test

Sun Java System Access Manager 7 2005Q4 管理指南

代表具有共同职责、特征或利益的用户集合。通常来说,这种分组不会涉及权限。组可存在于两个级别,分别是组织和其他受管组中。存在于其他组中的组称为子组。子组是“物理上”存在于父组内的子节点。

Access Manager 还支持嵌套组,它“代表”了单个组中所包含的现有组。与子组不同,嵌套组可以存在于 DIT 中的任何位置。使用嵌套组可以快速地为多个用户设置访问权限。

可以创建两种类型的组:静态组和动态组。只能手动将用户添加到静态组,动态组则通过过滤器控制用户的添加。这两种类型的组中都可以添加嵌套组或子组。

静态组

静态组是根据您指定的“受管组类型”创建的组。 使用 groupOfNamesgroupOfUniqueNames 对象类将组成员添加到组条目中。

注 –

默认情况下,受管组类型为动态的。 您可以在“管理”服务配置中更改此默认设置。

动态组

动态组是通过使用 LDAP 过滤器创建的。所有条目均由过滤器过滤并动态分配给组。过滤器将查找条目中的任何属性,并返回那些包含特定属性的条目。例如,如果您要根据构建号创建组,则可以使用过滤器返回一组包含该构建号属性的用户。

注 –

要使用参考完整性插件,应将 Access Manager 与 Directory Server 一起进行配置。当启用参照完整性插件后,它将直接在删除或重命名操作后对指定属性执行完整性更新。这将确保在整个数据库中维持相关条目之间的关系。数据库索引则增强了 Directory Server 中的搜索性能。有关启用插件的详细信息,参见《Sun Java System Access Manager 6 2005Q1 Migration Guide》

Procedure创建静态组

步骤

  1. 找到要在其中创建新组的组织、组或组容器。

  2. 在“组”列表中,单击“新建静态”。

  3. 在“名称”字段中输入组的名称。单击“下一步”。

  4. 选择“用户可以订阅此组”属性可以使用户自行订阅组。

  5. 单击 “确定” 。

    组创建完毕后,可以通过选择组的名称并单击“常规”选项卡来编辑“用户可以订阅此组”属性。

Procedure向静态组添加成员或从中移除

步骤

  1. 在“组”列表中,选择要添加成员的组。

  2. 在“选择操作”菜单中选择要执行的操作。可以执行以下操作:

    新建用户

    保存用户信息时,此操作将创建新用户并将该用户添加到组。

    添加用户

    此操作可将现有用户添加到组。选择此操作后,请创建搜索条件指定要添加的用户。用于构建该条件的字段使用 ANYALL 运算符。ALL 将根据所有指定的字段向用户返回结果。ANY 将根据所指定的任一字段向用户返回结果。如果某个字段保留为空,则该字段将匹配该特定属性的所有可能条目。

    搜索标准创建完毕后,单击“下一步”。从返回的用户列表中,选择要添加的用户并单击“完成”。

    添加组

    此操作可以将嵌套组添加到当前组。选择此操作时要创建搜索条件,包括搜索范围、组的名称(允许使用通配符“*”),并且可指定用户是否可以自行订阅组。信息输入完毕后,单击“下一步”。 从返回的组列表中,选择要添加的组并单击“完成”。

    移除成员

    此操作将从组中移除成员(包括用户和组),但不会将其删除。 选择要移除的成员并从“选择操作”菜单中选择“移除成员”。

    删除成员

    此操作将永久删除所选成员。选择要删除的成员,然后选择“删除成员”。

Procedure创建动态组

步骤

  1. 找到要在其中创建新组的组织或组。

  2. 单击“组”选项卡。

  3. 单击“新建动态”。

  4. 在“名称”字段中输入组的名称。

  5. 构造 LDAP 搜索过滤器。

    默认情况下,Access Manager 将显示“基本”搜索过滤器界面。 用于构造过滤器的“基本”字段使用 ANYALL 操作符。ALL 将根据所有指定的字段向用户返回结果。ANY 将根据所指定的任一字段向用户返回结果。如果某个字段保留为空,则该字段将匹配该特定属性的所有可能条目。

  6. 单击“确定”后,系统会自动将与搜索条件匹配的所有用户添加到组。

Procedure向动态组添加成员或从中移除

步骤

  1. 在“组”列表中,单击要添加成员的组的名称。

  2. 在“选择操作”菜单中选择要执行的操作。可以执行以下操作:

    添加组

    此操作可以将嵌套组添加到当前组。选择此操作时要创建搜索条件,包括搜索范围、组的名称(允许使用通配符“*”),并且可指定用户是否可以自行订阅组。信息输入完毕后,单击“下一步”。 从返回的组列表中,选择要添加的组并单击“完成”。

    移除成员

    此操作将从组中移除成员(包括组),但不会将其删除。 选择要移除的成员,然后选择“移除成员”

    删除成员

    此操作将永久删除所选成员。选择要删除的成员,然后选择“删除成员”。

将组添加到策略

可以通过定义策略的主题将 Access Manager 对象添加到策略中。在创建或修改策略时,可以在策略的“主题”页面中将组织、角色、组和用户定义为主题。定义了主题后,策略将被应用到对象。有关详细信息,请参阅管理策略