Sun Java System Messaging Server 6 2005Q4 管理指南

用于 Sun Java System 服务器的 Access Manager SSO

本节介绍了使用 Access Manager 的 SSO。其中包含以下各节：

SSO 限制和注意事项

Messenger Express 会话仅在 Access Manager 会话有效时才有效。如果用户从 Access Manager 注销，Webmail 会话将自动关闭（单点注销）。
协同工作的 SSO 应用程序必须位于同一 DNS 域中。（也称作 cookie 域）。
SSO 应用程序必须具有对 Access Manager 验证 URL（命名服务）的访问权限。
浏览器必须具有 cookie。

将 Messaging Server 配置为支持 SSO

有四个 configutil 参数支持 Messaging Server SSO。在这四个参数中，仅有 local.webmail.sso.amnamingurl 参数是为 Messaging Server 启用 SSO 时所必需的。要启用 SSO，请将此参数设置为 Access Manager 运行命名服务所在的 URL。通常此 URL 为 http://server/amserver/namingservice。示例：

configutil -o local.webmail.sso.amnamingurl -v 
http://sca-walnut:88/amserver/namingservice

注 –

Access Manager SSO 不查看 local.webmail.sso.enable，该参数启用较旧的 SSO 机制。应该将 local.webmail.sso.enable 保留为 off 或不对其进行设置，否则系统将记录关于缺少配置参数的警告消息，而这些配置参数是旧的 SSO 机制所需的。

您可以使用 configutil 命令修改表 6–3 中所示的 SSO 配置参数。

表 6–1 Access Manager 单点登录参数


参数	说明
local.webmail.sso.amnamingurl	Access Manager 运行命名服务所在的 URL。通过 Access Manager 进行单点登录的强制性变量。通常此 URL 为 `http://server/amserver/namingservice`。默认值：未设置。
local.webmail.sso.amcookiename	Access Manager cookie 名称。默认情况下，Access Manager 将其会话句柄保存在名为 `iPlanetDirectoryPro` 的 cookie 中。如果将 Access Manager 配置为使用其他 cookie 名称，则需要在 Messaging Server 中将该名称配置为此参数，以便在进行单点登录时 Messaging Server 知道要查找的内容。如果 IS 有默认配置，则不能更改默认值。默认值：`iPlanetDirectoryPro`
local.webmail.sso.amloglevel	AMSDK 日志记录级别。Messaging Server 使用的 SSO 库有自己的日志机制，该机制不同于 Messaging Server 的日志机制。其消息记录在 `msg_svr_base`/`log` 下名为 `http_sso` 的文件中。默认情况下，仅记录具有 `info` 或更高级别的消息，但可以通过将日志级别设置为 1 到 5 之间的值（1 = errors、2 = warnings、3 = info、4 = debug、5 = maxdebug）来提高日志级别。请注意，库的消息重要性的概念不同于 Messaging Server，将级别设置为 `debug` 可能会导致大量无意义的数据。此外，`http_sso` 日志文件不由通用的 Messaging Server 日志代码管理，且无法清除或轮转此日志文件。将日志级别设置为高于默认级别时，系统管理员将负责将其清除。默认值：3
local.webmail.sso.singlesignoff	从 Messaging Server 到 Access Manager 的单点注销。Access Manager 是中心验证机构，将始终启用从 Access Manager 到 Messaging Server 的单点注销。此选项允许站点配置 webmail 中的注销按钮是否还应将用户从 Access Manager 中注销（保存某些定制工作）。默认情况下，将启用此选项。如果禁用此选项，从默认的 Webmail 客户机注销的用户将自动重新登录，因为只要 Access Manager cookie 存在并有效，注销将引用文档根目录，而文档根目录将引用收件箱显示。因此，选择禁用此选项的站点需要对 Webmail 注销时的操作进行自定义。默认值：是

SSO 错误诊断

如果 SSO 有问题，首先应检查 webmail 日志文件 msg_svr_base/log/http，以查找错误。提高日志记录级别可能会很有帮助 (configutil -o logfile.http.loglevel -v debug)。如果这样做没有帮助，请先检查 msg_svr_base/log/http_sso 中的 amsdk 消息，然后提高 amsdk 日志记录级别 (configutil -o local.webmail.sso.amloglevel -v 5)。请注意，新的日志级别只有在服务器重新启动后才能生效。

如果 SSO 仍然有问题，请确保您在登录过程中使用了 Access Manager 和 Messaging Server 的全限定主机名。Cookie 仅在同一域中的服务器之间共享，而浏览器不知道本地服务器名称所使用的域，因此必须在浏览器中使用全限定名称才能使 SSO 工作。