Sun ONE logo      上一页      目录      索引      下一页     

Sun ONE Portal Server 6.2 管理员指南

第 2 章
管理验证、用户和服务

本章描述如何使用 Sun™ ONE Identity Server 来管理验证、用户和服务。本章并不打算对 Sun ONE Identity Server 进行全面阐述,而是侧重于介绍与 Sun™ ONE Portal Server 有关的内容。有关详细信息,请参阅 Sun ONE Identity Server 文档。

本章包含以下部分:

Sun ONE Identity Server 概述

在 Sun™ ONE Portal Server 3.0(以前称为 iPlanet™ Portal Server 3.0)实现中,通过产品本身来管理验证方法,创建域、角色和用户以及管理其他数据(如配置文件属性和日志)。自定义应用程序开发还要使用 iPlanet Portal Server 3.0 的 API。

现在,您可以在 Sun ONE Portal Server 6.2 这一个产品中使用 Sun ONE Identity Server 的管理功能和旧版本 iPlanet Portal Server 3.0 中自带的 API。Sun ONE Identity Server 是一套可以充分利用 Sun ONE Directory Server 的管理和安全潜能的工具。Sun ONE Identity Server 的目标是提供一个接口,以利用 Sun ONE Directory Server 来管理组织的用户对象、策略和服务。

Sun ONE Identity Server 的功能如下:

以上三种功能通过一个图形用户界面(基于 Web 的 Sun ONE Identity Server 管理控制台)来访问。此外,命令行界面 amadmin 可用于在目录服务器上执行批管理任务。例如,可以创建、注册和激活新服务;创建、删除和读取(获取)组织、用户容器、组、角色和用户。

Sun ONE Identity Server 功能汇总

Sun ONE Identity Server 提供以下管理组件。这些组件以前是驻留在 Sun ONE Portal Server 3.0 框架自身中的。

Portal Server 3.0 与 Portal Server 6.2 的比较

表 2-1 概述了 Portal Server 产品发生的主要变化。Sun ONE Portal Server 3.0(以前称为 iPlanet Portal Server 3.0)产品的许多功能和特征现已成为 SunONE Identity Server 的一部分。表中第一列为概念或术语列表,第二列为与术语对应的 Sun ONE Portal Server 3.0 产品中的功能或特征的定义,第三列为 Sun ONE Portal Server 6.2 产品中的相应特征或功能的描述。

表 2-1  Sun ONE Portal Server 3.0 与 Sun ONE Portal Server 6.2 的比较 

概念或术语

Sun ONE Portal Server 3.0

Sun ONE Portal Server 6.2

角色树

一种在 Sun ONE Portal Server 3.0 中配置的分层结构,用于对用户和应用程序进行组织。角色树的四个层次为:

  • 角色
  • 用户

不再应用角色树的概念。因为Sun ONE Identity Server 利用了 Sun ONE Directory Server 的功能,可以改为使用目录信息树 (DIT) 来组织用户、组织和子组织等等。

域/组织

共同利益用户的顶层分组(如雇员或客户)。请注意,这里的域不是 DNS 域,而是 Sun ONE Portal Server 3.0 用来将用户分为逻辑团体的一种方式。

域这一概念已不再使用,取而代之的是 Sun ONE Identity Server 组织,它代表企业用来管理其部门和资源的层次结构的最高一级。

安装一开始,Sun ONE Identity Server 便会要求提供根后缀,其默认值源自域名(例如,如果域是 sun.com,则默认值为 dc=sun, dc=com)。安装完成后,可以创建更多的组织来管理不同的企业。创建的所有组织都位于顶级组织之下。在这些子组织内,还可以嵌套其它的子组织。这种嵌套结构的深度没有限制。

角色

根据职能对域成员进行分组。角色包含一组属性和策略,它们对用户的桌面策略进行定义。

包含可以授予一位用户或多位用户的一个权限或一组权限。其中包括对存储在 Sun ONE Directory Server 中的身份信息的访问和管理权限及对由 Sun ONE Identity Server 策略模块保护的特权的使用权限。Sun ONE Identity Server 角色还有与之关联的配置文件,该配置文件存储在服务等级模板中。

Sun ONE Identity Server 对角色的定义方式不同于以前的产品,并具有为一位用户赋予多个角色的功能,这是先前产品所无法支持的。

角色的权限在访问控制指令 (ACI) 中定义。Sun ONE Identity Server 中包含几个预定义的角色。Sun ONE Identity Server 控制台用于编辑角色的 ACI,以在“目录信息树”内分配访问权限。

属性

支持以下两种类型的属性:全局属性和用户配置属性。全局属性应用于整个平台,且只能由“超级管理员”进行配置。用户配置属性应用于角色树的底层,如以下部分中所述。委派的“域管理员”可以为域、父角色、子角色及用户级别配置这些属性。在角色树的用户级,可以根据需要为每位用户定制某些属性。

使用 Sun ONE Identity Server 属性,其类型可以是以下类型之一:

  • 全局 - 赋予全局属性的值会被应用给整个 Sun ONE Identity Server 配置,而每个已配置的组织都会继承这些值。
  • 动态 - 动态属性可以分配给 Sun ONE Identity Server 的已配置角色或组织。将角色分配给某个用户,或者在组织中创建了一个用户后,动态属性即成为该用户的特征。
  • 组织 - 这些属性只分配给组织。在这一点上,它们与动态属性的作用方式相同。但它们与动态属性也有差异,因为子树中的条目不会继承这些属性。
  • 用户 - 这些属性直接分配给每位用户。它们不是从角色或组织继承而来的,而且通常每位用户的这些属性都各异。
  • 策略 - 策略属性是权限属性。策略配置完成后,即可将策略属性分配给角色或组织。这是动态属性与策略属性的唯一不同之处;动态属性被直接分配给角色或组织,而策略属性先用来配置策略,然后才应用到角色或组织。

策略

配置对应用程序、桌面、NetFile、Netlet 等的门户访问策略。

用于定义资源访问权限的规则。组织可利用 Sun ONE Identity Server 策略服务来设置这些规则或策略。通常在组织(或子组织)级创建策略,并应用于该组织的整个树结构。要创建指定的策略,必须先将特定的策略服务注册到将创建策略的组织。

在 Sun ONE Identity Server 6.0 中,策略服务只由被允许或拒绝的 URL 列表组成。要使 Portal Server 能够为内容生成一个基于策略的桌面,只有这一点是不够的。这便是在桌面显示配置文件中内置频道访问策略的原因。Portal Server 6.2 桌面支持的显示配置文件允许从几个角色合并来形成频道列表。例如,如果有 25 个角色,每个角色都有几个频道与之关联,便可将用户配置为具有任意数量的这些角色,而用户所得到的桌面将提供所有这些角色的总和。合并语义控制各类角色频道的集合或合并方式。为合并显示配置文件,对 Portal Server 中的角色规定了层次顺序。合并先从最低优先级(最小优先数)的配置文件开始,然后合并优先数更大的配置文件,最后合并用户级(底层),即最高优先级的配置文件。有关合并显示配置文件的信息,请参阅第 5 章,“管理显示配置文件”

组件/
服务

Portal Server 3.0 的四个主要组件为服务器本身、配置文件服务器、网关和防火墙。

组件已由 Sun ONE Identity Server 服务取代,该服务是使用通用名称定义的一组属性。这些属性定义服务提供给组织的参数。Sun ONE Identity Server 是服务框架。

Sun ONE Portal Server 6.2 依靠 Sun ONE Identity Server 来提供诸如验证、用户管理、策略管理等核心服务,以及运行 Portal Server 专有服务(桌面、NetMail、重写器和搜索)所需的框架。

管理界面

提供其自带的管理控制台,只对 Portal Server 3.0 组件进行管理。

命令行界面为 ipsadmin

使用 Sun ONE Identity Server 管理控制台来管理 Sun ONE Identity Server 服务、用户和策略,以及 Sun ONE Portal Server 专有服务(桌面、NetMail、重写器和搜索)。

取代 ipsadmin 的命令行界面为 amadmindpadminrwadmin

Portal Server 6.0 与 Portal Server 6.2 的比较

表 2-2 概述了 Portal Server 6.0 与 Portal Server 6.1 产品间的差异。表中第一列为概念或术语列表,第二列为与术语对应的 Sun ONE Portal Server 6.0 产品中的功能或特征的定义,第三列为 Sun ONE Portal Server 6.2 产品中的相应特征或功能的描述。

表 2-2  Sun ONE Portal Server 6.0 与 Sun ONE Portal Server 6.2 的比较 

概念或术语

Sun ONE Portal Server 6.0

Sun ONE Portal Server 6.2

策略

将策略分配给用户。命名并创建策略后,即可将策略分配给组织或角色。在组织级分配策略会使策略的属性应用于组织中的所有条目。将策略分配给角色会使策略的属性应用于包含角色属性的所有用户。

将某组织的策略定义和策略决策指派给另一组织。(也可将某资源的策略决策指派给其它策略产品。)转派策略在策略创建和评估时都会对上述策略指派进行控制。

创建常规策略来定义访问权限。常规策略可以由多个规则、主题和条件组成。

验证菜单

Sun ONE Identity Server 5.1 管理控制台提供的验证菜单配置功能支持由用户选择的验证模块所组成的菜单。

如果需要配置一个包含有效验证模块的可选择列表,请使用 Sun ONE Identity Server 管理控制台,将每个验证模块的验证级别属性设置为相同的值。有关配置验证模块的信息,请参阅第 2 章,“管理验证、用户和服务”

Sun ONE Identity Server 的使用限制

Sun ONE Identity Server 在使用上受以下限制:

Sun ONE Identity Server 界面

Sun ONE Identity Server 管理控制台

这个基于浏览器的控制台提供了一个图形用户界面来管理 Sun ONE Identity Server 企业(包括 Sun ONE Portal Server 服务)。管理控制台有多个默认管理员,他们在创建和管理服务、策略及用户上拥有不同级别的权限。(可以基于角色创建更多的委托管理员。)有关详细信息,请参阅第 3 章,“配置委托管理”

Sun ONE Identity Server 管理控制台分为三个部分:位置窗格、“导航”窗格和“数据”窗格。三个窗格一起使用可实现导航目录、执行用户和服务配置及创建策略。

有关详细信息,请参阅第 1 章,“Sun ONE Portal Server 管理简介”

Sun ONE Identity Server 命令行

Sun ONE Identity Server 命令行界面包括用于管理服务器的 amadmin 和用于停止和启动服务器进程的 amserveramadmin 还用于将 XML 服务文件加载到目录服务器及对目录树执行批管理任务。Sun ONE Portal Server 3.0 命令行界面 ipsadminipsserver 已不再使用。

有关 amadmin 的详细信息,请参阅 Sun ONE Identity Server 文档。

登录 Sun ONE Identity Server 管理控制台

Sun ONE Identity Server 控制台有以下两种登录方式:

登录管理控制台后所提供的功能取决于您的访问权限。访问权限根据 ACI 或分配给您的角色来确定。例如,超级用户可以看到管理控制台的所有功能;委托管理员也许只能看到其中的一部分功能(可能是为子组织提供的功能);最终用户只能看到与其特定用户 ID 有关的用户属性。

目前,有以下两个 URL 可用于登录管理控制台:

/amconsole URL 会显式请求 Sun ONE Identity Server 管理控制台的 HTML 页。如果使用 /amconsole 登录,系统会调出管理控制台,然后会看到 URL 变为 /amserver/UI/login,以便用户进行验证。不管配置如何,均可使用此 URL 来访问管理控制台。

/amserver URL 会请求 Sun ONE Identity Server 服务的 HTML 页。尽管 Sun ONE Portal Server 安装时的默认设置是将此 URL 重定向到登录管理控制台,但由于 /amserver URL 访问的是 Sun ONE Identity Server 服务,因此此 URL 可用于获得除控制台以外的其它服务。例如,

登录 Sun ONE Identity Server 管理控制台

配置使用 IP 地址登录管理控制台

使用服务器的 IP 地址无法登录 Sun ONE Identity Server 管理控制台。这是因 Sun ONE Identity Server 中的 cookie 域设置所致。

不过,可以将本地主机的 IP 地址添加到管理控制台上的“Cookie 域”列表中。

  1. 从位置窗格中选择“服务配置”。
  2. 单击“平台”。
  3. 将本地主机的 IP 地址添加到“全局”中。

现在,使用 IP 地址(而非域名)应该能够访问管理控制台了。

查看基本信息

系统提供了一个脚本,可用来显示产品的基本信息,如版本、Sun ONE Portal Server 的编译日期以及 jar 文件的版本和编译日期。版本脚本安装在 portal-server-installation-root/SUNWps/bin 目录下,其中 portal-server-installation-root 代表安装 Sun ONE Portal Server 的基目录。默认值为 /opt

查看产品信息:

  1. 将目录更改为安装脚本的目录。即:

    2. cd portal-server-installation-root/SUNWps/bin

  2. 要查看 Sun ONE Portal Server 的相关信息,请键入

    3. ./version

  3. 要查看 Sun ONE Portal Server 上的 jar 文件的相关信息,请键入

    4. ./version jar-file

    其中 jar-file 代表 jar 文件的名称。

启动和停止 Sun ONE Portal Server

本部分描述如何停止和启动 Sun ONE Portal Server。由于 Sun ONE Portal Server 从属于 Sun ONE Identity Server,因此无法直接启动和停止 Sun ONE Portal Server,而是需要 Sun ONE Identity Server 服务器自身重新启动。

上述指令可能会因网络容器不同而有所差异。有关详细信息,请参阅 Sun ONE Portal Server 6.1 Developer's Guide

Sun ONE Portal Server 支持各种平台语言环境。要以非安装默认值启动 Sun ONE Portal Server,请参阅 Sun ONE Portal Server 6.1 Developer's Guide

管理 Sun ONE Identity Server 服务

本部分介绍 Sun ONE Portal Server 所使用的 Sun ONE Identity Server 服务。有关详尽信息,请参阅 Sun ONE Identity Server 文档。

安装和 Sun ONE Web Server 打包

用户管理

单点登录/验证

服务管理

Sun ONE Portal Server 6.2 定义了以下 Sun ONE Identity Server 服务:

管理 Sun ONE Portal Server 用户

“目录信息树”(DIT) 将用户、组织、子组织等组织成一个逻辑性或层次性的结构,使您可以对承担这些角色的用户或这些组织中所包含的用户进行高效的管理并为其分配合适的访问权限。本部分提供了组织、子组织及角色的作用和功能的相关信息,同时还提供了创建和管理组织、角色及用户的步骤,这些信息对规划作为门户服务器实现基础的目录结构(或称树)的规划有帮助。

注意

Sun ONE Portal Server 6.2 支持组织这一概念;以前的 Sun ONE Portal Server 3.0 使用的是域这一概念。

Sun ONE Identity Server 中组织树的顶级在安装时指定。安装完成后,可以创建更多的组织来管理不同的企业。创建的所有组织都位于顶级组织之下。这些子组织内可以嵌套其它子组织。这种嵌套结构的深度没有限制。

注意

树的顶级不必一定要称作 isp,它可以使用任何名称。但如果是使用通用顶级(例如 isp)组织的树,树中的组织便可共享角色。

角色是为更高效、方便地供应用程序使用而设计的一种新的分组机制。每个角色都有拥有该角色的成员或条目。与组相同,可以显式地或动态地指定角色成员。角色机制会自动生成 nsRole 属性,该属性包含条目为其成员的所有角色定义的 DN。每个角色都包含一个或一组权限,可以将其分别授予一位或多位用户。在 Sun ONE Portal Server 6.2 中,可以为一位用户分配多个角色。角色权限在访问控制指令 (ACI) 中定义。Sun ONE Portal Server 中包含几个预定义的角色。Sun ONE Identity Server 控制台允许对角色的 ACI 进行编辑,以便在“目录信息树”内分配访问权限。内置角色示例有顶级管理员角色顶级帮助台管理员角色。可以创建能够在组织间共享的其它角色。

规划组织、子组织和角色

规划 DIT 结构时,需要确定是使用层次型树结构,还是平列式树结构。原则上应尽量使树结构平列化。但随着组织规模的扩大,结构中保持一定的层次关系对授予和管理用户访问权限具有重要的帮助作用。Sun ONE Identity Server 中用于生成 DIT 结构的关键结构实体有三个,分别是组织(或子组织)、角色和用户。规划结构前,应先了解上述每个实体的功能、特征及相互关系。

组织和子组织

角色

用户

方案 1:包含子组织和角色的层次结构

尽管应尽量使结构平列化,但在有必要进行分组时,如果结构中保持有一定的层次关系,会有所帮助。创建层次结构的高级步骤如下:

  1. 创建一个顶级组织。
  2. 确定企业中的所有职能性或组织性用户分组,并确定需要创建 DIT 结构实体的用户分组,即那些需要具有特定权限的用户分组。通常情况下,它们只能是企业中最大的部门及负责其管理的管理员。请使用通用或职能性的名称,这样在重组或名称更改时就不会引起麻烦。
  3. 对于每个与顶级组织有某种从属关系的 DIT 实体,请为其创建一个子组织(即在 Sun ONE Identity Server 体系中,一个位于另一组织之下的组织)或角色

    4. 请使用以下指导方针来决定是使用子组织还是角色:

    • 如果实体中包含具有相似访问需求的用户分组,请定义子组织。这些实体通常是大的、可以分配一组权限的职能性或组织性实体。
    • 如果子组织中的用户可能需要拥有角色,请定义角色。所有用户都属于一个组织或子组织。如果未给他们分配任何角色,他们会从其所在组织继承权限。因此,如果希望用户能够同时具有其所在组织和所有父组织中的属性,就必须通过角色机制为其分配多个角色。
  4. 请为每个角色定义一个 RoleAdministratorRole,以对其进行管理。然后相应设置 ACI(管理权限:添加或删除用户、修改角色属性等。)
  5. 定义访问企业的用户。如果用户是从其所属组织继承权限,请将他们置于相应组织中。如果用户是通过角色分配来获得权限,则必须将他们置于角色的覆盖范围内,即置于定义角色的组织或该组织的子组织内。

图 2-1 图解说明了层次型目录结构。此图中的顶级组织为 Sesta.com。紧接在顶级组织下的是 SestaAdminRole,用于管理该组织及其子组织总公司和合作伙伴总公司有以下三个子组织:财务业务销售。由于销售组织中有多个用户类型,因此定义了两个角色:SalesRole1SalesRole 2合作伙伴组织有以下三个子组织:Partner1Partner2Partner3。上述三个组织都需要自己的管理员,因此定义了三个角色,每个角色都与相应的组织关联。这些合作伙伴角色是 PartnerAdmin1PartnerAdmin2PartnerAdmin3

图 2-1 层次型目录结构

本图图解说明层次型目录结构。有关此结构的详细信息,请参阅本图前的文字说明。

方案 2:平列式树结构

如果组织经常发生变动,可能更适合使用平列性较强甚或完全平列的树结构。如果企业变动频繁,则往往更适合使用这样一种结构:具有一个组织、一个“人员”容器,所有角色均具有相同级别。由于只有一个组织,企业变动不会影响 DIT。所有访问权限均通过角色来定义,且由于所有用户都位于一个“人员”容器中,所有角色又都具有相同级别,因此可以为任何用户分配任何角色。

图 2-2 图解说明了平列式目录结构。此图中的顶级组织(也是唯一的组织)为 Sesta.com。所有实体均在这一顶级组织的下一级定义。这些实体包括用于管理该组织的 SestaAdminRole;对应“财务”、“业务”、Sales1 及 Sales2 用户所需各种公司职能的四个角色,以及对应合作伙伴所需用户职能的以下六个角色:Partner1RolePartner2RolePartner3RolePartner1AdminRolePartner2AdminRolePartner3AdminRole

图 2-2 平列式目录结构

本图图解说明平列式目录结构。有关此结构的详细信息,请参阅本图前的文字说明。

创建新组织和子组织

可利用组织和子组织,根据管理和访问控制的需要来构建用户结构和用户分组。企业的体系或结构一经确定,就必须创建必要的组织和子组织来付诸实现。默认情况下,创建新组织或子组织时,不会定义它们的服务、策略、用户或角色。因此,每当创建新组织或子组织时,便需要执行以下高级步骤来对其进行配置:

  1. 注册希望该组织可以使用的所有服务。有关信息请参阅注册服务。通常至少需要注册以下服务:
    • 验证。“核心”验证服务和该组织用户将使用的任何验证服务(LDAP、匿名)。有关进一步信息,请参阅配置验证
    • URL 策略代理。
    • 用户。
    • Portal Server 配置。希望为组织用户启用的任何 Portal Server 服务(“Portal 桌面”和 NetMail)。
  2. 为每个注册的服务创建模板。有关详细信息,请参阅创建服务模板
  3. 创建为组织内用户授予访问权限所需的策略。有关使用策略的详细信息,请参阅 Sun ONE Portal Server 使用策略管理方式概述
  4. 为组织添加用户。有关信息请参阅添加新用户
  5. 创建和分配希望组织所具有的角色。有关信息,请参阅创建新角色为用户分配角色
  6. 配置为组织启用的服务。有关配置桌面的信息,请参阅第 4 章,“管理 Portal 桌面服务”。有关配置 NetMail 的信息,请参阅第 6 章,“管理 NetMail 服务”

有关创建新组织及对其配置以使用门户的快速入门步骤,请参阅创建新门户组织快速入门

创建新组织或子组织

有关如何规划在 Sun ONE Portal Server 中使用的组织和子组织的建议,请参阅规划组织、子组织和角色

  1. 以管理员身份登录到 Sun ONE Identity Server 管理控制台。

    2. 默认情况下,位置窗格中的“标识管理”处于被选中状态,导航窗格中会显示所有已创建的组织。

  2. 如果要创建子组织,请使用导航窗格来选择将创建子组织的组织。
  3. 在导航窗格中单击“新建”。

    4. 此时数据窗格中会显示“新组织”页。

  4. 在“新组织”页中键入组织或子组织的名称。
  5. 选择状态活动或非活动。

    6. 默认值为现用。在组织或子组织的生命周期内,可随时选择属性箭头来更改此默认值。选择非现用会禁止对组织或子组织的登录。

  6. 单击“创建”。

    7. 此时导航窗格中会显示新的组织或子组织。

  7. 在“查看”菜单中选择“服务”。
  8. 单击“注册”。
  9. 为新组织启用桌面服务。
    1. 从位置窗格中选择“标识管理”。
    2. 在“查看”菜单中选择“组织”。
    3. 选择新创建的组织。
    4. 从“查看”菜单中选择“服务”。
    5. 选择“Portal 桌面”
    6. 将“默认频道名”的值由 DummyChannel 改为 JSPTabContainer(或新组织将使用的顶级容器的名称)。
    7. 将“Portal 桌面类型”的值由默认值改为 sampleportal(或新组织将使用的桌面类型)。

注册服务

  1. 以管理员身份登录到 Sun ONE Identity Server 管理控制台。

    2. 默认情况下,位置窗格中的“标识管理”和“导航”窗格中的“组织”都处于选中状态。

  2. 导航到需要注册服务的组织或子组织。

    3. 使用导航窗格中的“查看”菜单。

  3. 在“查看”菜单中选择“服务”。
  4. 单击“注册”。
  5. 在数据窗格中选择要注册的一个或多个服务,然后单击“保存”。

创建服务模板

  1. 以管理员身份登录到 Sun ONE Identity Server 管理控制台。

    2. 默认情况下,位置窗格中的“标识管理”和“导航”窗格中的“组织”都处于选中状态。

  2. 导航到有已注册服务的组织或子组织。

    3. 使用导航窗格中的“查看”菜单

  3. 在“查看”菜单中选择“服务”。
  4. 单击已注册服务旁的属性箭头。
  5. 接受或修改服务的默认属性值,然后单击“保存”。

    6. 有关设置 Sun ONE Identity Server 的特定服务属性的信息,请参阅 Sun ONE Identity Server 管理员指南。有关设置 Sun ONE Portal Server 的特定服务属性的信息,请参阅本指南的相应附录。

添加新用户

  1. 以管理员身份登录到 Sun ONE Identity Server 管理控制台。

    2. 默认情况下,位置窗格中的“标识管理”和“导航”窗格中的“组织”都处于选中状态。

  2. 导航到需要创建用户的组织或子组织。
  3. 从“查看”菜单中选择“用户”,然后单击“新建”。

    4. 此时数据窗格中会出现“新用户”页。

    注意

    如果下拉菜单中出现的不是“用户”,而是“用户容器”,请检查是否为组织或在顶级的某处设置了“显示用户容器”属性。该属性在 Sun ONE Identity Server 服务的“管理”下设置。

    尽管用户总是会进入“用户容器”,但如果未选择“显示用户容器”属性,便只能在该组织下看到它们及与它们进行交互。“显示用户容器”不是默认设置。

  4. 选择要分配给用户的服务,然后单击“下一步”。
    1. 在导航窗格中选择该用户,然后单击“属性”箭头。
    2. 从“查看”菜单中选择“服务”。
    3. 单击“添加”来选择要分配给用户的服务。
    4. 单击“保存”,

      5. 对大多数用户而言,通常至少需要注册“Portal 桌面”、“验证配置”和“预订”服务。

  5. 输入用户信息,然后单击“创建”。

    6. 此时导航窗格中便会出现新用户。

为用户添加服务

  1. 以管理员身份登录到 Sun ONE Identity Server 管理控制台。

    2. 默认情况下,位置窗格中的“标识管理”和“导航”窗格中的“组织”都处于选中状态。

  2. 导航到需要创建用户的组织或子组织。
  3. 在“查看”菜单中选择“用户”
  4. 在导航窗格中选择该用户,然后单击“属性”箭头。
  5. 从“查看”菜单中选择“服务”。
  6. 单击“添加”来选择要分配给用户的服务。
  7. 选中这些服务,然后单击“保存”,

    8. 对大多数用户而言,通常至少需要注册“Portal 桌面”和“预订”服务。

创建新角色

  1. 以管理员身份登录到 Sun ONE Identity Server 管理控制台。

    2. 默认情况下,位置窗格中的“标识管理”和“导航”窗格中的“组织”都处于选中状态。

  2. 导航到将要创建角色的组织或子组织。
  3. 在“查看”菜单中选择“角色”,然后单击“新建”。

    4. 此时数据窗格中会出现“新角色”页。

  4. 输入角色信息(“名称”、“描述”、“角色类型”、“访问权限”),然后单击“创建”。

    5. 此时导航窗格中便会出现新角色。

    注意

    如果要创建用于委托管理的定制角色,必须事先定义该角色的 ACI 权限。有关信息请参阅第 3 章,“配置委托管理”

为用户分配角色

  1. 以管理员身份登录到 Sun ONE Identity Server 管理控制台。

    2. 默认情况下,位置窗格中的“标识管理”和“导航”窗格中的“组织”都处于选中状态。

  2. 导航到要创建角色的组织或子组织。
  3. 在“查看”菜单中选择“用户”。
  4. 单击要分配角色的用户旁的属性箭头。

    5. 此时数据窗格中会出现用户配置文件信息。

  5. 在数据窗格的“查看”菜单中单击“角色”。

    6. 此时会出现“添加角色”页。

  6. 选中要分配的角色旁的框,然后单击“保存”。

    7. 此“用户”框的“角色”会更新为分配的角色。

  7. 单击“保存”来保存更改。

启用现有用户对 Sun ONE Portal Server 的访问权限

将 Sun ONE Portal Server 安装到 Sun ONE Identity Server 的现有实例上时,用户并未注册,尚不能使用 Sun ONE Portal Server 桌面。为使用户能够访问桌面,必须启用他们的访问权限。请执行以下步骤来启用默认组织或另一组织中的用户。

启用默认组织中的用户

开始操作前,需要获得一些配置信息。如果不了解配置的所有详细信息,可以使用一个脚本从文件 /var/sadm/pkg/SUNWps/pkginfo 中检索这些信息。

  1. 从文件 /var/sadm/pkg/SUNWps/pkginfo 中确定或检索以下信息:
  2. 目录管理器的区别名(称作 DS_DIRMGR_DN/)。默认值为 cn=Directory Manager
  3. 目录管理器口令(称作 DS_DIRMGR_PASSWORD/)。
  4. 目录服务器的全限定域名(称作 DS_HOST/)。
  5. 目录服务器所运行于的端口(称作 DS_PORT/)。默认值为 389。
  6. 目录树的根后缀(称作 DS_ROOT_SUFFIX/)。默认值为 dc=orgname,dc=com(如 dc=sun,dc=com)
  7. Sun ONE Portal Server 安装时的默认组织(称作 DS_DEFAULT_ORG/)。默认值为 o=domain-name
  8. Sun ONE Portal Server 安装时的基本目录(称作 /BaseDir/)。默认值为 /opt
  1. 转到 Sun ONE Identity Server 实用程序目录。例如,如果基本目录为 /opt,请输入:

    2. cd /IDSAME_BaseDir/SUNWam/bin

  2. 如果目录服务器的根后缀与默认组织不同,请执行以下命令:

    3. ./ldapsearch -h /DS_HOST/ -p /DS_PORT/ -D /DS_DIRMGR_DN/ -w /DS_DIRMGR_PASSWORD/ \ -b "ou=People,/DS_DEFAULT_ORG/,/DS_ROOT_SUFFIX/" "(uid=*)" dn | \ /usr/bin/sed ’s/^version.*//’ > /tmp/.tmp_ldif_file1

  3. 如果目录服务器的根后缀与默认组织相同,请执行以下命令:

    4. ./ldapsearch -h /DS_HOST/ -p /DS_PORT/ -D /DS_DIRMGR_DN/ -w /DS_DIRMGR_PASSWORD/ \ -b "ou=People,/DS_ROOT_SUFFIX/" "(uid=*)" dn | \ /usr/bin/sed ’s/^version.*//’ > /tmp/.tmp_ldif_file1

  4. 执行以下命令

    5. grep "^dn" /tmp/.tmp_ldif_file1 | awk ’{
    print $0
    print "changetype:modify"
    print "add:objectclass"
    print "objectclass:sunPortalDesktopPerson"
    print "objectclass:sunPortalNetmailPerson\n" }’ >
    /tmp/.tmp_ldif_file2

  5. 执行以下命令。

    6. ./ldapmodify -c -h DS_HOST -p DS_PORT \ -D DS_DIRMGR_DN -w DS_DIRMGR_PASSWORD -f /tmp/.tmp_ldif_file2

  6. 删除所有临时文件。

    7. rm /tmp/.tmp_ldif_file1 /tmp/.tmp_ldif_file2

启用非默认组织中的用户

  1. 从文件 /var/sadm/pkg/SUNWps/pkginfo 中确定或检索以下信息:
  2. 目录管理器的区别名(称作 DS_DIRMGR_DN/)。默认值为 cn=Directory Manager
  3. 目录管理器口令(称作 DS_DIRMGR_PASSWORD/
  4. 目录服务器的全限定域名(称作 DS_HOST/
  5. 目录服务器所运行于的端口(称作 DS_PORT/)。默认值为 389。
  6. 目录树的根后缀(称作 DS_ROOT_SUFFIX/)。默认值为 dc=orgname,dc=com(如 dc=sun,dc=com)
  7. 要更新用户的 Sun ONE Portal Server 安装的组织(称作 DS_ORG_TO_UPDATE/)。默认值为 "。
  8. Sun ONE Portal Server 安装时的基本目录(称作 /BaseDir/)。默认值为 /opt
  9. 为包含需要启用的现有用户的组织或子组织注册服务。有关步骤的信息,请参阅注册服务
  10. 为每个注册的服务创建模板。有关步骤的信息,请参阅创建服务模板
  11. 创建策略,并为每个服务分配策略。有关信息,请参阅为同级组织或子组织注册策略服务为同级组织或子组织创建转派策略为同级组织或子组织创建常规策略
  12. 设置将成功通过验证的该组织用户重定向到的 URL。请参阅将成功登录用户重定向至 Portal 桌面 URL
  13. 转到 Sun ONE Identity Server 实用程序目录。例如,如果基本目录为 /opt,请输入

    14. cd /IDSAME_BaseDir/SUNWam/bin

  14. 要启用一个或多个组织中的用户,请执行以下操作之一:
    • 要只启用某个定义为 DS_ORG_TO_UPDATE/ 的特定组织中的用户,请使用以下命令:

      • ./ldapsearch -h /DS_HOST/ -p /DS_PORT/ -D /DS_DIRMGR_DN/ -w /DS_DIRMGR_PASSWORD/ \ -b "ou=People,/DS_ORG_TO_UPDATE/,/DS_ROOT_SUFFIX/" "(uid=*)" dn | \ /usr/bin/sed ’s/^version.*//’ > /tmp/.tmp_ldif_file1

    • 要启用所有组织中的用户,请使用以下命令:

      • ./ldapsearch -h /DS_HOST/ -p /DS_PORT/ -D /DS_DIRMGR_DN/ -w /DS_DIRMGR_PASSWORD/ \ -b "/DS_ROOT_SUFFIX/" "(uid=*)" dn | \ /usr/bin/sed ’s/^version.*//’ > /tmp/.tmp_ldif_file1

  15. 执行以下命令:

    16. grep "^dn" /tmp/.tmp_ldif_file1 | awk ’{
    print $0
    print "changetype:modify"
    print "add:objectclass"
    print "objectclass:sunPortalDesktopPerson"
    print "objectclass:sunPortalNetmailPerson\n" }’ > /tmp/.tmp_ldif_file2

  16. 执行以下命令:

    17. ./ldapmodify -c -h DS_HOST -p DS_PORT \ -D "DS_DIRMGR_DN" -w DS_DIRMGR_PASSWORD -f /tmp/.tmp_ldif_file2

  17. 删除所有临时文件。

    18. rm /tmp/.tmp_ldif_file1 /tmp/.tmp_ldif_file2

  18. 转到 Portal Server 实用程序目录。

    19. cd /IDSAME_BASEDIR/SUNWps/bin

  19. 执行以下命令,加载非默认组织的显示配置文件。

    20. ./dpadmin modify -u "uid=amadmin,ou=people,DS_DEFAULT_ORG,DS_ROOT_SUFFIX" -w DS_DIRMGR_PASSWORD -d "NON_DEFAULT_ORG,DS_DEFAULT_ORG,DS_ROOT_SUFFIX" \ IDSAME_BASEDIR/SUNWps/samples/desktop/dp-org.xml

  20. 要启用另一组织中的用户,请重复步骤 7步骤 13

创建新门户组织快速入门

以下描述创建新组织并启用其供门户使用的操作步骤。默认情况下,登录时,位置窗格中的“标识管理”和“导航”窗格中的“组织”都处于选中状态。

  1. 创建新组织。
    1. 在“查看”菜单中选择“组织”。
    2. 单击“新建”。

      3. 此时数据窗格中会打开“创建组织”页。

    3. 键入新组织名。“组织状态”应为“现用”。单击“创建”。

      4. 此时导航页中会出现新创建的组织。

  2. 为新组织注册服务。
    1. 在导航窗格的“查看”菜单中选择“组织”,然后从“名称”菜单中选择新创建的组织。
    2. 从“查看”菜单中选择“服务”。
    3. 单击“注册”。

      4. 此时数据窗格中会出现“注册服务”页。单击以下必需服务的复选框,然后单击“注册”。

      • LDAP
      • 成员
      • 策略配置
      • Portal 桌面
      • 预订

        • 此时新注册的服务便会出现在导航窗格中。

    4. 单击属性箭头来配置每项服务。单击“创建”来修改配置属性。有关非 Portal Server 配置专用属性的说明,请参阅 Sun ONE Identity Server 管理员指南

      注意

      子组织必须注册自己的、不依赖于其父组织的服务。

  3. 必要时,为注册的服务创建模板。
    1. 在导航窗格的“查看”菜单中选择“服务”。
    2. 逐个单击各服务旁的属性箭头图标,创建其各自的模板。
  4. 创建新组织的桌面转派策略。

    5. 转派必须将父组织定义为规则中的资源,且必须包含一个 SubOrgReferral,并将子组织作为其中的值

    1. 从位置窗格中选择“标识管理”。
    2. 从“查看”菜单中选择“策略”。
    3. 单击“新建”来创建新策略。

      4. 此时数据窗格中会出现“创建策略”页。

    4. 在“名称”中键入 SubOrgReferral_桌面。然后单击“创建”。
    5. 在“服务”中选择“Portal 桌面”,然后单击“下一步”
    6. 在数据窗格的“查看”菜单中单击“规则”,然后单击“添加”。确保选中了“Portal 桌面”,然后单击“创建”。
    7. 在数据窗格的“查看”菜单中单击“转派”,然后单击“添加”。确保在数据窗格中,系统已选择子组织的名称作为“值”,然后单击“创建”来完成策略的配置。
  5. 为新组织创建常规“Portal 桌面”策略。
    1. 从“查看”菜单中选择“策略”。

      2. 此时会显示该组织的策略。

    2. 在导航窗格中选择“新建”。此时数据窗格中会打开“新策略”页。
    3. 确保在“策略类型”中选择“常规”。
    4. 从数据窗格的“查看”菜单中选择“规则”,然后单击“添加”。此时数据窗格中会打开“添加规则”页
    5. 在“服务”菜单中选择“Portal 桌面”,然后单击“下一步”。确保选中“有权执行桌面”。
    6. 从数据窗格的“查看”菜单中选择“主题”,然后单击“添加”。此时数据窗格中会打开“添加主题”页。

      7. 如果“策略配置服务”的服务模板中未配置“LDAP 绑定口令”,则单击“添加主题”页时,会出现警告消息“无匹配条目,请调整您的搜索”。

    7. 选择一个将应用“Portal 桌面”策略的主题,然后选择“下一步”来完成主题配置。
    8. 单击“创建”来完成策略的配置。
  6. 为新组织创建“预订”转派策略。

    7. 转派必须将父组织定义为规则中的资源,且必须包含一个 SubOrgReferral,并将子组织作为其中的值

    1. 从位置窗格中选择“标识管理”。
    2. 从“查看”菜单中选择“策略”。
    3. 单击“新建”来创建新策略。

      4. 此时数据窗格中会出现“创建策略”页。

    4. 在“名称”中键入 SubOrgReferral_Subscriptions。然后单击“创建”。
    5. 在“服务”中选择“预订”,然后单击“下一步”
    6. 在数据窗格的“查看”菜单中单击“规则”,然后单击“添加”。确保选择了“预订”,然后单击“创建”。
    7. 在数据窗格的“查看”菜单中单击“转派”,然后单击“添加”。确保在数据窗格中,系统已选择子组织的名称作为“值”,然后单击“创建”来完成策略的配置。
  7. 为新组织创建常规“预订”策略。
    1. 从“查看”菜单中选择“策略”。

      2. 此时会显示该组织的策略。

    2. 在导航窗格中选择“新建”。此时数据窗格中会打开“新策略”页。
    3. 确保在“策略类型”中选择“常规”。
    4. 从数据窗格的“查看”菜单中选择“规则”,然后单击“添加”。此时数据窗格中会打开“添加规则”页。
    5. 在“服务”菜单中选择“预订”,然后单击“下一步”。确保选中“有权执行桌面”。
    6. 从数据窗格的“查看”菜单中选择“主题”,然后单击“添加”。此时数据窗格中会打开“添加主题”页。
    7. 选择一个将应用“预订”策略的主题,然后选择“下一步”来完成主题配置。
    8. 单击“创建”来完成策略的配置。
  8. 在新组织中创建新用户。
    1. 从位置窗格中选择“标识管理”。
    2. 在“查看”菜单中选择“组织”。
    3. 选择新创建的组织。
    4. 在导航窗格中选择该用户,然后单击“属性”箭头。
    5. 从“查看”菜单中选择“服务”。
    6. 单击“添加”来选择要分配给用户的服务。
    7. 单击“保存”。
  9. 为新组织启用桌面服务。
    1. 从位置窗格中选择“标识管理”。
    2. 在“查看”菜单中选择“组织”。
    3. 选择新创建的组织。
    4. 从“查看”菜单中选择“服务”。
    5. 选择“Portal 桌面”
    6. 将“默认频道名”的值由 DummyChannel 改为 JSPTabContainer(或新组织将使用的顶级容器的名称)。
    7. 将“Portal 桌面类型”的值由默认值改为 sampleportal(或新组织将使用的桌面类型)。
  10. 访问新组织的桌面。
    1. 从管理控制台注销。
    2. 打开一个浏览器页,键入以下内容:

      3. http://server:port/amserver/UI/login?org=neworg

      正常情况下会显示用户的桌面。

配置验证

本部分描述如何配置 Sun ONE Portal Server 验证。Sun ONE Identity Server 提供了一个验证框架。验证是通过用户身份验证插件模块来实现的。Sun ONE Identity Server 提供了七个不同的验证模块及一个“核心”验证模块。Sun ONE Identity Server 管理控制台用于设置默认值、注册验证服务、创建组织的验证模板及启用服务。由于“核心”验证模块提供的是整体验证配置,因此在配置任何特定验证模块前,必须为每个组织注册该“核心”模块,并创建模板。

注意

Sun ONE Identity Server 6.0 版不支持 Sun ONE Identity Server 5.1 管理控制台所提供的验证菜单配置功能。如果需要配置一个包含有效验证模块的可选择列表,请使用 Sun ONE Identity Server 管理控制台,将每个验证模块的验证级别属性设置为相同的值。有关配置验证模块的信息,请参阅配置验证菜单

安装过程中,安装程序会注册“核心”验证,并在默认组织中创建模板。安装程序还会注册以下验证模块,并创建其各自的模板:

配置验证模块的高级步骤如下:

  1. 为每个新组织注册“核心”验证服务。有关注册服务的步骤,请参阅注册服务
  2. 为“核心”验证服务创建模板。有关创建服务模板的步骤,请参阅创建服务模板
  3. 注册用于为每个组织提供支持的验证服务。有关注册服务的步骤,请参阅注册服务
  4. 为验证服务创建服务模板,以为组织提供支持。有关创建验证服务模板的步骤,请参阅创建服务模板。有关设置服务属性的信息,请参阅 Sun ONE Identity Server 管理员指南第 5 章“验证选项”。
  5. 配置验证菜单。有关配置验证顺序的步骤,请参阅配置验证菜单
  6. 配置验证服务的使用顺序。有关配置验证顺序的步骤,请参阅配置验证顺序

按验证级别顺序验证

每个验证模块均可与一个代表其验证级别的整数值关联。可以这样分配验证级别:在“服务配置”中单击验证模块的“属性”箭头,更改相应的模块“验证级别”属性值。用户通过验证,获得了对一个或多个验证模块的访问权时,验证级别越高,则它为该用户定义的信任级别就越高。

配置验证菜单

用户可以使用特定的验证级别来访问验证模块。例如,用户使用以下语法,以用户身份进行登录:

http://hostname:port/deploy_uri/UI/Login?authlevel=auth_level_value

所有验证级别大于或等于 auth_level_value 的模块都会以验证菜单的形式显示出来,供用户选择。如果只找到了一个匹配的模块,则会直接显示该验证模块的登录页。

  1. 以管理员身份登录到 Sun ONE Identity Server 管理控制台。

    2. 默认情况下,登录时,位置窗格中的“标识管理”和“导航”窗格中的“组织”都处于选中状态。

  2. 导航到需要配置验证的组织或子组织。

    3. 使用导航窗格中的“查看”菜单

  3. 在“查看”菜单中选择“服务”,然后单击“注册”。
  4. 单击“核心”旁的属性箭头。
  5. 启用相应的验证模块,方法是:在“组织”部分的“组织验证模块”字段中选择这些模块。

    6. 默认情况下,Sun ONE Portal Server 安装时会启用 LDAP 和“成员”。

  6. 在每个验证模块的“默认验证级别”中输入一个值(默认值为 0)。

    7. 要在验证菜单中显示所有验证模块,每个验证模块的值都必须相同。

  7. 单击“保存”。

配置验证顺序

  1. 以管理员身份登录到 Sun ONE Identity Server 管理控制台。

    2. 默认情况下,登录时,位置窗格中的“标识管理”和“导航”窗格中的“组织”都处于选中状态。

  2. 导航到需要配置验证的组织或子组织。

    3. 使用导航窗格中的“查看”菜单

  3. 在“查看”菜单中选择“服务”,然后单击“注册”。
  4. 单击“核心”旁的属性箭头。
  5. 启用相应的验证模块,方法是:在“组织”部分的“组织验证模块”字段中选择这些模块。

    6. 默认情况下,Sun ONE Portal Server 安装时会启用 LDAP 和“成员”。

  6. 在每个验证模块的“默认验证级别”中输入一个值(默认值为 0)。

    7. 要在验证菜单中显示所有验证模块,每个验证模块的值都必须相同。

  7. 在“组织验证配置”中选择“编辑”,指定每个验证模块的属性信息。
    1. 单击“添加”将验证模块添加到菜单中。
    2. 单击“重新排序”来更改验证模块在验证菜单中的显示顺序。
    3. 单击“保存”来保存属性信息。
  8. 单击“保存”
  9. 使用以下 URL 登录管理服务器,检验验证菜单中是否显示有正确的选项。

    10. http://host:port/amserver/UI/login

    如果是非默认组织,请使用以下 URL 来检验该组织的验证菜单:

    http://host:port/amserver/UI/login?org=org_name

配置可访问外部目录的 LDAP 验证

安装 Sun ONE Portal Server 时,安装程序会自动将 LDAP 验证配置为可以访问目录实例。利用安装程序可在本地服务器上安装目录的一个内部实例及配置可访问该内部目录或其预先存在的一个外部实例的 LDAP 验证。初始配置完成后,在某些情况下,可能需要将验证配置为可以访问外部 LDAP 目录。例如,可能会出于性能或安全方面的考虑,而需要将某组织的验证信息隔离到一个专用 LDAP 服务器上。

警告

不要为包含 amadmin 用户的组织的验证配置为可以访问外部 LDAP 目录。否则会使 amadmin 用户无法进行验证,并会封锁对管理控制台的访问。如果不慎这样配置了包含 amadmin 用户的组织,需要使用 amadmin 的完整 DN 登录,然后修改 LDAP 模板。amadmin DN 列于 AMConfig.properties 文件的 com.sun.authentication.super.user 属性中。

  1. 以管理员身份登录到 Sun ONE Identity Server 管理控制台。

    2. 默认情况下,位置窗格中的“标识管理”和“导航”窗格中的“组织”都处于选中状态。

  2. 导航到需要配置验证的组织或子组织。

    3. 使用导航窗格中的“查看”菜单。

  3. 在“查看”菜单中选择“服务”。
  4. 在“Identity Server 配置”中单击“核心”旁的属性箭头。
  5. 选中“动态用户配置文件”菜单中的“动态创建”。
  6. 在“Identity Server 配置”菜单中单击 LDAP 旁的属性箭头。
  7. 为服务器设置合适的 LDAP 属性。以下示例通过端口 389 设置对 LDAP 服务器 ds-sesta1.sesta.com 的访问,搜索起始点为 ou=people,dc=sesta,dc=com,并使用到 cn=root,ou=people,dc=sesta,dc=com 的根用户绑定:

    8. 主 LDAP 服务器和端口:ds-sesta1.sesta.com:389
    次 LDAP 服务器和端口:ds-sesta1.sesta.com:389
    用户搜索的起始 DN:ou=people,dc=sesta,dc=com
    根用户绑定所用的 DN:cn=root,ou=people,dc=sesta,dc=com
    根目录用户绑定口令:根口令
    用户命名属性:uid
    用户条目搜索属性:employeenumber
    用户搜索过滤器:空白
    搜索范围:子树
    启用 SSL 访问 LDAP 服务器:
    将用户 DN 返回到验证:
    验证级别: 0

  8. 单击“保存”。

配置匿名验证

Sun ONE Portal Server 支持以下两种匿名验证实现方法:

为支持匿名验证,Sun ONE Portal Server 安装程序创建了一个用户帐户 authlessanonymous,并在以下这两个“Portal 桌面服务”全局属性内为该用户设置了访问权限:

Sun ONE Portal Server 能够支持同时配置无验证和匿名验证,前提是可以执行以下操作:

  1. 将桌面配置为在无验证模式下工作。
  2. 配置验证菜单,使“匿名”成为显示的验证选项之一。
  3. 使用浏览器 A 访问桌面,从而实现在无验证模式下访问它。
  4. 使用浏览器 B 访问 http:/server/amserver/UI/login,选择“匿名”,便会看到桌面。

现在,您在浏览器 A 中使用的是无验证模式,而在浏览器 B 中使用的是匿名模式。

桌面有两种不同的访问方式。一种是无验证访问,通过直接引用 /portal/dt 来实现;另一种是匿名,通过 /amserver/UI/login 间接实现。

将 Sun ONE Identity Server 配置为在菜单中只包含匿名登录,就可不必使用 Sun ONE Identity Server 登录菜单。

无法同时支持无验证访问和匿名验证,原因是:未用 Sun ONE Identity Server 会话来访问 /portal/dt 时,只会发生以下两种情况之一:

    1. 桌面会重定向到 /amserver/UI/login,并可能会自动进行“匿名”登录,然后重定向回 /portal/dt
    2. 桌面将在无验证访问模式下运行。

使用无验证访问前不必禁用匿名验证。但如果希望上述项目有效,便必须禁用无验证访问模式。

配置匿名验证(匿名用户会话方法)

  1. 以管理员身份登录到 Sun ONE Identity Server 管理控制台。

    2. 默认情况下,位置窗格中的“标识管理”和“导航”窗格中的“组织”都处于选中状态。

  2. 导航到需要配置验证的组织或子组织。

    3. 所有已创建的组织都会显示在导航窗格中。

  3. 在位置窗格中选择“服务配置”。
  4. 单击“Portal 桌面”服务旁的属性箭头。

    5. 此时数据窗格中会出现“Portal 桌面”属性。

  5. 选择“已授权的无需验证用户 ID”属性中所列的值,然后单击“删除”。
  6. 选择“默认的无验证用户 ID”属性中所列的值,然后单击“删除”。
  7. 单击“保存”。
  8. 从位置窗格中选择“标识管理”。
  9. 在“查看”菜单中选择“组织”。

    10. 所有已创建的组织都会显示在导航窗格中。

  10. 导航到需要配置验证的组织或子组织。

    11. 使用位置窗格中的“查看”菜单。

  11. 在“显示”菜单中选择“服务”。
  12. 注册并配置“匿名”服务。

    13. 有关信息,请参阅注册服务创建服务模板

  13. 将“匿名”添加到“验证”菜单。

    14. 有关信息请参阅配置验证顺序

  14. 创建一个匿名用户帐户。

    15. 有关信息请参阅添加新用户

配置匿名验证(无验证访问)

  1. 以管理员身份登录到 Sun ONE Identity Server 管理控制台。

    2. 默认情况下,位置窗格中的“标识管理”和“导航”窗格中的“组织”都处于选中状态。

  2. 默认情况下,登录时,位置窗格中的“标识管理”和“导航”窗格中的“组织”都处于选中状态。

    3. 所有已创建的组织都会显示在导航窗格中。

  3. 导航到需要配置验证的组织或子组织。

    4. 使用导航窗格中的“查看”菜单。

  4. 使用口令 authlessanonymous 创建一个 authlessanonymous 用户帐户。

    5. 有关信息请参阅添加新用户

  5. 在位置窗格中选择“服务配置”。
  6. 在导航窗格中选择“Portal 桌面”。
  7. authlessanonymous 用户的全区别名添加到“已授权的无需验证用户 ID”属性中。例如:

    8. uid=authlessanonymous, ou=People, dc=sesta, dc=com

  8. 在“默认的无验证用户 ID”属性中,指定 authlessanonymous 用户的全区别名。
  9. 单击“保存”。

必须关闭并重新启动浏览器,才能使用新配置的“无验证用户 ID”方法来访问桌面。“无验证用户 ID”方法用于在查询字符串中指定用户帐户的 UID。例如,要从默认组织 sestat.com 访问桌面,请使用以下 URL:

http://server:port/portal/dt?dt.suid=uid= authlessanonymous, ou=People,dc=sesta, dc=com

注意

如果用户登录的浏览器的语言环境与其自己的语言不同,所有其他用户在登录提示时也将共享相同的语言环境。

有多种办法可以避开这个问题。

  • 关闭高速缓存,方法是:将 dp-anon.xml 中的 JSPTabContainerrefreshTime 值更改为 0。
  • 可以指定多个无验证用户,每个无验证用户使用一种语言环境,然后根据浏览器的语言环境将无验证桌面重定向给相应的用户。

为联合用户配置 Portal Server

Sun ONE Portal Server 软件支持拥有符合“自由联盟”规范的联合身份的用户。一位按“自由”规范单点登录的联合用户不必进一步验证便可访问门户服务器的个性化桌面。

有关支持“自由”规范的验证服务的详细信息,请参阅 Sun ONE Identity Server 管理员指南。可在以下位置找到 Sun ONE Portal Server 充当服务提供者的配置示例:

PortalServerBaseDir/SUNWps/samples/liberty

配置联合用户

默认情况下,联合用户没有访问充当服务提供者的 Sun ONE Portal Server 的权限。Sun ONE Portal Server 可按以下方式来处理联合用户:

为联合用户配置无验证访问

默认情况下,联合用户没有访问无验证 Portal 桌面的权限。

  1. 以管理员身份登录到 Sun ONE Identity Server 管理控制台。

    2. 默认情况下,位置窗格中的“标识管理”和“导航”窗格中的“组织”都处于选中状态。

  2. 导航到需要配置验证的组织或子组织。

    3. 使用导航窗格中的“查看”菜单。

  3. 在位置窗格中选择“服务配置”。
  4. 在导航窗格中选择“Portal 桌面”。
  5. 取消选中“禁用联合用户的无需验证访问”。
  6. 单击“保存”。

有关无验证访问的详细信息,请参阅配置匿名验证(无验证访问)

配置 UNIX 验证

  1. 以管理员身份登录到 Sun ONE Identity Server 管理控制台。

    2. 默认情况下,位置窗格中的“标识管理”和“导航”窗格中的“组织”都处于选中状态。

  2. 在“标识管理”的“查看”菜单中选择“组织”。

    3. 所有已创建的组织都会显示在导航窗格中。

  3. 在位置窗格中选择“服务配置”。
  4. 在导航窗格中单击 UNIX 旁的属性箭头(位于“Identity Server 配置”下)。
  5. 为服务器设置相应的“UNIX 属性”。
  6. 单击“保存”。
  7. 导航到需要配置验证的组织或子组织。

    8. 使用导航窗格中的“查看”菜单。

  8. 在“查看”菜单中选择“服务”。
  9. 在导航窗格中单击“注册”。
  10. 在数据窗格中单击“验证”下的“核心”。
  11. 在数据窗格的“组织验证模块”中选择 Unix。
  12. 单击“保存”。

配置组织级别的 UNIX 验证

配置 UNIX 验证中介绍的 UNIX 验证是针对 UNIX 的全局配置。本步骤则是针对组织级配置。

  1. 在浏览器的网络地址字段中输入 http://fullservername:port/amconsole,以管理员 (amadmin) 身份登录到 Sun ONE Identity Server 管理控制台。
  2. 在登录屏幕中输入 amadmin 这一用户 ID 和安装期间选择的长口令。

    3. 默认情况下,位置窗格中的“标识管理”和“导航”窗格中的“组织”都处于选中状态。

  3. 在“标识管理”的“查看”菜单中选择“组织”。

    4. 所有已创建的组织都会显示在导航窗格中。

  4. 在“查看”菜单中选择“服务”。
  5. 选择“注册”。
  6. 在右侧窗格中选中 UNIX,然后单击“注册”。
  7. 选择 UNIX 旁的属性箭头。
  8. 在右侧窗格中选择“创建”。
  9. 为服务器设置相应的“UNIX 属性”。
  10. 选择“保存”。
  11. 选择“核心”旁的属性箭头。
  12. 突出显示“验证菜单”中的 UNIX,然后选择“保存”。

Sun ONE Portal Server 使用策略管理方式概述

本部分描述如何使用 Sun ONE Identity Server 的“策略管理”功能。有关创建、修改、删除策略的步骤,请参阅 Sun ONE Identity Server 文档。

Sun ONE Identity Server 策略服务用于定义规则或对资源的访问。策略可以基于角色或组织,并可提供权限或定义约束。Sun ONE Portal Server 自带以下两个策略:

默认情况下,系统会将“策略配置”服务自动注册给最高级组织。子组织必须注册自己的、不依赖于其父组织的策略服务。创建的任何策略服务都必须注册给所有组织。使用策略的高级步骤如下:

  1. 为组织注册“策略”服务。(系统会为安装时指定的组织自动完成这一注册。)子组织不会继承其父组织的服务,因此需要注册子组织的“策略”服务。有关信息请参阅注册服务
  2. 为同级组织或子组织创建转派策略。可将某组织的策略定义和决策指派给另一组织。(也可将某资源的策略决策指派给其它策略产品。)转派策略在策略创建和评估时都会对上述策略指派进行控制。它由规则和转派本身组成。如果策略服务包含不需要资源的操作,系统便不会为子组织创建引用策略。有关信息请参阅为同级组织或子组织创建转派策略
  3. 为同级组织或子组织创建常规策略。创建常规策略的目的是定义访问权限。常规策略可以由多个规则、主题和条件组成。有关信息请参阅为同级组织或子组织创建常规策略

为同级组织或子组织注册策略服务

同级组织或子组织不会继承其父组织的服务,因此需要注册同级组织或子组织的“策略”服务。

  1. 以管理员身份登录到 Sun ONE Identity Server 管理控制台。

    2. 默认情况下,位置窗格中的“标识管理”和“导航”窗格中的“组织”都处于选中状态。

  2. 导航到要创建转派策略的组织或子组织。

    3. 所有已创建的组织都会显示在导航窗格中。

  3. 从导航窗格的“查看”菜单中选择“组织”,然后从“名称”菜单中选择所需组织。
  4. 从“查看”菜单中选择“服务”。
  5. 单击“注册”。

    6. 此时数据窗格中会出现“注册服务”页。单击以下必需服务的复选框,然后单击“注册”。

    • LDAP
    • 成员
    • 策略配置
    • Portal 桌面
    • NetMail

      • 此时新注册的服务便会出现在导航窗格中。

  6. 单击属性箭头来配置每项服务。单击“创建”来修改配置属性。有关非 Portal Server 配置专用属性的说明,请参阅 Sun ONE Identity Server 管理员指南。

为同级组织或子组织创建转派策略

可将某组织的策略定义和决策指派给另一组织。转派策略在策略创建和评估时都会对上述策略指派进行控制。它由规则和转派本身组成。转派必须将父组织定义为规则中的资源,且必须包含一个 SubOrgReferral 或 PeerOrgReferral,并将组织的名称作为其中的值。

  1. 以管理员身份登录到 Sun ONE Identity Server 管理控制台。

    2. 默认情况下,位置窗格中的“标识管理”和“导航”窗格中的“组织”都处于选中状态。

  2. 导航到要创建转派策略的组织或子组织。

    3. 所有已创建的组织都会显示在导航窗格中。

  3. 从“查看”菜单中选择“策略”。
  4. 单击“新建”来创建新策略。

    5. 此时数据窗格中会出现“创建策略”页。

  5. 在“名称”中键入 SubOrgReferral_organization 或 PeerOrgReferral_organization。确保在“策略类型”中选择“转派”。然后单击“创建”。
  6. 在“服务”中选择服务类型,然后单击“下一步”。
  7. 在数据窗格的“查看”菜单中单击“规则”,再单击“添加”,然后单击“下一步”。

    8. 此时数据窗格中会出现“添加规则”模板。

  8. 在“规则名称”中输入规则的名称,然后单击“创建”。
  9. 在数据窗格的“查看”菜单中单击“转派”,然后单击“添加”。

    10. 此时数据窗格中会出现“添加转派”模板。

  10. 在“名称”中输入 SubOrgReferralName。

    11. 确保在数据窗格中,系统已选择子组织的名称作为“值”,然后单击“创建”来完成策略的配置。

  11. 单击数据窗格中的“保存”。

    12. 保存数据后会显示消息“策略属性已保存”。

为同级组织或子组织创建常规策略

创建常规策略的目的是定义访问权限。常规策略可以由多个规则、主题和条件组成。

  1. 以管理员身份登录到 Sun ONE Identity Server 管理控制台。

    2. 默认情况下,位置窗格中的“标识管理”和“导航”窗格中的“组织”都处于选中状态。

  2. 导航到要分配策略的组织或子组织。

    3. 所有已创建的组织都会显示在导航窗格中。

  3. 从“查看”菜单中选择“策略”。

    4. 此时会显示该组织的策略。

  4. 在导航窗格中选择“新建”。此时数据窗格中会打开“新策略”页。
  5. 在“名称”中键入 SubOrgNormal_organization 或 PeerOrgNormal_organization。确保在“策略类型”中选择“常规”。单击“创建”。
  6. 在“服务”菜单中选择服务,然后单击“下一步”。在“规则名称”中输入规则的名称。确保选中了相应的复选框,以向所需服务授予执行权限。
  7. 从数据窗格的“查看”菜单中选择“规则”,然后单击“添加”。此时数据窗格中会打开“添加规则”页。
  8. 从数据窗格的“查看”菜单中选择“主题”,然后单击“添加”。此时数据窗格中会打开“添加主题”页。
  9. 单击“创建”来完成策略的配置。

    10. 保存数据后会显示消息“策略属性已保存”。

登录 Sun ONE Portal Server Portal 桌面

如果安装了示例门户,用户将可以登录到示例桌面。此外,Sun ONE Portal Server 还支持许多其它用户登录方式。本部分描述用户登录 Sun ONE Portal Server 的其它一些方式。

登录示例Portal 桌面

要访问示例桌面,请键入以下 URL:

http://server:port/portal/dt

登录子组织

如果用户拥有对某组织的访问权限,便还可登录该组织的子组织。例如,如果用户拥有对组织 A 的访问权限,而组织 A 又包含子组织 B,则可键入以下 URL 来登录子组织 B:

http://server:port/amserver/UI/login?org=B

使用匿名验证登录

注意

必须注册匿名验证模块,才能支持匿名验证。有关注册和启用匿名验证模块的信息,请参阅配置匿名验证

  1. 使用以下 URL 登录:

    2. http://server:port/portal/dt

  2. 在 Sun ONE Identity Server 验证页上,单击“匿名”。
  3. 此时会出现示例桌面。
  4. 如果需要,且已注册“成员”验证模块,便可使用“登录”屏幕来创建和注册用户 ID。

管理日志

Sun ONE Portal Server 使用 Sun ONE Identity Server 来记录和调试 API。

默认情况下,Sun ONE Portal Server 的日志和调试文件的位置在:

Sun ONE Identity Server 管理控制台允许定义以下记录属性:

有关进一步信息,请参阅 Sun ONE Identity Server 管理员指南



上一页      目录      索引      下一页     

版权所有 2003 Sun Microsystems, Inc. 保留所有权利。