AMConfig.properties 是 Access Manager 的主配置文件。您可以配置此文件中的某些属性而不是全部属性。 本章提供了在 AMConfig.properties 中包含的属性说明、默认属性值以及有关修改某些值的说明(这些值可以被更改而不会导致 Access Manager 不可用)。
本章包括以下内容:
在安装期间,AMConfig.properties 位于以下目录:/etc/opt/SUNWam/config。
AMConfig.properties 每行包含一个属性,每个属性都有一个对应的值。属性和值区分大小写。以斜杠和星号 (/*) 开始的行为注释,应用程序会忽略这种注释。注释的最后一行以星号和斜杠(*/)结尾。
修改 AMConfig.properties 中的属性后,必须重新启动 Access Manager 以激活更改。
com.iplanet.am.console.deploymentDescriptor
其值在安装期间设置。示例:/amconsole
com.iplanet.am.console.host
其值在安装期间设置。示例:hostName.domain.Name.com
com.iplanet.am.console.port
其值在安装期间设置。示例:80
com.iplanet.am.console.protocol
其值在安装期间设置。示例:http
com.iplanet.am.install.basedir
此为“只读”属性。不要修改属性值。
其值在安装期间设置。示例:/opt/SUNWam/web-src/services/WEB-INF
com.iplanet.am.install.vardir
此为“只读”属性。不要修改属性值。
其值在安装期间设置。示例:/var/opt/SUNWam
com.iplanet.am.installdir
此为“只读”属性。不要修改属性值。
其值在安装期间设置。示例:/opt/SUNWam
com.iplanet.am.jdk.path
其值在安装期间设置。示例:/usr/jdk/entsys-j2se
com.iplanet.am.locale
其值在安装期间设置。示例:en_US
com.iplanet.am.server.host
其值在安装期间设置。示例:hostName.domainName.com
com.iplanet.am.server.port
其值在安装期间设置。示例:80
com.iplanet.am.server.protocol
其值在安装期间设置。示例:http
com.iplanet.am.version
其值在安装期间设置。示例:7 2005Q4
com.sun.identity.server.fqdnMap[ ]
启用 Access Manager 验证服务可以使 Access Manager 在用户输入了错误的 URL 时进行纠错。例如,当用户指定了部分主机名或使用 IP 地址访问受保护的资源时,这很有用。
该属性的语法表示无效的 FQDN 值被映射到相应的有效值。此属性使用以下格式: com.sun.identity.server.fqdnMap[invalid-name]=valid—name 。在此示例中,invalid-name 是用户可能使用的无效的 FQDN 主机名,valid—name 是过滤器将用户重定向到的 FQDN 主机名。如果同一个无效的 FQDN 存在重叠值,则应用程序可能会无法访问。使用此属性的无效值也可以导致应用程序无法访问。可以使用此属性映射多个主机名。当服务器托管的应用程序能用多个主机名访问时,这很有用。
可以使用此属性配置 Access Manager,以便不对特定主机名的 URL 进行修正操作。这在要求不进行修正操作(如不对使用原始 IP 地址访问应用程序资源的用户进行重定向)时会很有帮助。
可以指定映射条目,如:com.sun.identity.server.fqdnMap[IP ]=IP .
可以指定任意数量的此类属性,只要它们是有效属性并且符合上述要求。示例: com.sun.identity.server.fqdnMap[isserver]=isserver.mydomain.comcom.sun.identity.server.fqdnMap[isserver.mydomain]=isserver.mydomain.com com.sun.identity.server.fqdnMap[IP address]=isserver.mydomain.com
com.iplanet.am.util.xml.validating
默认值为 no。当使用 Access Manager XMLUtils 类解析 XML 文档时,确定是否需要进行验证。此属性仅在 com.iplanet.services.debug.level 属性的值设置为 warning 或 message 时才有效。允许的值为 yes 和 no。仅当此属性的值为 yes,并且 com.iplanet.services.debug.level 属性设置为 warning 或 message 时,才会启用 XML 文档验证。
每个 SDK 高速缓存条目存储用户的一组 AMObject 属性值。
com.iplanet.am.sdk.cache.maxSize
默认值为 10000。指定启用缓存时 SDK 高速缓存的大小。请使用大于 0 的整数,或者使用默认大小(10000 个用户)。
com.iplanet.am.sdk.userEntryProcessingImpl
此属性指定实现 com.iplanet.am.sdk.AMUserEntryProcessed 接口的插件以执行用户创建、删除和修改操作的一些后期处理。如果使用此属性,应指定实现以上接口的全限定类名。
com.iplanet.am.sdk.caching.enabled
将此属性设置为 true 将启用高速缓存,设置为 false 则禁用高速缓存。默认值为 false。
com.iplanet.am.iASConfig
其值在安装期间设置。示例:APPSERVERDEPLOYMENT
此属性用来确定 Access Manager 是否在 iPlanet Application Server 上运行。
com.sun.identity.auth.cookieName
默认值为 AMAuthCookie。指定用于“验证服务”的 Cookie 名称以设置验证过程中的会话处理程序 ID。一旦此过程完成(成功或失败),此 Cookie 就被会清除或删除。
com.sun.identity.authentication.ocsp.responder.nickname
其值在安装期间设置。该响应器的证书授权机构 (CA) 证书昵称。示例:证书管理器 - sun。如果设置了该值,则 CA 证书必须出现在 Web 服务器的证书数据库中。
com.sun.identity.authentication.ocsp.responder.url
其值在安装期间设置。示例: http://ocsp.sun.com/ocsp
指定此实例的全局 OCSP 响应器 URL。 如果设置了 OCSP 响应器 URL,也必须设置 OCSP 响应器的昵称。否则此二者将被忽略。如果二者都没有设置,则用户证书中出现的 OCSP 响应器 URL 将用于 OCSP 验证。 如果 OCSP 响应器 URL 没有出现在用户证书中,则不会执行 OCSP 验证。
com.sun.identity.authentication.ocspCheck
默认值为 true。启用或禁用 OCSP 检查的全局参数。 如果该值为 false,则不能使用“证书验证”模块类型中的 OCSP 功能。。
com.sun.identity.authentication.special.users
其值在安装期间设置。示例:cn=dsameuser,ou=DSAME Users,o=AMRoot|cn=amService-UrlAccessAgent,ou=DSAME Users,o=AMRoot
确定此 Access Manager 验证组件的特殊用户或用户组。“客户机 API”使用此用户根据完整用户 DN 向 Access Manager 服务器验证远程应用程序。始终根据本地目录服务器验证此用户。此特殊用户 DN 的多个值用管道字符 (|) 分隔开。 此属性仅限“验证”组件使用。
com.sun.identity.authentication.super.user
其值在安装期间设置。示例:uid=amAdmin,ou=People,o=AMRoot
确定此 Access Manager 实例的超级用户。此用户必须使用 LDAP 登录,并且必须使用完整 DN。始终根据本地 Directory Server 验证此用户。
com.sun.identity.authentication.uniqueCookieDomain
用于设置上述 Cookie 名称的 Cookie 域。此 Cookie 域的设置应包含网络中安装的 CDC(跨域控制器)服务的所有实例。例如 .example.com,如果所有 Access Manager 实例都在域 example.com 中。
com.sun.identity.authentication.uniqueCookieName
默认值为 sunIdentityServerAuthNServer。 指定当 Access Manager 遭遇会话 Cookie 劫持时设置给 Access Manager 服务器主机 URL 的 Cookie 名称。
com.iplanet.am.auth.ldap.createUserAttrList
指定将“验证服务”配置为动态创建用户时包含在 LDAP 验证期间将从外部 Directory Server 检索的值的用户属性列表。在本地 Directory Server 中创建的新用户将具有从外部 Directory Server 检索的属性的值。
示例:attribute1, attribute2, attribute3
当为 SSL 配置 iPlanet Web 服务器时,设置这些属性可以初始化 JSS Socket Factory。
com.iplanet.am.admin.cli.certdb.dir
其值在安装期间设置。示例:/opt/SUNWwbsvr/alias
指定证书数据库路径。
com.iplanet.am.admin.cli.certdb.passfile
其值在安装期间设置。示例:/etc/opt/SUNWam/config/.wtpass
指定证书数据库密码文件。
com.iplanet.am.admin.cli.certdb.prefix
其值在安装期间设置。示例:https-hostName.domainName.com-hostName-
指定证书数据库前缀。
com.iplanet.am.cookie.encode
此属性允许 Access Manager URL 编码 Cookie 值,即将字符转换为 HTTP 能够解读的字符。
其值在安装期间设置。示例:false
com.iplanet.am.cookie.name
默认值为 iPlanetDirectoryPro。“验证服务”用于设置有效会话处理程序 ID 的 Cookie 名称。此 Cookie 名称的值可用于检索有效会话信息。
com.iplanet.am.cookie.secure
允许在安全模式下设置 Access Manager Cookie,在此模式下,当使用安全协议(如 HTTP(s))时,浏览器将仅返回 Cookie。
默认值为 false。
com.iplanet.am.console.remote
其值在安装期间设置。示例:false
确定控制台是安装在远程机上还是安装在本地机上供验证控制台使用。
com.iplanet.am.pcookie.name
指定持久 Cookie 的 Cookie 名称。当浏览器窗口关闭以后,持久 Cookie 继续存在。这使用户能够用新的浏览器会话登录而无需重新验证。默认值为 DProPCookie。
com.sun.identity.cookieRewritingInPath
默认值为 true。当 Access Manager 被配置为在 Cookieless 模式下运行时,此属性由“验证服务”读取。此属性指定需要使用以下格式将 Cookie 作为附加路径信息重新写入 URL 中:protocol://server:port/uri;cookiename= cookieValue?queryString. 如果未指定此属性,则 Cookie 将作为查询字符串的一部分写入。
com.sun.identity.enableUniqueSSOTokenCookie
默认值为 false。当值设置为 true 时,表示 Access Manager 遭遇了会话 Cookie 劫持。
com.iplanet.services.debug.directory
指定将在其中创建调式文件的输出目录。其值在安装期间设置。示例:/var/opt/SUNWam/debug
com.iplanet.services.debug.level
指定调试级别。默认值为 error。可能的值包括:
不创建调试文件。
仅记录错误消息。
仅记录警告消息。
记录错误、警告和通知消息。
com.iplanet.am.defaultOrg
其值在安装期间设置。示例:o=AMRoot
指定 Access Manager 信息树中的顶级领域或组织。
com.iplanet.am.directory.host
其值在安装期间设置。示例:DirectoryServerHost.domainName.com
指定 Directory Server 的全限定主机名。
com.iplanet.am.directory.port
其值在安装期间设置。示例:389
指定 Directory Server 端口号。
com.iplanet.am.directory.ssl.enabled
默认值为 false。指明安全套接字层 (SSL) 是否已启用。
com.iplanet.am.domaincomponent
其值在安装期间设置。示例:o=AMRoot
指定 Access Manager 信息树的域组件 (dc) 属性。
com.iplanet.am.rootsuffix
其值在安装期间设置。示例:o=AMRoot
com.iplanet.am.event.connection.delay.between.retries
默认值为 3000。 指定重试重新建立事件服务连接之间的延时(以毫秒为单位)。
com.iplanet.am.event.connection.ldap.error.codes.retries
默认值为 80、81、91。指定重试重新建立事件服务连接将触发的 LDAP 异常错误代码。
com.iplanet.am.event.connection.num.retries
默认值为 3。指定尝试成功重新建立事件服务连接的次数。
com.sun.am.event.connection.idle.timeout
默认值为 0。指定重新启动持久搜索之前的分钟数。
该属性在负载平衡器或防火墙位于策略代理和 Directory Server 之间并且持久搜索连接因 TCP idle timeout 断开时使用。此属性的值应小于负载平衡器或防火墙 TCP 超时的值。这样可以确保在连接断开之前重新启动持久搜索。值 0 表示不重新启动持久搜索。仅重置超时的连接。
com.iplanet.am.service.secret
其值在安装期间设置。示例:AQICPX9e1cxSxB2RSy1WG1+O4msWpt/6djZl
com.iplanet.am.services.deploymentDescriptor
其值在安装期间设置。示例:/amserver
com.iplanet.services.comm.server.pllrequest.maxContentLength
默认值为 16384 或 16k。指定 Access Manager 接受的 HttpRequest 的最大内容长度。
com.iplanet.services.configpath
其值在安装期间设置。示例:/etc/opt/SUNWam/config
com.iplanet.am.daemons
默认值为 unix securid。说明
securidHelper.ports
默认值为 58943。该属性采用以空格分隔的列表,用于 SecurID 验证模块和帮助器。
unixHelper.ipaddrs
其值在安装期间设置。指定 IP 地址列表,当启动帮助器时,amserver 脚本读取此列表并将其传送给 UNIX 帮助器。此属性包含以空格分隔的可信赖 IPv4 格式 IP 地址列表。
unixHelper.port
默认值为 58946。用于 UNIX 验证模块类型。
com.sun.identity.federation.alliance.cache.enabled
默认值为 true。如果为 true,联合元数据将在内部缓存。
com.sun.identity.federation.fedCookieName
默认值为 fedCookie。指定联合服务 Cookie 的名称。
com.sun.identity.federation.proxyfinder
默认值为 com.sun.identity.federation.services.FSIDPProxyImpl。定义实现以查找要被代理的首选身份提供者。
com.sun.identity.federation.services.signingOn
默认值为 false。指定 Liberty 请求和响应的签名验证级别。
Liberty 请求和响应将在发送时签署,并且接收的 Liberty 请求和响应将进行签名有效性验证。
发送和接收的 Liberty 请求和响应将不进行签名验证。
仅当联合配置文件要求时,Liberty 请求和响应才会进行签署或验证。
com.sun.identity.password.deploymentDescriptor
其值在安装期间设置。示例:/ampassword
com.sun.identity.policy.Policy.policy_evaluation_weights
默认值为 10:10:10。指定评估策略主题、规则和条件的比例处理成本。指定的值将影响策略的主题、规则和条件的评估顺序。此值用三个代表主题、规则和条件的整数来表示。此值以冒号 (:) 分隔,指示评估策略主题、规则和条件的比例处理成本。
com.sun.identity.session.application.maxCacheTime
默认值为 3。指定“应用程序会话”缓存时间的最大分钟数。默认情况下,如果不启用该属性高速缓存就不会终止。
com.sun.identity.sm.ldap.enableProxy
默认值为 false。指定连接要使用的“代理服务器”。如果后端存储器支持 LDAPProxy,则将该值设为 true。如果为 true,则为连接使用“代理服务器”;如果为 false,则不为连接使用“代理服务器”。
com.sun.identity.webcontainer
其值在安装期间设置。示例:WEB_CONTAINER
指定 Web 容器的名称。尽管 servlet 或 JSP 与 Web 容器无关,但 Access Manager 仍然使用 servlet 2.3 API request.setCharacterEncoding() 对收到的非英语字符正确解码。如果将 Access Manager 部署在 Sun Java System Web Server 6.1 上,这些 API 将不会运行。Access Manager 使用 gx_charset 机制正确解码 Sun Java System Web 服务器版本 6.1 和 S1AS7.0 中接收的数据。可能的值包括 BEA6.1、BEA 8.1、IBM5.1 或 IAS7.0。如果 Web 容器为 Sun Java System Web Server,则不替换标记。
这些属性标识了 SSL ApprovalCallback 的值。如果启用了 checkSubjectAltName 或 resolveIPAddress 功能,则必须在 com.iplanet.am.admin.cli.certdb.dir 目录中创建带有前缀值 com.iplanet.am.admin.cli.certdb.prefix 的 cert7.db 和 key3.db。然后重新启动 Access Manager。
com.iplanet.am.jssproxy.checkSubjectAltName
默认值为 false。当启用时,服务器证书包括“主题替换名”(SubjectAltName) 扩展名, 并且 Access Manager 会检查扩展名中的所有名称条目。如果 SubjectAltName 扩展名中的名称之一与服务器 FQDN 相同,则 Access Manager 将继续进行 SSL 信息交换。要启用此属性,请将其设置为用逗号分隔的可信赖 FQDN 列表。例如:com.iplanet.am.jssproxy.checkSubjectAltName= amserv1.example.com,amserv2.example.com
com.iplanet.am.jssproxy.resolveIPAddress
默认值为 false。
com.iplanet.am.jssproxy.trustAllServerCerts
默认值为 false。如果启用 (true),Access Manager 将忽略所有与证书相关的问题(如名称冲突)并继续进行 SSL 信息交换。为防止可能的安全性风险,请仅在测试时,或企业网被严密控制时启用此属性。如果可能会出现安全性风险(例如,如果服务器连接到不同网络的服务器),请避免启用此属性。
com.iplanet.am.jssproxy.SSLTrustHostList 如果设置了此属性,则 Access Manager 将检查正在被访问的服务器主机的“平台服务器” 列表。如果“平台服务器”列表中两台服务器的服务器 FQDN 匹配,Access Manager 将继续 SSL 握手。使用以下语法来设置属性:
com.iplanet.am.jssproxy.SSLTrustHostList = fqdn_am_server1 ,fqdn_am_server2, fqdn_am_server3
com.sun.identity.jss.donotInstallAtHighestPriority
默认值为 false。确定是否以最高优先级将 JSS 添加到 JCE。如果应使用其他 JCE 提供者进行数字签名和加密,则将该值设置为 true。
com.iplanet.am.ldap.connection.delay.between.retries
默认值为 1000。指定重试间隔的毫秒数。
com.iplanet.am.ldap.connection.ldap.error.codes.retries
默认值为 80、81、91。指定重试重新建立 LDAP 连接将触发的 LDAPException 错误代码。
com.iplanet.am.ldap.connection.num.retries
默认值为 3。指定尝试成功重新建立 LDAP 连接的次数。
com.sun.identity.liberty.interaction.htmlStyleSheetLocation
其值在安装期间设置。示例: /opt/SUNWam/lib/is-html.xsl
指定生成 HTML 交互页面的样式表的路径。
com.sun.identity.liberty.interaction.wmlStyleSheetLocation
其值在安装期间设置。示例: /opt/SUNWam/lib/is-wml.xsl
指定提供 WML 格式的交互页面的样式表路径。
com.sun.identity.liberty.interaction.wscSpecifiedInteractionChoice
默认值为 interactIfNeeded。指明 Web 服务使用方是否参与交互。允许的值为:
仅在必要时进行交互。还在指定的值无效时使用。
无交互。
无数据交互。
com.sun.identity.liberty.interaction.wscSpecifiedMaxInteractionTime
默认值为 80。Web 服务使用方对于可接受交互持续时间的首选项。该值以秒表示。 如果没有指定值或指定了非整数的值,则使用默认值。
com.sun.identity.liberty.interaction.wscWillEnforceHttpsCheck
默认值为 yes。指明 Web 服务使用方是否强制执行重定向至 URL 的请求使用 HTTPS 的要求。有效值为 yes 和 no。不区分大小写。Liberty 规范要求值为 yes。如果没有指定值,则将使用默认值。
com.sun.identity.liberty.interaction.wscWillInlcudeUserInteractionHeader
默认值为 yes。如果没有指定值,则将使用默认值。指示 Web 服务使用方是否包括 userInteractionHeader。允许的值为 yes 和 no。不区分大小写。
com.sun.identity.liberty.interaction.wscWillRedirect
默认值为 yes。指示 Web 服务使用方是否重定向用户以进行交互。有效值为 yes 和 no。如果没有指定值,则将使用默认值。
com.sun.identity.liberty.interaction.wspRedirectHandler
其值在安装期间设置。示例: http://hostName.domainName.com:portNumber/amserver/WSPRedirectHandler
指定用来处理基于用户代理重定向的 Liberty WSF WSP 资源拥有者交互的 URL WSPRedirectHandlerServlet。这应与 Liberty 服务提供者运行于同一个 JVM 上。
com.sun.identity.liberty.interaction.wspRedirectTime
默认值为 30。Web 服务提供者预期的交互持续时间。 以秒表示。如果没有指定值或指定了非整数值,则使用默认值。
com.sun.identity.liberty.interaction.wspWillEnforceHttpsCheck
默认值为 yes。如果没有指定值,则将使用默认值。指明 Web 服务使用方是否强制执行 returnToURL 使用 HTTPS 的要求。有效值为 yes 和 no。(不区分大小写)Liberty 规范要求值为 yes。
com.sun.identity.liberty.interaction.
wspWillEnforceReturnToHostEqualsRequestHost
Liberty 规范要求值为 yes。 指示 Web 服务使用方是否强制要求 returnToHost 和 requestHost 相同。有效值为 yes 和 no。
com.sun.identity.liberty.interaction.wspWillRedirect
默认值为 yes。如果没有指定值,则将使用默认值。指示 Web 服务提供者是否重定向用户以进行交互。有效值为 yes 和 no。不区分大小写。
com.sun.identity.liberty.interaction.wspWillRedirectForData
默认值为 yes。如果没有指定值,则将使用默认值。指明 Web 服务提供者是否重定向用户以进行数据交互。有效值为 yes 和 no。不区分大小写。
com.sun.identity.liberty.ws.interaction.enable
默认值为 false。
com.sun.identity.liberty.ws.jaxb.namespacePrefixMappingList
默认值为
=S=http://schemas.xmlsoap.org/soap/envelope/|sb=urn:liberty:sb:2003-08 |pp=urn:liberty:id-sis-pp:2003-08|ispp=http://www.sun.com/identity/ liberty/pp|is=urn:liberty:is:2003-08 |
。指定将 JAXB 内容树结构化为 DOM 树时使用的名称空间前缀映射。语法为 prefix=namespace|prefix=namespace|...
com.sun.identity.liberty.ws.jaxb.packageList
指定构建 JAXBContext 时使用的 JAXB 软件包列表。每个软件包必须用冒号 (: ) 分隔。
com.sun.identity.liberty.ws.security.TokenProviderImpl
默认值为 com.sun.identity.liberty.ws.security.AMSecurityTokenProviderDescription。
com.sun.identity.liberty.ws.soap.certalias
其值在安装期间设置。SSL 连接中将用于“Liberty SOAP 绑定”的客户机证书别名。
com.sun.identity.liberty.ws.soap.messageIDCacheCleanupInterval
默认值为 60000。指定缓存清理事件开始前所需时间的毫秒数。存储在高速缓存中的每条消息都带有自身的 messageID 以免消息重复。当消息的当前时间减去接收的时间超出 staleTimeLimit 值时,此消息将被从高速缓存中删除。
com.sun.identity.liberty.ws.soap.staleTimeLimit
默认值为 300000。确定消息是否过时从而不再值得信赖。如果消息的时间戳比当前时间戳早指定毫秒数,则该消息将被视为过时。
com.sun.identity.liberty.ws.soap.supportedActors
默认值为 http://schemas.xmlsoap.org/soap/actor/next。指定支持的 SOAP 参与者。各个参与者之间必须用管道字符 (|) 分隔开。
com.sun.identity.liberty.ws.ta.certalias
其值在安装期间设置。为将用于签署 SAML 或 SAML 的可信赖授权机构指定证书别名。响应消息的 BEARER 令牌。
com.sun.identity.liberty.ws.wsc.certalias
其值在安装期间设置。为此 Web 服务客户机指定用于发布 Web 服务安全令牌的默认证书别名。
com.sun.identity.liberty.ws.ta.certalias
其值在安装期间设置。为将用于签署 SAML 或 SAML 的可信赖授权机构指定证书别名。响应消息的 BEARER 令牌。
com.sun.identity.liberty.ws.trustedca.certaliases
其值在安装期间设置。
为可信赖的 CA 指定证书别名。接收的请求的 SAML 或 SAML BEARER 令牌。消息必须由此列表中的可信赖 CA 签署。语法为 cert alias 1[:issuer 1 ]|cert alias 2[:issuer 2]|....。示例: myalias1:myissuer1|myalias2|myalias3:myissuer3。当签名中没有令牌的 KeyInfo 时,将使用值 issuer。令牌的发布者必须在此列表中,相应的证书别名将用于验证签名。如果 KeyInfo 存在,则关键字库必须包含与此 KeyInfo 相匹配的证书别名,并且该证书别名必须在此列表中。
com.sun.identity.liberty.ws.security.TokenProviderImpl
其值在安装期间设置。指定安全令牌提供者的实现。
com.sun.identity.saml.removeassertion
默认值为 true。该标记指示是否应该从缓存中删除去除引用的声明。适用于已创建的与辅件相关联且已去除引用的声明。
com.iplanet.am.logstatus
指定是打开 (ACTIVE) 还是关闭 (INACTIVE) 日志。在安装过程中,该值被设置为 ACTIVE。
通过在 AMConfig.properties 文件中添加属性,可以配置包含在特定日志文件中的信息的详细程度。请使用以下格式:
iplanet-am-logging.logfileName .level=java.util.logging.Level,此处,logfileName 为 Access Manager 服务(参见表 1)的日志文件名,java.util.logging.Level 为允许的属性值。Access Manager 服务在 INFO 级别记录日志。SAML 和身份联合服务也在更详细的级别 (FINE、FINER、FINEST) 记录日志。示例:
iplanet-am-logging.amSSO.access.level=FINER
也可以关闭登录到某个特定日志文件。示例:
iplanet-am-logging.amConsole.access.evel=OFF
表 A–1 Access Manager 日志文件
日志文件名 |
记录的记录 |
---|---|
amAdmin.access |
成功的 amadmin 命令行事件 |
amAdmin.error |
amadmin 命令行错误事件 |
amAuthLog.access |
与 Access Manager 策略代理相关的事件。请参阅此表后的注释。 |
amAuthentication.access |
成功的验证事件 |
amAuthentication.error |
验证失败 |
amConsole.access |
控制台事件 |
amConsole.error |
控制台错误事件。 |
amFederation.access |
成功的联合事件。 |
amFederation.error |
联合错误事件。 |
amPolicy.access |
策略存储允许事件 |
amPolicy.error |
策略存储拒绝事件 |
amSAML.access |
成功的 SAML 事件 |
amSAML.error |
SAME 错误事件 |
amLiberty.access |
成功的 Liberty 事件 |
amLiberty.error |
Liberty 错误事件 |
amSSO.access |
单点登录的创建和破坏 |
amSSO.error |
单点登录错误事件 |
amAuthLog 文件名取决于 AMAgent.properties 中的“策略代理”属性。对于“Web 策略代理”,此属性为 com.sun.am.policy.agents.config.remote.log。对于“J2EE 策略代理”,此属性为 com.sun.identity.agents.config.remote.logfile。默认为 amAuthLog.host.domain.port,其中 host.domain 是运行“策略代理”Web 服务器的主机的全限定主机名,port 是该 Web 服务器的端口号。如果部署了多个“策略代理”,则可以有此文件的多个实例。属性 com.sun.identity.agents.config.audit.accesstype(适用于 Web 和 J2EE 代理)用于确定哪些数据将被远程记录。记录的数据可以包括策略允许、策略拒绝、允许和拒绝或既不允许也不拒绝。
com.iplanet.am.naming.failover.url
此属性在 Access Manager 7.0 中不再使用。
com.iplanet.am.naming.url
其值在安装期间设置。示例:http://hostName.domainName.com:portNumber/amserver/namingservice
指定要使用的命名服务 URL。
使用以下关键字配置通知线程池。
com.iplanet.am.notification.threadpool.size
默认值为 10。通过指定总线程数定义线程池的大小。
com.iplanet.am.notification.threadpool.threshold
默认值为 100。指定任务队列最大长度。
通知任务到达后,被发送至任务队列等待处理。如果队列达到最大长度,则以后接收的请求将被拒绝,并出现 ThreadPoolException,直到队列出现空缺。
com.iplanet.am.notification.url
其值在安装期间设置。示例:http://hostName.domainName.com:portNumber/amserver/notificationservice
com.iplanet.am.policy.agents.url.deploymentDescriptor
其值在安装期间设置。示例: AGENT_DEPLOY_URI
com.sun.identity.agents.app.username
默认值为 UrlAccessAgent。为应用程序验证模块指定要使用的用户名。
com.sun.identity.agents.cache.size
默认值为 1000。指定资源结果高速缓存的大小。在安装策略代理的服务器上创建高速缓存。
com.sun.identity.agents.header.attributes
默认值为 cn、ou、o、mail、employeenumber、c。指定策略评估者要返回的策略属性。使用格式 a[,...]。在本示例中,a 是数据存储库中要获取的属性。
com.sun.identity.agents.logging.level
默认值为 NONE。控制策略客户机 API 日志记录级别的粒度。默认值为 NONE。可能的值包括:
记录允许的访问请求。
记录拒绝的访问请求。
记录允许的访问和拒绝的访问请求。
不记录请求。
com.sun.identity.agents.notification.enabled
默认值为 false。为策略客户机 API 启用或禁用通知。
com.sun.identity.agents.notification.url
策略代理 SDK 将其用于注册策略更改通知。 错误配置此属性将导致策略通知被禁用。
com.sun.identity.agents.polling.interval
默认值为 3。指定轮询间隔,该间隔为条目从客户机 API 高速缓存断开之前的分钟数。
com.sun.identity.agents.resource.caseSensitive
默认值为 false。说明
指示策略评估期间是开启还是关闭区分大小写。
com.sun.identity.agents.true.value
指示策略操作的真实值。如果应用程序不需要访问 PolicyEvaluator.isAllowed 方法,则可以忽略该值。该值表示应如何解释 Access Manager 的策略决策。默认值为 allow。
com.sun.identity.agents.resource.comparator.class
默认值为 com.sun.identity.policy.plugins.URLResourceName
指定资源比较类名。 可用的实现类包括:com.sun.identity.policy.plugins.PrefixResourceName 和 com.sun.identity.policy.plugins.URLResourceName.
com.sun.identity.agents.resource.delimiter
默认值为反斜线 (/)。为资源名称指定分隔符。
com.sun.identity.agents.resource.wildcard
默认值为 *。为资源名称指定通配符。
com.sun.identity.agents.server.log.file.name
默认值为 amRemotePolicyLog。指定将消息记录到 Access Manager 要使用的日志文件名。只需指定文件名。 文件目录由其他 Access Manager 配置设置决定。
com.sun.identity.agents.use.wildcard
默认值为 true。指示是否将通配符用于资源名称比较。
com.sun.identity.policy.client.booleanActionValues
iPlanetAMWebAgentService|POST|allow|deny
默认值为 iPlanetAMWebAgentService|GET|allow|deny:。
为策略操作名称指定布尔操作值。使用格式 serviceName|actionName|trueValue|falseValue。操作名称的值用冒号 (:) 分隔。
com.sun.identity.policy.client.cacheMode
默认值为 self。为客户机策略评估者指定高速缓存模式。有效值为 subtree 和 self。如果设置为 subtree,则策略评估者可以从服务器获得来自实际请求的资源根目录的所有资源的策略决策。如果设置为 self,则策略评估者仅可从服务器获得实际请求的资源的策略决策。
com.sun.identity.policy.client.clockSkew
调整策略客户机机器和策略服务器之间的时间差。如果该属性不存在,并且策略代理时间不同于策略服务器时间,则会偶尔遇到错误的策略决策。必须运行时间同步服务,以使策略服务器上的时间和策略客户机上的时间尽量保持一致。使用此属性调整微小的时间差,不考虑运行时间同步服务。时钟相位差(以秒计) = agentTime - serverTime。注释掉策略服务器上的属性。不注释行,设置策略客户机或运行策略代理代理 - 服务器时钟相位差(以秒计)的机器上适当的值。
com.sun.identity.policy.client.resourceComparators=
serviceType=iPlanetAMWebAgentService|class=
指定用于不同服务名的 ResourceComparators。 从 Access Manager 控制台复制值。 转到服务配置 > 策略配置 > 全局:资源比较器。从 Access Manager 中连接多个值,使用冒号 (: ) 作为分隔符。
com.sun.identity.policy.plugins.URLResourceName|wildcard
默认值为 *|delimiter=/|caseSensitive=trueDescription
com.iplanet.am.profile.host
此属性在 Access Manager 7 中不再使用。提供此属性只是为了向下兼容。 其值在安装期间设置。示例:hostName.domainName.com
com.iplanet.am.profile.port
此属性在 Access Manager 7 中不再使用。提供此属性只是为了向下兼容。 其值在安装期间设置。示例: 80
使用以下关键字配置复制设置。
com.iplanet.am.replica.delay.between.retries
默认值为 1000。指定重试间隔的毫秒数。
com.iplanet.am.replica.num.retries
默认值为 0。指定重试次数。
com.sun.identity.saml.assertion.version
默认值为 1.1。指定所用的默认的 SAML 版本。可能的值是 1.0 或 1.1。
com.sun.identity.saml.checkcert
默认值为 on。根据关键字库中的证书检查嵌入 KeyInfo 的证书的标志。由 com.sun.identity.saml.xmlsig.keystore 属性指定关键字库中的证书。可能的值包括:on|off。如果标志为“on”,则 XML 签名验证使用的 * 证书必须存在于关键字库中*。如果标志为“off”,则跳过 * 存在检查*/。
XML 签名验证使用的证书必须出现在关键字库中。
跳过存在检查。
com.sun.identity.saml.protocol.version
默认值为 1.1。指定所用的默认的 SAML 版本。可能的值是 1.0 或 1.1。
com.sun.identity.saml.removeassertion
com.sun.identity.saml.request.maxContentLength
默认值为 16384。指定在 SAML 中使用的 HTTP 请求的最大内容长度。
com.sun.identity.saml.xmlsig.certalias
默认值为 test。说明
com.sun.identity.saml.xmlsig.keypass
其值在安装期间设置。示例:/etc/opt/SUNWam/config/.keypass
指定 SAML XML 关键字密码文件的路径。
com.sun.identity.saml.xmlsig.keystore
其值在安装期间设置。示例:/etc/opt/SUNWam/config/keystore.jks
指定 SAML XML 关键字库密码文件的路径。
com.sun.identity.saml.xmlsig.storepass
其值在安装期间设置。示例:/etc/opt/SUNWam/config/.storepass
指定 SAML XML 关键字库密码文件的路径。
com.iplanet.security.encryptor
默认值为 com.iplanet.services.util.JSSEncryption。指定加密类实现。可用的类包括:com.iplanet.services.util.JCEEncryption and com.iplanet.services.util.JSSEncryption。
com.iplanet.security.SecureRandomFactoryImpl
默认值为 com.iplanet.am.util.JSSSecureRandomFactoryImpl。指定 SecureRandomFactory 的工厂类名。可用的实现类有:使用 JSS 的 com.iplanet.am.util.JSSSecureRandomFactoryImpl 和使用纯粹 Java 的 com.iplanet.am.util.SecureRandomFactoryImpl。
com.iplanet.security.SSLSocketFactoryImpl
默认值为 com.iplanet.services.ldap.JSSSocketFactory。指定 LDAPSocketFactory 的工厂类名。可用的类包括:使用 JSS 的 com.iplanet.services.ldap.JSSSocketFactory 和使用纯粹 Java 的 netscape.ldap.factory.JSSESocketFactory。
com.sun.identity.security.checkcaller
默认值为 false。为 Access Manager 启用或禁用 Java 安全管理器权限检查。默认情况下,此设置处于禁用状态。如果启用此设置,则应对容器(Access Manager 部署在该容器中)的 Java 策略文件进行适当的更改。这样,Access Manager JAR 文件可以信赖,可以用来执行敏感操作。有关详细信息,请参阅 com.sun.identity.security 的 Java API Reference (Javadoc) 条目。
am.encryption.pwd
其值在安装期间设置。示例:dSB9LkwPCSoXfIKHVMhIt3bKgibtsggd
指定用于加密和解密密码的密钥。
com.iplanet.am.clientIPCheckEnabled
默认值为 false。指定是否在所有的 SSOToken 创建或验证中检查客户机的 IP 地址。
com.iplanet.am.session.client.polling.enable
此为“只读”属性。请勿修改属性值。
默认值为 false。启用客户端会话轮询。 请注意,会话轮询模式和会话通知模式是互斥的。 如果启用轮询模式,则自动关闭会话通知,反之亦然。
com.iplanet.am.session.client.polling.period
默认值为 180。指定轮询周期的秒数。
com.iplanet.am.session.httpSession.enabled
默认值为 true。启用或禁用 USING httpSession。
com.iplanet.am.session.invalidsessionmaxtime
默认值为 10。指定当创建了会话且用户没有登录时,从会话表中删除无效会话前的分钟数。该值应始终大于验证模块属性文件中超时的值。
com.iplanet.am.session.maxSessions
默认值为 5000。指定允许的并发会话的最大数目。
如果最大并发会话值超出此数目,登录时将发送“最大会话数”错误。
com.iplanet.am.session.purgedelay
默认值为 60。指定清除会话操作延迟的分钟数。
会话超时后,这是延长的时间长度,在此期间会话继续驻留在会话服务器中。客户机应用程序使用此属性检查通过 SSO API 的会话是否超时。此延长时间结束时,会话被销毁。如果用户注销或会话直接被 Access Manager 组件销毁,则此会话不会在延长的时间长度内保留。在此延长时间内,会话处于 INVALID 状态。
com.sun.am.session.caseInsensitiveDN
默认值为 true。比较代理 DN。如果值为 false,则比较区分大小写。
com.sun.am.session.enableHostLookUp
默认值为 false。启用或禁用在会话记录期间进行主机查找。
com.iplanet.am.smtphost
默认值为 localhost。指定邮件服务器主机。
com.iplanet.am.smtpport
默认值为 25。指定邮件服务器端口。
com.iplanet.am.stats.interval
默认值为 60。指定统计记录时间间隔的分钟数。最短 5 秒钟,以免 CPU 饱和。Access Manager 将任何小于 5 秒的值都假设为 5 秒。
com.iplanet.services.stats.directory
其值在安装期间设置。示例:/var/opt/SUNWam/stats 指定在其中创建调试文件的目录。
com.iplanet.services.stats.state
默认值为 file。指定统计日志的位置。可能的值包括:
没有记录统计信息。
统计信息被写入指定目录下的文件。
统计信息被写入 Web Server 日志文件。