启用安全日志

步骤

1. 创建一个名为 Logger 的证书，然后将其安装于运行 Access Manager 的部署容器内。有关详细信息，请参阅部署容器文档。

2. 使用 Access Manager 控制台打开“日志记录服务”配置中的“安全日志”，然后保存更改。管理员也可修改“日志记录服务”中其他属性的默认值。

   如果日志目录从默认值 (/var/opt/SUMWam/logs) 进行了更改，则确保将权限设置为 0700。日志记录服务将创建目录（如果不存在），但它会按设置权限为 0755 的情况来创建目录。

   另外，如果指定了与默认目录不同的其他目录，则必须将 Web 容器的 server.policy 文件中的以下参数更改为新的目录：

   permission java.io.FilePermission “/var/opt/SUNWam/logs/*”,”delete,write”

3. 在包含证书数据库密码的 AccessManager-base/SUNWam/config 目录下创建一个文件，然后将其命名为 .wtpass。

   ---

   注 –

   可在 AMConfig.properties 文件中配置其文件名和路径。有关详细信息，请参阅附录 A，AMConfig.properties 文件中的“证书数据库”。

   出于安全考虑，应确保部署容器用户是唯一拥有读取该文件权限的管理员。

   ---

4. 重新启动服务器。

   由于某些可导致误解的验证错误在安全日志启动时可能会被写入 /var/opt/SUNWam/debug/amLog 文件，因此应清空安全日志目录。

   要检测未授权的更改或安全日志篡改，请查找由验证操作写入 /var/opt/SUNWam/debug/amLog 的错误信息。要手动检查篡改，请运行 VerifyArchive 实用程序。有关详细信息，请参阅第 19 章，VerifyArchive 命令行工具。