第 7 章認證選項

Sun Java™ System Access Manager 6 2005Q1 提供框架以進行認證，認證是驗證在企業內存取應用程式之使用者身份的程序。使用者在存取 Access Manager 主控台或其他受 Access Manager 保護的資源之前，必須通過認證程序。認證可以透過驗證使用者身份的外掛程式來實施。(此外掛程式架構在「Access Manager Developer's Guide」中有更全面的描述。)

Access Manager 主控台用於設定預設值、加入認證模組、建立認證範本以及啟用關聯的認證模組。本章將概述認證模組，並說明如何加入認證模組。它包含以下各節：

核心認證

依預設，Access Manager 提供十五種不同的認證模組，以及核心認證模組。核心認證模組為認證模組提供總體配置。加入及啟用 Active Directory、匿名、基於憑證的認證、HTTP Basic、JDBC、LDAP、任何認證模組之前，必須先加入和啟用核心認證。核心認證模組與 LDAP 認證模組均會自動針對預設組織啟用。第 20 章「核心認證屬性」包含核心屬性的詳細清單。

加入和啟用核心服務

前往待加入核心模組的組織。

從 [檢視] 功能表選擇 [服務]。

在 [瀏覽] 窗格中按一下 [加入]。

在 [資料] 窗格中出現可用的模組清單。

選取 [核心認證] 核取方塊並按一下 [加入]。

核心認證模組將顯示在 [瀏覽] 窗格中，從而告知管理員該模組已加入。

按一下 [核心認證特性] 箭頭。

資料框架中會顯示訊息：目前沒有該服務的範本。您要現在建立一個嗎？出現在 [資料] 窗格。

按一下 [建立]。

核心屬性會顯示在 [資料] 窗格中。依照需要修改屬性。如需核心屬性的說明，請參閱第 20 章「核心認證屬性」，或按一下主控台右上角的 [說明] 連結。

Active Directory 認證

Active Directory 認證模組執行認證的方式與 LDAP 目錄認證模組相似，但使用的是 Microsoft 的 Active Directory™ 伺服器 (相對於 LDAP 認證模組使用的 Directory Server)。雖然可以針對 Active Directory 伺服器來配置 LDAP 認證模組，但是此模組可讓您在相同組織下同時擁有 LDAP 和 Active Directory 認證。

加入和啟用 Active Directory 認證


備註	在此版本中，Active Directory 認證模組僅支援使用者認證。只有 LDAP 認證模組會支援密碼策略。

前往待加入 [成員身份認證] 的組織。

從 [檢視] 功能表選擇 [服務]。

若已加入，則核心模組將隨即顯示於 [瀏覽] 窗格中。如果尚未加入，則可與 Active Directory 認證模組同時加入。

在 [瀏覽] 窗格中按一下 [加入]。

在 [資料] 窗格中出現可用的模組清單。

選取 Active Directory 認證的核取方塊並按一下 [加入]。

Active Directory 認證模組將顯示在 [瀏覽] 窗格中，從而告知管理員該模組已加入。

按一下 [Active Directory 認證特性] 箭頭。

訊息 [目前沒有該模組的範本。您要現在建立一個嗎？] 會出現在 [資料] 窗格。

按一下 [建立]。

[Active Directory 認證] 屬性會顯示在 [資料] 窗格中。依照需要修改屬性。

按一下 [儲存]。

Active Directory 認證模組已經啟用。

使用 Active Directory 認證登入

為了使用 Active Directory 認證來登入，必須修改核心認證模組屬性 (組織認證模組) 以啟用及選取 Active Directory 認證。這會確保當使用者在使用 http://hostname:port/deploy_URI/UI/Login?module=AD (注意區分大小寫) 登入時，將會看到 Active Directory 認證登入視窗。依據所使用的認證類型 (如服務、角色、使用者和組織)，如果將認證模組配置為預設，則無需在 URL 中指定模組名稱。

匿名認證

依預設，啟用此模組時，使用者能以 anonymous 使用者的身份登入 Access Manager。透過配置有效匿名使用者清單屬性，還可以定義該模組的匿名使用者清單。授與匿名存取權意味著無需提供密碼即可進行存取。可以將匿名存取權限制為特定類型的存取權 (例如，讀取存取權或搜尋存取權)，或限制在目錄內的子樹或個別項目中。

加入和啟用匿名認證

前往待加入 [匿名認證] 的組織。

從 [檢視] 功能表選擇 [服務]。

若已加入，則核心模組將隨即顯示於 [瀏覽] 窗格中。如果尚未加入，則可與 [匿名認證] 模組同時加入。

在 [瀏覽] 窗格中按一下 [加入]。

在 [資料] 窗格中出現可用的模組清單。

選取 [匿名認證] 核取方塊並按一下 [加入]。

匿名認證模組將顯示在 [瀏覽] 窗格中，從而告知管理員該模組已加入。

按一下 [匿名認證特性] 箭頭。

資料框架中會顯示訊息：目前沒有該服務的範本。您要現在建立一個嗎？出現在 [資料] 窗格。

按一下 [建立]。

[匿名認證] 屬性會顯示在 [資料] 窗格中。依照需要修改屬性。如需這些屬性的說明，請參閱第 18 章「匿名認證屬性」，或按一下主控台右上角的 [說明] 連結。

按一下 [儲存]。

匿名認證模組即已啟用。

使用匿名認證登入

為了使用 [匿名認證] 來登入，必須修改 [核心認證] 模組屬性 (組織認證模組) 以啟用及選取 [匿名認證]。這會確保使用者登入時，使用 http(s)://hostname:port/SERVER_DEPLOY_URI//UI/Login?module=Anonymous&org=org_name。若要不顯示 [匿名認證] 登入視窗而登入，請使用以下語法：

http(s)://hostname:port/SERVER_DEPLOY_URI//UI/Login?module=Anonymous&org=org_name&Login.Token1=user_id

依據所使用的認證類型 (如服務、角色、使用者和組織)，如果將認證模組配置為預設，則無需在 URL 中指定模組名稱。



備註	匿名認證模組中 [預設匿名使用者名稱] 屬性值為 anonymous。這是使用者用來登入的名稱。必須在組織內建立預設匿名使用者。使用者 ID 應該與匿名認證屬性中指定的使用者名稱相同。這可以選擇是否要區分大小寫。

基於憑證的認證

基於憑證的認證需要使用個人數位憑證 (PDC) 識別和認證使用者。可以將 PDC 配置為需要與儲存在 Directory Server 中的 PDC 相符，並要根據憑證廢止清單進行驗證。

在為組織加入基於憑證的認證模組之前，需要完成許多工作。首先，需要確保與 Access Manager 一同安裝之 Web 容器的安全，需要對其進行配置，以用於基於憑證的認證。啟用基於憑證的模組之前，請參閱「Sun ONE Web Server 6.1 管理指南」之第 6 章「使用憑證指南」，以瞭解這些初始的 Web Server 配置步驟。此文件位於以下位置：

或者，請參閱位於以下位置的「Sun ONE Application Sever Administrator's Guide to Security」：

加入和啟用基於憑證的認證


備註	將使用基於憑證的模組來認證的每位使用者必須為其瀏覽器請求 PDC。根據所使用的瀏覽器不同，會有不同的說明。請參閱您瀏覽器的文件，以取得更多資訊。

前往待加入 [基於憑證的匿名認證] 的組織。

從 [檢視] 功能表選擇 [服務]。

若已加入，則核心模組將隨即顯示於 [瀏覽] 窗格中。如果尚未加入，則可與基於憑證的認證模組同時加入。

在 [瀏覽] 窗格中按一下 [加入]。

在 [資料] 窗格中出現可用的模組清單。

選取 [基於憑證的認證] 核取方塊並按一下 [加入]。

基於憑證的認證模組將顯示在 [瀏覽] 窗格中，從而告知管理員該服務已加入。

按一下 [基於憑證的認證特性] 箭頭。

資料框架中會顯示訊息：目前沒有該服務的範本。您要現在建立一個嗎？出現在 [資料] 窗格。

按一下 [建立]。

基於憑證的認證屬性會顯示在 [資料] 窗格中。依照需要修改屬性。如需這些屬性的說明，請參閱第 19 章「憑證認證屬性」，或按一下主控台右上角的 [說明] 連結。

按一下 [儲存]。

為基於憑證的認證加入「平台伺服器清單中的伺服器 URL」

為了加入此模組，您必須以組織管理員的身份登入 Access Manager，並為 SSL 配置 Access Manager 以及 Web 容器，以及啟用用戶端認證。如需更多資訊，請參閱在 SSL 模式中配置 Access Manager。

使用基於憑證的認證登入

為了使基於憑證的認證成為預設的認證方法，必須修改 [核心認證] 模組屬性組織認證模組 (請參閱(更多...) )。這會確保當使用者在使用 https://hostname:port/deploy_URI/UI/Login?module=Cert 登入時，將會看到 [基於憑證的認證] 登入視窗。依據所使用的認證類型 (如角色、使用者和組織)，如果將認證模組配置為預設，則無需在 URL 中指定模組名稱。

HTTP Basic 認證

該模組使用基本認證，即 HTTP 協定的內建認證支援。Web 伺服器發出要求提供使用者名稱和密碼的用戶端請求，並將這些資訊作為授權請求的一部分傳回伺服器。Access Manager 會擷取該使用者名稱和密碼，從內部將使用者認證至 LDAP 認證模組。為使 HTTP Basic 正常工作，必須加入 LDAP 認證模組 (僅加入 HTTP Basic 模組將不起作用)。如需更多資訊，請參閱加入和啟用 LDAP 認證。一旦使用者認證成功，他/她即可重新認證，無需提供使用者名稱和密碼。

加入和啟用 HTTP Basic 認證

您必須以組織管理員或頂層管理員的身份登入 Access Manager，並已經註冊 LDAP 認證模組。

前往待加入 [HTTP Basic 認證] 的組織。

從 [檢視] 功能表選擇 [服務]。

若已加入，則核心模組將隨即顯示於 [瀏覽] 窗格中。如果尚未加入，則可與 [HTTP Basic] 認證模組同時加入。

在 [瀏覽] 窗格中按一下 [加入]。

在 [資料] 窗格中出現可用的模組清單。

選取 [HTTP Basic 認證] 核取方塊並按一下 [加入]。

[HTTP Basic 認證] 模組將顯示在 [瀏覽] 窗格中，從而告知管理員該服務已加入。

按一下 [HTTP Basic 認證特性] 箭頭。

資料框架中會顯示訊息：目前沒有該服務的範本。您要現在建立一個嗎？出現在 [資料] 窗格。

按一下 [建立]。

[HTTP Basic 認證] 屬性會顯示在 [資料] 窗格中。依照需要修改屬性。如需這些屬性的說明，請參閱第 21 章「HTTP Basic 認證屬性」，或按一下主控台右上角的 [說明] 連結。

按一下 [儲存]。

HTPP Basic 認證模組即已啟用。

使用 HTTP Basic 認證登入

為了使用 [LDAP 認證] 來登入，必須修改 [核心認證] 模組屬性 (組織認證模組) 以啟用及選取 [HTTP Basic 認證]。這會確保當使用者在使用 http://hostname:port/server_deploy_URI/UI/Login?module=HTTPBasic 來登入時，將可看到認證登入視窗。依據所使用的認證類型 (如服務、角色、使用者和組織)，如果將認證模組配置為預設，則無需在 URL 中指定模組名稱。如果認證失敗，則新的實例應該被開啟且使用者應該再次登入。使用 [HTTP Basic 認證] 後若要完全登出，必須關閉所有現存的瀏覽器實例，然後啟動一個新的瀏覽器實例。

JDBC 認證

Java Database Connectivity (JDBC) 認證模組提供一種機制，可讓 Access Manager 經由提供 JDBC 技術啟用驅動程式的 SQL 資料庫來認證使用者。與 SQL 資料庫的連線可以直接經由 JDBC 驅動程式或 JNDI 連線池。

加入和啟用 JDBC 認證


備註	此模組已經在 MySQL4.0 和 Oracle 8i 通過測試

前往待加入 [JDBC 認證] 的組織。

從 [檢視] 功能表選擇 [服務]

若已加入，則核心模組將隨即顯示於 [瀏覽] 窗格中。如果尚未加入，則可與 [JDBC 認證] 模組同時加入。

在 [瀏覽] 窗格中按一下 [加入]。

在 [資料] 窗格中出現可用的模組清單。

選取 [JDBC 認證] 核取方塊並按一下 [加入]。

JDBC 認證模組將顯示在 [瀏覽] 窗格中，從而告知管理員該模組已加入。

按一下 [JDBC 認證特性] 箭頭。

資料框架中會顯示訊息：目前沒有該服務的範本。您要現在建立一個嗎？出現在 [資料] 窗格。

按一下 [建立]。

[JDBC 認證] 屬性會顯示在 [資料] 窗格中。依照需要修改屬性。

按一下 [儲存]。

JDBC 認證模組即已啟用。

使用 JDBC 認證登入

為了使用 [JDBC 認證] 來登入，必須修改 [核心認證] 模組屬性 (組織認證模組) 以啟用及選取 [JDBC 認證]。這會確保當使用者在使用 http://hostname:port/deploy_URI/UI/Login?module=JDBC (注意區分大小寫) 登入時，將會看到 JDBC 認證登入視窗。依據所使用的認證類型 (如服務、角色、使用者和組織)，如果將認證模組配置為預設，則無需在 URL 中指定模組名稱。

LDAP 目錄認證

如果使用 LDAP 認證模組，當使用者登入時，他或她必須以特定的使用者 DN 和密碼連結至 LDAP Directory Server。這是所有基於組織的認證之預設認證模組。如果使用者提供 Directory Server 中的使用者 ID 和密碼，系統將允許此使用者存取有效的 Access Manager 階段作業，並使用該階段作業進行設定。[核心認證] 和 [LDAP 認證] 模組均會自動針對預設組織啟動。未啟用模組時，將提供下列說明。

加入和啟用 LDAP 認證

前往待加入 [LDAP 認證] 的組織。

從 [檢視] 功能表選擇 [服務]。

若已加入，則核心模組將隨即顯示於 [瀏覽] 窗格中。如果尚未加入，則可與 [LDAP 認證] 模組同時加入。

在 [瀏覽] 窗格中按一下 [加入]。

在 [資料] 窗格中出現可用的模組清單。

選取 [LDAP 認證] 核取方塊並按一下 [加入]。

LDAP 認證模組將顯示在 [瀏覽] 窗格中，從而告知管理員該模組已加入。

按一下 [LDAP 認證特性] 箭頭。

資料框架中會顯示訊息：目前沒有該服務的範本。您要現在建立一個嗎？出現在 [資料] 窗格。

按一下 [建立]。

[LDAP 認證] 屬性會顯示在 [資料] 窗格中。依照需要修改屬性。如需這些屬性的說明，請參閱第 23 章「LDAP 認證屬性」，或按一下主控台右上角的 [說明] 連結。

在 [使用者連結密碼] 屬性中輸入密碼。依預設，在安裝期間輸入的 amldapuser 密碼將用作連結使用者。如果您的 Directory Server 允許讀取使用者項目的匿名存取，您可以略過這個步驟。

若要使用其他連結使用者，請變更 [超級使用者連結 DN] 屬性中的使用者 DN，並在 [超級使用者連結密碼] 屬性中輸入此使用者的密碼。

按一下 [儲存]。

LDAP 認證模組即已啟用。

使用 LDAP 認證登入

為了使用 [LDAP 認證] 來登入，必須修改 [核心認證] 模組屬性 (組織認證模組) 以啟用及選取 [LDAP 認證]。這會確保當使用者在使用 http://hostname:port/server_deploy_URI/UI/Login?module=LDAP 登入時，將會看到 [LDAP 認證] 登入視窗。依據所使用的認證類型 (如服務、角色、使用者和組織)，如果將認證模組配置為預設，則無需在 URL 中指定模組名稱。

啟用 LDAP 認證錯誤修復

LDAP 認證屬性包括一個值欄位，用於輸入主/次 Directory Server 的值。如果主伺服器不可用，Access Manager 將轉向第二個伺服器進行認證。如需更多資訊，請參閱 LDAP 屬性 (主 LDAP 伺服器和輔助 LDAP 伺服器)。

多重 LDAP 配置

作為一種錯誤修復，或當 Access Manager 主控台僅提供一個值欄位時要配置屬性的多個值，管理員可於一個組織之下定義多重 LDAP 配置。儘管這些附加配置不會顯示在主控台中，但它們仍可在找不到用於請求使用者認證的初始搜尋時與主配置配合使用。如需有關多重 LDAP 配置的資訊，請參閱「Access Manager Developer's Guide」中的「Multi LDAP Configuration」。

成員身份認證

成員身份認證的實施類似於個人網站 (例如 my.site.com 或 mysun.sun.com)。啟用此模組時，使用者無需借助管理員，即可建立帳戶並將其作為個人帳戶。對於這個新帳戶，使用者能以已加入使用者的身份來存取它。還可以存取檢視器介面，此介面作為授權資料和使用者偏好設定儲存在使用者設定檔資料庫中。

加入和啟用成員身份認證

前往待加入 [成員身份認證] 的組織。

從 [檢視] 功能表選擇 [服務]。

若已加入，則核心模組將隨即顯示於 [瀏覽] 窗格中。如果尚未加入，則可與 [成員身份認證] 模組同時加入。

在 [瀏覽] 窗格中按一下 [加入]。

在 [資料] 窗格中出現可用的模組清單。

選取 [成員身份認證] 核取方塊並按一下 [加入]。

成員身份認證模組將顯示在 [瀏覽] 窗格中，從而告知管理員該模組已加入。

按一下 [成員身份認證特性] 箭頭。

資料框架中會顯示訊息：目前沒有該服務的範本。您要現在建立一個嗎？出現在 [資料] 窗格。

按一下 [建立]。

[成員身份認證] 屬性會顯示在 [資料] 窗格中。依照需要修改屬性。如需這些屬性的說明，請參閱第 24 章「成員身份認證屬性」，或選取主控台右上角的 [說明] 連結。

在 [超級使用者連結密碼] 屬性中輸入密碼。依預設，在安裝期間輸入的 amldapuser 密碼將用作連結使用者。

若要使用其他連結使用者，請變更 [超級使用者連結 DN] 屬性中的使用者 DN，並在 [超級使用者連結密碼] 屬性中輸入此使用者的密碼。

按一下 [儲存]。

成員身份認證模組即已啟用。

使用成員身份認證登入

為了使用 [成員身份認證] 來登入，必須修改 [核心認證] 模組屬性 (組織認證模組) 以啟用及選取 [成員身份認證]。這會確保當使用者在使用 http://hostname:port/deploy_URI/UI/Login?module=Membership (注意區分大小寫) 登入時，將可看到 [成員身份認證登入 (自行註冊)] 視窗。依據所使用的認證類型 (如模組、角色、使用者和組織)，如果將認證模組配置為預設，則無需在 URL 中指定模組名稱。

MSISDN 認證

Mobile Station Integrated Services Digital Network (MSISDN) 認證模組會使用如行動電話等裝置相關的行動用戶 ISDN 來啟用認證。這是非互動式模組。此模組擷取用戶 ISDN 並利用 Directory Server 進行驗證，以找到符合該號碼的使用者。

加入和啟用 MSISDN 認證

前往待加入 [MSISDN 認證] 的組織。

從 [檢視] 功能表選擇 [服務]

若已加入，則核心模組將隨即顯示於 [瀏覽] 窗格中。如果尚未加入，則可與 [MSISDN 認證] 模組同時加入。

在 [瀏覽] 窗格中按一下 [加入]。

在 [資料] 窗格中出現可用的模組清單。

選取 [MSISDN 認證] 核取方塊並按一下 [加入]。

MSISDN 認證模組將顯示在 [瀏覽] 窗格中，從而告知管理員該模組已加入。

按一下 [MSISDN 認證特性] 箭頭。

資料框架中會顯示訊息：目前沒有該服務的範本。您要現在建立一個嗎？出現在 [資料] 窗格。

按一下 [建立]。

[MSISDN 認證] 屬性會顯示在 [資料] 窗格中。依照需要修改屬性。

按一下 [儲存]。

MSISDN 認證模組即已啟用。

使用 MSISDN 認證登入

為了使用 [MSISDN 認證] 來登入，必須修改 [核心認證] 模組屬性 (組織認證模組) 以啟用及選取 [MSISDN 認證]。這會確保當使用者在使用 http://hostname:port/deploy_URI/UI/Login?module=MSISDN (注意區分大小寫) 登入時，將會看到 MSISDN 認證登入視窗。依據所使用的認證類型 (如服務、角色、使用者和組織)，如果將認證模組配置為預設，則無需在 URL 中指定模組名稱。

Windows NT 認證

可以將 Access Manager 配置為與已安裝的 Windows NT/Windows 2000 伺服器配合工作，Access Manager 提供 NT 認證的用戶端部分。

配置 NT 伺服器。如需詳細說明，請參閱 Windows NT 伺服器的文件。

加入和啟用 Windows NT 認證模組之前，您必須先取得和安裝 Samba 用戶端，以便與 Solaris 系統上的 Access Manager 進行通訊。如需更多資訊，請參閱 Windows NT 認證屬性。

加入和啟用 Windows NT 認證模組。

安裝 Samba Client

若要啟動 Windows NT 認證模組，必須下載 Samba Client 2.2.2，並將之安裝至下列目錄：

Samba Client 是一種檔案與列印伺服器，用於不需要單獨的 Windows NT/2000 Server 而將 Windows 和 UNIX 機器結合在一起。如需更多資訊及下載，請於以下位置存取：http://www.sun.com/software/download/products/3e3af224.html。

若要使用 Linux 的 Windows NT 認證模組，將用戶端二進位複製到下列 Access Manager 目錄中：

加入和啟用 Windows NT 認證


備註	如果您有多個介面，則需要額外的配置。多重介面可以透過 smb.conf 檔案中的配置設定，以傳遞到 mbclient。

前往待加入 [Windows NT 認證] 的組織。

從 [檢視] 功能表選擇 [服務]。

若已加入，則核心模組將隨即顯示於 [瀏覽] 窗格中。如果尚未加入，則可與 [Windows NT 認證] 模組同時加入。

在 [瀏覽] 窗格中按一下 [加入]。

在 [資料] 窗格中出現可用的模組清單。

選取 [Windows NT 認證] 核取方塊並按一下 [加入]。

Windows NT 認證模組將顯示在 [瀏覽] 窗格中，從而告知管理員該模組已加入。

按一下 [Windows NT 認證特性] 箭頭。

資料框架中會顯示訊息：目前沒有該服務的範本。您要現在建立一個嗎？出現在 [資料] 窗格。

按一下 [建立]。

[Windows NT 認證] 屬性會顯示在 [資料] 窗格中。依照需要修改屬性。如需這些屬性的說明，請參閱第 26 章「Windows NT 認證屬性」，或選取主控台右上角的 [說明] 連結。

按一下 [儲存]。

Windows NT 認證模組即已啟用。

使用 Windows NT 認證登入

為了使用 [Windows NT 認證] 來登入，必須修改 [核心認證] 模組屬性 (組織認證模組) 以啟用及選取 [NT 認證]。這會確保當使用者在使用 http://hostname:port/deploy_URI/UI/Login?module=NT 登入時，將會看到 [Windows NT 認證] 登入視窗。依據所使用的認證類型 (如服務、角色、使用者和組織)，如果將認證模組配置為預設，則無需在 URL 中指定模組名稱。

RADIUS 伺服器認證

可以將 Access Manager 配置為與已安裝的 RADIUS 伺服器配合工作。如果您的企業使用老舊的 RADIUS 伺服器進行認證，這會很有用。啟用 RADIUS 認證模組需要執行兩個步驟：

配置 RADIUS 伺服器。

如需詳細說明，請參閱 RADIUS 伺服器的文件。

註冊和啟用 RADIUS 認證模組。

加入和啟用 RADIUS 認證

前往待加入 [RADIUS 認證] 的組織。

從 [檢視] 功能表選擇 [服務]。

若已加入，則核心模組將隨即顯示於 [瀏覽] 窗格中。如果尚未加入，則可與 [RADIUS 認證] 模組同時加入。

在 [瀏覽] 窗格中按一下 [加入]。

在 [資料] 窗格中出現可用的模組清單。

選取 [RADIUS 認證] 核取方塊並按一下 [加入]。

RADIUS 認證模組將顯示在 [瀏覽] 窗格中，從而告知管理員該模組已加入。

按一下 [RADIUS 認證特性] 箭頭。

資料框架中會顯示訊息：目前沒有該服務的範本。您要現在建立一個嗎？出現在 [資料] 窗格。

按一下 [建立]。

[RADIUS 認證] 屬性會顯示在 [資料] 窗格中。依照需要修改屬性。如需這些屬性的說明，請參閱第 27 章「RADIUS 認證屬性」，或選取主控台右上角的 [說明] 連結。

按一下 [儲存]。

RADIUS 認證模組即已啟用。

使用 RADIUS 認證登入

為了使用 [RADIUS 認證] 來登入，必須修改 [核心認證] 模組屬性 (組織認證模組) 以啟用及選取 [RADIUS 認證]。這會確保當使用者在使用 http://hostname:port/deploy_URI/UI/Login?module=RADIUS 登入時，將會看到 [RADIUS 認證] 登入視窗。依據所使用的認證類型 (如服務、角色、使用者和組織)，如果將認證模組配置為預設，則無需在 URL 中指定模組名稱。

使用 Sun ONE Application Server 配置 RADUIS

如果 RADUIS 用戶端形成與其伺服器的套接字連線，則依預設 Application Server 的 server.policy 檔案中僅允許 SocketPermissions 的連線權限。為了使 RADUIS 認證正常工作，需要為以下動作授與權限：

接受

連線

偵聽

解析

若要為套接字連線授與權限，您必須將項目加入 Application Server 的 server.policy 檔案。SocketPermission 由主機規格和一組指定與該主機連線方式的動作組成。主機依如下指令指定：

host = hostname | IPaddress:portrange:portrange = portnumber | -portnumberportnumber-portnumber

主機表示為 DNS 名稱、數字 IP 位址或本端主機 (針對本端機器)。DNS 名稱主機規格中可以使用一次萬用字元 “*”。如果包含萬用字元，它必須位於最左側，如 *.example.com。

連接埠 (或 portrange) 為選擇性的。形式為 N- 的連接埠規格 (其中 N 為連接埠號) 表示號碼為 N 及大於 N 的所有連接埠。形式為 -N 的連接埠規格則表示號碼為 N 及小於 N 的所有連接埠。

listen 動作僅在與本端主機配合使用時才有意義。如果存在任何其他動作，則暗含 resolve 動作 (解析主機/IP 名稱服務查找)。

例如，建立 SocketPermissions 時請注意，如果將以下權限授與某程式碼，則該權限可讓程式碼與 machine1.example.com 上的 port 1645 連線，並接受該連接埠上的連線：

permission java.net.SocketPermission machine1.example.com:1645, "connect,accept";

同樣，如果將以下權限授與某程式碼，則該權限可讓程式碼接受本端主機上 1024 至 65535 之間任一連接埠上的連線、與這些連接埠連線或偵聽這些連接埠：

permission java.net.SocketPermission "machine1.example.com:1645", "connect,accept";

permission java.net.SocketPermission "localhost:1024-", "accept,connect,listen";



備註	因為有害的程式碼可以更容易在不擁有資料的存取權的多方中傳輸和共用這些資料，所以將接受或建立與遠端主機連線的權限授與程式碼可能會引發問題。請確保透過指定精確的連接埠號 (而不是指定連接埠號範圍) 僅授與適當的權限。

SafeWord 認證

可以配置 Access Manager，使其處理 Secure Computing 的 SafeWord™ 或 SafeWord PremierAccess™ 認證伺服器的 SafeWord 認證請求。Access Manager 提供 SafeWord 認證的用戶端部分。SafeWord 伺服器可以存在於安裝有 Access Manager 的系統或是單獨的系統上。

加入和啟用 SafeWord 認證

前往待加入 [SafeWord 認證] 的組織。

從 [檢視] 功能表選擇 [服務]。

若已加入，則核心模組將隨即顯示於 [瀏覽] 窗格中。如果尚未加入，則可與 [SafeWord 認證] 模組同時加入。

在 [瀏覽] 窗格中按一下 [加入]。

在 [資料] 窗格中出現可用的模組清單。

選取 [SafeWord 認證] 核取方塊並按一下 [加入]。

[SafeWord 認證] 模組將顯示在 [瀏覽] 窗格中，從而告知管理員該服務已加入。

按一下 [SafeWord 認證特性] 箭頭。

資料框架中會顯示訊息：目前沒有該服務的範本。您要現在建立一個嗎？出現在 [資料] 窗格。

按一下 [建立]。

[SafeWord 認證] 屬性會顯示在 [資料] 窗格中。依照需要修改屬性。如需這些屬性的說明，請參閱第 28 章「SafeWord 認證屬性」，或按一下主控台右上角的 [說明] 連結。

按一下 [儲存]。

SafeWord 認證模組即已啟用。

使用 SafeWord 認證登入

為了使用 [SafeWord 認證] 來登入，必須修改 [核心認證] 模組屬性 (組織認證模組) 以啟用及選取 [SafeWord 認證]。這會確保當使用者在使用 http://hostname:port/deploy_URI/UI/Login?module=SafeWord 登入時，將會看到 [SafeWord 認證] 登入視窗。依據所使用的認證類型 (如角色、使用者和組織)，如果將認證模組配置為預設，則無需在 URL 中指定模組名稱。

使用 Sun ONE Application Server 配置 SafeWord

如果 SafeWord 用戶端形成與其伺服器的套接字連線，則依預設 Application Server 的 server.policy 檔案中僅允許 SocketPermissions 的 connect 權限。為了使 SafeWord 認證正常工作，需要為以下動作授與權限：

接受

連線

偵聽

解析

host = (hostname | IPaddress)[:portrange] portrange = portnumber | -portnumberportnumber-[portnumber]

listen 動作僅在與本端主機配合使用時才有意義。如果存在任何其他動作，則暗含 resolve 動作 (解析主機/IP 名稱服務查找)。

permission java.net.SocketPermission machine1.example.com:5030, "connect,accept";

permission java.net.SocketPermission "machine1.example.com:5030", "connect,accept";

permission java.net.SocketPermission "localhost:1024-", "accept,connect,listen";



備註	因為有害的程式碼可以更容易在不擁有資料的存取權的多方中傳輸和共用這些資料，所以將接受或建立與遠端主機連線的權限授與程式碼可能會引發問題。請確保透過指定精確的連接埠號 (而不是指定連接埠號範圍) 僅授與適當的權限。

SAML 認證

安全宣示標記語言 (SAML) 認證模組擷取並驗證目標伺服器上的 SAML 宣示。SAML SSO 只有此模組在目標機器上配置後才可運作，更新後也包括在內 (例如，Access Manager 2004Q2 更新至 Access Manager 2005Q1)。

加入和啟用 SAML 認證

您必須以組織管理員或頂層管理員的身份登入 Access Manager，並已經註冊 LDAP 認證模組。

前往待加入 [SAML 認證] 的組織。

從 [檢視] 功能表選擇 [服務]。

若已加入，則核心模組將隨即顯示於 [瀏覽] 窗格中。如果尚未加入，則可與 [SAML 認證] 模組同時加入。

在 [瀏覽] 窗格中按一下 [加入]。

在 [資料] 窗格中出現可用的模組清單。

選取 [SAML 認證] 核取方塊並按一下 [加入]。

SAML 認證模組將顯示在 [瀏覽] 窗格中，從而告知管理員該模組已加入。

按一下 [SAML 認證特性] 箭頭。

資料框架中會顯示訊息：目前沒有該服務的範本。您要現在建立一個嗎？出現在 [資料] 窗格。

按一下 [建立]。

[SAML 認證] 屬性會顯示在 [資料] 窗格中。依照需要修改屬性。如需這些屬性的說明，請參閱第 21 章「HTTP Basic 認證屬性」，或按一下主控台右上角的 [說明] 連結。

按一下 [儲存]。

SAML 認證模組即已啟用。

使用 SAML 認證登入

為了使用 [SAML 認證] 來登入，必須修改 [核心認證] 模組屬性 (組織認證模組) 以啟用及選取 [HTTP Basic 認證]。這會確保當使用者在使用 http://hostname:port/server_deploy_URI/UI/Login?module=SAML 登入時，將會看到認證登入視窗。依據所使用的認證類型 (如服務、角色、使用者和組織)，如果將認證模組配置為預設，則無需在 URL 中指定模組名稱。

SecurID 認證

可以配置 Access Manager，讓其處理 RSA 的 ACE/Server 認證伺服器的 SecureID 認證請求。Access Manager 提供 SecurID 認證的用戶端部分。ACE/Server 可以存在於安裝有 Access Manager 的系統上或是單獨的系統上。若要對在本機管理的使用者 ID 進行認證 (請參閱 admintool (1M))，則需要超級使用者存取權限。

SecurID 認證使用認證輔助程式 amsecuridd，它是主 Access Manager 程序以外的單獨程序。此輔助程式會在啟動時偵聽連接埠，以取得配置資訊。如果安裝了 Access Manager 並以 nobody 的身份或超級使用者以外的使用者 ID 執行，則必須仍以超級使用者身份執行 AccessManager-base/SUNWam/share/bin/amsecuridd 程序。如需有關 amsecuridd 輔助程式的更多資訊，請參閱 amsecuridd 輔助程式。

加入和啟用 SecurID 認證


備註	在 Access Manager 的這個版本中，SecurID 認證模組不適用於 Linux 或 Solaris x86 平台，且不應在這兩個平台上註冊、配置或啟用。它僅適用於 Solaris。

前往待加入 [SecurID 認證] 的組織。

從 [檢視] 功能表選擇 [服務]。

若已加入，則核心模組將隨即顯示於 [瀏覽] 窗格中。如果尚未加入，則可與 [SecurID 認證] 模組同時加入。

在 [瀏覽] 窗格中按一下 [加入]。

在 [資料] 窗格中出現可用的模組清單。

選取 [SecurID 認證] 核取方塊並按一下 [加入]。

[SecurID 認證] 模組將顯示在 [瀏覽] 窗格中，從而告知管理員該服務已加入。

按一下 [SecurID 認證特性] 箭頭。

資料框架中會顯示訊息：目前沒有該服務的範本。您要現在建立一個嗎？出現在 [資料] 窗格。

按一下 [建立]。

[SecurID 認證] 屬性會顯示在 [資料] 窗格中。依照需要修改屬性。如需這些屬性的說明，請參閱第 21 章「SecurID 認證屬性」，或按一下主控台右上角的 [說明] 連結。

按一下 [儲存]。

SecurID 認證模組即已啟用。

使用 SecurID 認證登入

為了使用 [SecurID 認證] 來登入，必須修改 [核心認證] 模組屬性 (組織認證模組) 以啟用及選取 [SecurID 認證]。這會確保當使用者在使用 http://hostname:port/deploy_URI/UI/Login?module=SecurID 登入時，將會看到 [SecurID 認證] 登入視窗。依據所使用的認證類型 (如角色、使用者和組織)，如果將認證模組配置為預設，則無需在 URL 中指定模組名稱。

Unix 認證

可以將 Access Manager 配置為根據安裝有 Access Manager 的 Solaris 或 Linux 系統上已知的 Unix 使用者 ID 和密碼處理認證請求。雖然只有一個組織屬性和幾個全域屬性用於 Unix 認證，但有一些針對系統的考量。若要對在本機管理的使用者 ID 進行認證 (請參閱 admintool (1M))，則需要超級使用者存取權限。

Unix 認證使用認證輔助程式 amunixd，它是主 Access Manager 程序以外的單獨程序。此輔助程式會在啟動時偵聽連接埠，以取得配置資訊。每個 Access Manager 只有一個 Unix 輔助程式，可以為其所有組織提供服務。

如果安裝了 Access Manager 並以 nobody 的身份或超級使用者以外的使用者 ID 執行，則必須仍以超級使用者身份執行 AccessManager-base/SUNWam/share/bin/amunixd 程序。Unix 認證模組透過開啟 localhost:58946 的套接字來呼叫 amunixd 常駐程式，以偵聽 Unix 認證請求。若要在預設連接埠上執行 amunixd 輔助程式程序，請輸入以下指令：

IP 位址和連接埠號位於 AMConfig.properties 的 UnixHelper.ipadrs 屬性 (IPV4 格式) 和 UnixHelper.port 屬性中。您可以透過 amserver 指令行公用程式 (amserver 自動執行程序，並從 AMConfig.properties 擷取連接埠號和 IP 位址) 執行 amunixd。

/etc/nsswitch.conf 檔案中的 passwd 項目決定是參考 /etc/passwd 和 /etc/shadow 檔案還是參考 NIS 來進行認證。

加入和啟用 Unix 認證

您必須以頂層管理員的身份登入 Access Manager，以執行以下步驟。

選取服務配置模組。

按一下 [服務名稱] 清單中的 [Unix 認證特性] 箭頭。

螢幕上將顯示數個全域屬性和一個組織屬性。由於一個 Unix 輔助程式為 Access Manager 伺服器的所有組織提供服務，因此大多數 Unix 屬性是全域屬性。如需這些屬性的說明，請參閱第 31 章「Unix 認證屬性」，或按一下主控台右上角的 [說明] 連結。

按一下 [儲存] 以儲存新的屬性值。

您能以組織管理員的身份登入 Access Manager，為組織啟用 Unix 認證。

前往待加入 [Unix 認證] 的組織。

從 [檢視] 功能表選擇 [服務]。

若已加入，則核心模組將隨即顯示於 [瀏覽] 窗格中。如果尚未加入，則可與 [Unix 認證] 模組同時加入。

在 [瀏覽] 窗格中按一下 [加入]。

在 [資料] 窗格中出現可用的模組清單。

選取 [Unix 認證] 核取方塊並按一下 [加入]。

[Unix 認證] 模組將顯示在 [瀏覽] 窗格中，從而告知管理員該服務已加入。

按一下 [Unix 認證特性] 箭頭。

資料框架中會顯示訊息：目前沒有該服務的範本。您要現在建立一個嗎？出現在 [日期] 窗格。

按一下 [建立]。

[Unix 認證] 組織屬性會顯示在 [資料] 窗格中。依照需要修改 [認證層級] 屬性。如需該屬性的說明，請參閱第 31 章「Unix 認證屬性」，或按一下主控台右上角的 [說明] 連結。

按一下 [儲存]。[Unix 認證] 模組即已啟用。

使用 Unix 認證登入

為了使用 [Unix 認證] 來登入，必須修改 [核心認證] 服務屬性 (組織認證模組) 以啟用及選取 [Unix 認證] 。這會確保當使用者在使用 http://hostname:port/deploy_URI/UI/Login?module=Unix 登入時，將會看到 [Unix 認證] 登入視窗。依據所使用的認證類型 (如服務、角色、使用者和組織)，如果將認證模組配置為預設，則無需在 URL 中指定模組名稱。

Windows Desktop SSO 認證

[Windows Desktop SSO 認證] 模組是用於 Windows 2000™ 的基於 Kerberos 認證外掛程式模組。其允許已獲 Kerberos 發行中心 (KDC) 認證的使用者取得 Identity Sever 認證，而無需重新提交登入準則 (單次登入)。

使用者透過 SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) 通訊協定向 Access Manager 提出 Kerberos。為了經由此認證模組來執行基於 Kerberos 的單次登入 Access Manager，在用戶端的使用者必須支援 SPNEGO 通訊協定，才能自我認證。通常，任何支援此通訊協定的使用者應該都能使用這個模組對 Access Manager 進行認證。視用戶端的記號可用性而定，此模組會提供 SPENGO 記號或 Kerberos 記號 (兩者的通訊協定都相同)。在 Windows 2000 (或更新版本) 上執行的 Microsoft Internet Explorer (5.01 或更新版本) 目前可支援這個通訊協定。此外，Solaris (9 和 10) 上的 Mozilla 1.4 具有 SPNEGO 支援，但只會傳回 KERBEROS 記號，因為 Solaris 不支援 SPNEGO。

使用 Internet Explorer 的已知限制

如果您是針對 WindowsDesktopSSO 認證使用 Microsoft Internet Explorer 6.x，而此瀏覽器無法存取在 WindowsDesktopSSO 模組中 (KDC) 範圍配置之相符使用者的 kerberos/SPNEGO 記號，當瀏覽器無法認證 WindowsDesktopSSO 模組後，對其他模組的運作方式也會失常。導致此問題的直接原因在於當 Internet Explorer 無法執行 WindowsDesktopSSO 模組時，即使出現回呼的提示，瀏覽器也無法將回呼 (屬於其他模組) 傳遞至 Access Manager，除非瀏覽器重新啟動。由於 Null 使用者憑證，因此 WindowsDesktopSSO 之後的所有模組都將失敗。

加入和啟用 Windows Desktop SSO 認證


備註	您必須使用 JDK 1.4 或更新版本，才能利用 Kerberos V5 認證模組的新功能和 Java GSS API，在此 SPNEGO 模組中執行基於 Kerberos 的 SSO。

在 Windows 2000 網域控制器中建立一個使用者。

設定 Internet Explorer。

加入與配置 [Windows Desktop SSO 認證] 模組。

要在 Windows 2000 網域控制器中建立一個使用者

在網域控制器中，建立針對 [Access Manager 認證] 模組的使用者帳戶。

從 [開啟] 功能表，前往 [程式集]>[管理工具]。

選取 [Active Directory 使用者與電腦]。

建立含 Access Manager 主機名稱的新使用者，以作為使用者 ID (登入名稱)。Access Manager 主機名稱不應包含網域名稱。

將使用者帳戶與服務提供者名稱產生關聯，並將 keytab 檔案匯出至安裝 Access Manager 的系統。若要進行上述動作，請執行下列指令：

ktpass -princ host/hostname.domainname@DCDOMAIN -pass password -mapuser userName-out hostname.host.keytab

ktpass -princ HTTP/hostname.domainname@DCDOMAIN -pass password -mapuser userName-out hostname.host.keytab

ktpass 指令接受下列參數：

hostname。執行 Access Manager 的主機名稱 (不含網域名稱)。

domainname。Access Manager 網域名稱。

DCDOMAIN。網域控制器的網域名稱。此名稱可能與 Access Manager 的網域名稱不同。

password。使用者帳戶的密碼。請確保密碼的正確性，因為 ktpass 不會確認密碼。

userName。使用者帳戶 ID，應與主機名稱同名。



備註	請確保兩個 keytab 檔案均已做好安全措施。

重新啟動伺服器。

設定 Internet Explorer

上述步驟適用於 Microsoft Internet Explorer™ 6 及更新的版本。若您所使用的是較舊的版本，請確保瀏覽器的網際網路區域中具有 Access Manager，並啟用 [Native Windows 認證]。

在 [工具] 功能表中，前往 [網際網路選項]>[進階/安全性]>[安全性]。

選取 [整合 Windows 認證] 選項。

前往 [安全性]>[本機網際網路]。

選取 [自訂層級]。在 [使用者認證/登入] 面板中，選取 [僅於內部網路域內自動登入] 選項。

前往 [網站] 並選取所有選項。

按一下 [進階]，並將 Access Manager 加入至本機區域 (若尚未加入的話)。

使用 Internet Explorer 的已知限制

加入和配置 Windows Desktop SSO 認證

前往待加入 [Windows Desktop SSO 認證] 的組織。

從 [檢視] 功能表選擇 [服務]。

若已加入，則核心模組將隨即顯示於 [瀏覽] 窗格中。如果尚未加入，則可與 [Windows Desktop SSO 認證] 模組同時加入。

在 [瀏覽] 窗格中按一下 [加入]。

在 [資料] 窗格中出現可用的模組清單。

選取 [Windows Desktop SSO 認證] 核取方塊並按一下 [加入]。

[Windows Desktop SSO 認證] 模組將顯示在 [瀏覽] 窗格中，從而告知管理員該服務已加入。

按一下 [Windows Desktop SSO 認證特性] 箭頭。

資料框架中會顯示訊息：目前沒有該服務的範本。您要現在建立一個嗎？出現在 [資料] 窗格。

按一下 [建立]。

[Windows Desktop SSO 認證] 屬性會顯示在 [資料] 窗格中。依照需要修改屬性。如需這些屬性的說明，請參閱第 32 章「Windows Desktop SSO 認證屬性」，或選取主控台右上角的 [說明] 連結。

按一下 [儲存]。[Windows Desktop SSO 認證] 模組隨即啟用。

使用 Windows Desktop SSO 認證登入

為了使用 [Windows Desktop SSO 認證] 來登入，必須修改 [核心認證] 模組屬性 (組織認證模組) 以啟用及選取 [Windows Desktop SSO 認證]。這會確保當使用者從一個作為 Windows 2000 網域控制器的主機中登入，且使用 http://hostname:port/deploy_URI/UI/Login?module=WindowsDesktopSSO 登入為網域使用者時，使用者可獲取認證。依據所使用的認證類型 (如服務、角色、使用者和組織)，如果將認證模組配置為預設，則無需在 URL 中指定模組名稱。

上一頁目錄索引下一頁
Sun Java System Access Manager 6 2005Q1 管理指南