Sun Java logo     上一页      目录      索引      下一页     

Sun logo
Sun Java System Access Manager 6 2005Q1 管理指南 

第 20 章
核心验证属性

核心验证服务是所有默认验证服务的基本服务,也是所有自定义验证模块属性的基本服务。需要为每个希望使用任意形式验证的组织配置核心验证服务。核心验证属性由全局属性和组织属性组成。全局属性所采用的值被应用到整个 Sun Java System Acceess Manager 配置,并被每个已配置的组织所继承。(由于全局属性的目的在于自定义 Access Manager 应用程序,因此此类属性不能直接应用到角色和组织。)在“服务配置”下组织属性所采用的值将成为核心验证模板的默认值。为组织添加服务之后,需要创建服务模板。组织的管理员可以在添加后更改默认值。组织属性不会被组织中的条目所继承。核心验证属性分为:

全局属性

核心验证服务中的全局属性包括:

可插接的验证模块类

该字段用于指定 Access Manager 平台中所有已配置的组织都可以使用的验证模块的 Java 类。默认情况下,包括 LDAP、SafeWord、SecurID、应用程序、匿名、HTTP Basic、成员资格、Unix、证书、NT、RADIUS 和 Windows 桌面 SSO。您可以通过实现 AMLoginModule SPI 或 JAAS LoginModule SPI 来写入自定义验证模块。有关详细信息,参见 Access Manager Developer's Guide。要定义新的服务,该字段必须使用文本字符串以指定每个新验证服务的完整类名(包括软件包名称)。

客户机支持的验证模块

该属性用于指定特定客户机所支持的验证模块列表。格式如下所示:

clientType | module1,module2,module3

当启用了客户机检测时,该属性有效。

LDAP 连接池大小

该属性用于指定特定 LDAP 服务器与端口所使用的最小和最大连接池。该属性仅适用于 LDAP 和成员资格验证服务。格式如下所示:

host:port:min:max

该连接池与 serverconfig.xml 中配置的 SDK 连接池不同。

LDAP 连接池的默认大小

该属性用于设置与所有 LDAP 验证模块配置一起使用的连接池的默认最大值和最小值。如果 LDAP 连接池大小属性中存在主机和端口条目,最小值和最大值设置将不使用“LDAP 连接池的默认大小”中的相应值。

组织属性

核心验证服务中的组织属性包括:

组织验证模块

此列表用于指定已经注册并可供组织使用的验证模块。每个管理员均可以为其特定组织选择验证类型。虽然多个验证模块使用起来比较灵活,但是用户必须确保其登录设置适用于选定的验证模块。默认验证模块为 LDAP。Access Manager 中包含的验证服务有:

管理员必须在已创建的组织中创建并通知核心验证模块模板,以使该组织正常工作。

用户配置文件

该选项允许您为用户配置文件指定选项。

管理员验证配置

单击“编辑”链接允许您仅为管理员定义验证服务。如果需要将管理员的验证模块与最终用户的验证模块区别开来,则可以使用该属性。在 Access Manager 控制台被访问时,将使用该属性中配置的模块。例如:

http://servername.port/console_deploy_uri

用户配置文件动态创建默认角色

如果在用户配置文件特征中选中了“动态创建”,则该字段将指定为新用户所指派的角色,这些用户的配置文件已创建完毕。该字段没有默认值。管理员必须指定要分配给新用户的角色的 DN。

所指定的角色必须位于正在为其配置验证的组织下。该角色可以是 Access Manager 角色,也可以是 LDAP 角色,但不能是过滤后的角色。

如果要自动分配特定服务给用户,则必须在“用户配置文件”中配置“所需的服务”属性。

启用持久 Cookie 模式

该选项用于确定用户能否重新启动浏览器并仍返回其经过验证的会话。通过启用启用持久 Cookie 模式可以保留用户会话。启用启用持久 Cookie 模式之后,直到用户会话的持久 Cookie 过期或用户明确注销后,该用户会话才会过期。过期时间是在持久 Cookie 最长时间中指定的。默认值是持久 Cookie 模式未启用,且验证服务仅使用内存 Cookie。

客户机必须明确申请持久 Cookie,方法是使用登录 URL 中的 iPSPCookie=yes 参数。

持久 Cookie 最长时间

该字段用于指定经过多长时间后持久 Cookie 过期。(必须通过选中相应复选框启用启用持久 Cookie 模式)该时间间隔从成功验证用户的会话时开始计算。默认值为 2147483(以秒为单位)。该字段可以是 02147483 之间的任意整数值。

所有用户的用户容器

在用户进行成功验证后,将检索用户配置文件。该字段中的值用于指定搜索配置文件的位置。通常情况下,该值将是默认用户容器的 DN。添加到组织的所有用户条目被自动添加到组织的默认用户容器中。默认值是 ou=People,通常情况下包括组织名称和根后缀。该字段可以接受任何组织单元的有效 DN。

验证通过以下途径搜索用户配置文件:

  • 在默认的用户容器中搜索,然后
  • 在默认的组织中搜索,然后
  • 使用“别名搜索属性名称”属性在默认组织中搜索用户。

最后一种搜索方式适用于 SSO 情形,在这种情形中,用于验证的用户名可能不是配置文件中的命名属性。例如,用户可能使用 jn10191 的 Safeword ID 进行验证,但配置文件却是 uid=jamie

别名搜索属性名称

在用户进行成功验证后,将检索用户配置文件。该字段用于指定次 LDAP 属性,当根据用户命名属性中指定的首选 LDAP 属性进行搜索时,如果没有找到匹配的用户配置文件,将使用该字段指定的属性进行搜索。该属性主要用于当验证模块返回的用户标识与“用户命名属性”中指定的用户标识不相同时。例如,RADIUS 服务器可能返回 abc1234,但用户名却是 abc。该属性不存在默认值,它可以接受任何有效的 LDAP 属性(例如 cn)。

用户命名属性

在用户进行成功验证后,将检索用户配置文件。该属性的值指定用于进行搜索的 LDAP 属性。默认情况下,Access Manager 假定用户条目是由 uid 属性标识的。如果您的 Directory Server 使用的是其他属性(例如 givenname),请在该字段中指明属性名称。

默认验证语言环境

该字段用于指定验证服务要使用的默认语言子类型。默认值为 en_US。可以在表 20-1 中找到有效语言子类型的列表。

为了使用其他语言环境,首先必须创建该语言环境的所有验证模板。然后需要为这些模板创建新的目录。有关详细信息,参见登录 URL 参数

表 20-1  支持的语言环境 

语言标记

语言

af

南非荷兰语

be

白俄罗斯语

bg

保加利亚语

ca

加泰罗尼亚语

cs

捷克斯洛伐克语

da

丹麦语

de

德语

el

希腊语

en

英语

es

西班牙语

eu

巴斯克语

fi

芬兰语

fo

法罗语

fr

法语

ga

爱尔兰语

gl

加利西亚语

hr

克罗地亚语

hu

匈牙利语

id

印度尼西亚语

is

冰岛语

it

意大利语

ja

日语

ko

朝鲜语

nl

荷兰语

no

挪威语

pl

波兰语

pt

葡萄牙语

ro

罗马尼亚语

ru

俄语

sk

斯洛伐克语

sl

斯洛文尼亚语

sq

阿尔巴尼亚语

sr

塞尔维亚语

sv

瑞典语

tr

土耳其语

uk

乌克兰语

zh

汉语

组织验证配置

该属性用于设置组织的验证模块。默认验证模块为 LDAP。通过单击“编辑”链接可以选择一个或多个验证模块。如果选择了多个模块,则用户需要成功通过所有选定模块的验证。

该属性中配置的模块用于对以 /server_deploy_uri/UL/Login 形式访问验证模块的用户进行验证。有关详细信息,参见 Access Manager Developer's Guide。

启用登录失败锁定模式

该功能用于指定用户在第一次登录失败后是否可以尝试第二次验证。选择该属性将启用锁定功能,用户将只有一次验证的机会。默认情况下,不启用锁定功能。该属性与同锁定相关的属性和通知属性一起发挥作用。

登录失败锁定计数

该属性用于定义在登录失败锁定间隔中指定的时间间隔内,用户在被锁定之前试图进行验证的次数。

登录失败锁定间隔

该属性用于定义两次失败的登录尝试之间的时间(以分钟为单位)。如果一次登录失败并且在锁定间隔内随后的一次登录仍失败,则锁定计数将加 1。否则,将重置锁定计数。

用于发送锁定通知的电子邮件地址

该属性用于指定发生用户锁定时将会接到通知的电子邮件地址。要向多个地址发送电子邮件通知,请用空格将每个电子邮件地址分隔开。对非英语语言环境,格式为:

email_address|locale|charset

N 次失败后警告用户

该属性用于指定在 Access Manager 发送警告消息警告用户将被锁定之前,允许发生的验证失败次数。

登录失败锁定时间

该属性用于启用内存锁定。默认情况下,锁定机制将使“锁定属性名称”中定义的用户配置文件失效(一次登录失败后)。如果登录失败锁定时间的值大于 0,则将在指定的时间(分钟数)内锁定其内存锁定和用户帐户。

锁定属性名称

该属性用于指定所有要设置为锁定的 LDAP 属性。还必须更改“锁定属性值”中的值以启用该属性名称的锁定。默认情况下,在 Access Manager 控制台中“锁定属性名称”为空。当用户被锁定并且登录失败锁定时间设置为 0 时,默认执行值为 inetuserstatus(LDAP 属性)和 inactive

锁定属性值

该属性用于指定对于锁定属性名称中定义的属性启用或禁用锁定。默认情况下,将 inetuserstatus 的值设置为无效。

默认成功登录 URL

该字段接受一系列的值,这些值用于指定验证成功后用户被重定向到的 URL。此属性的格式为 clientType|URL,尽管您可以只指定 URL 的值(默认类型为 HTML)。

默认值为 /amconsole。此发行版本中不再需要协议主机端口值。

在远程控制台上,应手动修改此属性以指向实际远程控制台主机上的控制台页面。

默认失败登录 URL

该字段接受一系列的值,这些值用于指定验证成功后用户被重定向到的 URL。此属性的格式为 clientType|URL,尽管您可以只指定 URL 的值(默认类型为 HTML)。

验证后处理类

该字段用于指定为成功或不成功登录自定义验证后处理所使用的 Java 类的名称。示例:

com.abc.authentication.PostProcessClass

Java 类必须实现以下 Java 接口:

com.sun.identity.authentication.spi.AMPostAuthProcessInterface

另外,必须将类所在的路径添加到 Web Server 的 "Java Classpath" 属性中。

启用生成用户 ID 模式

该属性适用于成员资格验证模块。如果启用了该属性字段,则成员资格模块可以在自注册过程中生成特定用户的用户 ID(如果用户 ID 已经存在)。用户 ID 是从在可插接用户名生成器类中指定的 Java 类生成的。

可插接用户名生成器类

该字段用于指定当启用了启用生成用户 ID 模式时,用来生成用户 ID 的 Java 类的名称。

默认验证级别

验证级别值表示信任验证的程度。用户进行验证之后,该值将存储在会话的 SSO 令牌中。SSO 令牌被提交到用户要访问的应用程序时,该应用程序使用存储的值来判断验证级别是否足够高,以确定是否允许用户访问。如果 SSO 令牌中存储的验证级别没有达到所需的最小级别,应用程序将提示用户使用具有较高验证级别的服务再次进行验证。

验证级别应该在组织的特定验证模板中进行设置。这里所描述的“默认验证级别”值只有在“验证级别”字段中没有为特定组织的验证模板指定验证级别时才适用。“默认验证级别”的默认值为 0。(该属性中的值不是由 Access Manager 使用,而是由可能选择使用它的外部应用程序所使用。)对于 2005Q1 发行版本,此功能无法正常工作。但在先前的版本中,此功能可正常工作。



上一页      目录      索引      下一页     

文件号码 819-1940。 版权所有 2005 Sun Microsystems, Inc. 保留所有权利。