上一頁      目錄      索引      下一頁
Sun Java System Portal Server 6 2005Q4 管理指南

第 6 章
管理認證、使用者與服務

本章說明如何使用 Sun Java™ System Access Manager 管理認證、使用者和服務。本章會將重點放在與 Sun Java™ System Portal Server 相關的方面，而不會說明 Access Manager 的各個方面。如需更多資訊，請參閱 Access Manager 文件。

本章包含下列章節：

Sun Java System Access Manager 概述
登入 Access Manager 管理主控台
檢視基本資訊
啟動與停止 Portal Server
管理 Access Manager 服務
管理 Portal Server 使用者
配置認證
Portal Server 如何使用策略管理
登入 Portal Server 桌面
管理記錄

---

Sun Java System Access Manager 概述

在 Sun Java System Portal Server (前身為 Sun™ ONE Portal Server) 實作中，您可透過產品本身管理認證方法、建立網域、角色及使用者，並且管理其他資料 (如設定檔屬性及記錄)。您也能使用 iPlanet Portal Server 3.0 API 以開發自訂的應用程式。

如今，使用 Portal Server 6 產品時，您將會使用 Access Manager 管理功能以及之前的 iPlanet Portal Server 3.0 中的 API。Access Manager 是一組工具，它充分利用了Sun Java™ System Directory Server 管理與安全方面的潛力。Access Manager 提供的介面可讓您使用 Sun Java System Directory Server 管理組織的使用者物件、策略和服務。

Access Manager 能讓：

Sun Java System Directory Server 執行使用者認證與單次登入，增加資料安全性。
管理員根據角色初始化使用者項目管理，這是一個項目群組機制，做為使用者項目中的一個屬性出現。
開發人員定義與管理預設及自訂服務的配置參數。

若要存取這些功能，您可以使用以 Web 為基礎的 Access Manager 管理主控台 (圖形化使用者介面) 或者指令行介面 (amadmin)，如此可讓您在 Directory Server 上執行批次管理作業。

Access Manager 功能摘要

Access Manager 提供下列管理元件。之前，這些元件存在於 Portal Server 3.0 架構自身。

使用者管理—建立與管理使用者相關的物件 (使用者、角色、群組、使用者容器、組織、子組織與組織單位物件)。這些可以使用 Access Manager 主控台或指令行介面來定義、修改或刪除。
認證—為使用者認證提供外掛程式解決方案。認證特定使用者所需的準則是根據 Portal Server 企業中每個組織配置的認證服務。在被允許存取 Portal Server 階段作業之前，每個使用者都必須成功通過認證。
單次登入—使用者一旦獲得認證，單次登入 (SSO) 的 Access Manager API 便會接管。每次已獲得認證的使用者嘗試存取受保護的頁面時，SSO API 會根據其認證憑證，決定使用者是否具有所需的權限。如果使用者為有效，則會提供對該頁面的存取而不需要其他認證。如果無效，將會提示使用者再次認證。
服務管理—指定預設與自訂服務的配置參數，包括 Portal Server 產品本身 (Portal Desktop、Rewriter、搜尋與 NetMail) 的配置參數。
策略管理—定義、修改或移除控制對商務資源存取的規則。整體而言，這些規則稱為政策。政策能以角色或組織為基礎，而且能提供權限或定義限制。

比較：Portal Server 3.0 與 Portal Server 6.2

表 6-1 提供 Portal Server 產品所發生主要變更的摘要。之前為 Sun Java System Portal Server 3.0 (前身為 iPlanet Portal Server 3.0) 產品一部分的許多功能，現在是 Access Manager 的一部分。在表格中，第一欄列出概念或術語，第二欄定義 Portal Server 3.0 產品中該術語的功能，第三欄描述 Portal Server 6.2 產品中對應的功能。

備註	這些變更隨附於 Sun Java System 2003Q4 產品，且此資訊為該產品的使用者而保留。

表 6-1  Portal Server 3.0 對 Portal Server 6.2 之比較 

概念或術語	Portal Server 3.0	Portal Server 6.2
角色樹	您在 Portal Server 3.0 內配置的階層，用於組織使用者與應用程式。角色樹的四個層級為： 根 網域 角色 使用者	角色樹的概念不再適用。 相反地，因為 Access Manager 利用了 Sun Java System Directory Server 的功能，您可以使用目錄資訊樹 (DIT) 來組織您的使用者、組織、子組織等等。
網域/組織	具有共同興趣使用者的頂層群組，例如員工或客戶。請注意這不是 DNS 網域，而是 Portal Server 3.0 用於將使用者群組為邏輯社群的方法。	網域的概念不再適用。相反地，Access Manager 組織代表企業所使用階層式結構的頂層，用於管理其部門與資源。 在安裝時，Access Manager 會詢問根字尾，預設是由網域名稱導出 (例如，對於網域 sun.com，預設是 dc=sun, dc=com)。在安裝之後可以建立其他的組織以管理分別的企業。所有建立的組織會落在頂層組織之下。在這些子組織中可以嵌入其他子組織。巢式結構沒有深度上的限制。
角色	根據功能分隔網域的成員。角色包含一組屬性與定義使用者桌面策略的策略。	包含可授與使用者的權限或一組權限。這包含儲存在 Sun Java System Directory Server 的識別資訊的存取與管理，以及 Access Manager 策略模組所保護權限的存取。Access Manager 角色也與儲存在服務類別範本的設定檔相關。 角色在 Access Manager 中定義不同，而且它包括單一使用者具備多重角色的能力，之前並未支援。 角色的權限定義於存取控制指令 (ACI) 中。Access Manager 包含幾個預先定義的角色。Access Manager 主控台可讓您編輯角色的 ACI，以指定「目錄資訊樹」中的存取權限。
屬性	支援兩種屬性類型：全域與使用者可配置。全域屬性套用整個平台而且只能由「超級管理員」配置。使用者可配置的屬性套用至角色樹的基本層級，如下列章節所描述。獲授權的「網域管理員」可以為網域、父角色、子角色與使用者層級配置這些屬性。在角色樹的使用者層級，如有需要可以為每個使用者自訂某些屬性。	利用 Access Manager 的屬性，其中可以是下列類型之一： 全域－套用至全域屬性的值會套用至整個 Access Manager 配置，並由各個已配置的組織繼承。 動態－動態屬性可以指定給 Access Manager 的配置角色或組織。當角色被指定至使用者或於組織中建立使用者時，動態屬性則會變為使用者的特性。 組織－這些屬性只會指定給組織。在那個方面，它們以動態屬性作業。雖然它們不是由子樹的項目繼承，與動態屬性有所不同。 使用者－這些屬性會直接指定給每個使用者。它們不是繼承自角色或組織，且一般而言對於每個使用者都不同。 策略－策略屬性是權限屬性。一旦策略已配置，就能指定至角色或組織。這就是動態屬性與策略屬性唯一的不同；動態屬性直接指定至角色或組織，而策略屬性用於配置策略然後套用至角色或組織。
策略	配置應用程式、桌面、NetFile、Netlet 與其他的入口網站存取策略。	定義誰能對哪些資源執行什麼操作的規則。Access Manager 策略服務能讓組織設定這些規則或策略。一般而言，策略建立於組織 (或子組織) 層級，用於整個組織樹。為了建立命名的策略，特定的策略服務必須先新增於組織，而策略將建立在該組織之下。 在 Sun Java System Access Manager 6.2 中，策略服務僅由受允許或拒絕的 URL 清單所組成。對於 Portal Server 而言，這不足以建立以策略為基礎的內容桌面。這也是通道存取的策略建立在桌面顯示設定檔的原因。Portal Server 6 桌面支援允許合併多個角色通道清單的顯示設定檔。例如，如果您有 25 個角色，每個具有與該角色相關的少數通道，可以配置使用者具備那些角色的任何數目，而它們取得的桌面將會提供所有那些角色的聚集體。合併語義控制來自幾個角色的通道是如何被聚集或合併。為了合併顯示設定檔的目的，階層式排序是強加於 Portal Server 的角色。合併開始會先使用優先順序最低的文件 (最低數)，然後再依序處理優先順序數較高的文件，直到到達使用者層級，即最高優先順序的設定檔。如需合併顯示設定檔的資訊，請參閱第 10 章「管理顯示設定檔」。
元件/服務	Portal Server 3.0 的四個主要元件為伺服器本身、設定檔伺服器、閘道與防火牆。	元件已由 Access Manager 服務取代，那是在一般名稱之下定義的屬性群組。那些屬性定義服務提供組織的參數。Access Manager 是服務架構。 Portal Server 6 依靠 Access Manager 提供核心服務，例如認證、使用者管理與策略管理，以及架構以執行 Portal Server 的特定服務 (桌面、NetMail、Rewriter 與搜尋)。
管理介面	提供其本身的管理主控台以便只管理 Portal Server 3.0 元件。 指令行介面是 ipsadmin。	使用 Access Manager 管理主控台管理 Access Manager 服務、使用者與策略，以及 Portal Server 的特定服務 (桌面、NetMail、Rewriter 與搜尋。) 取代 ipsadmin 的指令行介面是 amadmin、dpadmin 與 rwadmin。

比較：Portal Server 6.0 與 Portal Server 6.2

表 6-2 提供 Portal Server 6.0 產品與 Portal Server 6.2 產品之間所發生變更的摘要。在表格中，第一欄列出概念或術語，第二欄定義 Portal Server 6.0 產品中該術語的功能，第三欄描述 Portal Server 6.2 產品中對應的功能。

備註	這些變更隨附於 Sun Java System 2003Q4 產品，且此資訊為該產品的使用者而保留。

表 6-2   Portal Server 6.0 對 Portal Server 6.2 之比較 

概念或術語	Sun Java System Portal Server 6.0	Portal Server 6.2
策略	指定策略至使用者。一旦命名與建立策略，就能被指定至組織或角色。在組織層級指定策略讓組織中所有項目都可用其屬性。指定策略至角色讓包含該角色屬性的所有使用者都可用其屬性。	委派組織的策略定義與決定給其他組織。(或者，可以將資源的策略決策委託給其他策略產品。)參考策略控制策略建立與評估兩者的策略授權。 建立一般策略以定義存取權限。一般策略可由多個規則、物件與條件所組成。
認證功能表	Sun Java System Access Manager 5.1 管理主控台所提供的認證功能表配置功能支援使用者選取的認證模組功能表。	如果您需要配置有效認證模組的可選清單，請使用 Sun Java System Access Manager 管理主控台將每個認證模組設定為與認證層級屬性相同的值。如需配置認證模組的資訊，請參閱第 6 章「管理認證、使用者與服務」。

Access Manager 限制

當使用 Access Manager 時，下列限制會套用：

預先定義的 Access Manager 角色無法橫跨多個平行的組織，然而角色可以指定至存在於該角色相關的組織中子組織的使用者。此外，藉由建立自訂角色與定義必要的存取控制指令 (ACI) 也可以啟用對多網域資源的存取，以授與角色所需的權限。
使用者必須屬於組織而且只能屬於該組織。
不支援階層式角色。例如，您不能建立等於角色 A 與角色 B 總和的角色 C，而且讓具有角色 C 的使用者能存取角色 A 的資源但是卻不明確指定至角色 A。
RoleAdministratorRole 的存取權限只能透過直接編輯對應的 ACI 進行配置。
當角色管理員 (委派管理員) 登入 Access Manager 管理主控台時，他們可以看到相同組織下的所有角色與其相關的服務及屬性，即使該角色管理員並沒有權限修改。

Access Manager 介面

Access Manager 管理主控台

這個以瀏覽器為基礎的主控台提供圖形使用者介面來管理 Access Manager 企業，包括 Portal Server 服務。管理主控台有預設管理員具備不同程度的權限，用於建立與管理服務、策略與使用者。(可以根據角色建立其他授權的管理員。)請參閱第 7 章「配置授權管理」，以取得更多資訊。

Access Manager 管理主控台分為三個部分：位置窗格、瀏覽窗格與資料窗格。藉由使用這三個窗格，您可以瀏覽目錄、執行使用者與服務配置，並建立策略。

請參閱第 1 章「管理 Sun Java System Portal Server 簡介」，以取得更多資訊。

Access Manager 指令行

Access Manager 指令行介面為 amadmin，用於管理伺服器。另外，amadmin 也用於將 XML 服務檔案載入目錄伺服器，以及在目錄樹上執行批次管理作業。iPlanet™ Portal Server 3.0 指令行介面 ipsadmin 和 ipsserver 不再使用。

如需 amadmin 的詳細資訊，請參閱 Access Manager 文件。

---

登入 Access Manager 管理主控台

您可以用兩種方式登入 Access Manager 主控台：

使用特定的 URL
透過 HTTPS

當您登入管理主控台時，呈現的功能依您的存取權限而定。存取權限是根據指定給您的 ACI 或角色來決定。例如，超級使用者可以看到管理主控台的所有功能；委派管理員可能只看到此功能的子集，也許只屬於子組織；而一般使用者只能看到與其特定使用者 ID 有關的使用者屬性。

有兩種 URL 可用於登入管理主控台：

http://host:port/amconsole/
http://host:port/amserver/

/amconsole URL 明確請求 Access Manager 管理主控台的 HTML 頁面。如果您使用 /amconsole 登入，則會顯示管理主控台，並且 URL 會變更為 /amserver/UI/login，以讓使用者進行認證。無論配置如何，此 URL 均可用於存取管理主控台。

/amserver URL 請求 Access Manager 服務的 HTML 頁面。雖然 Portal Server 安裝時的預設設定是重新導向此 URL 以登入管理主控台，因為 /amserver URL 存取 Access Manager 服務，所以此 URL 可用於讓主控台以外的其他服務可用。例如，

如果使用者存取具有有效階段作業的應用程式，應用程式可以使用 goto 參數將 /amserver URL 請求重新導向 amserver/UI/login。例如，Portal Server 桌面以及 Access Manager 代理程式都會如此做。
客戶可以在使用者進入某些應用程式或入口網站的起點將他們導向 amserver/UI/login。其預設重新導向 URL 可能接下來是某些入口網站應用程式或自訂應用程式。
自訂應用程式可以直接呼叫 amserver/UI/login 以認證。

若要登入 Access Manager 管理主控台

使用特定的 URL：
輸入 http://host:port/amserver/
或
輸入 http://host:port/amconsole/
使用 HTTPS：
輸入 https://host:ssl_port/amconsole/

使用 IP 位址配置登入管理主控台

您無法使用伺服器的 IP 位址登入 Access Manager 管理主控台。這是因為 Access Manager 的 cookie 網域設定。

但是，您可以將本地主機的 IP 位址新增至管理主控台的 Cookie 網域清單。

選取位置窗格中的 [服務配置]。
按一下 [平台]。
將您本地主機的 IP 位址新增至 [全域]。

現在您應該可以用 IP 位址而不是網域名稱存取管理主控台。

---

檢視基本資訊

可用程序檔顯示關於產品的基本資訊，例如 Portal Server 的版本與建立日期，以及 jar 檔案的版本與建立日期。版本程序檔安裝於 PortalServer-base/SUNWps/bin 目錄，其中 PortalServer-base 是您安裝 Portal Server 的基礎目錄。預設是 /opt。

若要檢視產品資訊

變更目錄為安裝程序檔的目錄。方法是：

cd PortalServer-base/SUNWps/bin

若要檢視關於 Portal Server 的資訊，請輸入

./version

若要檢視關於 Portal Server 的 jar 檔案資訊，請鍵入

./version jar-file

其中 jar-file 是 jar 檔案的名稱。

---

啟動與停止 Portal Server

本節描述如何停止與啟動 Portal Server。您必須使用該 Web 容器的程序檔重新啟動每個 Web 容器實例。

備註	您不需要停止伺服器來重新啟動。如果您啟動已經在執行的伺服器，該伺服器會停止並重新啟動。

這些指示會因 Web 容器而有所不同。如需更多資訊，請參閱 Web 容器文件。

Portal Server 支援各種平台語言環境。若要以安裝預設以外的值啟動 Portal Server，請參閱「Sun Java System Portal Server 6 2005Q4 開發人員指南」。

若要啟動 Sun Java System Web Server 實例

在終端機視窗中，輸入下列指令：

ws-install-base/https-instancename/start

若要停止 Sun Java System Web Server 實例

在終端機視窗中，輸入下列指令：

ws-install-base/https-instancename/stop

若要啟動 Sun Java System Application Server

在終端機視窗中，輸入下列指令：

cd /var/opt/SUNWappserver7/domains/domain1

./asadmin asadmin> start-domain --user admin domain1 asadmin> exit

---

管理 Access Manager 服務

本節提供 Portal Server 所使用 Access Manager 服務的簡介。如需完整資訊，請參閱 Access Manager 文件。

安裝與 Sun Java System Web Server 封裝

如果之前並未安裝 Access Manager，Portal Server 安裝程式會執行 Access Manager 安裝程式。
Portal Server 與 Access Manager 共用 Web 容器。Web 容器指定網路元件的執行階段環境，包括並行性、部署、生命週期管理、安全性、交易與其他服務。
Portal Server 使用 Java™ Virtual Machine (JVM™ 軟體) 與 Access Manager 提供的其他元件。

使用者管理

Portal Server 將其設定檔資訊儲存在使用 Access Manager API 的 Access Manager。
Portal Server 運用 Access Manager 的多重角色支援。
Portal Server 使用開放且非專用標準的模式屬性，例如 givenName。
Access Manager 提供對 LDAP 目錄的直接存取。

單次登入/認證

Portal Server 認證由 Access Manager 管理。
Access Manager 提供所有認證模組。
Portal Server 使用 Access Manager 策略屬性來限制存取。

服務管理

Portal Server 定義下列 Access Manager 服務：

桌面 — 提供入口網站的前端，而且是入口網站的一般使用者主要介面。如需設定與管理 Portal Desktop 的詳細資訊，請參閱第 8 章「管理 Portal Desktop 服務」。
NetMail — 存取網際網路中的 IMAP 與 SMTP 郵件伺服器，並且讓使用者可透過入口網站存取郵件。如需設定與管理 NetMail 的詳細資訊，請參閱第 11 章「管理NetMail服務」。
Rewriter — 實作管理員設定的規則以重寫 URL，從而提供適當的存取權限。如需設定與管理 Rewriter的資訊，請參閱第 12 章「管理 Rewriter 服務」。
搜尋 — 提供 Portal Server 的搜尋功能，包括可用文件的基本與進階搜尋通道。如需設定與管理「搜尋」服務的資訊，請參閱第 13 章「管理搜尋引擎服務」。

---

管理 Portal Server 使用者

目錄資訊樹 (DIT) 會在邏輯或階層式結構中管理使用者、組織和子組織。這可讓您有效地管理使用者的存取權限以及為使用者指定適當的存取權限，前提是這些角色包含在這些組織中。

本節藉由提供關於組織、子組織與角色的功能，並提供建立與管理組織、角色與使用者的程序，來提供資訊幫助您規劃目錄結構或入口網站伺服器實作下的樹。

備註	Portal Server 支援組織；之前 Portal Server 3.0 使用網域的概念。

Access Manager 中組織樹的頂端是在安裝時指定。在安裝之後可以建立其他的組織以管理分別的企業。所有建立的組織會落在頂層組織之下。在這些子組織中可以嵌入其他子組織。巢式結構沒有深度上的限制。

備註	樹的頂端不需要稱為 isp。它可以是任何名稱。如果以常規頂端 (例如 isp) 管理樹，則樹中的組織可以共用角色。

角色是新的群組機制，用於讓應用程式更有效率且更易於使用。每個角色都有成員或擁有角色的項目。藉由群組，您可以明確或動態指定角色成員。

角色機制會自動產生包含所有角色定義 DN 的 nsRole 屬性，而在定義中項目是成員。每個角色包含可授與一個使用者或多個使用者的一個權限或一組權限。多個角色可以指定給單一使用者。

角色的權限於存取控制指令 (ACI) 中定義。Portal Server 包含幾個預先定義的角色。Access Manager 主控台可讓您編輯角色的 ACI，以指定「目錄資訊樹」中的存取權限。內建的範例包括 Top-level Admin Role 與 Top-level Help Desk Admin Role。您可以建立各組織可共用的其他角色。

計劃組織、子組織與角色

在規劃 DIT 結構時，必須決定是要使用階層式還是平面式樹結構。就一般規則，您應該努力讓您的樹層次盡可能少。然而，隨著組織日益增長，為便於授與及管理使用者存取，一定程度的階層非常重要。

對於建立您的 DIT 結構，Access Manager 中三個重要的結構實體為組織 (或子組織)、角色與使用者。在您計劃結構之前，應該了解這些實體中每一個的功能、特性與相互關係。

組織與子組織

允許建立可以代表或建立企業或組織階層模型的階層式關係。
可以包含其對應管理員所建立的使用者。這為管理與存取控制目的提供了將使用者群組在一起的方法。如果將具有相似需求的使用者群組在一起，通常較容易管理與控制存取。
透過管理主控台，可使用父系組織或子組織中的管理員輕鬆建立或移除。不過在移除時，所有隸屬的組織和使用者也會被移除。這不適合於可能需要變更名稱或結構的情況。

角色

允許指定權限或一組權限給使用者。在組織中可以定義多重角色以提供特定權限組給使用者。
透過必須直接編輯的存取控制指令 (ACI) 定義權限。一旦定義了權限，就可以輕鬆地為組織、子組織或使用者指定或取消指定 ACI。取消指定操作僅套用至要取消其角色的實體。角色仍將存在且保留指定，並可重新指定給其他實體，因此較適合於需要經常變更存取權限的組織。
可以控制通道的能見度與使用者覆寫通道的能力。XML 顯示設定檔中的設定可讓 XML 文件的通道依預設可視或不可視。此外，XML 文件的預設通道可以防止被覆寫。

使用者

代表人員的身份。可以在組織或子組織內由其管理員建立。
可以與多重角色相關，但使用者必須在角色的範圍內。此外，使用者繼承子組織的屬性。
僅屬於一個組織或子組織。如果管理員具有對應的權限，可以很容易地在組織之間移動使用者。
可以將通道的能見度個人化。

分析藍本 1：具有子組織與角色的階層式結構

雖然您應該努力讓結構層級盡可能少，某些階層對於提供必要的群組很有用。建立階層式結構的高層級步驟為：

建立頂層組織。
識別您企業中所有使用者的功能性或組織性群組，並決定您要用哪些來建立 DIT 結構實體，也就是需要具備特定權限的那些群組。一般而言，這應該只是您企業中最大的子分部，而管理員用於管理它們。使用常規或功能性的名稱，這樣重新組織與名稱變更就不會是問題。
對於每個與頂層組織有某種關聯的 DIT 實體，為該實體建立子組織 (也就是在 Access Manager 世界中位於另一個組織下的組織) 或角色。

使用下列指導方針決定要使用子組織或角色：

為包含具有相似存取需求使用者群組的實體定義子組織。一般而言，這會是廣泛功能性或組織性的群組，可以指定單組權限。
定義角色，若子組織中的使用者可能需要具備此角色。所有使用者屬於組織或子組織。如果沒有指定給它們任何角色，它們會繼承其所存在組織的權限。所以，如果您要使用者具備其所存在組織與任何父系組織的屬性，必須使用角色機制並將多重角色指定給它們。
對於每個角色，定義 RoleAdministratorRole 以管理角色。然後適當設定 ACI (管理權限：新增或刪除使用者、修改角色屬性等。)
定義將存取您企業的使用者。如果使用者繼承其組織的權限，請將它們置於適當的組織。如果使用者透過角色指定接收他們的權限，他們必須被置於該角色的範圍內，也就是定義該角色的組織或子組織之內。

圖 6-1 說明階層式目錄結構。在本圖中，頂層組織是 Sesta.com。緊接著頂層之下的是負責管理組織的 SestaAdminRole 以及 Corporate 與 Partners 子組織。

Corporate 組織有三個子組織：Finance、Operations 與 Sales。因為 Sales 組織中有多個使用者類型，因此會定義兩個角色：SalesRole1 與 SalesRole2。Partners 組織中有三個子組織：Partner1、Partner2 與 Partner3。這些組織每個都需要自己的管理員，所以定義了三個與適當組織相關的角色。事業夥伴角色為 PartnerAdmin1、PartnerAdmin2 與 PartnerAdmin3。

圖 6-1  階層式目錄結構

分析藍本 2：平面式樹結構

如果您的組織經常變更，較淺或完全平面式的樹結構可能較適合。如果您的企業變更頻繁，則具有一個組織、一個使用者容器以及所有角色都位於相同層級的結構會很有用。

如果只有一個組織，企業的變更不會影響您的 DIT。所有存取權限都使用角色進行定義。由於所有使用者都位於單一使用者容器中，而且所有角色都位於相同的層級，因此可以為使用者指定任何角色。

圖 6-2 說明平面式目錄結構。在本圖中，頂層且唯一組織是 Sesta.com。所有實體直接定義在此頂層組織之下。其中包括 SestaAdminRole 用於管理組織、四個角色用於各種公司所需的功能 － Finance、Operations、Sales1 與 Sales2 的使用者，以及事業夥伴所需的六個使用者功能角色：Partner1Role、Partner2Role、Partner3Role、Partner1AdminRole、Partner2AdminRole 與 Partner3AdminRole。

圖 6-2  平面式目錄結構

配置新的組織與子組織

組織與子組織讓您為管理與存取控制的目的架構並群組使用者。一旦決定了企業的階層或結構，就必須建立必要的組織與子組織以進行實作。依預設，當建立新的組織或子組織時，不會為其定義服務、策略、使用者或角色。所以每當您建立新的組織或子組織時，必須執行下列高階步驟以進行配置：

新增您希望組織可用的所有服務。如需詳細資訊，請參閱若要新增服務。一般而言，您最少要新增下列服務：
認證。核心認證服務與組織中使用者會用於認證 (LDAP，匿名) 的任何認證服務。有關更多資訊，請參閱配置認證。
URL 策略代理程式。
使用者。
Portal Server 配置。您要為組織中使用者啟用的任何 Portal Server 服務 (Portal Desktop 與 NetMail)。
為每個新增的服務建立範本。請參閱若要建立服務的範本，以取得更多資訊。
建立對組織內使用者授與存取權限所需的策略。如需使用策略的更多資訊，請參閱 Portal Server 如何使用策略管理。
新增使用者至組織。如需詳細資訊，請參閱若要加入新使用者。
建立與指定您在組織中需要的任何角色。如需詳細資訊，請參閱若要建立新角色與若要指定角色至使用者。
配置為您組織啟用的服務。若要配置桌面的資訊，請參閱第 8 章「管理 Portal Desktop 服務」。若要配置 NetMail，請參閱第 11 章「管理NetMail服務」。

為了建立新組織並配置它以使用入口網站的快速啟動程序，請參閱建立新的入口網站組織快速啟動。

若要建立新的組織或子組織

對於如何計劃將您的組織及子組織與 Portal Server 一起使用的建議，請參閱計劃組織、子組織與角色。

備註	有關 Access Manager 管理主控台最新的完整資訊，請參閱「Sun Java System Access Manager 2005Q4 管理指南」。

以管理員的身份登入 Sun Java System Access Management Server 管理主控台。

依預設，已選取位置窗格中的 [身份管理] 且 [所有已建立的組織] 已顯示於瀏覽窗格中。

如果建立子組織，請使用瀏覽窗格選取要建立子組織的組織。
按一下瀏覽窗格中的 [新增]。

[新組織] 的頁面顯示在資料窗格中。

在 [新組織] 頁面中輸入組織或子組織名稱的值。
選擇使用中或非使用中狀態。

預設是使用中。可以選取特性箭頭隨時在組織或子組織的生命期間進行變更。選擇非使用中停用登入組織或子組織。

按一下 [確定]。

新的組織或子組織會顯示在瀏覽窗格。

從 [檢視] 功能表中選擇 [服務]。
按一下 [新建]。
啟用新組織的桌面服務。
選取位置窗格中的 [身份管理]。
選取 [檢視] 功能表中的 [組織]。
選取新建立的組織。
從 [檢視] 功能表中選取 [服務]。
選取 [Portal Desktop]
在 [預設通道名稱] 中將值從 DummyChannel 變更為 JSPTabContainer (或新組織將使用的頂層容器名稱)。
在 [Portal Desktop 類型] 中將值從預設變更為 sampleportal (或新組織將使用的桌面類型)。

若要新增服務

備註	有關 Access Manager 管理主控台最新的完整資訊，請參閱「Sun Java System Access Manager 2005Q4 管理指南」。

以管理員的身份登入 Sun Java System Access Management Server 管理主控台。

依預設，位置窗格中的 [身份管理] 及 [瀏覽] 窗格中的 [組織] 皆已選取。

瀏覽至您要新增服務的組織或子組織。

使用瀏覽窗格中的 [檢視] 功能表。

從 [檢視] 功能表中選擇 [服務]。
按一下 [新建]。
從資料窗格選取要新增的服務，並按一下 [確定]。

若要建立服務的範本

備註	有關 Access Manager 管理主控台最新的完整資訊，請參閱「Sun Java System Access Manager 2005Q4 管理指南」。

以管理員的身份登入 Sun Java System Access Management Server 管理主控台。

依預設，位置窗格中的 [身份管理] 及 [瀏覽] 窗格中的 [組織] 皆已選取。

瀏覽至已新增服務存在的組織或子組織。

使用瀏覽窗格中的 [檢視] 功能表。

從 [檢視] 功能表中選擇 [服務]。
按一下已新增服務旁的特性箭頭。
接受或修改該服務的預設屬性值，並按一下 [儲存]。

備註	對於 LDAP 和 POLICY CONFIGURATION 服務，可在 [超級使用者連結 DN] (cn=amldapuser,...) 中找到空白密碼欄位。必須提供並儲存此密碼，才能正確地配置策略和 LDAP 配置。該密碼與管理使用者密碼並不相同。請向您的 UNIX 管理員詢問這些密碼。

如需有關設定 Access Manager 特定服務屬性的資訊，請參閱「Access Manager 管理指南」。如需設定 Portal Server 特定服務屬性的資訊，請參閱此指南中適當的附錄。

若要加入新使用者

備註	有關 Access Manager 管理主控台最新的完整資訊，請參閱「Sun Java System Access Manager 2005Q4 管理指南」。

以管理員的身份登入 Sun Java System Access Management Server 管理主控台。

依預設，位置窗格中的 [身份管理] 及 [瀏覽] 窗格中的 [組織] 皆已選取。

瀏覽至要建立使用者的組織或子組織。
從 [檢視]功能表選擇使用者，並按一下 [新增]。

[新使用者] 頁面會出現在資料窗格中。

備註	如果您沒有看到「使用者」而是看到了下拉式功能表中的「使用者容器」，請確定您已為組織或在頂層的某處設定了「顯示使用者容器」屬性。這是在「管理」之下 Access Manager 服務中設定。 使用者確實會一直進入「人物容器」，但除非已選取「顯示人物容器」屬性，您只能在組織下看見它們並與它們互動。依預設是沒有設定「顯示人物容器」。

選取要指定給使用者的服務，並按一下 [下一步]。

一般而言，您至少要為大多數使用者新增「Portal Desktop」、「認證配置」與「訂閱」服務。

輸入使用者資訊並按一下 [完成]。

新的使用者會出現在瀏覽窗格中。

若要新增服務至使用者

備註	有關 Access Manager 管理主控台最新的完整資訊，請參閱「Sun Java System Access Manager 2005Q4 管理指南」。

以管理員的身份登入 Sun Java System Access Management Server 管理主控台。

依預設，位置窗格中的 [身份管理] 及 [瀏覽] 窗格中的 [組織] 皆已選取。

瀏覽至要建立使用者的組織或子組織。
從 [檢視] 功能表中選擇 [使用者]。
選取瀏覽窗格中的使用者並按一下 [特性] 箭頭。
從 [檢視] 功能表中選取 [服務]。
按一下 [新增] 以選擇要指定給使用者的服務。
核取服務並按一下 [確定]。

一般而言，您至少要為大多數使用者新增「Portal Desktop」與「訂閱」服務。

若要建立新角色

備註	有關 Access Manager 管理主控台最新的完整資訊，請參閱「Sun Java System Access Manager 2005Q4 管理指南」。

以管理員的身份登入 Sun Java System Access Management Server 管理主控台。

依預設，位置窗格中的 [身份管理] 及 [瀏覽] 窗格中的 [組織] 皆已選取。

瀏覽至要建立角色的組織或子組織。
從 [檢視] 功能表選擇 [角色]，並按一下 [新增]。

[新角色] 的頁面出現在資料窗格中。

輸入角色資訊 (名稱、描述、角色類型、存取權限)，並按一下 [完成]。

新的角色會出現在瀏覽窗格中。

備註	如果您在為授權的管理建立自訂角色，您必須之前已定義該角色的 ACI 權限。如需詳細資訊，請參閱第 7 章「配置授權管理」。

若要指定角色至使用者

備註	有關 Access Manager 管理主控台最新的完整資訊，請參閱「Sun Java System Access Manager 2005Q4 管理指南」。

以管理員的身份登入 Sun Java System Access Management Server 管理主控台。

依預設，位置窗格中的 [身份管理] 及 [瀏覽] 窗格中的 [組織] 皆已選取。

瀏覽至要建立角色的組織或子組織。
從 [檢視] 功能表中選擇 [使用者]。
按一下要被指定角色的使用者旁的特性箭頭。

使用者的設定檔資訊會出現在資料窗格中。

按一下資料窗格中 [檢視]功能表的 [角色]。

[新增角色] 的頁面隨即顯示。

核取角色旁的方塊以指定，並按一下 [儲存]。

此使用者的角色方塊會隨指定的角色而更新。

按一下 [儲存] 以儲存變更。

啟用現有使用者以存取 Portal Server

當您在 Access Manager 的現有實例上安裝 Portal Server 時，不會新增使用者以使用 Portal Server 桌面。為了使用者能存取桌面，您必須啟用它們。使用下列程序來啟用預設組織或其他組織中的使用者。

若要啟用預設組織中的使用者

在開始之前，您必須取得某些配置資訊。如果您不知道配置的所有詳細資訊，可以使用 /var/sadm/pkg/SUNWps/pkginfo 檔案的程序檔擷取資訊。

備註	有關 Access Manager 管理主控台最新的完整資訊，請參閱「Sun Java System Access Manager 2005Q4 管理指南」。

從 /var/sadm/pkg/SUNWps/pkginfo 檔案決定或擷取資訊：
目錄管理員的區別名稱 (稱為 DS_DIRMGR_DN/)。預設值是 cn=Directory Manager。
目錄管理員密碼 (稱為 DS_DIRMGR_PASSWORD/)。
目錄伺服器的完全合格網域名稱 (稱為 DS_HOST/)。
目錄伺服器執行的連接埠 (稱為 DS_PORT/)。預設值是 389。
目錄樹的根字尾 (稱為 DS_ROOT_SUFFIX/)。預設值是 dc=orgname,dc=com (例如 dc=sun,dc=com)。
Portal Server 安裝的預設組織 (稱為 DS_DEFAULT_ORG/)。預設值是 o=domain-name。
Portal Server 安裝的基底目錄。預設值是 /opt。

如果您不知道配置資訊，請執行下列程序檔並參考輸出以取得您需要完成此程序的資訊。

############################################## # Get configuration from file ############################################### GrabConfig() { GRABCONFIG_KEY=$1 GRABCONFIG_FILE=$2 GRABCONFIG_SEPARATOR=$3 ANSWER_CONFIG=‘$GREP "^$GRABCONFIG_KEY$GRABCONFIG_SEPARATOR" $GRABCONFIG_FILE | $UNIQ | $SED -e "s/$GRABCONFIG_KEY$GRABCONFIG_SEPARATOR//" | $SED -e "s/^ //"‘ } ############################################### # Get PS7 Settings ############################################### GetPS7Settings() { if [ -f $PKGINFO ]; then # Ldap Settings # GrabConfig "DS_HOST" $PKGINFO "=" DS_HOST=$ANSWER_CONFIG echo "DS_HOST=$DS_HOST" GrabConfig "DS_PORT" $PKGINFO "=" DS_PORT=$ANSWER_CONFIG echo "DS_PORT=$DS_PORT" GrabConfig "DS_DIRMGR_DN" $PKGINFO "=" DS_DIRMGR_DN=$ANSWER_CONFIG echo "DS_DIRMGR_DN=$DS_DIRMGR_DN" GrabConfig "DS_DIRMGR_PASSWORD" $PKGINFO "=" DS_DIRMGR_PASSWORD=$ANSWER_CONFIG echo "DS_DIRMGR_PASSWORD=$DS_DIRMGR_PASSWORD" ############################################## # Get PS7 Settings ############################################### GetPS7Settings() { if [ -f $PKGINFO ]; then # Ldap Settings # GrabConfig "DS_HOST" $PKGINFO "=" DS_HOST=$ANSWER_CONFIG echo "DS_HOST=$DS_HOST" GrabConfig "DS_PORT" $PKGINFO "=" DS_PORT=$ANSWER_CONFIG echo "DS_PORT=$DS_PORT" GrabConfig "DS_DIRMGR_DN" $PKGINFO "=" DS_DIRMGR_DN=$ANSWER_CONFIG echo "DS_DIRMGR_DN=$DS_DIRMGR_DN" GrabConfig "DS_DIRMGR_PASSWORD" $PKGINFO "=" DS_DIRMGR_PASSWORD=$ANSWER_CONFIG echo "DS_DIRMGR_PASSWORD=$DS_DIRMGR_PASSWORD" # Dsame Settings # GrabConfig "IDSAME_BASEDIR" $PKGINFO "=" IDSAME_BASEDIR=$ANSWER_CONFIG echo "IDSAME_BASEDIR=$IDSAME_BASEDIR" AMCONFIG="${IDSAME_BASEDIR}/SUNWam/lib/AMConfig.properties" if [ -f $AMCONFIG ]; then DS_ROOT_SUFFIX=‘$GREP "^com.iplanet.am.rootsuffix=" $AMCONFIG | $SED -e "s/com.iplanet.am.rootsuffix=//"‘ echo "DS_ROOT_SUFFIX=$DS_ROOT_SUFFIX" DS_DEFAULT_ORG=‘$GREP "^com.iplanet.am.defaultOrg=" $AMCONFIG | \ $SED -e "s/com.iplanet.am.defaultOrg=//"‘ echo "DS_DEFAULT_ORG=$DS_DEFAULT_ORG" else print "‘$GETTEXT ’Error - Cannot find DSAME configuration file, please verify PS7 installation.’‘" exit 1 fi else print "‘$GETTEXT ’Error - Cannot find SUNWps package information files, please verify PS7 installation.’‘" exit 1 fi

變更目錄為 Access Manager 公用程式目錄。例如，如果基本目錄是 /opt，請輸入：

cd /AccessManager-base/SUNWam/bin

如果目錄伺服器與預設組織的根字尾不相同，請執行下列指令：

./ldapsearch -h /DS_HOST/ -p /DS_PORT/ -D /DS_DIRMGR_DN/ -w /DS_DIRMGR_PASSWORD/ -b "ou=People,/DS_DEFAULT_ORG/,/DS_ROOT_SUFFIX/" "(uid=*)" dn | /usr/bin/sed 's/^version.*//’ > /tmp/.tmp_ldif_file1

如果目錄伺服器與預設組織的根字尾相同，請執行下列指令：

./ldapsearch -h /DS_HOST/ -p /DS_PORT/ -D /DS_DIRMGR_DN/ -w /DS_DIRMGR_PASSWORD/ -b "ou=People,/DS_ROOT_SUFFIX/" "(uid=*)" dn | /usr/bin/sed 's/^version.*//’ > /tmp/.tmp_ldif_file1

執行下列指令

grep "^dn" /tmp/.tmp_ldif_file1 | awk ’{
print $0
print "changetype:modify
print "add:objectclass"
print "objectclass:sunPortalDesktopPerson"
print "objectclass: sunPortalNetmailPerson\n" }’ >
/tmp/.tmp_ldif_file2

執行下列指令。

./ldapmodify -c -h DS_HOST -p DS_PORT \ -D DS_DIRMGR_DN -w DS_DIRMGR_PASSWORD -f /tmp/.tmp_ldif_file2

移除所有暫存檔。

rm /tmp/.tmp_ldif_file1 /tmp/.tmp_ldif_file2

若要啟用非預設組織中的使用者

備註	有關 Access Manager 管理主控台最新的完整資訊，請參閱「Sun Java System Access Manager 2005Q4 管理指南」。

從 /var/sadm/pkg/SUNWps/pkginfo 檔案決定或擷取資訊：
目錄管理員的區別名稱 (稱為 DS_DIRMGR_DN/)。預設值是 cn=Directory Manager。
目錄管理員密碼 (稱為 DS_DIRMGR_PASSWORD/)。
目錄伺服器的完全合格網域名稱 (稱為 DS_HOST/)。
目錄伺服器執行的連接埠 (稱為 DS_PORT/)。預設值是 389。
目錄樹的根字尾 (稱為 DS_ROOT_SUFFIX/)。預設值是 dc=orgname,dc=com (例如 dc=sun,dc=com)。
您想要更新使用者的 Portal Server 安裝的組織 (稱為 DS_ORG_TO_UPDATE/)。預設值是 "。
Portal Server 安裝的基底目錄。預設值是 /opt。
為包含您要啟用的現有使用者的組織或子組織新增服務。如需程序上的資訊，請參閱若要新增服務。
為您新增的每個服務建立範本。如需關於程序的資訊，請參閱若要建立服務的範本。
建立與指定每個服務的策略。如需詳細資訊，請參閱若要為同等組織或子組織新增策略服務、若要為同等組織或子組織建立參考策略與若要為同等組織或子組織建立一般策略。
設定 URL 為重新導向組織中成功認證的使用者。請參閱若要成功的重新導向登入使用者至 Portal Desktop URL。
變更目錄為 Access Manager 公用程式目錄。例如，如果基本目錄是 /opt，請輸入

cd /AccessManager-base/SUNWam/bin

啟用組織內的使用者，請執行下列操作之一：
若只要啟用定義為 DS_ORG_TO_UPDATE/ 的特定組織內使用者，則使用下列指令 (請以一行鍵入)：

./ldapsearch -h /DS_HOST/ -p /DS_PORT/ -D /DS_DIRMGR_DN/ -w /DS_DIRMGR_PASSWORD/
-b "ou=People,/DS_ORG_TO_UPDATE/,/DS_ROOT_SUFFIX/" "(uid=*)" dn |
/usr/bin/sed 's/^version.*//’ > /tmp/.tmp_ldif_file1

若要啟用所有組織中的使用者，請使用下列指令 (請以一行鍵入)：

./ldapsearch -h /DS_HOST/ -p /DS_PORT/ -D /DS_DIRMGR_DN/ -w /DS_DIRMGR_PASSWORD/
-b "/DS_ROOT_SUFFIX/" "(uid=*)" dn | /usr/bin/sed 's/^version.*//’ > /tmp/.tmp_ldif_file1

執行下列指令：

grep "^dn" /tmp/.tmp_ldif_file1 | awk ’{
print $0
print "changetype:modify
print "add:objectclass"
print "objectclass:sunPortalDesktopPerson"
print "objectclass: sunPortalNetmailPerson\n" }’ > /tmp/.tmp_ldif_file2

執行下列指令：

./ldapmodify -c -h DS_HOST -p DS_PORT \ -D "DS_DIRMGR_DN" -w DS_DIRMGR_PASSWORD -f /tmp/.tmp_ldif_file2

移除所有暫存檔。

rm /tmp/.tmp_ldif_file1 /tmp/.tmp_ldif_file2

變更目錄為 Portal Server 公用程式目錄。

cd /AccessManager-base/SUNWps/bin

執行下列以載入您非預設組織的顯示設定檔。

./dpadmin modify -u "uid=amadmin,ou=people,DS_DEFAULT_ORG,DS_ROOT_SUFFIX" -w DS_DIRMGR_PASSWORD -d "NON_DEFAULT_ORG,DS_DEFAULT_ORG,DS_ROOT_SUFFIX" AccessManager-base/SUNWps/samples/desktop/dp-org.xml

若要啟用其他組織的使用者，請重複步驟 7 到步驟 13。

建立新的入口網站組織快速啟動

下列工作描述建立新組織並啟用它供入口網站使用。依預設，當您登入時，位置窗格中的 [身份管理] 及 [瀏覽] 窗格中的 [組織] 皆已選取。

備註	有關 Access Manager 管理主控台最新的完整資訊，請參閱「Sun Java System Access Manager 2005Q4 管理指南」。

建立新組織。
選取 [檢視] 功能表中的 [組織]。
按一下 [新建]。

資料窗格中隨即會開啟 [建立組織] 頁面。

輸入新組織的名稱。[組織狀態] 應該是 [使用中]。按一下 [確定]。

新建立的組織會出現在瀏覽頁面中。

為新組織新增服務。
在瀏覽窗格中從 [檢視] 功能表選取 [組織]，並且從 [名稱] 清單按一下新建立的組織。
從 [檢視] 功能表中選取 [服務]。
按一下 [新建]。

[新增服務] 頁面會出現在資料窗格中。選取您要為組織註冊新增的服務。最少必須新增的服務為：

核心
LDAP (或您要為此組織使用的任何認證服務。
成員身份
Portal Desktop

為了此程序的目的，應該註冊下列項目。

策略配置
訂閱
使用者管理

新增的服務隨即顯示在瀏覽窗格中。

按一下特性箭頭配置每個服務。按一下 [建立] 以修改配置屬性。如需非 Portal Server 配置特定的屬性描述，請參閱「Sun Java System Access Manager 管理指南」。

備註	子組織必須獨立於父系組織新增其服務。

將桌面參考策略從父系組織建立至新組織。

參考必須定義父系組織為規則中的資源，且必須包含 SubOrgReferral 與作為參考中值的子組織。

選取位置窗格中的 [身份管理]。
選取父系組織。
從 [檢視] 功能表中選取 [策略]。
按一下 [新增] 以建立新策略。

[建立策略] 的頁面出現在資料窗格中。

選取策略類型的參考。
對於名稱，請鍵入 SubOrgReferral_桌面。然後按一下 [確定]。

建立的策略會出現在 [策略] 之下。

按一下 SunOrgReferral_Desktop 旁的特性箭頭。
在資料窗格中按一下 [檢視] 功能表中的 [規則]，然後按一下 [新增]。確定已選取 [Portal Desktop]，並按一下 [下一步]。
指定 Portal Desktop 規則的名稱並按一下 [完成]。
在資料窗格中從 [檢視] 功能表按一下 [參考]，並按一下 [新增]。確定已為資料窗格中的 [值] 選取子組織的名稱，並按一下 [建立] 以完成策略的配置。
為新組織建立一般「Portal Desktop」策略。
瀏覽至子組織。
從 [檢視] 功能表中選擇 [策略]。

該組織的策略會顯示。

在瀏覽窗格中選取 [新增]。[新策略] 的頁面會在資料窗格中開啟。
確定您在 [策略類型] 中選取 [一般]。
鍵入策略的名稱。
按一下 [確定]。
在資料窗格中選擇 [檢視] 功能表中的 [規則]，然後按一下 [新增]。[新增規則] 頁面隨即會在資料窗格中開啟。
指定規則的名稱，並且在 [設定規則動作] 之下選取動作。按一下 [完成]。
在資料窗格中選擇 [檢視] 功能表中的 [主旨]，然後按一下 [新增]。[新增主旨] 頁面隨即會在資料窗格中開啟。
選取 [Portal Desktop] 策略會套用的主旨，並選擇 [下一步] 以完成主旨配置。
按一下 [完成] 以完成策略的配置。
在新組織中建立新使用者。
選取位置窗格中的 [身份管理]。
選取 [檢視] 功能表中的 [組織]。
選取新建立的組織。
從 [檢視] 功能表選取 [使用者]。
按一下 [新建]。
選擇您要為使用者註冊的服務。
按一下 [下一步]。
在文字欄位中輸入使用者詳細資訊。
按一下 [完成]。
啟用新組織的桌面服務。
選取位置窗格中的 [身份管理]。
選取 [檢視] 功能表中的 [組織]。
選取新建立的組織。
從 [檢視] 功能表中選取 [服務]。
選取 [Portal Desktop]。
在 [Portal Desktop 類型] 中將值從預設變更為 sampleportal (或新組織將使用的桌面類型)。
存取新組織的桌面。
登出管理主控台。
開啟瀏覽器頁面並鍵入：

http://server:port/amserver/UI/login?org=neworg

使用者的桌面應該會出現。

---

配置認證

本節說明如何配置 Portal Server 認證。Access Manager 提供認證架構。認證是透過認證使用者身份的外掛程式模組進行實作。Access Manager 提供七種不同的認證模組以及一個核心認證模組。

Access Manager 管理主控台用於設定預設值、新增認證服務、建立組織的認證範本以及啟用服務。因為核心認證模組提供全面的認證配置，您必須首先新增核心認證模組並為每個組織建立範本，然後才可以配置任何特定的認證模組。

備註	在此 Sun Java System Access Manager 版本中不支援 Sun™ ONE Access Manager 5.1 管理主控台提供的認證功能表配置功能。如果您需要配置有效認證模組的可選清單，請使用 Access Manager 管理主控台將每個認證模組設定為與認證層級屬性相同的值。如需配置認證模組的資訊，請參閱若要配置認證功能表。

安裝時，在預設的組織中已新增核心認證並建立其範本。此外，安裝也新增並建立下列認證模組的範本：

LDAP — LDAP 認證讓目錄樹之搜尋基礎中的任何有效使用者均可登入 Portal Server。這會自動指定使用者特定的角色。
成員身份 — 成員身份認證讓使用者可在沒有管理員協助的情況下建立帳戶並將其個人化。具備此新帳戶，使用者能以新增的使用者身份來存取。

備註	雖然安裝配置了包含核心、LDAP 與成員身份模組的基本認證實作，如果您建立新組織或要設定其他認證功能，如認證外部的 LDAP 目錄或識別提供者，則必須手動配置認證。

配置認證模組的高層級步驟如下：

為每個新組織新增核心認證服務。如需新增服務的步驟，請參閱若要新增服務。
建立核心認證服務的範本。如需建立服務範本的步驟，請參閱若要建立服務的範本。
新增認證服務以支援每個組織。如需新增服務的步驟，請參閱若要新增服務。
建立認證服務的服務範本以支援組織。如需建立認證服務範本的步驟，請參閱若要建立服務的範本。如需設定服務屬性的詳細資訊，請參閱「Access Manager管理指南」的第 5 章「認證選項」。
配置認證功能表。如需配置認證順序的步驟，請參閱若要配置認證功能表。
配置順序以使用認證服務。如需配置認證順序的步驟，請參閱若要配置認證順序。

依認證層級的認證

每個認證模組都能與其認證層級的整數值相關。按一下 [服務配置] 中認證模組的 [特性] 箭頭可以指定認證層級，而且變更模組 [認證層級] 屬性的對應值。一旦使用者已認證一或多個認證模組，越高的認證層級定義越高的使用者信任層級。

若要配置認證功能表

使用者可以用特定的認證層級存取認證模組。例如，使用者可以用具有下列語法的使用者身份執行登入：

http://hostname:port/deploy_uri/UI/Login?authlevel=auth_level_value

認證層級大於或等於 auth_level_value 的所有模組均會顯示為認證功能表，以供使用者選擇。如果只找到了一個符合的模組，會顯示該認證模組的登入頁面。

備註	有關 Access Manager 管理主控台最新的完整資訊，請參閱「Sun Java System Access Manager 2005Q4 管理指南」。

以管理員的身份登入 Sun Java System Access Management Server 管理主控台。

依預設，當您登入時，位置窗格中的 [身份管理] 及 [瀏覽] 窗格中的 [組織] 皆已選取。

瀏覽至您要配置認證的組織或子組織。

使用瀏覽窗格中的 [檢視] 功能表

從 [檢視] 功能表選擇 [服務]，並按一下 [新增]。
按一下 [核心] 旁的特性箭頭。
在 [組織] 區段的 [組織認證模組] 欄位中選取適當的認證模組以啟用。

依預設，Portal Server 安裝會啟用 LDAP 與成員身份。

為每個認證模組在 [預設認證層級] 中輸入值 (預設是 0)。

為了在認證功能表中出現，每個認證模組的值必須相同。

按一下 [儲存]。

若要配置認證順序

備註	有關 Access Manager 管理主控台最新的完整資訊，請參閱「Sun Java System Access Manager 2005Q4 管理指南」。

以管理員的身份登入 Sun Java System Access Management Server 管理主控台。

依預設，當您登入時，位置窗格中的 [身份管理] 及 [瀏覽] 窗格中的 [組織] 皆已選取。

瀏覽至您要配置認證的組織或子組織。

使用瀏覽窗格中的 [檢視] 功能表。

從 [檢視] 功能表選擇 [服務]，並按一下 [新增]。
按一下 [核心] 旁的特性箭頭。
在 [組織] 區段的 [組織認證模組] 欄位中選取適當的認證模組以啟用。

依預設，Portal Server 安裝會啟用 LDAP 與成員身份。

為每個認證模組在 [預設認證層級] 中輸入值 (預設是 0)。

為了在認證功能表中出現，每個認證模組的值必須相同。

在 [組織認證配置] 中選取 [編輯] 以指定每個認證模組的屬性資訊。
按一下 [新增] 將認證模組新增至功能表。
按一下 [重新排序] 以變更認證模組將出現在認證模組的順序。
按一下 [儲存] 以儲存屬性資訊。
按一下 [儲存]。
使用下列 URL 藉由登入管理伺服器來驗證認證功能表會出現適當的選項。

http://host:port/amserver/UI/login

如果這不是預設的組織，請使用下列 URL 驗證組織的認證功能表：

http://host:port/amserver/UI/login?org=org_name

若要將 LDAP 配置認證至外部目錄

當您安裝 Portal Server 時，安裝程式會自動將 LDAP 認證配置至目錄實例。安裝程式讓您在本機伺服器上安裝目錄的內部實例，並將 LDAP 認證配置至該內部目錄或將 LDAP 認證配置至預先存在的目錄外部實例。

一旦有了初始配置，您可能想要將認證配置至外部 LDAP 目錄。例如，出於效能或安全性的考量，您可能希望將特定組織的認證資訊隔離到專屬 LDAP 伺服器上。

警告	請勿配置認證到包含 amadmin 使用者之組織的外部 LDAP 目錄。這能防止 amadmin 使用者認證並將您鎖定於管理主控台之外。如果您不慎配置了包含 amadmin 使用者的組織，則必須使用 amadmin 的完整 DN 登入，然後修正 LDAP 範本。amadmin DN 列於 AMConfig.properties 檔案中的 com.sun.authentication.super.user 特性。

備註	有關 Access Manager 管理主控台最新的完整資訊，請參閱「Sun Java System Access Manager 2005Q4 管理指南」。

以管理員的身份登入 Sun Java System Access Management Server 管理主控台。

依預設，位置窗格中的 [身份管理] 及 [瀏覽] 窗格中的 [組織] 皆已選取。

瀏覽至您要配置認證的組織或子組織。

使用瀏覽窗格中的 [檢視] 功能表。

從 [檢視] 功能表中選擇 [服務]。
從 [Access Manager 配置] 中按一下 [核心] 旁的特性箭頭。
從 [動態使用者設定檔] 功能表核取 [動態建立]。
從 [Access Manager 配置] 功能表中按一下 [LDAP] 旁的特性箭頭。
為您的伺服器設定適當的 LDAP 屬性。下列範例設定對連接埠 389 上 LDAP 伺服器 ds-sesta1.sesta.com 的存取與 ou=people,dc=sesta,dc=com 的搜尋起點，並使用超級使用者連結 cn=root,ou=people,dc=sesta,dc=com：

主要 LDAP 伺服器與連接埠：ds-sesta1.sesta.com: 389
輔助LDAP 伺服器與連接埠：ds-sesta1.sesta.com: 389
啟動使用者搜尋的 DN：ou=people,dc=sesta,dc=com
超級使用者連結的 DN：cn=root,ou=people,dc=sesta,dc=com
超級使用者連結的密碼：root password
使用者命名屬性：uid
使用者項目搜尋屬性：employeenumber
使用者搜尋篩選器：空白
搜尋範圍：subtree
啟用 LDAP 伺服器的 SSL：off
傳回使用者 DN 至認證：off
認證層級：0

按一下 [儲存]。

配置匿名認證

Portal Server 支援兩種實作匿名認證的方法：

使用無認證使用者 ID 屬性。會自動認證存取桌面 URL 的使用者並授與對桌面的存取。
使用匿名使用者階段作業。使用者從 [認證] 功能表中選取 [匿名]，以 anonymous 登入，並授與對桌面的存取。

為了支援匿名認證，Portal Server 安裝程式建立了 authlessanonymous 使用者帳戶，並在下列兩種「Portal Desktop」服務全域屬性中設定此使用者的存取：

Authentication-less User授權的無認證使用者 ID
預設的無認證使用者 ID

Portal Server 能支援用下列方式同時配置無認證與匿名認證：

配置桌面在無認證模式中作業。
配置認證功能表讓 [匿名] 成為顯示的選擇之一。
用瀏覽器 A 存取桌面，以便在無認證模式中存取。
用瀏覽器 B 存取 http:/server/amserver/UI/login，並選取 [匿名] 然後查看桌面。

此時您在瀏覽器 A 中使用無認證模式而在瀏覽器 B 中使用匿名模式。

存取桌面出現兩種不同方式。一種無認證存取是透過直接參考至 /portal/dt，另一種 (匿名) 則是間接透過 /amserver/UI/login。

配置 Access Manager 在功能表中只有匿名登入，可以避免「Access Manager 登入」功能表。

因為當您存取 /portal/dt 而沒有 Access Manager 階段作業時，不能同時支援無認證存取與匿名認證，兩種情形只會發生其一：

桌面會重新導向 /amserver/UI/login，而這個會自動執行匿名登入並將您重新導回 /portal/dt。
桌面會在無認證存取模式中執行。

您不需要停用匿名認證以使用無認證存取。但如果您要以上項目之一作業，則必須停用無認證存取模式。

若要配置匿名認證 (匿名使用者階段作業方法)

備註	有關 Access Manager 管理主控台最新的完整資訊，請參閱「Sun Java System Access Manager 2005Q4 管理指南」。

以管理員的身份登入 Sun Java System Access Management Server 管理主控台。

依預設，位置窗格中的 [身份管理] 及 [瀏覽] 窗格中的 [組織] 皆已選取。

瀏覽至您要配置認證的組織或子組織。

所有已建立的組織會顯示在瀏覽窗格中。

選取位置窗格中的 [服務配置]。
按一下 [Portal Desktop]服務旁的特性箭頭。

[Portal Desktop] 屬性隨即顯示在資料窗格中。

選取列於 [授權的無認證使用者 DN 與密碼] 屬性的值並按一下 [移除]。
選取列於 [預設的無認證使用者 DN] 屬性的值並按一下 [移除]。
按一下 [儲存]。
選擇位置窗格中的 [身份管理]。
從 [檢視] 功能表中選擇 [組織]。

所有已建立的組織會顯示在瀏覽窗格中。

瀏覽至您要配置認證的組織或子組織。

使用位置窗格中的 [檢視] 功能表。

從 [顯示] 功能表中選擇 [服務]。
新增與配置 [匿名] 服務。

如需詳細資訊，請參閱若要新增服務與若要建立服務的範本。

將 [匿名] 新增至 [認證] 功能表。

如需詳細資訊，請參閱若要配置認證順序。

建立 anonymous 使用者帳戶。

如需詳細資訊，請參閱若要加入新使用者。

若要配置匿名認證 (無認證存取)

備註	有關 Access Manager 管理主控台最新的完整資訊，請參閱「Sun Java System Access Manager 2005Q4 管理指南」。

以管理員的身份登入 Sun Java System Access Management Server 管理主控台。

依預設，位置窗格中的 [身份管理] 及 [瀏覽] 窗格中的 [組織] 皆已選取。

依預設，當您登入時，位置窗格中的 [身份管理] 及 [瀏覽] 窗格中的 [組織] 皆已選取。

所有已建立的組織會顯示在瀏覽窗格中。

瀏覽至您要配置認證的組織或子組織。

使用瀏覽窗格中的 [檢視] 功能表。

使用密碼 authlessanonymous 建立 authlessanonymous 使用者帳戶。

如需詳細資訊，請參閱若要加入新使用者。

選取位置窗格中的 [服務配置]。
在瀏覽窗格中選取 [Portal Desktop]。
將 authlessanonymous 使用者的完全區別名稱新增至 [授權的無認證使用者DN與密碼] 屬性。例如：

uid=authlessanonymous, ou=People, dc=sesta, dc=com

在 [預設的無認證使用者 DN] 屬性中指定 authlessanonymous 使用者的完全區別名稱。
按一下 [儲存]。

您必須關閉與重新啟動您的瀏覽器，以使用新配置的「無認證使用者 ID」方法存取 桌面。「無認證使用者 ID」方法讓您指定查詢字串中使用者帳戶的 UID。依預設，無認證式 UID 是「desktop.suid」。前綴「desktop」由 desktopconfig.properties 檔案中的配置參數「cookiePrefix」控制。例如，若要從 sestat.com 預設組織中存取 桌面，請使用下列 URL：

http://server:port/portal/dt?desktop.suid=uid=authlessanonymous, ou=People,dc=sesta,dc=com

備註	如果使用者登入不是使用者自己語言環境的瀏覽器，所有其他使用者會共用登入提示時相同的語言環境。 此問題的解決方法有： 在 dp-anon.xml 中將 refreshTime 的值變更為 JSPTabContainer 的 0 以關閉快取。 指定多個無認證使用者，每個語言環境一個無認證使用者，並根據瀏覽器的語言環境，將無認證桌面重新導向至正確的使用者。

為聯合使用者配置 Portal Server

Sun Java System Portal Server 軟體支援具有符合 Liberty Alliance 技術規定的聯合身份使用者。Liberty 單次登入的聯合使用者可以存取 Portal Server 的個人化桌面而不需要進一步認證。

如需更多 Liberty 啟用認證服務的資訊，請參閱「Sun Java System Access Manager 管理指南」。可以在下列位置找到使用 Portal Server 作為服務提供者的範例配置：

PortalServer-base/SUNWps/samples/liberty

若要配置聯合使用者

依預設，聯合使用者沒有權限存取作為服務提供者的 Sun Java System Portal Server。Portal Server 可以將聯合使用者作為：

Liberty 單次登入的聯合使用者，可以存取個人化的 Portal Desktop。
不是 Liberty 單次登入的聯合使用者，會被重新導向至識別提供者的認證頁面。
以管理員的身份登入 Sun Java System Access Management Server 管理主控台。

依預設，位置窗格中的 [身份管理] 及 [瀏覽] 窗格中的 [組織] 皆已選取。

選取位置窗格中的 [服務配置]。
在瀏覽窗格中選取 [Portal Desktop]。
核取 [啟用聯合]。
指定主機提供者的 ID。
按一下 [儲存]。

若要為聯合使用者配置無認證存取

依預設，聯合使用者沒有權限存取無認證 Portal Desktop。

備註	有關 Access Manager 管理主控台最新的完整資訊，請參閱「Sun Java System Access Manager 2005Q4 管理指南」。

以管理員的身份登入 Sun Java System Access Management Server 管理主控台。

依預設，位置窗格中的 [身份管理] 及 [瀏覽] 窗格中的 [組織] 皆已選取。

瀏覽至您要配置認證的組織或子組織。

使用瀏覽窗格中的 [檢視] 功能表。

選取位置窗格中的 [服務配置]。
在瀏覽窗格中選取 [Portal Desktop]。
Disable Authentication-less Access for Federated Users取消核取 [停用聯邦使用者的無認證存取]。
按一下 [儲存]。

如需無認證存取的更多資訊，請參閱若要配置匿名認證 (無認證存取)。

若要配置 UNIX 認證

備註	有關 Access Manager 管理主控台最新的完整資訊，請參閱「Sun Java System Access Manager 2005Q4 管理指南」。

以管理員的身份登入 Sun Java System Access Management Server 管理主控台。

依預設，位置窗格中的 [身份管理] 及 [瀏覽] 窗格中的 [組織] 皆已選取。

在 [身份管理] 中從 [檢視] 功能表選擇 [組織]。

所有已建立的組織會顯示在瀏覽窗格中。

選取位置窗格中的 [服務配置]。
在瀏覽窗格中按一下 UNIX 旁的特性箭頭 (在「Access Manager 配置」之下)。
為您的伺服器設定適當的 UNIX 屬性。
按一下 [儲存]。
瀏覽至您要配置認證的組織或子組織。

使用瀏覽窗格中的 [檢視] 功能表。

從 [檢視] 功能表中選擇 [服務]。
按一下瀏覽窗格中的 [新增]。
在資料窗格中按一下 [認證] 之下的 [核心]。
在資料窗格中從 [組織認證模組] 功能表中選取 [Unix]。
按一下 [儲存]。

若要配置組織層級的 UNIX 認證

若要配置 UNIX 認證中文件說明的 UNIX 認證是為全面配置 UNIX。此程序用於在組織層級配置。

備註	有關 Access Manager 管理主控台最新的完整資訊，請參閱「Sun Java System Access Manager 2005Q4 管理指南」。

在您的瀏覽器網址欄位輸入 http://fullservername:port/amconsole，以管理員身份 (amadmin) 登入 Sun Java System Access Manager 管理主控台。
在登入畫面輸入 amadmin 為使用者 ID 以及您在安裝時選擇的 passphrase。

依預設，位置窗格中的 [身份管理] 及 [瀏覽] 窗格中的 [組織] 皆已選取。

在 [身份管理] 中從 [檢視] 功能表選擇 [組織]。

所有已建立的組織會顯示在瀏覽窗格中。

從 [檢視] 功能表中選擇 [服務]。
選取 [新增]。
在右窗格核取 [UNIX] 並按一下 [確定]。
選取 UNIX 旁的特性箭頭。
在 [建立服務範本 (Unix)] 窗格中選取 [是]。
為您的伺服器設定適當的 UNIX 屬性。
選取 [儲存]。
選取 [核心] 旁的特性箭頭。
反白顯示 [認證] 功能表的 [UNIX] 並選取 [儲存]。

---

Portal Server 如何使用策略管理

本節說明如何使用 Access Manager 策略管理功能。如需建立、修改與刪除策略的程序，請參閱 Access Manager 文件。

Access Manager 策略服務能讓您定義規則或存取資源。政策能以角色或組織為基礎，而且能提供權限或定義限制。Portal Server 隨附三種策略：

可以執行 Portal Server Portal Desktop — 可讓使用者顯示桌面
可以執行 Portal Server NetMail — 可讓使用者執行 NetMail

備註	第 8 章「管理 Portal Desktop 服務」 與第 11 章「管理NetMail服務」 提供指定其特定策略的詳細描述。

依預設，「策略配置」服務會自動新增於頂層組織。子組織必須獨立於其父系組織新增其策略服務。您建立的任何策略服務必須新增於所有組織。使用策略的高層級步驟為：

為組織新增「策略」服務。(此步驟會自動為安裝時指定的組織完成。) 子組織不會繼承其父系的服務，所以您必須新增子組織的「策略」服務。如需詳細資訊，請參閱若要新增服務。
為同等組織或子組織建立參考策略。您可以將組織的策略定義與決定委託給其他組織。(或者，可以將資源的策略決策委託給其他策略產品。)參考策略控制策略建立與評估兩者的策略授權。它是由規則與參考本身組成。如果策略服務包含不需要資源的動作，則無法為子組織建立參考策略。如需詳細資訊，請參閱若要為同等組織或子組織建立參考策略。
為同等組織或子組織建立一般策略。您建立一般策略來定義存取權限。一般策略可由多個規則、物件與條件所組成。如需詳細資訊，請參閱若要為同等組織或子組織建立一般策略。

若要為同等組織或子組織新增策略服務

同等或子組織不會繼承其父系的服務，所以您必須新增同等或子組織的「策略」服務。

備註	有關 Access Manager 管理主控台最新的完整資訊，請參閱「Sun Java System Access Manager 2005Q4 管理指南」。

以管理員的身份登入 Sun Java System Access Management Server 管理主控台。

依預設，位置窗格中的 [身份管理] 及 [瀏覽] 窗格中的 [組織] 皆已選取。

瀏覽至您要建立參考策略的組織或子組織。

所有已建立的組織會顯示在瀏覽窗格中。

在瀏覽窗格中從 [檢視] 功能表選取 [組織]，並且從 [名稱] 功能表選取所需的組織。
從 [檢視] 功能表中選取 [服務]。
按一下 [新建]。

[新增服務] 頁面會出現在資料窗格中。按一下下列最少服務的核取方塊，然後按一下 [確定]。

LDAP
成員身份
策略配置
Portal Desktop
NetMail

新增的服務隨即顯示在瀏覽窗格中。

按一下特性箭頭配置每個服務。按一下 [建立] 以修改配置屬性。如需非 Portal Server 配置特定的屬性描述，請參閱「Sun Java System Access Manager 管理指南」。

若要為同等組織或子組織建立參考策略

您可以授權組織的策略定義與決定給其他組織。參考策略控制策略建立與評估兩者的策略授權。它是由規則與參考本身組成。參考必須定義父系組織為規則中的資源，且必須包含 SubOrgReferral 或 PeerOrgReferral 與作為參考中值的組織名稱。

備註	有關 Access Manager 管理主控台最新的完整資訊，請參閱「Sun Java System Access Manager 2005Q4 管理指南」。

以管理員的身份登入 Sun Java System Access Management Server 管理主控台。

依預設，位置窗格中的 [身份管理] 及 [瀏覽] 窗格中的 [組織] 皆已選取。

瀏覽至您要用於建立參考策略的組織或子組織。

所有已建立的組織會顯示在瀏覽窗格中。

從 [檢視] 功能表中選取 [策略]。
按一下 [新增] 以建立新策略。

[建立策略] 的頁面出現在資料窗格中。

名稱請輸入 SubOrgReferral_organization 或 PeerOrgReferral_organization。確定您在 [策略類型] 中選取 [參考]。然後按一下 [確定]。
在 [服務] 中選取服務類型並按一下 [下一步]。
在資料窗格中從 [檢視] 功能表按一下 [規則] 並按 [新增]，然後按一下 [下一步]。

[新增規則] 範本會出現在資料窗格中。

在 [規則名稱] 中輸入規則的名稱，並按一下 [完成]。
按一下資料窗格中 [檢視] 功能表的 [參考]，並按一下 [新增]。

[新增參考] 範本會出現在資料窗格中。

在名稱中輸入 SubOrgReferralName。

確定已為資料窗格中的 [值] 選取子組織的名稱，並按一下 [建立] 以完成策略的配置。

在資料窗格中按一下 [儲存]。

當資料已儲存時，會顯示訊息 [策略特性已儲存]。

若要為同等組織或子組織建立一般策略

您建立一般策略來定義存取權限。一般策略可由多個規則、物件與條件所組成。

備註	有關 Access Manager 管理主控台最新的完整資訊，請參閱「Sun Java System Access Manager 2005Q4 管理指南」。

以管理員的身份登入 Sun Java System Access Management Server 管理主控台。

依預設，位置窗格中的 [身份管理] 及 [瀏覽] 窗格中的 [組織] 皆已選取。

瀏覽至您要指定策略的組織或子組織。

所有已建立的組織會顯示在瀏覽窗格中。

從 [檢視] 功能表中選擇 [策略]。

該組織的策略會顯示。

在瀏覽窗格中選取 [新增]。[新策略] 的頁面會在資料窗格中開啟。
名稱請輸入 SubOrgNormal_organization 或 PeerOrgNormal_organization。確定您在 [策略類型] 中選取 [一般]。按一下 [確定]。
從 [服務] 功能表選取服務，並按一下 [下一步]。在 [規則名稱] 中輸入規則的名稱。確定已選取適當的核取方塊以授與執行權限給所需的服務。
在資料窗格中從 [檢視]功能表選擇 [規則]，並按一下 [新增]。[新增規則] 頁面會在資料窗格中開啟。
在資料窗格中從 [檢視] 功能表選擇 [主旨]，並按一下 [新增]。[新增主旨] 的頁面會在資料窗格中開啟。
按一下 [完成] 以完成策略的配置。

當資料已儲存時，會顯示訊息 [策略特性已儲存]。

---

登入 Portal Server 桌面

若您已安裝範例入口網站，則使用者將能夠登入範例桌面。此外，Portal Server 支援其他各種使用者登入。本節描述使用者可以登入 Portal Server 的某些其他使用者方式。

若要登入範例 Portal Desktop

若要存取範例桌面，請輸入下列 URL：

http://server:port/portal/dt

若要登入子組織

如果使用者組織的存取權限，他們也能登入該組織內的子組織。例如，如果使用者能存取具有子組織 B 的組織 A，請輸入下列 URL 以登入子組織 B：

http://server:port/amserver/UI/login?org=B

若要使用匿名認證登入

備註	您必須新增匿名認證模組以支援匿名認證。如需新增與啟用匿名認證模組的資訊，請參閱配置匿名認證。

使用下列 URL 登入：

http://server:port/portal/dt

在 Access Manager 認證頁面，按一下 [匿名]。
範例桌面會出現。
如果需要且如果 [成員身份] 認證模組已新增，請使用「登入」畫面建立並新增使用者 ID。

---

管理記錄

Portal Server 使用 Access Manager 記錄 API 並進行除錯。

依預設，Portal Server 記錄與除錯檔案位於：

/var/opt/SUNWam/logs
/var/opt/SUNWam/debug

Access Manager 管理主控台允許您定義下列記錄屬性：

最大記錄大小
歷史檔案數目
記錄位置
記錄類型
資料庫使用者名稱
資料庫使用者密碼
資料庫驅動程式名稱

如需詳細資訊，請參閱「Sun Java System Access Manager 2005Q4 管理指南」。

上一頁      目錄      索引      下一頁

---

Copyright 2005 Sun Microsystems, Inc. 版權所有。