| Sun ONE Portal Server 6.2 管理员指南 |
第 12 章
配置通讯频道本章提供有关 Sun™ ONE Portal Server 6.2 的通讯频道的信息,首先提供一般的描述性信息,然后对安装后配置前的通讯频道状态进行说明,最后根据站点的需要对通讯频道配置的各个步骤加以说明。
有关配置(包括管理员和最终用户配置)的信息占据了本章的大部分篇幅。每个频道中均提供有编辑按钮,最终用户单击该按钮后,便可在“Portal 桌面”中对该频道的配置直接进行编辑。最终用户从而能够进入编辑页(或多个编辑页),利用编辑页对特定服务器配置信息及频道中的最终用户可见的特定功能(如“通讯录”频道中可见的通讯录条目)进行编辑。
管理员可以限制或扩展最终用户可以使用的编辑选项。管理员甚至可先行将频道配置完毕,使最终用户不必再进行服务器配置;有关详细信息,请参阅“管理员代理验证:免除最终用户身份验证信息配置”。
由于管理员可以设计每个频道的编辑页,因此他们能够选择最终用户有权编辑的特定功能;有关详细信息,请参阅“应用程序首选项编辑:配置通讯频道编辑页”。
此外,如果站点特定应用程序的可用实例不止一个 — 例如,有两个或更多个邮件应用程序实例 — 管理员便可允许最终用户在自己的“Portal 桌面”上配置另一个“邮件”频道;有关详细信息,请参阅“允许最终用户建立某通讯频道类型的多个实例”。
本章包括以下部分:
通讯频道概述Sun ONE Portal Server 6.2 产品提供了四个通讯频道,最终用户可在“Portal 桌面”中直接访问它们。最终用户可以利用这些频道来访问相应的应用程序(如邮件应用程序),从而能够更有效、更高效地进行组织、调度和通讯。
这四个通讯频道是:
“通讯录”频道显示通讯录条目以供最终用户查看。要访问通讯录以创建和编辑通讯录条目,请先单击“启动通讯录”。
日历频道 “日历”频道显示日历事件和任务以供最终用户查看。要访问日历应用程序以创建新任务和事件,请先单击“启动日历”。
“即时讯息传递”频道显示具有 Sun™ ONE Instant Messenger 访问权限的其它用户的存在状态。这些联系人来自最终用户在 Instant Messenger 应用程序中创建的列表。单击存在状态图标可以从频道中发起聊天,这也是调用 Instant Messenger 的方法之一。要直接从频道中获取最新的存在状态,请再次加载“Portal 桌面”。要即时获得存在状态更新信息,可调用 Instant Messenger 应用程序来查看联系人的存在状态;为此,请单击 Instant Messenger。
邮件频道 “邮件”频道显示发送给最终用户的邮件以供其查看。要访问邮件应用程序以阅读和编写邮件,请单击“启动邮件”。
支持通讯频道的软件Sun ONE Portal Server 软件支持以下针对“通讯频道”应用的资源服务器平台:
安装程序和通讯频道Sun ONE Portal Server 安装程序会执行几项涉及通讯频道的任务。一般通讯频道配置任务也由安装程序来处理。安装程序执行完毕后,管理员和最终用户须根据站点和个人的需要进行更详细的配置。
Sun ONE Portal Server 安装程序任务
Sun ONE Portal Server 安装程序:
- 安装以下软件包:SUNWpsso、SUNWpsap、SUNWpsmp、SUNWpscp 及 SUNWiimps,它们都被部署给 Sun ONE Portal Server 的默认实例。因此,安装程序不会在 Sun ONE Portal Server 的所有实例上都安装这些通讯频道。有关多台服务器部署的信息,请参阅“多实例部署”。
- 创建“通讯录”、“日历”、“即时讯息传递”及“邮件”频道。安装程序会将用于 Sun ONE 服务器的频道置于示例组织的“我的扉页标签”面板容器中。因此,只有在安装了示例门户的情况下,才会安装通讯频道。安装程序不会将 Microsoft Exchange Server 和 IBM Lotus Notes 服务器自动置于容器中。管理员会根据需要将这些频道添加到容器中。
多实例部署
如果部署了多台 Sun ONE Portal Server,请将通讯频道手动部署给 Sun ONE Portal Server 的每个附加实例,然后重新启动每个实例。要部署,请键入:
portal-server-install-dir/SUNWps/bin/deploy redeploy -instance instancename -deploy_admin_password deployadminpassword
其中:instancename 为该特定非默认实例的名称,deployadminpassword 为网络容器(Web 服务器或应用程序服务器)的管理员口令。只有在网络容器是 Sun ONE Application Server 或 BEA WebLogic Server 时,才需要使用管理员口令。如果在使用以下其它可接受的网络容器之一时使用了口令,也不会产生什么问题:Sun™ ONE Web Server 或 IBM WebSphere® Application Server;不过,在这些情况下,系统会忽略口令。
代码示例 12-1 列出了将通讯频道手动部署给两个非默认 Sun ONE Portal Server 实例,然后重新启动这两个实例的命令。其中:myinstance1 和 myinstance2 是非默认 Sun ONE Portal Server 实例名称,Admin 是网络容器管理员口令。
通讯频道的配置任务下文描述设置通讯频道时所涉及的高级任务。并非所有任务都适用于所有站点。您需要根据自己站点的业务要求来确定某任务是否适用于您的站点。
如果已在同一台服务器或不同服务器上安装了 Sun ONE Messaging Server 和 Sun ONE Calendar Server,请在创建频道时指定相应的 URL。
为默认组织配置服务
通讯频道安装完毕后,须对“即时讯息传递”和“通讯录”频道进行更详细的配置,后文中对此有说明。不过,“日历”和“邮件”频道具有示例(或默认)设置,无需管理员做进一步配置便可开始工作。每个通讯频道(包括“日历”和“邮件”频道)都有一些自身所特有的问题值得注意,有时可能需要管理员进行配置后,频道才能按站点的需要进行工作。
以下部分提供了与通讯频道配置有关的重要信息。
通讯频道配置信息
关于所有通讯频道
最终用户配置
除非使用代理验证来配置通讯频道(有关详细信息,请参阅“管理员代理验证:免除最终用户身份验证信息配置”),否则,最终用户仍需在相应通讯频道中单击编辑按钮转到其编辑页,才能对该频道做进一步配置。
警告 — 未检出的错误: 缺少启动按钮
如果输入的任何一个通讯频道的客户机端口号不正确,最终用户将不会收到错误消息。系统通过不显示相应频道的启动按钮来表明存在错误,这无助于最终用户查明故障的根源。管理员和最终用户都可能输入不正确的客户机端口号,但由于最终用户只能编辑“日历”和“邮件”频道的客户机端口号,因此由他们所引发的错误只会发生在这两个频道上。
警告 — 未检出的错误: 缺少频道
不同的情况可能会导致最终用户看不到通讯频道和看不到解释问题的错误消息。原因可能是配置的模板错误或配置名称错误,系统无法找到模板或配置。在以下任何情况下,将不会显示通讯频道:
关于邮件频道
采用 HTTPS 技术的 Messaging Server
如果“邮件”频道所连接到的是“更安全”的、采用 HTTPS 技术的讯息传递服务器,而不是具有基本安全功能的、采用 HTTP 技术的讯息传递服务器,便需要对“邮件”频道进行一些与安全有关的调整,使其按所需方式工作。有关详细信息,请参阅“配置邮件提供者以与采用 HTTPS 技术的 Messaging Server 协同工作”。
配置即时讯息传递频道
Sun ONE 如果在安装 Sun ONE Instant Messaging Server 过程中选中了“在 Portal Server 中启用 IM”,则在 Sun ONE Portal Server 安装过程中便会安装 Instant Messaging Server。
由于“即时讯息传递门户”频道的设计宗旨是“开箱即用”,只有在站点有额外需求时,才有必要进行其它配置。因此,执行完“配置即时讯息传递频道”中所述步骤后,请参阅“即时讯息传递频道的其它配置”来确定该部分是否有某些子部分适用于您的安装要求。
“即时讯息传递”频道以名为 IMProvider 的 Portal Server 内容提供者为基础。IMProvider 是 Portal Server 中 JSPProvider 的一个扩展。由于是 JSPProvider 的一个扩展,IMProvider 会使用 JSP 文件为“即时讯息传递”频道生成内容页和编辑页。JSP 文件还用于生成用来启动 Instant Messenger 的页。IMProvider 还定义即时讯息传递专用标记库,该标记库由 JSP 文件使用。JSP 文件和标记库使用由 IMProvider 定义的频道属性。
有关 Sun ONE Instant Messaging Server 的详细信息,请参阅 Instant Messaging 管理员指南。有关 Sun ONE Portal Server“即时讯息传递频道”标记库及通过编辑 JSP 文件定制“即时讯息传递频道”的具体信息,请参阅 Sun ONE Portal Server 6.2 Desktop Customization Guide。此外,管理员和最终用户可访问在“即时讯息传递频道”配置的代码库属性中使用的 URL 来获得有关 Sun ONE Instant Messaging Server 的信息。
配置即时讯息传递频道
- 在 Internet 浏览器中,以 http://hostname:port/amconsole 地址形式(如 http://psserver.company22.example.com:80/amconsole)登录到 Sun™ ONE Identity Server 管理控制台
- 单击“标识管理”标签,以在导航窗格(左下部框架)中显示“查看”下拉列表。
- 在“查看”下拉列表中选择“服务”,以显示可配置服务的列表。
- 在 Portal Server 配置标题下,单击“Portal 桌面”旁的箭头,以在数据窗格(右下部框架)中调出“Portal 桌面”页。
- 单击“频道和容器管理”链接。
- 向下滚动至“频道”标题,然后单击 IMChannel 旁的“编辑属性”,以显示包含“基本属性”的Instant Messenger服务面板。
以下是在“编辑 IMChannel”页中显示的属性列表的一部分,每个属性都提供有示例值。
属性
值
server
imserver.example.com
port
49999
mux
imserver.example.com
muxport
49909
codebase
imapplet.example.com
netletRule
IM
clientRunMode
plugin
authMethod
idsvr
authUsernameAttr
uid
username
(idsvr 用于 authmethod 时不适用)
password
(idsvr 用于 authmethod 时不适用)
contactGroup
My Contacts
- 在希望输入的各属性旁的文本字段中,输入所需值。表 12-1 对属性和作为值输入的信息类型进行了描述。
表 12-1 编辑 IMChannel 页的属性和值描述
属性
值
server
输入将由频道使用的 Sun ONE Instant Messaging Server 的主机名。
port
输入将由频道使用的、与 Sun ONE Instant Messaging Server 关联的端口号。默认端口号为 49999。
mux
输入当频道启动“即时讯息传递”客户机时将使用的“Sun ONE 即时讯息传递多路复用器”的主机名。
muxport
输入与“Sun ONE 即时讯息传递多路复用器”关联的端口号。默认端口号为 49909。
codebase
输入即时讯息传递客户机下载来源的 URL 前缀。
netletRule
输入在安全模式下,通过“安全远程访问”(SRA) 网关用于“即时讯息传递”客户机的 netlet 规则的名称。
clientRunMode
输入运行“即时讯息传递”客户机的方法: plugin 或 jnlp(用于 Java Web Start)。
authMethod
通常是输入值 idsvr,它表示要使用的验证方法是 Sun ONE Identity Server 验证方法。
有两个可能的值,idsvr 或 ldap。值 idsvr 可启用“单点登录”。它还从Instant Messenger频道编辑页删除 username 和 password 字段。
authUsernameAttr
输入使用 idsvr 验证方法进行验证时用于用户名的属性的名称。
username
输入使用 LDAP 方法进行验证时使用的用户名。
password
输入使用 LDAP 方法进行验证时使用的口令。存储在显示配置文件中时,使用 AMPasswordUtil 类来模糊化此属性。
contactGroup
输入显示在“即时讯息传递”频道中的联系人组的名称。
- 滚动到所需位置,单击“保存”。
即时讯息传递频道的其它配置
允许多个组织可能必需的步骤
当 Portal Server 实例为多个组织服务,却使用一个Instant Messenger服务器时,必须执行附加步骤。
Identity Server 和 Portal Server 允许管理员在整个组织中用相同的“用户 ID”(uid) 设置用户。例如,组织可以有这样两个子组织:每个子组织都有一个名为 enduser22 的最终用户。当这两个最终用户尝试通过Instant Messenger频道访问其相应的帐户时,这将会导致冲突。
要避免这一潜在冲突,每个组织都必须创建一组 JSP 启动页来容纳 pass-in-the-parameter 域,并将该域的值设置为组织的属性 sunPreferredDomain 的值。默认启动页为:
/etc/opt/SUNWps/desktop/default/IMProvider/jnlpLaunch.jsp
/etc/opt/SUNWps/desktop/default/IMProvider/pluginLaunch.jsp
在组织中插入 Instant Messenger 链接
默认情况下,Instant Messenger 链接会被添加到默认组织的“应用程序”频道(它提供用于启动各种应用程序的链接)中。利用 Instant Messenger 链接可以从“应用程序”频道中启动 Instant Messenger。在下列情况下需要手动添加 Instant Messenger 链接:
Instant Messenger 链接的内容位于文件 /opt/SUNWps/samples/desktop/dp-IMChannel.xml 中。dp-IMChannel.xml 文件还包含示例 IMChannel。
编辑 dp-IMChannel.xml 文件的一个副本,以将 Instant Messenger 链接信息添加到另一个组织的显示配置文件中,然后使用 dpadmin 命令安装该文件:
其中:
ADMIN_DN - 用 LDAP 管理员 DN 替换。例如:amadmin
PASSPHRASE - 用管理员口令替换。
ORG_DN - 用要添加链接的“组织”的 DN 替换。例如: o=example.com, o=isp
用于使用 Java Plug-in 启动 Instant Messenger 的 URL 将是对使用启动参数的“即时讯息传递”频道的引用。例如:
/portal/dt?action=content&provider=IMChannel&launch=plugin&username=sam
用于使用 Java Web Start 启动 Instant Messenger applet 的 URL 为:
/portal/imlaunch?channel=IMChannel&launch=jnlp&username=sam
在 Sun ONE Portal Server 中为 Sun ONE Instant Messenger 启用安全模式
Netlet 简化了 Instant Messenger 和服务器间的安全通讯。
要启用安全模式,需要添加“Netlet 规则”。
添加“Netlet 规则”:
- 在 Internet 浏览器中,以 http://hostname:port/amconsole 地址形式(如 http://psserver.company22.example.com:80/amconsole)登录到 Identity Server 管理控制台
- 单击“标识管理”标签,以在导航窗格中显示“查看”下拉列表。
- 在“查看”下拉列表中选择“服务”,以显示可配置服务的列表。
- 向下滚动到“SRA 配置”并选择 Netlet。
- 单击 Netlet 旁的箭头图标。此时右侧窗格中会显示“Netlet 规则”。
- 单击“Netlet 规则”下的“添加”。
- 在“规则名称”字段中键入 IM。
- 删除 URL 字段中的默认值,将该字段留空。
- 选择“下载 Applet”复选框,然后输入以下字符串:
$IM_DOWNLOAD_PORT:$IM_WEBSERVER_HOST:$IM_WEBSERVER_PORT
例如:
49916:company22.example.com:80
- 在“端口-主机-端口”列表中选择默认值,然后单击“删除”。
- 在“客户机端口”字段中输入 Netlet 运行于的本地主机端口。例如: 49916.
- 在“目标主机”字段中输入 Instant Messenger 主机名。
- 在“目标端口”字段中输入 Instant Messenger 端口。
注意
“Netlet 端口”、“即时讯息传递主机”及“即时讯息传递端口”的值应与Instant Messenger服务面板中提及(在“配置即时讯息传递频道”的最后几个步骤中讨论)的“即时讯息传递”服务属性的值相同。
- 单击“添加到列表”。
- 单击“保存”以保存“Netlet 规则”。
禁止用户启动 Instant Messenger
从用户的显示配置文件中删除“即时讯息传递”频道可禁止用户使用该频道。例如,要删除自动安装的示例 IMChannel,请执行以下操作:
配置通讯录频道
要使“通讯录”频道能够工作,需要配置“通讯录”服务的默认值。要使“通讯录”频道尽可能高效地运行,需要根据站点的需要适当设置 LDAP 连接池的最大值和最小值。
配置通讯录服务的默认值
本部分提供有关单点登录 (SSO) 适配器模板的信息。这些模板会在全局范围内影响通讯频道在用户 Portal 桌面上的显示。要改动通讯频道的用户显示配置文件,需要编辑或创建“SSO 适配器”模板和配置。
本章只讨论“通讯录”的模板。即使对“通讯录”而言,本章的论述也非常具体。有关“SSO 适配器”、“SSO 适配器”模板及“SSO 适配器”配置的更完整的说明,请参阅附录 H,“SSO 适配器模板及配置”。
配置通讯录服务的默认值
- 在 Internet 浏览器中,以 http://hostname:port/amconsole 地址形式(如 http://psserver.company22.example.com:80/amconsole)登录到 Identity Server 管理控制台
- 单击“服务配置”标签,以在导航窗格中显示可配置服务的列表。
- 向下滚动导航窗格至“单点登录适配器配置”标题,然后单击“SSO 适配器”项目旁的箭头,此时系统会在数据窗格中调出“SSO 适配器”页。
- 单击在“default|”后跟有“轻量目录访问协议”(LDAP) 的字符串。在与“动态”相对的“全局”标题下的标签为“SSO 适配器模板”的框中查找以下字符串:
default|ldap://...
该字符串会出现在其它字符串(如“default|pop3:///...”、“default|imap:///...”及“default|http:///....”之中
单击“default|ldap://...”字符串时,系统会选择该字符串,并将其副本置于下方的“配置描述字段”中,此时便可对该字符串进行编辑。配置描述字段位于“添加”和“删除”按钮上方。
- 配置描述字段中显示“default|ldap://...”字符串时,在其内部单击。
代码示例 12-2 显示了编辑前配置描述字段中所显示的完整的默认“SSO 适配器模板”字符串。此描述以一个长字符串的形式出现在字段中;为了便于阅读,在此将其分为几行,并在每个和符号 (&) 前均添加了换行符。
代码示例 12-2 编辑前的通讯录 SSO 适配器模板
default|ldap://[SERVER-NAME:PORT]/?configName=[SUN-ONE-ADDRESS-BOOK]
&pabSearchBase=[PAB-SEARCH-BASE]
&userSearchBase=[USER-SEARCH-BASE]
&aid=[ADMIN-ID]
&adminPassword=[ADMIN-PASSWORD]
&imapHost=[IMAP-HOST]
&imapPort=[IMAP-PORT]
&clientPort=[CLIENT-PORT]
&enableProxyAuth=false
&proxyAdminUid=[PROXY-ADMIN-UID]
&proxyAdminPassword=[PROXY-ADMIN-PASSWORD]
&userAttribute=uid
&type=AB-TYPE
&subType=sun-one
&ssoClassName=com.sun.ssoadapter.impl.LDAPABSSOAdapter
&encoded=password
&default=ssoClassName
&default=host
&default=port
&default=pabSearchBase
&default=userSearchBase
&default=aid
&default=adminPassword
&default=imapHost
&default=imapPort
&default=clientPort
&default=type
&default=subType
&default=enableProxyAuth
&default=proxyAdminUid
&default=proxyAdminPassword
&default=userAttribute
&merge=uid
&merge=password
&default=enablePerRequestConnection
&enablePerRequestConnection=false
- 在配置描述字段中,替换表 12-2 详述的字符串中加有方括号的值,方法是:选择加有方括号的值(如 [SERVER-NAME:PORT]),键入具体的替换信息(如 psserver.company22.example.com:389)。
- 字符串中所有带方括号的值替换完毕后,单击“添加”。
此操作会将“SSO 适配器模板”框中新编辑的“default|ldap://...”字符串置于其它字符串(包括原“default|ldap://...”字符串)之中。
- 如果原“default|ldap://...”字符串(含带方括号的值的字符串)目前未被选中,请现在选择它。确保它是唯一被选中的字符串。
- 单击“删除”以删除原“default|ldap://...”字符串。
- 向下滚动“SSO 适配器”页,然后单击“保存”。
有关“SSO 适配器”模板字符串中属性的详细信息,请参阅附录 H,“SSO 适配器模板及配置”。
表 12-2 通讯录 SSO 适配器模板字符串示例详释
参数
值
SERVER-NAME:PORT
使用用户或与讯息传递服务器关联的组目录服务器的名称和端口号替换此字符串。例如:
psserver.company22.example.com:389
输入的用来替换带方括号的值 [SERVER-NAME:PORT] 中的 SERVER-NAME 的服务器名称通常与输入的用来替换带方括号的值 [IMAP-HOST] 的服务器名称相同。
尽管可能性不大,但这两台主机仍有可能不同。将另一台 IMAP 主机指定为其验证应用于“个人通讯录”(PAB) 的主机时,它们便可能不同。
将端口号从 389 更改为另一号码,如 390:
1. 输入 390 来替换带方括号的值 [SERVER-NAME:PORT] 中的 PORT。本表开头部分给出的服务器名称和端口示例将显示如下:
psserver.company22.example.com:390
2. 将以下内容追加到“通讯录 SSO 适配器”模板字符串:
&default=port&port=390
此操作会更改代码示例 12-2 中显示的模板字符串,使其以此结尾:
...merge=uid&merge=password&default=port&port=390
SUN-ONE-ADDRESS-BOOK
使用以下内容替换此字符串:
sunOneAddressBook
它与在“动态 SSO 适配器”配置中出现的以下字符串同值: configDesc=SUN-ONE-ADDRESS-BOOK
具体地说,它出现在以下字符串中:
undef:///?configName=sunOneAddressBook&configDesc=SUN-ONE-ADDRESS-BOOK
PAB-SEARCH-BASE
使用 PAB 搜索基替换此字符串。搜索基是“个人通讯录”搜索的起始搜索点。
例如:o=pab。
USER-SEARCH-BASE
使用用户搜索基替换此字符串。
例如: o=example.com
ADMIN-ID:
使用 PAB LDAP 管理员的区别名 (DN) 替换此字符串。
例如:
uid=msg-admin,ou=People, o=company22.example.com,o=example.com
ADMIN-PASSWORD
使用“PAB 管理员 ID”替换此字符串。例如:admin
不过,它不是加密口令。有关如何使用 adminPassword 的加密口令的信息,请参阅附录 A“SSO 适配器模板和配置”表 H-3 中标题为“加密”的条目。
IMAP-HOST
使用具有相应值的讯息传递服务器的“Internet 讯息传递访问协议”(IMAP) 主机名替换此字符串。
例如:
psserver.company22.example.com
此服务器的名称通常与用于 [SERVER-NAME:PORT] 的服务器的名称相同。
IMAP-PORT
使用 IMAP 端口号替换此字符串。例如: 143
CLIENT-PORT:
使用讯息传递解决方案服务器所运行于的 HTTP 端口号替换此字符串。
例如: 1080
PROXY-ADMIN-UID
使用代理管理员的“用户 ID”替换此字符串。
例如:msg-admin
如果未启用代理验证,可以将此带方括号的值以占位符形式保留在字符串中,如代码示例 12-3 中所示。
PROXY-ADMIN-PASSWORD
使用代理管理员的口令替换此字符串。
例如:mailpwd
如果未启用代理验证,可以将此带方括号的值以占位符形式保留在字符串中,如代码示例 12-3 中所示。
代码示例 12-3 显示的是添加了配置详细信息后的“通讯录 SSO 适配器模板”字符串。本例中未启用代理验证。有关代理验证的详细信息,请参阅“管理员代理验证:免除最终用户身份验证信息配置”。
代码示例 12-3 编辑后的通讯录 SSO 适配器模板
default|ldap://company22.example.com/?configName=sunOneAddressBook
&pabSearchBase=o=pab
&userSearchBase=o=example.com
&aid=uid=msg-admin,ou=People,o=company22.example.com,o=example.com
&adminPassword=admin
&imapHost=imserver.company22.example.com
&imapPort=143
&clientPort=1080
&enableProxyAuth=false
&proxyAdminUid=[PROXY-ADMIN-UID]
&proxyAdminPassword=[PROXY-ADMIN-PASSWORD]
&userAttribute=uid
&type=AB-TYPE
&subType=sun-one
&ssoClassName=com.sun.ssoadapter.impl.LDAPABSSOAdapter
&encoded=password
&default=ssoClassName
&default=host
&default=port
&default=pabSearchBase
&default=userSearchBase
&default=aid
&default=adminPassword
&default=imapHost
&default=imapPort
&default=clientPort
&default=type
&default=subType
&default=enableProxyAuth
&default=proxyAdminUid
&default=proxyAdminPassword
&default=userAttribute
&merge=uid
&merge=password
&default=enablePerRequestConnection
&enablePerRequestConnection=false
设置 LDAP 连接池大小的最大值和最小值
本部分提供有关“通讯录”提供者连接池的信息,这些信息适用于以下系统支持的提供者:Sun ONE通讯录提供者、Microsoft Exchange 通讯录提供者及 Lotus Notes 通讯录提供者。
连接池会保持固定的 LDAP 连接数,既不小于 connPoolMin 属性的值,也不大于 connPoolMax 属性的值。在 LdapABConstants.java 文件中这两个属性的默认值设置为:connPoolMin=5 和 connPoolMax=20。不过,如果要调整这些值,就应编辑“SSO 适配器”。由于您很可能想在全局级设置 LDAP 连接,因此应在“通讯录 SSO 适配器”模板中编辑这些属性,编辑方法在后文的“设置 LDAP 连接池大小的最大值和最小值”中有描述。
最终用户启动通讯录时,连接池会查看其是否有可用的 LDAP 连接。如果有可用的连接,便会将其提供给最终用户。如果没有可用的连接,而 connPoolMax 属性的值又未达最大值,连接池便会创建一个新的 LDAP 连接,并将其提供给最终用户。如果没有可用的连接,而 connPoolMax 属性的值已达最大值,则最终用户必须等待,直至连接池中有可用连接。如果在有可用连接前达到了超时值,则最终用户便无法在该次尝试中联系通讯录服务器。
因此,应将连接池的最小连接数设置为一个足够大的数字,以免不断创建新的 LDAP 连接,因为创建连接会降低性能。不过,不要将最小连接数设置得过大,否则会显著降低硬件资源的整体可用性。
此外,还需将连接池的最大连接数设置为一个足够大的数字,以确保大多数最终用户不用等待就可获得 LDAP 连接,但也不要设置得过大,以免不必要地降低硬件资源的可用性。总之,目标是要找到一个两者兼顾的折中数字,既不会使硬件资源变得紧张,又可保证最终用户能够快速访问其通讯录。
设置 LDAP 连接池大小的最大值和最小值
- 在 Internet 浏览器中,以 http://hostname:port/amconsole 地址形式(如 http://psserver.company22.example.com:80/amconsole)登录到 Identity Server 管理控制台
- 单击“服务配置”标签,以在导航窗格中显示可配置服务的列表。
- 向下滚动导航窗格至“单点登录适配器配置”标题,然后单击“SSO 适配器”项目旁的箭头,此时系统会在数据窗格中调出“SSO 适配器”页。
- 单击在“default|”后跟有“轻量目录访问协议”(LDAP) 的字符串。在与“动态”相对的“全局”标题下的标签为“SSO 适配器模板”的框中查找以下字符串:
default|ldap://...
- 配置描述字段中显示“default|ldap://...”字符串时,在其内部单击。
- 导航到字符串的尾部,输入站点的正确设置。代码示例 12-4 提供了一个示例,其中:LDAP 连接数的最小值设置为 7,最大值设置为 1,000,超时设置为 180 秒。
代码示例 12-4 添加到 SSO 适配器模板中的 LDAP 连接代码
default=connPoolMin
&connPoolMin=7
&default=connPoolMax
&connPoolMax=1000
&default=timeout
&timeout=180
- 单击“添加”。
此操作会将“SSO 适配器模板”框中新编辑的“default|ldap://...”字符串置于其它字符串(包括原“default|ldap://...”字符串)之中。
- 如果原字符串“default|ldap://...”目前未被选中,请现在选择它。确保它是唯一被选中的字符串。
- 单击“删除”以删除原“default|ldap://...”字符串。
配置最终用户频道设置
- 以新用户身份登录到“桌面”:
- 单击各频道的“编辑”按钮来配置服务器设置。
- 配置“邮件”频道设置:
服务器名。输入邮件服务器的主机名。For example, mailserver.example.com。
IMAP 服务器端口。输入邮件服务器端口号。
SMTP 服务器名。输入邮件发送服务器(即“简单邮件传输协议”(SMTP) 服务器)的“域名服务器”(DNS) 的名称。
客户机端口。输入为 HTTP 服务配置的端口号。
用户名。输入邮件服务器用户名。
用户口令。输入邮件服务器用户口令。
发送邮件时在“已发送邮件”文件夹中保留邮件副本。选中此框可在“已发送邮件”文件夹中保留发出邮件的副本。
完成。单击此按钮来保存邮件配置。
- 配置通讯录频道设置:
IMAP 用户 ID 和“口令”与配置邮件频道设置时输入的“用户名”和“用户口令”相同。有关详细信息,请参阅上一项目符号项 “配置“邮件”频道设置:”
IMAP 用户 ID。输入您的“IMAP 用户 ID”。
IMAP 口令。输入您的“IMAP 口令”。
完成。单击此按钮来保存服务器信息。
取消。单击此按钮来关闭窗口而不保存详细信息。
- 配置日历频道设置:
- 配置“即时讯息传递”频道设置:
联系人列表。选择所需联系人列表,其中的联系人将显示在“即时讯息传递频道”中。
启动方法。选择所需启动方法:
Java Plugin 或 Java Web Start。服务器。输入 Sun ONE Instant Messaging Server 名称。例如:
IMserver.example.com服务器端口。输入 Sun ONE Instant Messaging Server 端口号。例如:
49999多路复用器。输入“多路复用器”名称,该复用器必须与 Sun ONE Instant Messenger服务器为同一台机器。例如:
IMserver.example.com多路复用器端口。输入“多路复用器”端口号。例如:
49909用户名。(此字段仅当将验证方法设置为 Sun ONE Identity Server 验证方法 idsvr 时才显示)输入 Sun ONE Instant Messenger用户名。
用户口令。(此字段仅当验证方法设置为 Sun ONE Identity Server 验证方法 idsvr 时才显示)输入 Sun ONE Instant Messenger用户口令。
完成。单击此按钮来保存 Sun ONE Instant Messaging Server 配置。
取消。单击此按钮来关闭窗口而不保存详细信息。
注意
“通讯录”、“日历”和“邮件”频道中都存在这样一些显示选项,它们可由用户设置,在默认情况下又无法被管理员改写。登录到“Portal 桌面”后,用户可在面板中单击对应于某频道的编辑按钮来更改其显示选项。显示选项有清晰标记,可轻松更改。
在“通讯录”频道中,用户可更改的显示选项是“条目数量”选项;在“日历”频道中,用户可更改的显示选项是“显示天视图”选项;在“邮件”频道中,用户可更改的显示选项是“标题数”选项。
系统会优先应用用户对默认通讯频道显示选项所做的更改。管理员以后所做的任何更改都不会自动生效,用户也无法自动获得对管理员添加的新频道的访问权。要使用户能够查看和访问管理员所做更改,请参阅“某些用户看不到配置更改”,了解详细信息。
应用程序首选项编辑:配置通讯频道编辑页
您可以对“通讯录”、“日历”和“邮件”频道的编辑页进行配置,最终用户单击每个通讯频道工具栏中的编辑按钮后便会出现该页。“即时讯息传递”频道不使用应用程序首选项编辑。有关配置“即时讯息传递频道”编辑页的信息,请参阅Sun ONE Portal Server 6.2 Desktop Customization Guide。
对于三种允许进行应用程序首选项编辑的通讯频道,您可以更改可供最终用户编辑的选项、伴随这些选项的名称和用语及选项的格式。可以在显示配置文件、各种 HTML 模板及“SSO 适配器”模板中执行对通讯频道编辑页的配置。您可能还需要访问“SSO 适配器”配置。在对编辑页进行配置时,这些项目都会涉及到。
本部分只对应用程序首选项编辑加以简要说明。本指南中的其它章和 Sun ONE Portal Server 6.2 Desktop Customization Guide 对模板文件和显示配置文件做了更完整的说明,包括它们彼此间的交互方式及访问和编辑它们的方法。
编辑页的显示配置文件属性
在通讯频道的显示配置文件中有 ssoEditAttributes 和 dpEditAttributes 两个集合,它们方便了编辑页的创建。
您可以访问 Sun ONE Identity Server 管理控制台来编辑这些集合。编辑的方法有两种:一种是下载显示配置文件,对 XML 代码进行编辑,然后将其上载回 directory server;另一种是只使用管理控制台来编辑这两个集合中的特定属性。可任选其一。
ssoEditAttributes 集合控制对“SSO 适配器”服务中所包含属性(如 user name 和 user password)的编辑;dpEditAttributes 集合控制对显示配置文件属性(如 sort order 和 sort by)的编辑。这些选项是在默认情况下可由最终用户进行编辑的选项。
因此,这两个集合列出了可以编辑的属性,同时也包含有关输入类型及供输入字符串使用的报头的信息。例如:
<String name="uid" value="string|User Name:"/>
<String name="password" value="password|User Password:"/>
集合中的名称必须与相应显示配置文件“SSO 适配器”属性的名称相符。该项的值部分包含两条信息,由“|”字符分隔。该值字符串的第一部分说明属性的显示类型。该属性的值字符串的第二部分指定将在该项旁显示的文本。下方列表说明类型与相应 HTML GUI 项的关系:
每个 select 显示类型都必须有相应的集合,该集合列出将返回的值及选项的显示值。集合名称必须由属性的名称值和文本 SelectOptions 组成。例如,对于 MailProvider 中的 sortOrder 属性,集合名称为 sortOrderSelectOptions:
<Collection name="sortOrderSelectOptions" advanced="false" merge="replace" lock="false" propagate="true">
<String name="top" value="Most recent at top"/>
<String name="bottom" value="Most recent at bottom"/>
</Collection>
用于创建编辑页的 HTML 模板
用来创建通讯频道提供者的编辑页的 HTML 模板有九个。创建的模板的通用性很强,以便与特定浏览器 GUI 类型相对应。大多数模板与编辑页中的具体 HTML 输入内容有关。edit-start.template 和 edit-end.template 例外,因为它们包含大多数用于页面布局的 HTML。表 12-3 包含对每个模板名称及其与 GUI 类型关系的描述。某些模板用于启动、结束和分隔属性。这些模板可供每个通讯频道使用,它们的位置在:
/etc/opt/SUNWps/desktop/default/ChannelName_Provider/html
例如,用于“日历”频道编辑页的模板的位置在:
/etc/opt/SUNWps/desktop/default/CalendarProvider/html
表 12-3 用于创建通讯频道编辑页的模板
模板
说明
edit-start.template
为编辑页提供启动 HTML 表。
edit-checkbox.template
为复选框项提供通用模板。
edit-separate.template
分开显示配置文件属性与 SSO 属性。
edit-end.template
结束编辑页的 HTML 表。
edit-password.template
为口令项提供通用模板。
edit-string.template
为文本项提供通用模板。
edit-select.template
为选择项提供通用模板。
edit-selectoption.template
为选择选项提供通用模板。这样,还可从显示配置文件中动态生成该选项。
edit-link.template
提供用于生成链接的模板,以便用户可以编辑其客户机的显示属性。
显示配置文件示例
本例展示了“SSO 适配器”的某些属性如何与其相应的显示配置文件属性协同工作,使最终用户能够在通讯频道的编辑页中更改特定功能的条目,从而更改通讯频道在其“Portal 桌面”上的配置和显示方式。
代码示例 12-5 中的“SSO 适配器”模板是供邮件频道示例使用的模板。“SSO 适配器”模板包含以下两个合并属性:
合并属性是可由最终用户指定的属性。管理员决定哪些属性是合并属性,即他们希望最终用户能够编辑哪些属性。
代码示例 12-5 SSO 适配器模板示例
default|imap:///&configName=MAIL-SERVER-TEMPLATE
&encoded=password
&default=protocol
&default=clientProtocol
&default=type
&default=subType
&default=ssoClassName
&default=smtpServer
&default=clientPort
&default=host
&default=port
&merge=username
&merge=userpassword
&clientProtocol=http
&type=MAIL-TYPE
&subType=sun-one
&ssoClassName=com.sun.ssoadapter.impl.JavaMailSSOAdapter
&smtpServer=example.sun.com
&clientPort=80
&host=company22.example.com
&port=143
代码示例 12-6 包含频道的 ssoEditAttributes 的频道显示配置文件 XML 片段。
管理员在“SSO 适配器”模板中将一个属性设置为 merge 后,可以在显示配置文件中对其进行编辑,以重新配置在编辑页中向最终用户显示该属性的方式及最终用户可对其进行的编辑。通过编辑相应的显示配置文件集合,管理员可控制向最终用户询问以获得必要信息的方式。例如,在本例中,管理员可以用问题您的用户名?来替换 User Name在“|”符号前使用 string 属性显示类型是管理员们最常见的做法。不过,管理员也可将其更改为 password 类型或另一种类型。
代码示例 12-6 邮件频道显示配置文件 XML 片段示例
<Channel name="SampleMailChannel" provider="MailProvider">
<Properties>
<Collection name="ssoEditAttributes">
<String name="username" value="string|User Name:"/>
<String name="userpassword" value="password|User Password:"/>
</Collection>
在本例中,最终用户会在“邮件”频道的编辑页中看到具有以下标题的文本字段:
允许最终用户建立某通讯频道类型的多个实例
最终用户或管理员都可创建多个类型的通讯频道。最终用户要想创建多个类型的通讯频道,需要利用“内容”页上的创建新频道链接。
管理员可为组织、角色或组创建多个频道。管理员创建了某组件的多个实例后(例如,创建了通讯录组件的第二个实例),便可允许最终用户在其“Portal 桌面”上配置另一个“通讯录”频道。
管理员可以为每个新的通讯频道类型都创建一个“SSO 适配器”模板,也可只使用一个“SSO 适配器”模板而为每个频道创建多个“SSO 适配器”配置。有关详细信息,请参阅附录 H,“SSO 适配器模板及配置”中的“SSO 适配器”文档。
如果管理员进行了相当详细的配置,最终用户可能不必输入那么多的配置设置值。管理员可以利用应用程序首选项编辑功能(请参阅“应用程序首选项编辑:配置通讯频道编辑页”)配置这些设置。
要创建两个“通讯录”频道,可使每个频道引用不同的 SSO 适配器模板。然后,可以将两个“通讯录”频道添加到上一可见页。也可创建一个“SSO 适配器”模板和两个“SSO 适配器”配置(动态)。“SSO 适配器”模板会将服务器设置定义为用户可定义的值 (merge),“SSO 适配器”配置随后会指定这些服务器设置。
为最终用户可按需配置的不同服务器配置通讯录:
- 在“SSO 适配器”模板中将服务器信息指定为用户可定义的值 merge。有关详细信息,请参阅附录 H,“SSO 适配器模板及配置”。
- 在频道的显示配置文件 ssoEditAttributes 集合中指定哪些属性可以编辑。有关详细信息,请参阅“应用程序首选项编辑:配置通讯频道编辑页”;有关显示配置文件的具体信息,请参阅 Sun ONE Portal Server 6.2 Desktop Customization Guide。
管理员代理验证:免除最终用户身份验证信息配置
可以为“通讯录”、“日历”及“邮件”频道启用管理员代理验证。扩展对 Sun ONE Portal Server 和 Sun ONE 讯息传递服务(Messaging Server 和 Calendar Server)间的代理验证支持可使最终用户不必访问频道的编辑页来输入其身份验证信息: 用户名和用户口令。系统会使用管理员而非最终用户的身份验证信息,这些身份验证信息存储在“SSO 适配器”模板中。在该模板中,管理员的“用户 ID”以 proxyAdminUid 属性值的形式存储,而管理员的口令则是以 proxyAdminPassword 属性值的形式存储。用户每次启动一个频道时,系统都会使用这些值在频道和其相应的后端服务器间建立连接。系统还会将用户的命名属性发送给后端服务器。有关使用命名属性进行管理员代理验证的详细信息,请参阅表 12-4 中的 userAttribute 属性。
无法为 Sun ONE Instant Messaging Server、Microsoft Exchange Server 或 IBM Lotus Notes 服务器配置代理验证。
警告 — 存在将多个最终用户定向到一个邮件帐户的可能性
Identity Server 和 Portal Server 允许管理员在整个组织中用相同的“用户 ID”设置用户。例如,组织可以有这样两个子组织:每个子组织都有一个名为 enduser22 的最终用户。如果为某一 Sun ONE 通讯频道启用了管理员代理验证,并将最终用户的命名属性设置为默认值 uid,则这两个用户便有可能会访问同一后端用户帐户。管理员代理验证允许管理员更改 SSO 适配器模板中的用户命名属性。例如,可以将该属性更改为对每位雇员均唯一的属性(如雇员号),以确保门户最终用户访问的是正确的后端服务器帐户。
代理验证配置方法概述
要为“通讯录”、“日历”及“邮件”频道启用管理员代理验证,需要通过 Sun ONE Identity Server 管理控制台访问“SSO 适配器模板”,还需要访问 Sun ONE 通讯服务器。更具体地将,需要执行以下操作:
代理验证和单点登录 (SSO) 适配器模板
编辑 SSO 适配器模板来启用管理员代理验证
- 在 Internet 浏览器中,以 http://hostname:port/amconsole 地址形式(如 http://psserver.company22.example.com:80/amconsole)登录到 Sun ONE Identity Server 管理控制台
- 单击“服务配置”标签,以在导航窗格中显示可配置服务的列表。
- 选择“单点登录适配器配置”下的“SSO 适配器”,以在数据窗格中显示用于配置“SSO 适配器”的页。
- 单击代表要启用管理员代理验证的频道的字符串。该字符串位于与“动态”相对的“全局”标题下的标签为“SSO 适配器模板”的框中。有关模板字符串和通讯频道间关系的详细信息,请参阅“关于 SSO 适配器模板”。单击字符串会使其出现在配置描述字段中,该字段就在“添加”和“删除”按钮上方。
- 在配置描述字段中单击。
- 删除并键入必要的管理员代理验证信息:
表 12-4 对一些属性做了描述,这些属性是为启用管理员代理验证支持而需要在“SSO 适配器模板”中进行编辑的属性。
表 12-4 用于管理员代理验证的 SSO 适配器模板属性
属性
值
说明
enableProxyAuth
true | false
与此属性关联的值是一个标志,用于指示代理验证是否已启用。如果值为 true,“SSO 适配器”和“应用程序适配器”将执行代理验证。例如,
&enableProxyAuth=true
proxyAdminUid
(可配置)
与此属性关联的值是管理员的用户名。例如,
&proxyAdminUid=ServiceAdmin
proxyAdminPassword
(可配置)
与此属性关联的值是管理员的用户口令。例如,
&proxyAdminPassword=mailpwd
userAttribute
(可配置)
与此属性关联的值是用户的命名属性。此值会被映射到用户记录(电话簿中的用户条目)的一个属性上。一个标准记录有几个属性,其中包括“用户 ID”(uid) 和雇员号。默认情况下,命名属性设置为 uid。例如,
&userAttribute=uid
通过编辑“SSO 适配器”模板,可将命名属性映射到另一个属性(如雇员号)。
上述四个属性会再次出现于“SSO 适配器”模板字符串中,如后文中所示。可将这些属性的配置设置为 default 或 merge。在以下示例中,这些属性的值全部设置为 default。
属性
值
示例
enableProxyAuth
default
&default=enableProxyAuth
proxyAdminUid
default
&default=proxyAdminUid
proxyAdminPassword
default
&default=proxyAdminPassword
userAttribute
default
&default=userAttribute
代码示例 12-7 包含一个邮件“SSO 适配器”模板示例,该示例为代理验证进行了完整配置。
代码示例 12-7 支持代理验证的邮件 SSO 适配器模板示例
default|imap:///?configName=SUN-ONE-MAIL
&encoded=password
&default=protocol
&default=clientProtocol
&default=type
&default=subType
&default=enableProxyAuth
&default=proxyAdminUid
&default=proxyAdminPassword
&default=ssoClassName
&default=host
&default=port
&merge=uid
&default=smtpServer
&default=clientPort
&clientProtocol=http
&enableProxyAuth=true
&proxyAdminUid=ServiceAdmin
&proxyAdminPassword=mailpwd
&host=example.sun.com
&port=143
&smtpServer=example.sun.com
&clientPort=80
&type=MAIL-TYPE
&subType=sun-one
&ssoClassName=com.sun.ssoadapter.impl.JavaMailSSOAdapter
&default=enablePerRequestConnection
&enablePerRequestConnection=true
&default=userAttribute
&userAttribute=uid
代理验证和通讯服务器
设置 Sun ONE Messaging Server 以使用管理员代理验证
设置 Calendar Server 以使用管理员代理验证
为无验证 Portal 桌面配置只读通讯频道
无验证(authless 匿名)“Portal 桌面”支持只读通讯频道。
只读通讯频道说明和注意事项
可以配置 authless 匿名“Portal 桌面”来对“通讯录”、“日历”及“邮件”频道进行只读访问。最终用户只需访问“Portal 桌面”,即在 Internet 浏览器中输入以下格式的 URL,便可访问只读通讯频道中的信息:
http://hostname.domain:port/portal/dt,例如 http://psserver.company22.example.com:80/portal/dt
最终用户不用登录即可访问管理员已配置的任何只读通讯频道。不过,通常禁止最终用户编辑这些频道。有关无验证“Portal 桌面”的详细信息(包括启用匿名登录),请参阅 Sun ONE Portal Server 6.2 Desktop Customization Guide。
日历频道是最常见于由多个用户共享的频道;为此,以下步骤用于配置只读日历频道。在本例中,共享的日历属于用户库。公共只读日历的标题为库进度表。下列日历设置展示了一种可能的设置方法。有关设置 Sun ONE Calendar Server 用户的详细信息,请参阅Sun ONE Calendar Server 管理员指南中 csuser 命令的 create userid 选项。
设置日历用户
- 可通过发出如下命令创建日历用户:
csuser -g Library -s Admin -y libadmin -l en -m libadmin@library.com -c librarySchedule create libadmin
其中:用户 libadmin 有给定名称 Library、姓 Admin、口令 libadmin、首选语言 en(英语)、电子邮件地址 libadmin@library.com 和日历 ID librarySchedule。
- 为以下项目设置整个体系的可读访问权限:
libadmin:librarySchedule
您可以使用 cscal 实用程序设置访问权限,或者,最终用户可以使用 Calendar Express 进行此项设置。
配置只读通讯频道
- 为最终用户(本例中为 authless 匿名用户)配置设置并创建一个日历 SSO 适配器配置。
- 在 Internet 浏览器中,以 http://hostname:port/amconsole 地址形式(如 http://psserver.company22.example.com:80/amconsole)登录到 Sun ONE Identity Server 管理控制台
- 单击“标识管理”标签,以在导航窗格中显示“查看”下拉列表。
- 在“查看”下拉列表中单击“用户”。
- 根据需要向下滚动到 authless 匿名用户,然后单击其旁边的箭头,在数据窗格中调出 authlessanonymous 页。
现在可以为 authless 匿名用户添加“SSO 适配器”服务。
- 在 authlessanonymous 页的“查看”下拉列表中单击“服务”,以显示可用服务。
- 单击“添加”。
- 单击“SSO 适配器”复选框
- 单击“保存”。
- 为 authless 匿名用户创建日历“SSO 适配器”配置。
- 如果尚未登录到 Sun ONE Identity Server 管理控制台,请登录。
- 单击“标识管理”标签,以在导航窗格中显示“查看”下拉列表。
- 在“查看”下拉列表中选择“服务”,以显示可配置服务的列表。
- 向下滚动导航窗格至“单点登录适配器配置”标题,然后单击“SSO 适配器”旁的箭头,在数据窗格中调出“SSO 适配器”页。
- 在空白配置描述字段中,键入面向组的“SSO 适配器”配置字符串(含“用户 ID”和口令)。后文会提供一个典型配置以供参考。此字符串中的可用属性随 Sun ONE Portal Server“SSO 适配器”模板的配置情况而变化。默认情况下,“SSO 适配器”模板需要用户指定下列信息:
- host
- port
- client port
- uid
- password
如果所见配置描述字段并非空白,请选中该字段中的所有文本,并在以下列格式输入字符串之前将其删除:
default|undef://?uid:password@host:port/?
configName=configuration-name
&configDesc=configuration-description例如:
default|undef://?libadmin:libadmin@example.com:3080/?
configName=sunOneCalendar_librarySchedule
&configDesc=SUN-ONE-CALENDAR- 单击“添加”。
- 单击“保存”。
- 基于新创建的“SSO 适配器”配置为 authless 匿名用户创建一个新日历频道。
- 如果尚未登录到 Sun ONE Identity Server 管理控制台,请登录。
- 单击“标识管理”标签,以在导航窗格中显示“查看”下拉列表。
- 在“查看”下拉列表中单击“用户”。
- 根据需要向下滚动到 authless 匿名用户,然后单击其旁边的箭头,在数据窗格中调出 authlessanonymous 页。
现在可以为 authless 匿名用户创建新日历频道。
- 在 authlessanonymous 页的“查看”下拉列表中单击“Portal 桌面”,以显示“编辑”链接。
- 单击“编辑”链接。
- 单击“频道和容器管理”链接。
- 向下滚动到“频道”部分,然后单击“新建”。
- 在“频道名称”字段中输入名称。例如:
LibraryScheduleChannel
- 从提供者下拉列表中选择正确的提供者。对于本例,正确的提供者是“日历提供者”。
- 单击“确定”,返回“频道和容器管理”页。
现在可以编辑频道属性。
- 向下滚动至“频道”部分,单击新创建频道旁的“编辑属性”。例如:
LibraryScheduleChannel
- 根据需要编辑字段。例如:
- 滚动到所需位置,单击“保存”。
现在可以将新日历频道添加到“Authless 匿名”用户的“Portal 桌面”。
- 在页面顶部附近,单击“顶部”,返回“频道和容器管理”页。
- 向下滚动“容器频道”部分,然后单击想添加新频道的容器的链接。例如,MyFrontPageTabPanelContainer。不要单击旁边的“编辑属性”链接。
- 在“频道管理”标题下面,单击刚创建频道的名称。例如 LibraryScheduleChannel,它位于“现有频道”列表中。
- 单击“可用并可见”列表旁的“添加”按钮。这样,用户无需再进行配置,便可使用并见到该频道。
- 向上回滚页,在“频道管理”标题下单击“保存”。
- 重新启动网络容器。
配置 Microsoft Exchange Server 或 IBM Lotus Notes
除针对通讯频道为 Sun ONE Messaging Server 和 Sun ONE Calendar Server 提供支持外,Sun ONE Portal Server 6.2 还支持 Microsoft Exchange Server 和 IBM Lotus Notes 服务器。
可以对 Microsoft Exchange Server 进行相应配置,使其能够与 Sun ONE Portal Server 协同工作,从而为最终用户提供对 Microsoft Outlook Web Access 解决方案的访问能力。最终用户获得这一访问能力的方法是:在“Portal 桌面”的相应频道中单击“启动通讯录”、“启动日历”或“启动邮件”。
同样,也可对 IBM Lotus Notes 服务器进行相应配置,使其能够与 Sun ONE Portal Server 协同工作,从而为最终用户提供通过“通讯录”、“日历”和“邮件”频道来访问 IBM Lotus Domino Webmail 解决方案的能力。
注意
Microsoft Exchange Server 和 IBM Lotus Notes 服务器不支持管理员代理验证或单点登录。由于不支持单点登录,如果最终用户启动频道以与上述的其中一台服务器连接,便需要重新输入其身份验证信息。
为通讯录、日历及邮件频道配置 Microsoft Exchange Server
- 以域管理员身份登录到“主域控制器”(PDC)。
- 依次选择 Start(开始)、Programs(程序)、Administrative Tools(管理工具)、User Manager for Domains(域用户管理器),以用户名 MAXHost 创建一个帐户。
- 选择 Groups(组),将 MAXHost 添加到组、Administrators(管理员)及 Domain Admins(域管理员)中。
- 确保 MAXHost 可以在本地登录到 MAIL_HOST、Domain Controllers(域控制器)及 MAX_HOST。
- 设置口令。
- 以用户名 MAXHost 登录到 Exchange 5.5 (MAIL_HOST)。
- 依次选择 Start(开始)、Programs(程序)、Microsoft Exchange、Microsoft Exchange Administrator(Microsoft Exchange 管理器)。
- 为每位最终用户设置邮箱权限。
- 启用权限标签的方法是:转到 Tools(工具)、Options(选项)、Permissions(权限),然后启用 Show Permissions Page for All Objects(为所有对象显示权限页)。
- 在用户名上双击。
- 选择权限标签,然后在权限页中选择 Add(添加)来添加 MAXHost,角色仍为 User(用户)。
为每位要访问通讯频道的最终用户重复步骤 9 到 11。
- 解压缩位于以下目录的 ocxhost.zip 文件:
/Portal-server-install-dir/SUNWps/export。
解压缩该文件时,会看到以下文件格式:
Archive: ocxhost.zip
creating: ocxhost
creating: ocxhost/international
inflating:ocxhost/international/ocxhostEnglishResourceDll.dll
inflating:ocxhost/ocxhost.exe
- 按以下步骤注册 ocxhost:
- 设置 ocxhost 实用程序的属性:
- 使用 dcomcnfg 实用程序为 ocxhost 实用程序配置必要的 DCOM 设置。步骤如下:
- 在 Distributed COM Configuration Properties(分布式 COM 配置属性)对话框中:
- 选择 Default Properties(默认属性)标签:
- 选中 Enable Distributed COM on the computer(在这台计算机上启用分布式 COM)。
- 将 default Authentication Level(默认身份验证级别)设置为 Connect(连接)。
- 将 default Impersonation Level(默认模拟级别)设置为 Identify(标识)。
- 选择 Applications(应用程序)标签。
- 在 Properties(属性)对话框中双击 ocxhost 实用程序。
此时会显示 ocxhost properties(ocxhost 属性)窗口。
- 选中 Location(位置)标签下的 Run Application on this Computer(在这台计算机上运行应用程序)。
- 在 Security(安全)标签下,设置 Use custom access permissions(使用自定义访问权限)、Use custom launch permissions(使用自定义启动权限)和 Use custom configuration permissions(使用自定义配置权限)。
- 选择 Access(访问)、Launch(启动)及 Configuration(配置)设置的 Edit(编辑),确保以下用户包含在“访问控制列表”(ACL) 中:
- Interactive(交互)
- Everyone(所有人)
- System(系统)
- 在 ocxhost properties(ocxhost 属性)窗口的 Identity(身份标识)标签下选择 User(用户)。
- 选择 Browse(浏览),找到 MAXHost。
- 输入口令并确认口令。
- 选择 OK(确定)。
此时 ocxhost DCOM 组件已配置完毕,可以与 Exchange Server 通讯。
为通讯录、日历及邮件频道配置 Lotus Domino Server
- 依次选择 Start(开始)、Programs(程序)、Lotus Applications(Lotus 应用程序)、Lotus Administrator(Lotus 管理器),打开 Lotus Administrator(Lotus 管理器)。
- 转到 Administration(管理)、Configuration(配置)、Server(服务器)、Current Server Documents(目前服务器文档)。
- 在 Security(安全)标签中,进行以下设置:
- 在 Java/COM Restrictions(Java/COM 限制)下,将 Run restricted Java/Javascript/COM(运行受限 Java/Javascript/COM)和 Run unrestricted Java/Javascript/COM(运行不受限 Java/Javascript/COM)设置为 *。
- 在 Security Settings(安全设置)下,进行以下设置:
- 在 Server Access(服务器访问)下,将 Only allow server access to users listed in this Directory(只允许此目录中所列用户访问服务器)设置为 No(否)。
- 在 Web Server Access(Web 服务器访问)下,将 Web Server Authentication(Web 服务器身份验证)设置为安全性较低的 More Name Variations(更多姓名差异)。
- 在 Ports(端口)标签中:
- 选择 Internet Protocols(Internet 协议)标签及 IIOP 子标签。确保 Number of threads(线程数)不小于 10。
- 保存后关闭。
- 在 Domino server console(Domino 服务器控制台)中键入以下内容来重新启动服务器:
restart server
重新启动服务器会使设置生效。
- 在控制台中键入以下命令来启用 DIIOP 服务器:
load diiop
- 检查是否已在以下位置生成了 diiop_ior.txt:
C:\Lotus\Domino\Data\domino\html\diiop_ior.txt
- 在控制台中键入以下命令来启用 HTTP 服务:
load http
Lotus Notes 配置
要使用 Sun ONE Portal Server 的“邮件”和“日历”频道访问 Lotus Notes 系统,需要将另一个文件添加到 Sun ONE Portal Server 中。该文件名为 NCSO.jar。必须从 Lotus Notes 产品 CD 或 IBM 网站上获得该文件。
安装 IBM 的 Domino Designer 和 Domino Server 产品后,可以在 domino\java 子目录中找到该文件。也可在从以下网站下载的文件中寻获该文件:
http://www-10.lotus.com/ldd/toolkits
转到 Lotus Domino Toolkit 链接,然后转到 Java/Corba R5.0.8 update 链接。
将 NCSO.jar 文件置于网络容器(Web 服务器或应用程序服务器)的全局类路径中,后文对四个可能的网络容器逐一做了描述。四个网络容器中的三个将 NCSO.jar 文件置于 /usr/share/lib 下。下表总结了后面的步骤。该表概述了将 JAR 文件置于全局类路径的进程,也就是指出可以放置 NCSO.jar 文件的位置: 在“系统类路径”还是在 Portal WAR 中。该表还指出是否需要特殊说明。如果需要,它们包括在此部分的后文中。
网络容器
系统类路径
Portal WAR
特殊说明
Sun ONE Web Server
是
是
N/A
Sun ONE Application Server
是
是
N/A
BEA WebLogic Server
是
否
如何更新系统类路径
IBM WebSphere Application Server
否
是
如何删除 JAR 文件
您需要具有网络容器的管理员权限,才能执行以下步骤。同时,还应具有对网络容器文档的访问权限,以便参考有关各种网络容器进程和命令的详细信息。有关 Sun ONE 网络容器的详细信息,请参阅 Sun ONE Application Server Administrator's Guide 或 Sun ONE Web Server, Enterprise Edition Administrator's Guide。
IBM WebSphere Application Server
Sun ONE Web Server
NCSO.jar 文件的可选放置位置
Sun ONE Application Server
NCSO.jar 文件的可选放置位置
BEA WebLogic Server
- 将 NCSO.jar 文件置于 Sun ONE Portal Server 的以下目录中:
/usr/share/lib
- 使用命令行来更新网络容器类路径,使其包括 /usr/share/lib/NCSO.jar。
- 转到网络容器的安装目录:
web-container-install-dir/bea/wlserver6.1/config
其中 web-container-install-dir 代表网络容器的原始安装目录。
- 转到包含以下域实例的目录:
mydomain
- 使用您喜欢的编辑器编辑 startWebLogic.sh 文件。
- 将 /usr/share/lib/NCSO.jar 添加到“类路径”的末尾。
注意
startWebLogic.sh 文件可能包括多个 CLASSPATH 定义。找到变量的最后一个定义,并将下列字符串添加到 CLASSPATH 的最后:
/usr/share/lib/NCSO.jar
- 重新启动网络容器。
IBM WebSphere Application Server
- 将 NCSO.jar 文件 org/w3c/dom/ 和 org/xml/sax/ 下的类删除,再次压缩成 jar 文件。
这些类中应包括以下类:
- org/w3c/dom/Document.class
- org/w3c/dom/Node.class
- org/xml/sax/InputSource.class
- org/xml/sax/SAXException.class
执行此任务有许多种方法。此处为您提供两个示例。请使用最适合自己的方法:
- 使用以下这种方法时,您需要手动解压缩和再次压缩 jar 文件:
- 下载该文件,将其置于以下目录中:
/tmp/ncsoprune/work
- 在该目录中解压缩该文件。
- 删除上述的四个类。
- 再次压缩该文件。
- 使用以下这种方法时,您需要运行一个脚本,该脚本会自动执行 jar 文件的压缩和解压缩逻辑。
- 下载该文件,将其置于以下目录中:
/tmp/ncsoprune/work
- 运行以下脚本:
#!/bin/ksh
JAR=/usr/j2se/bin/jar
JAR_FILE=NCSO.jar
RM=/usr/bin/rm
BASE_DIR=/tmp/ncsoprune
WORK_DIR=${BASE_DIR}/work
# cd to director of jar file
cd $WORK_DIR
# unjar
$JAR xvf $JAR_FILE
# prune classes
$RM $WORK_DIR/org/w3c/dom/Document.class
$RM $WORK_DIR/org/w3c/dom/Node.class
$RM $WORK_DIR/org/xml/sax/InputSource.class
$RM $WORK_DIR/org/xml/sax/SAXException.class
# jar
$JAR cvf $BASE_DIR/$JAR_FILE META-INF com lotus org
- 将再次压缩的 NCSO.jar 文件置于以下目录中:
Portal-server-install-dir/SUNWps/web-src/WEB-INF/lib
- 使用以下命令重新部署网络应用程序:
/Portal-server-install-dir/SUNWps/bin/deploy redeploy
其中 Portal-server-install-dir 代表 Portal Server 的原始安装目录。
- 重新启动网络容器。
在默认组织下创建新用户
- 在 Internet 浏览器中,以 http://hostname:port/amconsole 地址形式(如 http://psserver.company22.example.com:80/amconsole)登录到 Sun ONE Identity Server 管理控制台
- 单击“标识管理”标签,以在导航窗格中显示“查看”下拉列表。
- 在“查看”下拉列表中选择“用户”,以显示“用户”页。
- 单击“新建”,以在数据窗格中显示“新用户”页面。
- 选择要分配给用户的服务。
至少须选择“Portal 桌面”和“SSO 适配器”。
- 输入用户信息。
- 单击“创建”。
此时新用户的名称便会出现在导航窗格的“用户”列表中。
配置邮件提供者以与采用 HTTPS 技术的 Messaging Server 协同工作
“邮件”频道自动支持 HTTP 协议,但无法自动支持安全性更高的 HTTPS 协议。不过,如果 Sun ONE Messaging Server 采用了 HTTPS 技术,便可按本部分中所述步骤对“邮件”提供者进行配置,使其能够正常地与 Sun ONE Messaging Server 协同工作。这些步骤不适用于 Microsoft Exchange Server 和 IBM Lotus Notes 服务器。
网络容器说明和注意事项
在针对 HTTPS 对邮件提供者进行配置,使其能够与 Sun ONE Messaging Server 协同工作方面,所执行的与网络容器有关的步骤会因所使用的是以下的哪一种网络容器而有异:Sun ONE Web Server、Sun ONE Application Server、BEA WebLogic Server 或 IBM WebSphere Application Server。无论使用的是哪一种网络容器,您都需要具有网络容器的管理员权限。同时,您还应具有对网络容器文档的访问权限,以便参考有关初始化委托数据库、添加证书及重新启动网络容器的详细信息。有关这些任务及与 Sun ONE 网络容器相关的其它和安全有关的问题的详细信息,请参阅 Sun ONE Application Server Administrator's Guide to Security 或 Sun ONE Web Server, Enterprise Edition Administrator's Guide。
配置邮件提供者以与采用 HTTPS 技术的 Messaging Server 协同工作
- 初始化运行 Sun ONE Portal Server 的网络容器的委托数据库。有关详细信息,请参阅上一段落中述及的相应文档。
- 如果尚未安装“委托证书授权机构”(TCA) 的 SSL 证书,请安装。
- 重新启动网络容器;尽管通常并不要求一定如此,但这是一个好的习惯。
- 添加新的 HTTPS 专用“SSO 适配器”模板。本例中使用的模板的名称为 SUN-ONE-MAIL-SSL,这是一个描述性的名称,因为其名称中便包含了安全协议 SSL。
注意
可以使用许多方法来配置“SSO 适配器”模板及相关的“SSO 适配器”配置。后文中提供的步骤是对一个典型配置的说明。这些步骤描述如何创建新模板和新配置,因为较之只是对现有模板和配置进行编辑,这种做法更安全。
如果认为编辑的方法并无不妥,尽可按该方法操作。不过,如果在编辑过程中更改了“SSO 适配器”模板的名称和“SSO 适配器”配置,则还需要编辑“邮件”频道的属性来更改“SSO 适配器”名称。
需要在“SSO 适配器”模板或“SSO 适配器”配置中编辑的两项是:
在为本例创建一个新的“SSO 适配器模板”过程中,clientProtocol 属性被设置为 default 属性。因此,它会出现在“SSO 适配器”模板中,却不会出现在“SSO 适配器”配置中。必须将 clientProtocol 属性从 http 更改为 https。此属性编辑后的模板片段如下:
clientProtocol=https
在本例中,clientPort 属性被设置为 merge 属性。因此,它会出现在“SSO 适配器”配置中(请参阅步骤 5)。如果 clientPort 属性被设置为 default 属性,便会出现在“SSO 适配器”模板中。应将客户机端口更改为 HTTPS 专用端口。此处使用端口 443,因为 HTTPS 协议使用此端口号作为默认值。此属性编辑后的模板片段如下:
&clientPort=443
- 在 Internet 浏览器中,以 http://hostname:port/amconsole(如 http://psserver.company22.example.com:80/amconsole)地址形式登录到 Sun ONE Identity Server 管理控制台
- 单击“服务配置”标签,以在导航窗格中显示可配置服务的列表。
- 向下滚动导航窗格至“单点登录适配器配置”标题,然后单击“SSO 适配器”旁的箭头,在数据窗格中调出“SSO 适配器”页。
- 在空白配置描述字段(就位于“添加”和“删除”按钮上方)中单击,该字段内容位于与“动态”相对的“全局”标题下的标签为“SSO 适配器模板”的框中。
- 在空白配置描述字段中,键入一个完整的“SSO 适配器模板”字符串(或复制、粘贴另一个字符串到字段中,再根据需要进行编辑)。代码示例 12-8 是供您参考的一个典型配置。您所输入的模板信息可能与之不同。例如,如果您不想使用名称 SUN-ONE-MAIL-SSL,便可能会输入一个不同的 configName 属性类型的值。此外,您设置为 default 和 merge 的属性也可能因需要考虑您的站点的需要而与本例不同。
如果所见配置描述字段并非空白,请选中该字段中的所有文本,将其删除。
代码示例 12-8 采用 HTTPS 技术的 Messaging Server 的邮件 SSO 适配器模板
default|imap:///?configName=SUN-ONE-MAIL-SSL
&encoded=password
&default=protocol
&default=clientProtocol
&default=type
&default=subType
&default=enableProxyAuth
&default=proxyAdminUid
&default=proxyAdminPassword
&default=ssoClassName
&merge=host
&merge=port
&merge=uid
&merge=password
&merge=smtpServer
&merge=clientPort
&clientProtocol=https
&enableProxyAuth=false
&proxyAdminUid=[PROXY-ADMIN-UID]
&proxyAdminPassword=[PROXY-ADMIN_PASSWORD]
&type=MAIL-TYPE
&subType=sun-one
&ssoClassName=com.sun.ssoadapter.impl.JavaMailSSOAdapter
&default=enablePerRequestConnection
&enablePerRequestConnection=false
- 单击“添加”。
- 单击“保存”。
此时,可能有不止一个字符串以 IMAP 协议开头。这是可以接受的。
- 添加新的 HTTPS 专用“SSO 适配器”配置。本例中使用的配置的名称为 sunOneMailSSl,因为它与相应“SSO 适配器”模板所使用的名称类似。
注意
请参阅上一步骤,即步骤 4。
- 在 Internet 浏览器中,以 http://hostname:port/amconsole 地址形式(如 http://psserver.company22.example.com:80/amconsole)登录到 Sun ONE Identity Server 管理控制台
- 单击“标识管理”标签,以在导航窗格中显示“查看”下拉列表。
- 在“查看”下拉列表中单击“服务”。
- 向下滚动导航窗格至“单点登录适配器”配置标题,然后单击“SSO 适配器”旁的箭头,在数据窗格中调出“SSO 适配器”页。
- 在空白配置描述字段(就位于“添加”和“删除”按钮上方)中单击。
- 在空白配置描述字段中,键入一个完整的“SSO 适配器”配置字符串(或复制、粘贴另一个字符串到字段中,再根据需要进行编辑)。后文会提供一个典型配置以供参考。不过,您所输入的配置信息可能与之不同。例如,如果您不想使用名称 sunOneMailSSL,便可能会输入一个不同的 configName 属性类型值。对于 ConfigDesc 属性类型,您所使用的名称必须与相应“SSO 适配器”模板中 configName 属性类型所使用的名称相同,如代码示例 12-8中所示。需要时,您还可以使用此处并未提供的其它端口号。此外,此字符串中的可用属性可随“SSO 适配器”模板的配置情况而变化。
如果所见配置描述字段并非空白,请选中该字段中的所有文本,将其删除。
default|imap:///?configName=sunOneMailSSL&configDesc=SUN-ONE-MAIL-SSL&port=143&smtpPort=25&clientPort=443
- 单击“添加”。
- 单击“保存”。
- 将一个新的“邮件”频道添加到“Portal 桌面”上。
步骤 4 和步骤 5 说明了如何创建新“SSO 适配器”模板和“SSO 适配器”配置;这两个步骤便是创建新频道所需的步骤。本步骤的目的是使最终用户能够使用该频道。
为新频道选择名称的标准只有一个:就是要具有描述性;因此,此处选择了 SunOneMailSSLChannel 作为示例名称。
- 在 Internet 浏览器中,以 http://hostname:port/amconsole 地址形式(如 http://psserver.company22.example.com:80/amconsole)登录到 Sun ONE Identity Server 管理控制台
- 单击“标识管理”标签,以在导航窗格中显示“查看”下拉列表。
- 在“查看”下拉列表中选择“服务”,以显示可配置服务的列表。
- 在 Portal Server 配置标题下,单击“Portal 桌面”旁的箭头,在数据窗格中调出“Portal 桌面”页
- 滚动到所需位置,单击“频道和容器管理”链接。
- 向下滚动到“频道”标题,然后单击“新建”。
- 在“频道名”字段中,键入您站点的名称作为新频道的名称。例如,SunOneMailSSLChannel。
- 在“提供者”下拉菜单中,选择 MailProvider。
- 单击“确定”,系统会返回到“频道和容器管理”网页,该页上现已有了您刚创建的频道。
- 向下滚动到“频道”标题,然后单击您刚创建的频道的名称(本例中为 SunOneMailSSLChannel)旁的“编辑属性”。
- 向下滚动到标题字段,选择并删除目前存在的所有词(如 mail),然后键入提供者标题。一个可能的名称是 SSL Mail Account。
- 在描述字段中,选择并删除目前存在的所有词(如 mail),然后键入提供者描述。此处使用的描述名称示例与在上一子步骤中所使用的标题名称示例相同:SSL Mail Account。
- 向下滚动页;选择并删除“SSO 适配器”字段中目前存在的所有词(如 sunOneMail);然后键入与步骤 5 中所使用的相同的“SSO 适配器”配置名称,本例中为 sunOneMailSSL。
- 向下滚动,然后单击“保存”。
- 向上回滚页,单击顶部一词,它是跟在容器路径词后的第一项。
- 向下滚动到“容器频道”标题,然后单击想添加新频道的容器的链接。例如,MyFrontPageTabPanelContainer。不要单击旁边的“编辑属性”链接。
- 向下滚动到“频道管理”标题,在“现有频道”框架中滚动到所需位置,然后单击新创建的频道的名称,将其选中。
请记住,本例中的频道名称为 SunOneMailSSLChannel。
- 单击“可用并可见”列表旁的“添加”按钮。
这样,用户无需再进行配置,便可使用并见到该频道。
- 向上回滚页,然后在“频道管理”标题下单击“保存”。
正常情况下,您现在便可登录并使用采用 HTTPS 技术的讯息传递服务器了。
