Sun ONE Instant Messaging 6.1 |
第 4 章
管理 Instant Messaging 和在线策略Sun ONE Instant Messaging 服务器可提供各种功能,如聊天、开会、轮询、在线访问等。策略说明一组可与这些功能关联的访问控制权限。反过来,又可以根据组织需要将最终用户和组分配给各策略。
本章说明如何定义和使用策略以管理最终用户和管理员对 Sun ONE Instant Messaging 服务器功能和权限的访问权:
使用 Sun ONE Identity Server 的管理策略
最终用户和管理员权限的控制方法使用 Sun ONE Instant Messaging 服务器的不同站点对于最终用户的 Instant Messaging 服务访问权类型具有不同的启用和限制需要。控制最终用户和管理员对 Sun ONE Instant Messaging 服务器功能所拥有权限的过程叫做策略管理。策略管理有两种方法:使用访问控制文件或 Sun ONE Identity Server。
使用访问控制文件管理策略的简介
如果通过访问控制文件管理策略,则可在新闻频道管理和会议室管理中调整最终用户权限,并且可以在“用户设置”对话框中更改首选项和发送报警,还可以将特定的最终用户指定为系统管理员。
使用 Sun ONE Identity Server 管理策略的简介
如果使用 Sun ONE Identity Server 管理策略,不仅可以获得与访问控制文件方法相同的权限控制,还可以对各种功能进行进行更为精细的控制,例如:接收报警、发送轮询和接收轮询等。有关完整列表,请参见表 4-4。此外,使用 Sun ONE Identity Server 管理策略时可以对权限进行更为精细的控制。
现有两种策略类型:Instant Messaging 策略和在线策略。Instant Messaging 策略管理一般的 Instant Messaging 功能,例如发送和接收报警功能、管理公共会议和新闻频道的功能以及发送文件的功能。在线策略管理最终用户的以下控制权:更改其在线状态、允许或阻止其它用户查看其在线信息。
管理策略:方法选用
在选择管理策略所用方法时,需要选择这些方法的保存位置。选择管理策略方法的步骤为:编辑 iim.conf 文件,然后将 iim.policy.modules 参数设置为 identity(对于 Sun ONE Identity Server 方法)或 iim_ldap(对于访问控制文件方法 - 缺省方法)。
如果使用仅 LDAP 部署,由于不能使用 Sun ONE Identity Server,故必须使用访问控制文件方法。如果结合使用 Sun ONE Identity Server 和 Sun ONE Instant Messaging 服务器,而且已经安装 Instant Messaging 和在线服务组件,则可以使用任何一种策略管理方法。请注意,使用 Sun ONE Identity Server 的管理策略是更综合的方法。此方法的优点之一是可以将所有最终用户信息保存在目录中。
设置策略管理方法的步骤如下:
策略配置参数
表 4-1 列出并说明 iim.conf 文件中的可用新参数(与 Sun ONE Identity Server 可在 Instant Messaging 部署中扮演的增强角色有关)。
表 4-1 iim.conf 文件中与 Identity Server 有关的新参数
参数名称
用途
值
iim.policy.modules
指示是否用 Identity Server 存储策略
iim_ldap(缺省)
identity
iim.userprops.store
指示用户特性在用户属性文件中还是来自 LDAP
file(缺省)
ldap
使用访问控制文件的管理策略通过编辑访问控制文件,可以控制下列最终用户权限:
缺省情况下,最终用户具有访问其它最终用户在线状态、向其它最终用户发送报警和将特性保存在服务器上的权限。在大多数部署中,缺省值无需更改。
访问控制文件的位置是:
表 4-2 列出 Sun ONE Instant Messaging 的全局访问控制文件和这些文件提供给最终用户的权限。
访问控制文件格式
访问控制文件包含一系列定义权限的条目。所有条目都具有下列标记:
标记后跟有冒号 (:)。如果是缺省标记,后面跟有 true 或 false。
最终用户和组标记后跟有最终用户或组名称。
通过将多个最终用户 (u) 和组 (g) 串联,可以指定多个最终用户和组。
如果将缺省值设置为 true,文件中的所有其它条目将是冗余的。如果缺省值设置为 false,则只有在文件中指定的最终用户和组具有该权限。
下列是 ACL 文件中用于新安装的缺省 d: 标记条目:
访问控制文件示例
本节采用样例文件sysTopicsAdd.acl 说明权限设置。有关会议室和新闻频道等级的访问控制文件的信息(即 roomname.acl 和 newschannel.acl),请参阅“会议室和新闻频道访问控制”。
sysTopicsAdd.acl 文件
在下列示例中,sysTopicsAdd.acl 文件的缺省 d: 标记条目是 false。因此,缺省值前的最终用户和组(即 user1、user2 和 sales 组)具有“添加”和“删除”新闻频道权限。
更改最终用户权限
要更改最终用户权限:
使用 Sun ONE Identity Server 的管理策略Sun ONE Identity Server 中的 Instant Messaging 和在线服务提供另一种控制最终用户和管理员权限的方法。每种服务具有三种属性类型:动态、用户和策略。策略属性是用于设置权限的属性类型。
将规则添加到在 Identity Server 中创建的策略后,策略属性将成为规则的一部分,从而可允许或拒绝管理员和最终用户操作各种 Instant Messaging 功能,例如接收其它用户的轮询信息。
Sun ONE Instant Messaging 服务器安装 Sun ONE Identity Server 之后,将创建一些示例策略和角色。请参阅 Sun ONE Identity Server Getting Started Guide 和 Sun ONE Identity Server 管理员指南以获取有关策略和角色的更多信息。
此外,如果示例策略不足,可以创建新策略,并根据需要将这些策略分配给角色、组、组织或最终用户,以满足站点的要求。
将 Instant Messaging 服务或在线服务分配给最终用户后,会同时应用动态属性和用户属性。动态属性可以分配给 Sun ONE Identity Server 配置的角色或组织。
将角色分配给最终用户或在组织中创建了最终用户时,动态属性将成为最终用户的特征。用户属性将直接分配给每个最终用户。它们并非继承自角色或组织,通常对每个最终用户是不同的。
最终用户登录后,将依据分配给他们的角色和策略应用方式,取得适用他们的所有属性。
将在线服务和 Instant Messaging 服务分配给最终用户后,动态、用户或策略属性将与这些最终用户关联。
Instant Messaging 服务属性
表 4-3 列出了每种服务所具有的策略、动态和用户属性:
对于以上表格中的每种属性,Identity Server 管理控制台中将显示其对应标签。以下两个表格列出每种属性及其对应的标签和简要说明。表 4-4 列出并说明策略属性,表 4-5 列出并说明动态属性和用户属性。
直接修改属性
最终用户可以登录 Sun ONE Identity Server 管理控制台,查看 Instant Messaging 中的属性和在线服务属性的值。最终用户可以更改已定义为可修改的属性。但在缺省情况下,Instant Messaging 服务中的属性均不可修改,也不建议允许最终用户更改它们。但是,从系统管理的观点来看,直接处理属性非常有用。
例如,因为角色不会影响某些系统属性(例如设置会议订阅),因而系统管理员可以通过从其它最终用户(例如从会议登记表)复制属性值来修改这些属性,或者直接修改它们。这些属性在表 4-5 中列出。
参见表 4-5,用户属性由最终用户通过 Sun ONE Identity Server 管理控制台设置。动态属性由管理员设置。设置的动态属性值将覆盖对应的用户属性值或与之合并。
对应的动态属性和用户属性特性将影响冲突与补充信息的解决方式。例如,两个来源(动态和用户)的会议订阅会互相补充;因此,订阅将合并。两种属性不会互相覆盖。
Instant Messaging 和在线策略的预定义示例
表 4-6 列出并说明了在安装 Instant Messaging 服务组件时,于 Sun ONE Identity Server 中创建的七个示例策略和角色。您可以根据要为每个用户提供的访问控制,将最终用户添加到不同角色中。
典型站点可能会将“IM 正规用户”角色(接收缺省的 Instant Messaging 和在线访问的角色)分配给仅使用 Instant Messenger 但没有管理 Instant Messaging 策略的责任的最终用户。同一站点可以将“IM 管理员”角色(与管理 Instant Messaging 和在线服务有关的角色)分配给具有管理 Instant Messaging 策略全部职责的特定最终用户。表 4-7 列出策略属性中缺省的权限分配。如果未选中规则中的操作,值允许和拒绝将与策略无关,也不会影响该属性。
表 4-7 缺省策略的分配
策略
属性
允许
允许
允许
允许
允许
允许
允许
拒绝
允许
允许
拒绝
允许
允许
允许
允许
允许
允许
允许
允许
允许
允许
允许
拒绝
允许
允许
允许
允许
允许
允许
允许
允许
允许
允许
允许
允许
允许
允许
允许
允许
允许
允许
允许
允许
创建新的 Instant Messaging 策略
您可以创建新策略以满足站点的特殊需要。
创建新策略
- 登录 Sun ONE Identity Server 管理控制台(位于 http://hostname:port/amconsole),例如 http://imserver.company22.example.com:80/amconsole
- 选中“标识管理”标签,在浏览窗格(左下方框架)中的“查看”下拉列表中选择“策略”。
- 单击“新建”以在数据窗格(右下方框架)中显示“新策略”页。
- “策略类型”选择“常规”。
- 在“名称”字段中输入策略说明,例如执行 IM 任务的能力。
- 单击“创建”使新策略的名称显示在浏览窗格中的策略列表中,并使数据窗格中的页面变为新策略的“编辑”页。
- 在“编辑”页中,选择“查看”下拉列表中的“规则”,以显示“编辑”页面中的“规则名服务资源” 窗格。
- 单击“添加”以显示“添加规则”页。
- 选择应用的服务:Instant Messaging 服务或在线服务。
每种服务均可让您允许或拒绝最终用户执行特定操作。例如,“聊天的能力”为 Instant Messaging 服务的专有操作,而“访问他人在线状态能力”是在线服务的专有操作。
- 在“规则名称”字段中输入规则的说明,例如规则 1。
- 输入适当的资源名称(IMResource 或 PresenceResource):
- 选择要应用的操作。
- 选择每个操作的值:允许或拒绝。
- 单击“创建”在该策略的已存储规则列表中显示建议的规则。
- 单击“保存”使此建议规则成为已存储规则。
- 对于要应用到该策略的所有其它规则,重复步骤 8-15。对于每个新建规则,单击“保存”以将所作的更改保存至策略。
将策略分配给角色、组、组织或用户
您可以将策略(Instant Messaging 的缺省策略,或在安装 Instant Messaging 后创建的 Instant Messaging 策略)分配给角色、组、组织或用户。
分配策略
- 登录 Sun ONE Identity Server 管理控制台(位于 http://hostname:port/amconsole),例如 http://imserver.company22.example.com:80/amconsole
- 选中“标识管理”标签,在浏览窗格(左下方框架)中的“查看”下拉列表中选择“策略”。
- 单击要分配策略名称旁边的箭头,以在数据窗格(右下方框架)中显示该策略的“编辑”页。
- 在“编辑”页中,从“查看”下拉列表中选择“主题”。
- 单击“添加”以显示“添加主题”页,将列出可能的主题类型:
- 选择与策略匹配的主题类型,例如组织。
- 单击“下一步”。
- 在“名称”字段中,输入主题的说明。
- 如有需要,请选中 Exclusive 复选框。
缺省设置并未选中 Exclusive 复选框,表示策略将应用于主题的所有成员。
选中 Exclusive 复选框会将策略应用于非主题成员的所有人员。
- 在“可用”字段中,搜索您要添加到主题的条目。
- 单击“创建”在该策略的已存储主题列表中显示建议的主题。
- 单击“保存”使此建议主题成为已存储主题。
- 对于您要添加到策略的所有其它主题,重复步骤 5-12。对于每个新建主题,单击“保存”以将所作的更改保存至策略。
使用 Identity Server 创建新的子组织
使用 Sun ONE Identity Server 创建子组织可以有组织地分离在 Sun ONE Instant Messaging 服务器中创建的内容。每个子组织可以映射至不同的 DNS 域。一个子组织中的最终用户与另一个子组织中的最终用户完全隔离。以下说明了创建 Instant Messaging 新子组织的最简单步骤。
创建新的子组织
- 登录 Sun ONE Identity Server 管理控制台(位于 http://hostname:port/amconsole),例如 http://imserver.company22.example.com:80/amconsole
- 创建新组织:
- 为新创建的子组织注册服务。
- 为新选择的服务创建服务模板:
- 在浏览窗格中,单击服务的特性箭头(从“核心”服务开始)。
“创建服务模板”页显示在数据窗格中。
- 在数据窗格中,单击“创建”,选中服务的模板选项页将替换“创建服务模板”页。
即使您不想修改模板选项,也应该针对每项服务单击“创建”。
- 按下列所述修改每项服务的服务模板选项:
- 核心:通常无需修改任何选项,请转至 Step d。
- LDAP:请在执行下列操作后转至 Step d:
- 将新子组织的前缀添加到开始用户搜索的 DN 字段。添加前缀后,最后的 DN 应该是下列格式:
o=sub1,dc=company22,dc=example,dc=com
- 在根用户绑定密码和根用户绑定密码(确认)字段中输入 LDAP 密码。
- Instant Messaging 服务:通常无需修改任何选项,请转至 Step d。
- 在线服务:如果您要让其它用户可在缺省情况下访问最终用户在线信息(站点将选择此选项),请在转至 Step d 之前选中 Dynamic Default Presence Visibility 复选框。
- 单击“保存”。
- 重复步骤 a 到 d,直到每项服务均创建了服务模板。
将最终用户添加至新子组织
在子组织中创建新的最终用户后,需要为他们分配角色。角色可以继承自父组织,下一节中将对此进行说明。
要将最终用户添加至新的子组织:
从 Sun ONE Instant Messaging 6.0 服务器的 Instant Messaging 服务迁移非迁移选项
如果站点使用装有 Sun ONE Identity Server 5.1 软件的 Sun ONE Instant Messaging 6.0 服务器部署 Instant Messaging 服务,Sun ONE Instant Messaging 6.1 软件将使用旧属性。Sun ONE Instant Messaging 6.0 服务的策略属性(例如 sunIMAllowFileTransfer 和 sunIMEnableModerator)将覆盖 Sun ONE Instant Messaging 6.1 服务器中设置的相同策略属性。
迁移选项
但是,处理两项 Instant Messaging 服务差异的更好方法是:从用于 Sun ONE Instant Messaging 6.0 软件的 Instant Messaging 服务迁移,然后修改或创建使用来自 Sun ONE Instant Messaging 6.1 软件的 Instant Messaging 服务和在线服务的 Sun ONE Identity Server 策略。所定义新策略应该能够为站点提供和旧策略一样的访问控制。
例如,您可以在缺省 Instant Messaging 和在线访问策略中修改规则,设置每个策略属性的拒绝或允许状态,以使策略可按它在 Sun ONE Instant Messaging 6.0 服务器中的相同方式演示;或者,使用允许其按与以前相同的方式操作的规则创建新策略。
迁移访问控制文件
如果站点使用的是较早版本的 Sun ONE Instant Messaging 服务器(6.0 或更早),但未使用 Instant Messaging 服务(因此,并未通过在 Sun ONE Identity Server 中设置策略设置最终用户权限),但是已经通过编辑访问控制文件设置了最终用户权限,则可用两种方法复制访问控制文件中设置的策略并使用此信息创建 Sun ONE Identity Server 策略:
手动迁移访问控制文件信息
以下是此方法的高级步骤:
- 打开所有访问控制文件(每次打开一个)。例如,sysTopicsAdd.acl 和 sysRoomsAdd.acl。
有关访问控制文件的位置和格式的更多信息,请参阅“使用访问控制文件的管理策略”。
- 在每个文件中,读取缺省行的值。缺省行以字母 d 和冒号 (d:) 开始。
- 在缺省的即时消息和在线访问策略的 Sun ONE Identity Server 管理控制台中,将规则设置为从访问控制文件读取的相同缺省值。
- 为所有正规的 Instant Messaging 最终用户分配 IM 正规用户角色
- 对于在这些访问控制文件中列出的具有不同权限(例如管理会议室或新闻频道的权限)的最终用户,将他们添加至具有那些权限的对应角色。请参阅表 4-6 以了解每个缺省策略适用的角色。
自动迁移访问控制文件信息
您可以通过发送命令执行此信息的一次性迁移,而不必手动传送访问控制文件信息。
键入下列命令:
imadmin migrate
此命令会将信息从全局访问控制文件迁移至对应的策略及其主题。请参见表 4-8 以了解全局访问控制文件和他们所映射的策略。
迁移 Sun ONE Instant Messenger 设置
对于 Sun ONE Instant Messaging 6.1 服务器,将 iim.conf 文件中的参数 iim.userprops.store 设置为 ldap 时,最终用户的 Sun ONE Instant Messenger 设置会保存在 sunIMUserProperties 用户属性中。
如果站点使用较早版本的 Sun ONE Instant Messaging 服务器且 Sun ONE Instant Messenger 设置已经保存在 user.properties 文件中,在安装 Sun ONE Instant Messaging 6.1 服务器后,旧设置将在最终用户登录时自动迁移至 sunIMUserProperties 用户属性(只要iim.conf 文件中的 iim.userprops.store 参数设置为 ldap)。
在最终用户初次登录 Sun ONE Instant Messaging 6.1 服务器时,服务器将检查 sunIMUserProperties 用户属性是否存在,以及它是否保存最终用户的设置。如果此位置未找到最终用户的设置,服务器将检查是否存在该最终用户的 user.properties 文件。如果文件存在,服务器会将信息从 user.properties 文件传送至 sunIMUserProperties 用户属性。但是,如果 user.properties 文件不存在,缺省 Sun ONE Instant Messenger 设置将是在 sunIMUserProperties 用户属性中为该最终用户分配的值。