetUserValidation?realm=realmname

  2. 用户输入用户 ID。

  3. 用户将看到在“密码重置”服务中定义以及自定义期间由用户选择的个人问题。如果用户先前没有登录到“用户概要文件”页面且未自定义个人问题,将不会生成密码。

    一旦用户正确回答了问题,便会生成新密码并通过电子邮件发送给用户。无论用户是否正确回答了问题都将为用户发送尝试通知。为确保接收到新密码和尝试通知,用户必须在“用户概要文件”页面上输入他们的电子邮件地址。

密码策略

安全密码策略可通过执行以下操作将与易被猜中密码相关的风险降至最低:

Directory Server 提供了多种在树中的任意节点设置密码策略的方式,此外还有多种策略设置方式。 有关详细信息,请参阅以下 Directory Server 文档:

http://docs.sun.com/source/816-6700-10/aci.html#14773

http://docs.sun.com/source/816-6698-10/useracct.html#14386

第 13 章 日志记录服务

Sun Java™ System Access Manager 7 2005Q4 提供了可记录信息(如用户活动、流量模式和授权违规)的“日志记录服务”。此外,调试文件允许管理员排除其安装故障。

日志文件

日志文件为其监视的每项服务记录大量事件。管理员应定期查看这些文件。SPARC 系统的默认日志文件目录为 /var/opt/SUNWam/logs,Linux 系统的则为 /var/opt/sun/identity。通过使用 Access Manager 控制台可以在“日志记录服务”中配置日志文件目录。

《Sun Java System Access Manager 7 2005Q4 Technical Overview》中的“How the Logging Feature Works”一书中的“How the Logging Feature Works”,以获取默认日志文件类型、所记录的信息和日志文件格式的详细列表。

有关“日志记录服务”的属性定义,请单击 Access Manager 控制台中的“帮助”按钮查看联机帮助。

Access Manager 服务日志

有两种不同类型的服务日志文件:访问日志文件和错误日志文件。访问日志文件可能包含操作尝试和成功结果的记录。错误日志文件记录 Access Manager 服务中出现的错误。平面日志文件附加有 .error.access 扩展名。Oracle 数据库的数据库列名以 _ERROR_ACCESS 结尾,而 MySQL 数据库的则是以 _error_access 结尾。例如,记录控制台事件日志的平面文件名为 amConsole.access, 而记录相同事件日志的数据库列名为 AMCONSOLE_ACCESS。以下各节介绍“日志记录服务”记录的日志文件。

会话日志

“日志记录服务”记录以下“会话服务”事件:

会话日志的前缀为 amSSO。

控制台日志

Access Manager 控制台日志记录对与身份相关的对象、策略和服务(其中包括组织、组织单位、用户、角色、策略、组)的创建、删除和修改操作。它还记录对用户属性(包括密码)的修改以及向角色和组中添加用户或从中移除的操作。另外,控制台日志写入委托操作和数据存储库操作。控制台日志的前缀为 amConsole。

验证日志

“验证”组件记录用户登录和注销日志。验证日志的前缀为 amAuthentication。

联合日志

“联合”组件记录与联合相关的事件的日志,其中包括(但不限于)创建“验证域”和创建“托管供应商”。联合日志的前缀为 amFederation

策略日志

“策略”组件记录与策略相关的事件,其中包括(但不限于)策略管理(策略创建、删除和修改)和策略评估。策略日志的前缀为 amPolicy

代理日志

策略代理日志负责记录关于允许或拒绝用户访问的日志资源的异常日志。代理日志的前缀为 amAgentamAgent 日志仅驻留在代理服务器上。代理事件被记录在 Access Manager 服务器上的“验证日志”中。有关该功能的详细信息,请参阅论述策略代理的文档。

SAML 日志

SAML 组件记录与 SAML 相关的事件,其中包括(但不限于)创建或移除声明和辅件、响应和请求的详细信息以及 SOAP 错误。会话日志的前缀为 amSAML

amAdmin 日志

命令行日志记录使用命令行工具进行操作期间出现的事件错误。其中包括(但不限于)加载服务模式、创建策略和删除用户。命令行日志的前缀为 amAdmin。

日志记录功能

“日志记录服务”具有许多特殊功能,启用它们可以实现附加功能。其中包括“启用安全日志”、“命令行日志”和“远程日志”。

安全日志

此可选功能可以将其他安全性添加到日志记录功能中。启用“安全日志”后,可以检测对安全日志进行的未授权更改或篡改。无需特殊编码即可使用此功能。“安全日志”是通过使用系统管理员配置的预注册证书来完成的。此“清单分析和证书”(Manifest Analysis and Certification, MAC) 是为每个日志记录生成和存储的。定期插入的特殊“签名”日志记录代表了写入该点的日志内容签名。两个记录的组合可以确保日志未被篡改。

Procedure启用安全日志

步骤

  1. 创建一个名为 Logger 的证书,然后将其安装于运行 Access Manager 的部署容器内。有关详细信息,请参阅部署容器文档。

  2. 使用 Access Manager 控制台打开“日志记录服务”配置中的“安全日志”,然后保存更改。管理员也可修改“日志记录服务”中其他属性的默认值。

    如果日志目录从默认值 (/var/opt/SUMWam/logs) 进行了更改,则确保将权限设置为 0700。日志记录服务将创建目录(如果不存在),但它会按设置权限为 0755 的情况来创建目录。

    另外,如果指定了与默认目录不同的其他目录,则必须将 Web 容器的 server.policy 文件中的以下参数更改为新的目录:

    permission java.io.FilePermission “/var/opt/SUNWam/logs/*”,”delete,write”

  3. 在包含证书数据库密码的 AccessManager-base/SUNWam/config 目录下创建一个文件,然后将其命名为 .wtpass

    注 –

    可在 AMConfig.properties 文件中配置其文件名和路径。有关详细信息,请参阅附录 A,AMConfig.properties 文件中的“证书数据库”。

    出于安全考虑,应确保部署容器用户是唯一拥有读取该文件权限的管理员。

  4. 重新启动服务器。

    由于某些可导致误解的验证错误在安全日志启动时可能会被写入 /var/opt/SUNWam/debug/amLog 文件,因此应清空安全日志目录。

    要检测未授权的更改或安全日志篡改,请查找由验证操作写入 /var/opt/SUNWam/debug/amLog 的错误信息。要手动检查篡改,请运行 VerifyArchive 实用程序。有关详细信息,请参阅第 19 章,VerifyArchive 命令行工具

命令行日志

amadmin 命令行工具能够在 Directory Server 中创建、修改或删除身份对象(例如,组织、用户和角色)。该工具也可加载、创建和注册服务模板。“日志记录服务”可通过调用 -t 选项来记录这些操作。如果 AMConfig.properties 中的 com.iplanet.am.logstatus 属性被启用 (ACTIVE),将创建日志记录。(默认情况下将启用该属性。)命令行日志的前缀为 amAdmin。有关详细信息,请参阅第 14 章,amadmin 命令行工具

日志属性

AMConfig.properties 文件中有影响日志输出的属性:

com.iplanet.am.logstatus=ACTIVE

该属性将启用或禁用日志。默认为 ACTIVE。

iplanet-am-logging.service.level= level

service 是服务的常规调试文件名。leveljava.util.logging.Level 的值之一,表示日志中所记录的详细信息的级别。级别分为:SEVERE、WARNING、INFO、CONFIG、FINE、FINER 和 FINEST。大多数服务不记录详细信息级别高于 INFO 的日志。

远程日志

Access Manager 支持远程日志。这样就允许客户机应用程序使用安装有 Access Manager SDK 的主机,在部署在远程计算机上的 Access Manager 实例中创建日志记录。采用以下任意方案均可启动远程日志:

  1. 当 Access Manager 实例的“命名服务”中的日志 URL 指向远程实例,并且在两者之间有已配置的信任关系时,日志将被写入远程 Access Manager 实例。

  2. 当根据远程 Access Manager 实例安装 Access Manager SDK,并且在 SDK 服务器上运行的客户机(或简单 Java 类)使用日志 API 时,日志将被写入远程 Access Manager 计算机。

  3. 当 Access Manager 代理使用日志 API 时。

Procedure启用远程日志

步骤

  1. 如果您使用的是 Sun Java System Web Server,则需要在 server.xml 配置文件中设置以下环境变量:

    • java.util.logging.manager=com.sun.identity.log.LogManager

    • java.util.logging.config.file=/ AccessManager-base /SUNwam/lib/LogConfig.properties

    • 如果正在使用的 Java™ 2 Platform, Standard Edition 为 1.4 或更高版本,此操作需要通过调用以下命令行来完成:

      java -cp /AccessManager-base /SUNWam/lib/am_logging.jar:/ AccessManager-base /SUNWam/lib/xercesImpl.jar:/ AccessManager-base /SUNWam/lib/xmlParserAPIs.jar:/ AccessManager-base /SUNWam/lib/jaas.jar:/ AccessManager-base /SUNWam/lib/xmlParserAPIs.jar:/ AccessManager-base /SUNWam/lib/servlet.jar:/ AccessManager-base /SUNWam/locale:/ AccessManager-base/SUNWam/lib/am_services.jar:/ AccessManager-base/SUNWam/lib/am_sdk.jar:/ AccessManager-base/SUNWam/lib/jss311.jar:/ AccessManager-base/SUNWam/lib:.

      -Djava.util.logging.manager=com.sun.identity.log.LogManager

      -Djava.util.logging.config.file=/ AccessManager-base /SUNwam/lib/LogConfig.properties <logTestClass>

    • 如果正在使用的 Java 2 Platform, Standard Edition 的版本低于 1.4,此操作需要通过调用以下命令行来完成:

      java -Xbootclasspath/a:/AccessManager-base /SUNWam/lib/jdk_logging.jar -cp / AccessManager-base /SUNWam/lib/am_logging.jar:/ AccessManager-base /SUNWam/lib/xercesImpl.jar:/ AccessManager-base /SUNWam/lib/xmlParserAPIs.jar:/ AccessManager-base /SUNWam/lib/jaas.jar:/ AccessManager-base /SUNWam/lib/xmlParserAPIs.jar:/ AccessManager-base /SUNWam/lib/servlet.jar:/ AccessManager-base /SUNWam/locale:/ AccessManager-base/SUNWam/lib/am_services.jar:/ AccessManager-base/SUNWam/lib/am_sdk.jar:/ AccessManager-base/SUNWam/lib/jss311.jar:/ AccessManager-base/SUNWam/lib:.

      -Djava.util.logging.manager=com.sun.identity.log.LogManager

      -Djava.util.logging.config.file=/ AccessManager-base /SUNwam/lib/LogConfig.properties <logTestClass>

  2. 确保以下各参数是在位于 AccessManager-base/SUNWam/lib 中的 LogConfig.properties 内配置的:

    • iplanet-am-logging-remote-handler=com.sun.identity.

      log.handlers.RemoteHandler

    • iplanet-am-logging-remote-formatter=com.sun.

      identity.log.handlers.RemoteFormatter

    • iplanet-am-logging-remote-buffer-size=1

      远程日志以日志记录数目为基础支持缓冲技术。该值根据记录数目定义日志缓冲区的大小。 缓冲区满后,将刷新所有已缓冲的记录到服务器。

    • iplanet-am-logging-buffer-time-in-seconds=3600

      该值定义超时期限,可在其中调用日志缓冲区清理程序线程。

    • iplanet-am-logging-time-buffering-status=OFF

      该值定义是否启用日志缓冲技术(和缓冲区清理程序线程)。默认情况下,此功能被关闭。

    注 –

    每当日志文件为空,安全日志记录便可能显示“验证失败。”这是由于创建的文件数量等于归档大小时,安全日志记录将从此组归档并重新启动。在大部分实例中,可忽略此错误。一旦记录数等于归档大小,将不显示此错误。

错误日志和访问日志

存在两种类型的 Access Manager 日志文件:访问日志文件和错误日志文件。

访问日志文件记录与 Access Manager 部署有关的常见审计信息。日志可能包含某事件的单个记录,如验证成功。日志也可能包含同一事件的多个记录。例如,在管理员使用控制台更改属性值时,“日志记录服务”会将此更改尝试记录到一条记录中。“日志记录服务”还会将执行更改的结果记录到第二条记录中。

错误日志文件记录应用程序中发生的错误。将操作错误记录到错误日志的同时,操作尝试将被记录到访问日志文件中。

平面日志文件附加有 .error.access 扩展名。数据库列名以 _ERROR _ACCESS 结尾。例如:记录控制台事件的平面文件名称为 amConsole.access,而记录同样事件的数据库列则命名为 AMCONSOLE_ACCESSamConsole_access

下表对每个 Access Manager 组件所产生的日志文件进行了简要说明。

表 13–1 Access Manager 组件日志

组件 

日志文件名前缀 

记录的信息 

会话 

amSSO

会话管理属性值(如:登录时间、注销时间、超时限制)。 

管理控制台 

amConsole

通过管理控制台执行的用户操作(如:创建、删除和修改与身份相关的对象、领域和策略)。 

验证 

amAuthentication

用户登录和注销。 

身份联合 

amFederation

与联合相关的事件(如:“验证域”的创建以及“托管提供者”的创建)。联合日志的前缀为 amFederation

验证(策略) 

amPolicy

与策略相关的事件(如:策略创建、删除或修改以及策略评估)。 

策略代理 

amAgent

与资源相关的异常,这些资源被用户访问过,或拒绝用户访问。amAgent 日志驻留在安装策略代理的服务器上。代理事件记录在 Access Manager 计算机上的“验证日志”中。

SAML 

amSAML

与 SAML 相关的事件(如:声明和辅件的创建或删除、响应和请求详细信息以及 SOAP 错误)。 

命令行 

amAdmin

使用命令行工具的操作过程中发生的事件错误。例如:加载服务模式、创建策略以及删除用户。 

有关 Access Manager 日志文件列表和描述的详细信息,参见附录 C,日志文件参考

调试文件

调试文件不是“日志记录服务”的某一功能。使用独立于日志 API 的不同 API 可将其写入。调试文件存储在 /var/opt/SUNWam/debug 中。可在 AccessManager-base/SUNWam/lib/ 目录下的 AMConfig.properties 文件中配置该存储位置和调试信息的级别。有关调试属性的详细信息,请参阅附录 A,AMConfig.properties 文件

调试级别

有多个可记录到调试文件的信息级别。调试级别是通过 AMConfig.properties 中的 com.iplanet.services.debug.level 属性来设置的。

  1. 关 — 未记录任何调试信息。

  2. 错误 — 该级别已用于产品。在生产期间,调试文件中不应有错误。

  3. 警告 — 建议当前不使用该级别。

  4. 消息 — 该级别可对使用代码跟踪的可能问题发出警报。大多数 Access Manager 模块使用该级别发送调试消息。

    注 –

    不应在产品中使用“警告”级别和“消息”级别。它们会导致性能严重降低并生成大量调试消息。

调试输出文件

模块对调试文件进行写入操作前不会创建调试文件。因此,在默认的错误模式下,可能不生成任何调试文件。在设置调试级别为消息的基本登录上所创建的调试文件包括:

最常用的文件为 amSDKamProfile 以及所有与验证有关的文件。捕获的信息包括日期、时间和消息类型(错误、警告和消息)。

使用调试文件

默认情况下,调试级别设置为错误。出现以下情况时,调试文件对于管理员来说可能是有用的:

调试文件应与可能在将来拥有的任意故障排除指南同步。例如当 SSL 失败时,某人可能会打开消息调试,然后在 amJSS 调试文件中查找任意特定的证书错误。

多个 Access Manager 实例和调试文件

Access Manager 包含可用于配置服务器大量实例的 ammultiserverinstall 脚本。 如果配置了多个服务器实例以使用不同的调试目录,则每个单独的实例都必须同时拥有调试目录的读写权限。