组代表具有共同职责、特征或利益的用户集合。通常来说,这种分组不会涉及权限。组可存在于两个级别,分别是组织和其他受管组中。存在于其他组中的组称为子组。子组是“物理上”存在于父组内的子节点。
Access Manager 还支持嵌套组,它“代表”了单个组中所包含的现有组。与子组不同,嵌套组可以存在于 DIT 中的任何位置。使用嵌套组可以快速地为多个用户设置访问权限。
可以创建两种类型的组:静态组和动态组。只能手动将用户添加到静态组,动态组则通过过滤器控制用户的添加。这两种类型的组中都可以添加嵌套组或子组。
静态组是根据您指定的“受管组类型”创建的组。 使用 groupOfNames 或 groupOfUniqueNames 对象类将组成员添加到组条目中。
默认情况下,受管组类型为动态的。 您可以在“管理”服务配置中更改此默认设置。
动态组
动态组是通过使用 LDAP 过滤器创建的。所有条目均由过滤器过滤并动态分配给组。过滤器将查找条目中的任何属性,并返回那些包含特定属性的条目。例如,如果您要根据构建号创建组,则可以使用过滤器返回一组包含该构建号属性的用户。
要使用参考完整性插件,应将 Access Manager 与 Directory Server 一起进行配置。当启用参照完整性插件后,它将直接在删除或重命名操作后对指定属性执行完整性更新。这将确保在整个数据库中维持相关条目之间的关系。数据库索引则增强了 Directory Server 中的搜索性能。有关启用插件的详细信息,参见《Sun Java System Access Manager 6 2005Q1 Migration Guide》。
找到要在其中创建新组的组织、组或组容器。
在“组”列表中,单击“新建静态”。
在“名称”字段中输入组的名称。单击“下一步”。
选择“用户可以订阅此组”属性可以使用户自行订阅组。
单击 “确定” 。
组创建完毕后,可以通过选择组的名称并单击“常规”选项卡来编辑“用户可以订阅此组”属性。
在“组”列表中,选择要添加成员的组。
在“选择操作”菜单中选择要执行的操作。可以执行以下操作:
保存用户信息时,此操作将创建新用户并将该用户添加到组。
此操作可将现有用户添加到组。选择此操作后,请创建搜索条件指定要添加的用户。用于构建该条件的字段使用 ANY 或 ALL 运算符。ALL 将根据所有指定的字段向用户返回结果。ANY 将根据所指定的任一字段向用户返回结果。如果某个字段保留为空,则该字段将匹配该特定属性的所有可能条目。
搜索标准创建完毕后,单击“下一步”。从返回的用户列表中,选择要添加的用户并单击“完成”。
此操作可以将嵌套组添加到当前组。选择此操作时要创建搜索条件,包括搜索范围、组的名称(允许使用通配符“*”),并且可指定用户是否可以自行订阅组。信息输入完毕后,单击“下一步”。 从返回的组列表中,选择要添加的组并单击“完成”。
此操作将从组中移除成员(包括用户和组),但不会将其删除。 选择要移除的成员并从“选择操作”菜单中选择“移除成员”。
此操作将永久删除所选成员。选择要删除的成员,然后选择“删除成员”。
找到要在其中创建新组的组织或组。
单击“组”选项卡。
单击“新建动态”。
在“名称”字段中输入组的名称。
构造 LDAP 搜索过滤器。
默认情况下,Access Manager 将显示“基本”搜索过滤器界面。 用于构造过滤器的“基本”字段使用 ANY 或 ALL 操作符。ALL 将根据所有指定的字段向用户返回结果。ANY 将根据所指定的任一字段向用户返回结果。如果某个字段保留为空,则该字段将匹配该特定属性的所有可能条目。
单击“确定”后,系统会自动将与搜索条件匹配的所有用户添加到组。
在“组”列表中,单击要添加成员的组的名称。
在“选择操作”菜单中选择要执行的操作。可以执行以下操作:
此操作可以将嵌套组添加到当前组。选择此操作时要创建搜索条件,包括搜索范围、组的名称(允许使用通配符“*”),并且可指定用户是否可以自行订阅组。信息输入完毕后,单击“下一步”。 从返回的组列表中,选择要添加的组并单击“完成”。
此操作将从组中移除成员(包括组),但不会将其删除。 选择要移除的成员,然后选择“移除成员”
此操作将永久删除所选成员。选择要删除的成员,然后选择“删除成员”。
可以通过定义策略的主题将 Access Manager 对象添加到策略中。在创建或修改策略时,可以在策略的“主题”页面中将组织、角色、组和用户定义为主题。定义了主题后,策略将被应用到对象。有关详细信息,请参阅管理策略。