| Sun ONE Portal Server 6.2 管理員指南 |
第 12 章
配置通訊通道本章針對 Sun™ ONE Portal Server 6.2 通訊通道提供循序漸進的介紹,首先是一般性的描述,接著提出通訊通道安裝後及配置前的狀態說明,最後說明各種實際操作步驟,依據站台需求進行通訊通道配置。
本章篇幅著重探討配置方面的資訊,包括管理員及一般使用者的配置工作。一般使用者只要在各通道中按一下可存取的編輯按鈕,即可從「入口網站」桌面直接編輯各通道的配置。如此會讓一般使用者存取編輯頁面 (一頁或多頁),以便編輯特定伺服器配置資訊,以及通道中開放一般使用者查看的特定功能,例如在通訊錄通道中可見的多筆通訊錄項目。
管理員可限制或擴增一般使用者的編輯選項。甚至可以透過預先配置讓通道無需經過使用者伺服器配置即可運作;如需更多資訊,請參閱「管理員代理伺服器驗證結束一般使用者憑證配置」。
由於管理員能夠自行設計各通道的編輯頁面,因此有權選擇一般使用者能夠使用的特定功能;如需更多資訊,請參閱「應用程式喜好設定編輯: 配置通訊通道編輯頁面」。
此外,假如某站台具有一個以上的特定應用程式執行實例可供使用,例如具有兩個或以上的郵件應用程式執行實例時,管理員可開放讓一般使用者在其入口網站桌面上配置第二個郵件通道;如需更多資訊,請參閱「允許一般使用者設定通訊通道類型的多重實例」。
本章包含以下各節:
通訊通道簡介Sun ONE Portal Server 6.2 產品提供四個通訊通道,可供一般使用者透過入口網站桌面直接存取。這些通道能讓一般使用者存取相對應的應用程式 (如郵件應用程式),裨便一般使用者更有效進行管理、排程及通訊。
這四個通訊通道分別是:
通訊錄通道在於顯示通訊錄項目供一般使用者檢視。要存取通訊錄以建立、編輯通訊錄項目時,請先按一下「啟動通訊錄」。
行事曆通道 行事曆通道會顯示行事曆事件與作業供一般使用者檢視。要存取行事曆應用程式以建立新的作業及事件時,請先按一下「啟動行事曆」。
Instant Messaging 通道係顯示其他能夠存取 Sun™ ONE Instant Messenger 的使用者之上線狀態。這些聯絡人來自於一般使用者在 Instant Messenger 應用程式中建立的聯絡人清單。按一下上線狀態圖示,在通道中開闢聊天室,也是啟動 Instant Messenger 的方法之一。如要直接從通道中得知上線更新狀態,需重新載入「入口網站桌面」。如要在其他使用者上線時得知更新狀態,需啟動應用程式以檢視聯絡人的上線狀態,此時請按一下 Instant Messenger。
郵件通道 郵件通道在於顯示已傳至一般使用者供其讀取的郵件訊息。要存取郵件應用程式以閱讀和撰寫訊息,按一下「啟動郵件」。
通訊通道支援軟體Sun ONE Portal Server 軟體支援下列通訊通道用的資源伺服器平台:
安裝程式與通訊通道Sun ONE Portal Server 安裝程式會執行數項與通訊通道相關的作業。此外安裝程式也處理一般性的通訊通道配置作業。至於更細部的配置,則由管理員及一般使用者視站台及個人需要自行設定。
Sun ONE Portal Server 安裝程式作業
Sun ONE Portal Server 安裝程式負責:
- 安裝下列封包:SUNWpsso、SUNWpsap、SUNWpsmp, SUNWpscp 及 SUNWiimps,將這些封包部署至預設的 Sun ONE Portal Server 實例。因此,安裝程式不會將通訊通道安裝在所有的 Sun ONE Portal Server 執行實例上。如需多重伺服器部署的資訊,請參閱「多重實例部署」。
- 建立通道、通訊錄、行事曆、Instant Messaging 及郵件。安裝程式會將 Sun ONE 伺服器專用的通道放置在範例組織的「我的首頁標籤」窗格容器內。因此,通訊通道唯有在範例入口網站安裝時才會安裝。Microsoft Exchange Server 與 IBM Lotus Notes 伺服器不會自動放置於容器中。如有需要,管理員可能需自行將這些通道加入容器中。
多重實例部署
如要進行多重 Sun ONE Portal Server 部署,需將通訊通道手動部署到各個 Sun ONE Portal Server 的附加執行實例並逐一重新啟動執行實例。若要進行部署,請鍵入:
portal-server-install-dir/SUNWps/bin/deploy redeploy -instance instancename -deploy_admin_password deployadminpassword
其中 instancename 是非預設的特定實例名稱,而 deployadminpassword 是網路容器 (網路伺服器或應用程式伺服器) 的管理員密碼。當網路容器為 Sun™ ONE Application Server 或 BEA WebLogic Server™ 時,才會用到網路容器管理員密碼。不過您若在使用另外一個可接受的網路容器時加入密碼,也不至於造成問題。Sun™ ONE 然而使用 Web Server 或 IBM WebSphere® Application Server 時,密碼會被忽略。
程式碼範例 12-1 列舉將通訊頻道手動部署至兩個非預設的 Sun ONE Portal Server 實例並重新開機時使用的指令,其中 myinstance1 和 myinstance2 為非預設的 Sun ONE Portal Server 實例名稱,而 Admin 是網路容器管理員密碼。
通訊通道配置作業以下說明有關設定通訊通道的高階作業。並非每項作業均適用於所有網站。您應當根據網站的業務需求,判定網站所需執行的作業。
如果您已在相同或不同伺服器上安裝 Sun ONE Messaging Server 及 Sun ONE Calendar Server,請在建立通道時指定各自的 URL。
配置服務供預設組織使用
通訊通道安裝完成後,需進一步對 Instant Messaging 及通訊錄通道進行後述的細部配置。至於行事曆及郵件通道則具有範例或預設的設定,無需管理員做進一步的配置即可運作。任何通訊通道 (包括行事曆及郵件通道) 中都可能會發生網站特定的問題,需要管理員在通道開始運作前特別注意,或根據網站需求予以適當配置。
以下各節提供有關通訊通道配置的重要資訊。
通訊通道配置資訊
涉及所有通訊通道
一般使用者配置
除非您採用代理伺服器認證 (如需更多資訊,請參閱「管理員代理伺服器驗證結束一般使用者憑證配置」) 進行通訊通道配置,否則使用者仍需按一下各通訊通道中的編輯按鈕,進入各個通道的編輯頁面做進一步的通道配置。
注意:未察覺錯誤: 遺失啟動按鈕
如有任何通訊通道的用戶端連接埠號輸入不正確,一般使用者將無法收到錯誤訊息。錯誤本身雖然會讓各個通道不顯示啟動按鈕,藉此表示有錯誤發生,但無法幫助一般使用者釐清問題的根本原因。管理員及一般使用者都有可能輸入不正確的用戶端連接埠號,不過由於一般使用者僅能編輯行事曆及郵件通道的用戶端連接埠號,因此只有這兩種通道才會發生這個問題。
注意:未察覺錯誤: 缺少通道
各種情況都可能造成一般使用者未能看見通訊通道,也未能 看見說明此問題的錯誤訊息。可能造成這種情況的原因是範本或配置名稱的配置不正確,因而使得使用者沒有辦法看見範本或配置。當下列任何情況為 true 時,將不會顯示通訊通道:
涉及郵件通道
HTTPS 啟用型 Messaging Server
當郵件通道連接安全性較高的 HTTPS 啟用型傳訊伺服器,而非基本 HTTP 啟用型傳訊伺服器時,為使郵件通道依理想方式運作,您需要做一些安全方面的調整。如需詳細資訊,請參閱「配置郵件提供者使其配合支援 HTTPS 的 Messaging Server 運作」。
配置 Instant Messaging 通道
Sun ONE 如在安裝 Sun ONE Instant Messaging Server 過程中選取了 Portal Server 選項中的「啟用 IM」,則 Instant Messaging Server 會在安裝 Sun ONE Portal Server 過程中一併安裝。
儘管 Instant Messaging Portal 通道具備隨裝即用的特色,但依據實際的網站需求,仍有可能需要進行其他配置。因此,當您完成 「Instant Messaging 通道配置步驟」 中的步驟後,請參閱 「Instant Messaging 通道附加配置」,以判定該節中是否有任何小節內容符合您的安裝情形。
Instant Messaging 通道是由一位 Portal Server 內容提供者所建,名為 IMProvider。IMProvider 在 Portal Server 中屬於 JSPProvider 的延伸。作為 JSPProvider 的延伸,IMProvider 將使用 JSP 檔案來產生 Instant Messaging 通道的內容頁面和編輯頁面。JSP 檔案亦可用來產生啟動 Instant Messenger 的頁面。IMProvider 也用來定義一項 JSP 檔案專用的即時傳訊標記程式庫。JSP 檔案及標記程式庫使用 IMProvider 所定義的通道屬性。
如需 Sun ONE Instant Messaging Server 的詳細資訊,請參閱 Instant Messaging 管理員指南。如需 Sun ONE Portal Server Instant Messaging 通道標記程式庫的特定資訊,以及藉由編輯 JSP 檔案來自訂 Instant Messaging 通道的方法,請參閱Sun ONE Portal Server 6.2 Desktop Customization Guide。此外,管理員及一般使用者可造訪 Instant Messaging 通道配置程式碼屬性中使用的 URL,存取有關 Sun ONE Instant Messaging Server 的資訊。
Instant Messaging 通道配置步驟
- 透過網際網路瀏覽器登入 Sun™ ONE Identity Server 管理主控台 (位於 http://hostname:port/amconsole),例如 http://psserver.company22.example.com:80/amconsole
- 按一下「識別管理」標籤,使導覽窗格中顯示「檢視」下拉清單 (左下框架)。
- 在「檢視」下拉清單中選取「服務」,顯示可配置的服務清單。
- 在 Portal Server 配置標題下,按一下 Portal 桌面旁的箭頭,資料窗格中即出現「Portal 桌面」頁面 (右下框架)。
- 按一下「通道與容器管理」連結。
- 向下捲動到「通道」標題,按一下 IMChannel 旁的「編輯屬性」以顯示包含「基本屬性」的 Instant Messaging 服務面板。
以下是「編輯 IMChannel」頁面中顯示的部分屬性清單,其中附帶各項屬性的範例值。
屬性
值
伺服器
imserver.example.com
port
49999
mux
imserver.example.com
muxport
49909
codebase
imapplet.example.com
netletRule
IM
clientRunMode
plugin
authMethod
idsvr
authUsernameAttr
uid
username
(當 authmethod 使用 idsvr 時不適用)
password
(當 authmethod 使用 idsvr 時不適用)
contactGroup
My Contacts
- 在您要輸入的各項屬性旁之文字欄位中,輸入所要設定的值。表 12-1 說明可設定的屬性值及其資訊類型。
表 12-1 編輯 IMChannel 頁面之屬性及屬性值說明
屬性
值
伺服器
輸入供通道使用的 Sun ONE Instant Messaging Server 主機名稱。
port
輸入供通道使用的 Sun ONE Instant Messaging Server 連接埠號。預設連接埠號為 49999。
mux
輸入 Sun ONE Instant Messaging 多重訊號組合器的主機名稱;該多重訊號組合器是在通道啟動 Instant Messaging 用戶端時使用。
muxport
輸入 Sun ONE Instant Messaging 多重訊號組合器的連接埠號。預設連接埠號為 49909。
codebase
輸入用來下載 Instant Messaging 用戶端的 URL 前綴。
netletRule
輸入 Netlet 規則名稱,其係於透過 Secure Remote Access (SRA) 閘道的安全模式下使用於 Instant Messaging 用戶端。
clientRunMode
輸入 Instant Messaging 用戶端的執行方法:plugin 或 jnlp (用於 Java Web Start)。
authMethod
通常較為偏好輸入 idsvr 作為屬性值,表示認證方法採用的是 Sun ONE Identity Server 認證法。
以下兩者為可能值:idsvr 或 ldap。idsvr 值可以讓單次登入運作。它也會移除 Instant Messaging 通道編輯頁中的 username 和 password 欄位。
authUsernameAttr
輸入使用 idsvr 認證方法時用於使用者名稱的屬性名稱。
username
輸入使用 LDAP 認證方法時所用的使用者名稱。
密碼
輸入使用 LDAP 認證方法時所用的密碼。儲存於顯示設定檔時,此屬性會以 AMPasswordUtil 類別混淆。
contactGroup
輸入 Instant Messaging 通道中顯示的聯絡群組名稱。
- 視需要捲動畫面,按一下「儲存」。
Instant Messaging 通道附加配置
多重組織運用時可能需執行的步驟
當 Portal Server 實例使用單一 Instant Messaging 伺服器來服務多個組織時,必須執行額外步驟。
Identity Server 及 Portal Server 允許管理員以相同的使用者 ID (uid) 設定組織內部的使用者。例如,組織中可能有兩個子組織,其中各自設有名為 enduser22 的一般使用者。當這兩位一般使用者嘗試透過 Instant Messaging 通道存取其各自的帳戶時,將會發生衝突。
若要避免潛在的衝突問題,需針對各個組織建立一組 JSP 啟動頁面,其中含有參數互傳網域且設定為組織的屬性值 sunPreferredDomain。預設的啟動頁面有:
/etc/opt/SUNWps/desktop/default/IMProvider/jnlpLaunch.jsp
/etc/opt/SUNWps/desktop/default/IMProvider/pluginLaunch.jsp
在組織中插入 Instant Messenger 連結
依預設,Instant Messenger 連結會新增至預設組織中的應用程式通道-該通道會提供連結以啟動不同的應用程式。Instant Messenger 連結可讓使用者從應用程式通道啟動 Instant Messenger。如遇下列情形,您需手動加入 Instant Messenger 連結:
Instant Messenger 連結的內容位於 /opt/SUNWps/samples/desktop/dp-IMChannel.xml 檔案中。dp-IMChannel.xml 檔案亦含有範例 IMChannel。
編輯 dp-IMChannel.xml 檔的複本,以便將 Instant Messenger 連結資訊加入另一組織的顯示設定檔,並使用 dpadmin 指令安裝該檔,方法如下:
其中,
ADMIN_DN - 置換為 LDAP 管理員 DN。例如:amadmin
PASSPHRASE - 置換為管理員的密碼。
ORG_DN - 置換為要加入連結的目標組織 DN。例如: o=example.com, o=isp
使用 Java Plug-in 啟動 Instant Messenger 時所用的 URL,將透過啟動引數參照到 Instant Messaging 通道。例如:
/portal/dt?action=content&provider=IMChannel&launch=plugin&username=sam
以 Java Web Start 啟動 Instant Messenger 時所用的 URL 為:
/portal/imlaunch?channel=IMChannel&launch=jnlp&username=sam
在 Sun ONE Portal Server 的 Sun ONE Instant Messenger 中啟用安全模式
Netlet 可促進 Instant Messenger 與伺服器之間的通訊安全。
要啟用安全模式,需加入 Netlet 規則。
加入 Netlet 規則的步驟如下:
- 透過網際網路瀏覽器,登入 Identity Server 管理主控台 (http://hostname:port/amconsole),例如 http://psserver.company22.example.com:80/amconsole
- 按一下「識別管理」標籤,在導覽窗格中顯示「檢視」下拉清單。
- 在「檢視」下拉清單中選取「服務」,顯示可配置的服務清單。
- 向下捲動至 SRA 配置然後選取 Netlet。
- 按一下 Netlet 旁的箭頭圖示。Netlet Rules 即顯示於右窗格中。
- 按一下「Netlet 規則」下方的「新增」。
- 在「規則名稱」欄位中鍵入 IM。
- 移除 URL 欄位中的預設值,使該欄位空白。
- 勾選「下載 Applet」核取方塊並輸入下列字串:
$IM_DOWNLOAD_PORT:$IM_WEBSERVER_HOST:$IM_WEBSERVER_PORT
例如:
49916:company22.example.com:80
- 選取「連接埠-主機-連接埠」清單中的預設值後,按一下「移除」。
- 在「用戶端連接埠」欄位中輸入將要執行 Netlet 的本端主機連接埠。例如: 49916.
- 在「目標主機」欄位中輸入 Instant Messenger 主機名稱。
- 在「目標連接埠」欄位中輸入 Instant Messenger 連接埠。
備註
Netlet 連接埠、Instant Messaging 主機以及 Instant Messaging 連接埠的值,應與 Instant Messaging 服務面板中提及的 Instant Messaging 服務屬性一致,這些內容在「Instant Messaging 通道配置步驟」 的最後步驟中會有討論。
- 按一下「加入清單」。
- 按一下「儲存」以儲存 Netlet 規則。
禁止使用者啟動 Instant Messenger
您可以拒絕讓使用者使用 Instant Messaging 通道,只要將該通道從使用者的顯示設定檔中移除即可。例如,要移除自動安裝的範例 IMChannel,請執行下列步驟:
配置通訊錄通道
為使通訊錄通道能夠運作,您需配置通訊錄服務的預設值。為了讓通訊錄通道盡可能有效地執行,您需依據站台的需求,適當設定最小及最大 LDAP 連線區大小。
配置通訊錄服務預設值
本節介紹單次登入 (SSO) 配接卡範本的相關資訊。這些範本會全面影響通訊通道在使用者的入口網站桌面上顯示之情形。要變更使用者的通訊通道顯示設定檔,您需要編輯或建立 SSO 配接卡範本及配置。
本章僅探討通訊錄的範本。即使是以通訊錄為例,此處的探討內容仍十分具體。如需有關 SSO 配接卡、SSO 配接卡範本及 SSO 配接卡配置較為廣義的解釋,請參閱附錄 H,「SSO 配接卡範本與配置」。
配置通訊錄服務預設值
- 透過網際網路瀏覽器,登入 Identity Server 管理主控台 (http://hostname:port/amconsole),例如 http://psserver.company22.example.com:80/amconsole
- 按一下「服務配置」標籤,使導覽窗格顯示出可配置的服務清單。
- 向下捲動導覽窗格,找到「單次登入配接卡配置」標題,按一下 SSO 配接卡項目旁的箭頭,資料窗格中即出現 SSO 配接卡頁面。
- 按一下接在 "default|" 後面的輕量化目錄存取通訊協定 (LDAP) 字串。此字串在相對於「動態」的「全域」標題下之「SSO 配接卡範本」方塊中:
default|ldap://...
此字串會出現在其他字串之中,例如 “default|pop3:///...”、“default|imap:///...” 及 “default|http:///....”
按一下 "default|ldap://..." 字串以選取該字串,並將其複本置入以下欄位 (配置描述欄位) 中,如此即可編輯字串。配置描述欄位在「新增」及「移除」按鈕上方。
- 在顯示有 "default|ldap://..." 字串的配置描述欄位中按一下滑鼠。
步驟 12-2 列出編輯前顯示於配置描述欄位中完整的預設 SSO 配接卡範本字串。此描述在欄位中顯示為一長字串,但為方便閱讀,在此將整段描述分成數行,每一行開頭加註 & 符號表示分行。
程式碼範例 12-2 編輯前的通訊錄 SSO 配接卡範本
default|ldap://[SERVER-NAME:PORT]/?configName=[SUN-ONE-ADDRESS-BOOK]
&pabSearchBase=[PAB-SEARCH-BASE]
&userSearchBase=[USER-SEARCH-BASE]
&aid=[ADMIN-ID]
&adminPassword=[ADMIN-PASSWORD]
&imapHost=[IMAP-HOST]
&imapPort=[IMAP-PORT]
&clientPort=[CLIENT-PORT]
&enableProxyAuth=false
&proxyAdminUid=[PROXY-ADMIN-UID]
&proxyAdminPassword=[PROXY-ADMIN-PASSWORD]
&userAttribute=uid
&type=AB-TYPE
&subType=sun-one
&ssoClassName=com.sun.ssoadapter.impl.LDAPABSSOAdapter
&encoded=password
&default=ssoClassName
&default=host
&default=port
&default=pabSearchBase
&default=userSearchBase
&default=aid
&default=adminPassword
&default=imapHost
&default=imapPort
&default=clientPort
&default=type
&default=subType
&default=enableProxyAuth
&default=proxyAdminUid
&default=proxyAdminPassword
&default=userAttribute
&merge=uid
&merge=password
&default=enablePerRequestConnection
&enablePerRequestConnection=false
- 從配置描述欄位中選取一方括弧中的值來置換如表 12-2 所述字串中之方括弧內的值,例如 [SERVER-NAME:PORT],並鍵入特定置換資訊,例如 psserver.company22.example.com:389。
- 將字串中方括弧內的值全數置換後,按一下「新增」。
此動作會將您新編輯過的 "default|ldap://..." 字串置入 SSO 配接卡範本方塊的其他字串之中,包括原始的 "default|ldap://..." 字串。
- 假如原始的 "default|ldap://..." 字串 (非加括弧的值) 尚未選取,請立即將它選取。確定其為唯一選取的字串。
- 按一下「移除」將原始的 "default|ldap://..." 字串移除。
- 向下捲動 SSO 配接卡頁面,按一下「儲存」。
如需 SSO 配接卡範本中的屬性之詳細資訊,請參閱附錄 H,「SSO 配接卡範本與配置」。
表 12-2 通訊錄 SSO 配接卡範本字串範例
參數
值
SERVER-NAME:連接埠
將此字串置換成與傳訊伺服器相關的使用者或群組目錄伺服器名稱及連接埠號。例如:
psserver.company22.example.com:389
您輸入用來置換加括號的值 [SERVER-NAME:PORT] 中之 SERVER-NAME 的伺服器名稱,通常等於您輸入用來置換加括號的值 [IMAP-HOST]。
但這兩台主機也有可能不是同一台。如指派其中一台主機執行個人通訊錄 (PAB) 認證,即有可能使用兩台不同的主機。
如要將連接埠號從 389 改為其他埠號 (如 390),其方法如下:
1. 輸入 390 置換加括號的值 [SERVER-NAME:PORT] 中之 PORT。本表開頭提供的伺服器名稱及連接埠範例隨即顯示如下:
psserver.company22.example.com:390
2. 將以下設定附加到通訊錄 SSO 配接卡範本字串中:
&default=port&port=390
此動作最後會將步驟 12-2 所示的範例字串變更如下:
...merge=uid&merge=password&default=port&port=390
SUN-ONE-ADDRESS-BOOK
將此字串置換為以下字串:
sunOneAddressBook
此值即等於出現在動態 SSO 配接卡配置中的值: configDesc=SUN-ONE-ADDRESS-BOOK
尤其會出現在以下字串中:
undef:///?configName=sunOneAddressBook&configDesc=SUN-ONE-ADDRESS-BOOK
PAB-SEARCH-BASE
將此 字串置換為 PAB 搜尋基點。搜尋基點是指個人通訊錄搜尋的起點。
例如:o=pab.
USER-SEARCH-BASE
將此 字串置換為使用者搜尋基點。
例如: o=example.com
ADMIN-ID:
將此 字串置換為 PAB LDAP 管理員的識別名稱 (DN)。
例如:
uid=msg-admin,ou=People, o=company22.example.com,o=example.com
ADMIN-PASSWORD
將此字串置換為 PAB 管理 ID 的密碼。例如:admin
然而此密碼不是經過加密的密碼。欲知如何使用加密密碼作為 adminPassword,請參閱附錄 A「SSO 轉接器範本及配置」中標題為「編碼」的項目,如表 H-3。
IMAP-HOST
將此字串置換為適當設定的傳訊伺服器之網際網路訊息存取通訊協定 (IMAP) 主機名稱。
例如:
psserver.company22.example.com
此伺服器的名稱通常與 [SERVER-NAME: PORT] 的名稱相同。
IMAP-PORT
將此字串置換為 IMAP 連接埠號。例如: 143
CLIENT-PORT:
將此字串置換為傳訊解決方案伺服器所運作的 HTTP 連接埠號。
例如: 1080
PROXY-ADMIN-UID
將此字串置換為代理伺服器管理員的使用者 ID。
例如:msg-admin
如您未啟用代理伺服器授權,可持續以萬用字元作為此字串中加括弧的值,如程式碼範例 12-3 所示。
PROXY-ADMIN-PASSWORD
將此字串置換為代理伺服器管理員的密碼。
例如:mailpwd
如您未啟用代理伺服器認證,可持續以萬用字元作為此字串中加括弧的值,如程式碼範例 12-3 所示。
程式碼範例 12-3 顯示通訊錄 SSP 配接卡範本字串加入細部配置後的結果。在此範例中未啟用代理伺服器認證。如需代理伺服器認證的詳細資訊,請參閱「管理員代理伺服器驗證結束一般使用者憑證配置」。
程式碼範例 12-3 編輯後的通訊錄 SSO 配接卡範本
default|ldap://company22.example.com/?configName=sunOneAddressBook
&pabSearchBase=o=pab
&userSearchBase=o=example.com
&aid=uid=msg-admin,ou=People,o=company22.example.com,o=example.com
&adminPassword=admin
&imapHost=imserver.company22.example.com
&imapPort=143
&clientPort=1080
&enableProxyAuth=false
&proxyAdminUid=[PROXY-ADMIN-UID]
&proxyAdminPassword=[PROXY-ADMIN-PASSWORD]
&userAttribute=uid
&type=AB-TYPE
&subType=sun-one
&ssoClassName=com.sun.ssoadapter.impl.LDAPABSSOAdapter
&encoded=password
&default=ssoClassName
&default=host
&default=port
&default=pabSearchBase
&default=userSearchBase
&default=aid
&default=adminPassword
&default=imapHost
&default=imapPort
&default=clientPort
&default=type
&default=subType
&default=enableProxyAuth
&default=proxyAdminUid
&default=proxyAdminPassword
&default=userAttribute
&merge=uid
&merge=password
&default=enablePerRequestConnection
&enablePerRequestConnection=false
設定最小及最大 LDAP 連線區大小
本節介紹通訊錄提供者使用的連線區相關資訊,且同時適用於以下所有支援的提供者:Sun ONEAddress Book 提供者、Microsoft Exchange 通訊錄提供者,以及 Lotus Notes 通訊錄提供者。
連線區維護一組 LDAP 連線號碼,其值一律大於 connPoolMin 屬性值且一律小於 connPoolMax 屬性值。這兩種屬性的預設值在 LdapABConstants.java 檔案中的設定如下:connPoolMin=5 及 connPoolMax=20。不過,如要調整這些值,您需編輯 SSO 配接卡。由於您極有可能會將 LDAP 連線設在全域層級,因此您應當在通訊錄 SSO 配接卡範本中編輯這些屬性,詳如後述「設定最小及最大 LDAP 連線區大小」。
當一般使用者啟動通訊錄時,連線區會偵測其是否具備可用的 LDAP 連線。如有可用的連線,則直接給一般使用者使用。如偵測不到可用的連線,且 connPoolMax 屬性值不符,則建立新的 LDAP 連線後提供給一般使用者使用。如偵測不到可用的連線但 connPoolMax 屬性值相符,則一般使用者必須等到連線區中的連線可用時才能使用。如於連線可用前即已達到逾時,則一般使用者嘗試連接通訊錄伺服器失敗。
因此,應設定足夠的連線區中最小連線數目,以避免時常建立新的 LDAP 連線,因為建立連線會減緩效能。但也不能將最小數目設定得太大,否則將大幅降低硬體資源的整體可用性。
此外,連線區中的最小連線數目應足以讓大多數的一般使用者無需等候即可取得 LDAP 連線,且不至於過度降低硬體資源的可用性。目標在於取得最佳折衷設定,既不會浪費硬體資源,也能讓一般使用者快速存取自己的通訊錄。
設定最小及最大 LDAP 連線區大小
- 透過網際網路瀏覽器,登入 Identity Server 管理主控台 (http://hostname:port/amconsole),例如 http://psserver.company22.example.com:80/amconsole
- 按一下「服務配置」標籤,使導覽窗格顯示出可配置的服務清單。
- 向下捲動導覽窗格,找到「單次登入配接卡配置」標題,按一下 SSO 配接卡項目旁的箭頭,資料窗格中即出現 SSO 配接卡頁面。
- 按一下 "default|" 後接的輕量化目錄存取通訊協定 (LDAP) 字串。此字串在相對於「動態」的「全域」標題下之「SSO 配接卡範本」方塊中:
default|ldap://...
- 在顯示有 "default|ldap://..." 字串的配置描述欄位中按一下滑鼠。
- 瀏覽至字串結尾並適當輸入您的站台設定。程式碼範例 12-4 提供範例,其中最小 LDAP 連線數目設為 7,最大連線數目設為 1,000,逾時則設定在 180 秒。
程式碼範例 12-4 需加入 SSO 配接卡範本之 LDAP 連線碼
default=connPoolMin
&connPoolMin=7
&default=connPoolMax
&connPoolMax=1000
&default=timeout
&timeout=180
- 按一下「新增」。
此動作會將您新編輯過的 "default|ldap://..." 字串置入 SSO 配接卡範本方塊的其他字串之中,包括原始的 "default|ldap://..." 字串。
- 假如原始的 "default|ldap://..." 字串尚未選取,請立即選取它。確定其為唯一選取的字串。
- 按一下「移除」將原始的 "default|ldap://..." 字串移除。
配置一般使用者通道設定
- 以新使用者的身份登入桌面:
- 按一下各通道的「編輯」按鈕,開始配置伺服器設定。
- 若要配置郵件通道設定:
伺服器名稱。輸入郵件伺服器的主機名稱。例如,mailserver.example.com。
IMAP 伺服器連接埠。輸入郵件伺服器連接埠號碼。
SMTP 伺服器名稱。輸入外送郵件伺服器 (簡易郵件傳輸協定,SMTP) 的網域名稱伺服器 (DNS) 名稱。
用戶端連接埠。輸入 HTTP 服務配置使用的連接埠號碼。
使用者名稱。輸入郵件伺服器使用者名稱。
使用者密碼。輸入郵件伺服器使用者密碼。
當傳送訊息時在「寄件資料夾」放置副本。勾選此方塊以儲存您「寄件資料夾」中外送訊息的副本。
完成。按此按鈕儲存郵件配置。
- 配置通訊錄通道設定:
IMAP 使用者 ID 及密碼與配置郵件通道設定時輸入的使用者名稱及密碼相同。詳細請見前一分項「若要配置郵件通道設定:」之說明。
IMAP 使用者 ID。輸入您的 IMAP 使用者 ID。
IMAP 密碼。輸入您的 IMAP 密碼。
完成。按此按鈕儲存伺服器資訊。
取消。按此按鈕關閉視窗而不儲存詳細資料。
- 若要配置行事曆通道設定:
- 編輯 Instant Messaging 通道設定:
聯絡人清單。選取想要的聯絡清單,以便讓該清單內的聯絡人顯示於 Instant Messaging 通道中。
啟動方法。選取想要的啟動方法:
Java Plugin 或 Java Web Start。伺服器。輸入 Sun ONE Instant Messaging Server 名稱。例如:
IMserver.example.com伺服器連接埠。輸入 Sun ONE Instant Messaging Server 連接埠號碼。例如:
49999多重訊號組合器。輸入多重訊號組合器名稱,此組合器必須與 Sun ONE Instant Messaging 伺服器的機器是同一機器。例如:
IMserver.example.com多重訊號組合器連接埠。輸入多重訊號組合器連接埠號碼。例如:
49909使用者名稱。(只有在認證方法設定為 Sun ONE Identity Server 認證方法,idsvr 時,此欄位才會出現) 輸入 Sun ONE Instant Messaging 使用者名稱。
使用者密碼。(只有在認證方法設定為 Sun ONE Identity Server 認證方法,idsvr 時,此欄位才會出現) 輸入 Sun ONE Instant Messaging 使用者密碼。
完成。按此按鈕儲存 Sun ONE Instant Messaging Server 配置。
取消。按此按鈕關閉視窗而不儲存詳細資料。
備註
通訊錄、行事曆及郵件通道均各自擁有顯示選項可供使用者設定,且在預設下禁止管理員覆寫。使用者登入桌面後,只要按一下任一通道的窗格中之編輯按鈕,即可變更該通道的顯示選項。顯示選項均有明確標示且易於變更。
在通訊錄通道中,使用者可變更的顯示選項為「項目數目」選項;在行事曆通道中,使用者可變更的顯示選項為「顯示日檢視」選項;在郵件通道中,使用者可變更的顯示選項為「標頭數目」選項。
使用者對預設通訊通道顯示選項所做的變更具有優先效力。管理員日後所做的任何變更不會自動生效,而管理員新增的通道也不會自動開放供使用者存取。要將管理員的變更開放讓使用者檢視且能夠存取,如需更多資訊,請參閱「某些使用者將不會看到配置變更」。
應用程式喜好設定編輯: 配置通訊通道編輯頁面
您可以配置一般使用者會看到的編輯頁面,當一般使用者按一下通訊通道的工具列中用來存取通訊錄、行事曆或郵件通道的編輯按鈕時,即可進入該編輯頁面。Instant Messaging 通道則不使用應用程式喜好設定編輯。有關配置 Instant Messaging 通道的編輯頁面之資訊,請參閱Sun ONE Portal Server 6.2 Desktop Customization Guide。
您可以針對容許喜好設定編輯的三種通訊通道進行變更,開放選項供一般使用者編輯、依照該等選項變更名稱及文字敘述及選項格式化的方式等。您可以透過顯示設定檔、各種 HTML 範本及 SSO 配接卡範本,執行通訊通道編輯頁面的配置。也有可能需要存取 SSO 配接卡配置。這些項目均關係到編輯頁面的配置。
本節僅提供應用程式喜好設定編輯的簡要說明。本指南的其他章節以及Sun ONE Portal Server 6.2 Desktop Customization Guide 會針對範本檔案及顯示設定檔做較完整的解說,包括這些檔案彼此之間的互動方式,及其存取和編輯方法等。
編輯頁面之顯示設定檔屬性
通訊通道的顯示設定檔中具有兩項促使編輯頁面建立的集合,即 ssoEditAttributes 和 dpEditAttributes。
您可以進入 Sun ONE Identity Server 管理主控台來編輯這些集合。無論是下載顯示設定檔 (編輯 XML 碼後再將其上傳回目錄伺服器) 或是編輯這些集合中的特定屬性,都一律使用管理主控台。
ssoEditAttributes 集合係控制 SSO 配接卡服務內含的屬性 (例如使用者名稱及使用者密碼) 之編輯,而 dpEditAttributes 則是控制顯示設定檔屬性 (例如排序順序及排序依據等預設可供一般使用者加以編輯的選項) 之編輯。
因此,這些集合會列出可編輯的屬性,且包含有關輸入類型的資訊以及供輸入字串使用的標頭。例如:
<String name="uid" value="string|User Name:"/>
<String name="password" value="password|User Password:"/>
集合中的名稱必須符合對應的顯示設定檔 SSO 配接卡屬性。項目屬性值的部分含有兩項資訊,兩者間以「|」字元分隔。該值字串的前半部分指定屬性的顯示類型。屬性的後半部分則是指定顯示於項目旁的文字。以下清單指出類型與對應的 HTML GUI 項目之關聯性:
每一種選取顯示類型都必須有對應的集合,其中列有可傳回的值以及該選項的顯示值。集合名稱必須涵蓋屬性值名稱及 SelectOptions 字樣。以 MailProvider 中的sortOrder 屬性為例,其集合名稱為 sortOrderSelectOptions:
<Collection name="sortOrderSelectOptions" advanced="false" merge="replace" lock="false" propagate="true">
<String name="top" value="Most recent at top"/>
<String name="bottom" value="Most recent at bottom"/>
</Collection>
編輯頁面的 HTML 範本
可用來建立通訊通道提供者的編輯頁面之 HTML 範本共有 9 個。這些範本均特意製作得相當通用化,以便靈活對應特定的瀏覽器 GUI 類型。範本性質多半與編輯頁面中的特定 HTML 輸入值有關。但是 edit-start.template 及 edit-end.template 例外,這兩個範本所含之 HTML 輸入值多半適用於頁面佈局。表 12-3 中將說明各個範本名稱及其與 GUI 類型之關聯性。部分範本乃作為屬性開始、結束及分隔之用。這些範本適用於各種通訊通道,可至下列路徑存取:
/etc/opt/SUNWps/desktop/default/ChannelName_Provider/html
例如,行事曆通道編輯頁面的範本存放在:
/etc/opt/SUNWps/desktop/default/CalendarProvider/html
表 12-3 通訊通道編輯頁面範本
範本
說明
edit-start.template
提供編輯頁面的開始 HTML 表格。
edit-checkbox.template
提供核取方塊項目之通用範本。
edit-separate.template
用來區分顯示設定檔屬性及 SSO 屬性。
edit-end.template
編輯頁面的結束 HTML 表格。
edit-password.template
提供密碼項目之通用範本。
edit-string.template
提供文字項目之通用範本。
edit-select.template
提供選取項目之通用範本。
edit-selectoption.template
提供選取選項之通用範本。如此會讓該選項亦可透過顯示設定檔動態產生。
edit-link.template
提供範本用來產生連結,方便使用者編輯其客戶的顯示屬性。
顯示設定檔範例
此範例顯示某些特定 SSO 配接卡屬性如何與對應的顯示設定檔屬性一起作用,讓一般使用者能夠變更通訊通道編輯頁面中的特定功能,藉此變更通訊通道的配置及其在一般使用者「入口網站桌面」上的顯示。
程式碼範例 12-5 中的 SSO 配接卡範本乃針對範例郵件通道用進行示範。SSO 配接卡範本內含兩項合併屬性:
合併屬性可供一般使用者自行指定。管理員會決定將哪些屬性合併,亦即決定讓一般使用者編輯哪些屬性。
程式碼範例 12-5 範例 SSO 配接卡範本
default|imap:///&configName=MAIL-SERVER-TEMPLATE
&encoded=password
&default=protocol
&default=clientProtocol
&default=type
&default=subType
&default=ssoClassName
&default=smtpServer
&default=clientPort
&default=host
&default=port
&merge=username
&merge=userpassword
&clientProtocol=http
&type=MAIL-TYPE
&subType=sun-one
&ssoClassName=com.sun.ssoadapter.impl.JavaMailSSOAdapter
&smtpServer=example.sun.com
&clientPort=80
&host=company22.example.com
&port=143
程式碼範例 12-6 包含通道的 ssoEditAttributes 之顯示設定檔 XML 片段。
當管理員在 SSO 配接卡範本中設定 merge 屬性後,即可在顯示設定檔內編輯該屬性,以便重新配置該屬性在編輯頁面中的顯示方式,以及一般使用者能夠編輯的程度。管理員可藉由編輯適當的顯示設定檔集合,決定一般使用者應提供的必要資訊。例如,在本範例中,管理員可將 User Name 改成問句:What is your user name? string 屬性顯示類型的設定方式,通常是放在 "|" 符號之前。不過管理員也可以將此屬性變更為 password 類型或者其他類型。
程式碼範例 12-6 範例郵件通道顯示設定檔 XML 片段
<Channel name="SampleMailChannel" provider="MailProvider">
<Properties>
<Collection name="ssoEditAttributes">
<String name="username" value="string|User Name:"/>
<String name="userpassword" value="password|User Password:"/>
</Collection>
在此範例中,一般使用者會在郵件通道編輯頁面中看到以下標題的文字欄位:
允許一般使用者設定通訊通道類型的多重實例
一般使用者或管理員可建立多種類型的通訊通道。一般使用者如要建立多種類型的通訊通道,需使用「內容」頁面上的「建立新通道」連結。
管理員可針對組織、角色或群組建立多重通道。當管理員建立好特定元件的多重執行實例 (例如通訊錄元件的第二執行實例) 後,即可讓一般使用者在自己的「入口網站桌面」上配置第二通訊錄通道。
管理員可針對各個新通訊通道類型分別建立 SSO 配接卡範本,亦可使用一個 SSO 配接卡範本為各通道建立多個 SSO 配接卡配置。如需詳細資訊,請參閱 SSO 配接卡說明文件,詳如附錄 H,「SSO 配接卡範本與配置」。
依據管理員所完成的配置工作量,一般使用者也許不需要輸入太多配置。管理員可以利用應用程式喜好設定編輯功能 (請參閱「應用程式喜好設定編輯: 配置通訊通道編輯頁面」) 來配置這些設定。
要建立兩個通訊錄通道,需使各個通道參照到不同的 SSO 配接卡範本。接著就可以將兩個通訊錄通道添加至剛剛訪問過的可視頁面。或者,您可以建立一個 SSO 配接卡範本及兩種 SSO 配接卡配置 (動態產生)。SSO 配接卡範本會將伺服器設定定義為使用者可定義的值 (merge),如此一來 SSO 配接卡配置即可指定該等伺服器設定。
要配置不同伺服器的通訊錄供一般使用者視其需要配置伺服器,其步驟如下:
- 在 SSO 配接卡範本中,將伺服器資訊指定成使用者可定義、合併。如需詳細資訊,請參閱附錄;H,「SSO 配接卡範本與配置」。
- 在通道顯示設定檔 ssoEditAttributes 集合中,指定可編輯的屬性。如需詳細資訊,請參閱「應用程式喜好設定編輯: 配置通訊通道編輯頁面」;有關顯示設定檔的特定資訊,請參閱Sun ONE Portal Server 6.2 Desktop Customization Guide。
管理員代理伺服器驗證結束一般使用者憑證配置
您可以啟用通訊錄、行事曆及郵件通道的管理員代理伺服器認證。若延伸支援 Sun ONE Portal Server 與 Sun ONE 傳訊服務 (Messaging Server 及 Calendar Server) 之間的代理伺服器認證,一般使用者便需輸入其憑證而不再需要造訪通道的編輯頁面: 使用者名稱與使用者密碼。此時使用管理員憑證而非一般使用者憑證,儲存於 SSO 配接卡範本中。在範本中,管理員的使用者 ID 係存成 proxyAdminUid 屬性值,而管理員密碼則存成 proxyAdminPassword 屬性值。每當使用者啟動通道時,這些值便會用來在通道及其各自的後端伺服器之間建立連線。該使用者的命名屬性也會被傳送到後端伺服器。有關使用管理員代理伺服器認證的命名屬性之詳細資訊,請參閱 userAttribute 屬性,詳如表 12-4。
代理伺服器認證無法配置供 Sun ONE Instant Messaging Server, Microsoft Exchange Server、或 IBM Lotus Notes 伺服器使用。
注意:多位一般使用者導向同一郵件帳戶之潛在可能
Identity Server 與 Portal Server 允許管理員在組織中使用相同的使用者 ID 設定使用者。例如,組織可以有兩個子組織,每個子組織有一個名為 enduser22 的一般使用者。若 Sun ONE 通訊通道啟用了一個管理員代理伺服器認證,且一般使用者命名屬性設定為預設 uid,之後兩個使用者皆可以存取相同的後端使用者帳戶。管理員代理伺服器認證能讓管理員變更 SSO 配接卡範本中的使用者命名屬性。例如,您可以變更屬性為每個員工的唯一屬性,例如員工編號,以確保入口網站一般使用者可以存取正確的後端伺服器帳戶。
代理伺服器認證配置方法簡介
為啟用通訊錄、行事曆及郵件通道的管理員代理伺服器認證,您需透過 Sun ONE Identity Server 管理主控台存取 SSO 配接卡範本,此外還需存取 Sun ONE 通訊伺服器。更具體而言,您需要:
代理伺服器認證與單次登入 (SSO) 配接卡範本
編輯 SSO 配接卡範本以啟用管理員代理伺服器認證
- 透過網際網路瀏覽器登入 Sun ONE Identity Server 主控台 (http://hostname:port/amconsole),例如 http://psserver.company22.example.com:80/amconsole
- 按一下「服務配置」標籤,使導覽窗格顯示出可配置的服務清單。
- 選取「單次登入配接卡配置」下的「SSO 配接卡」,SSO 配接卡的配置頁面隨即顯示於資料窗格中。
- 按一下對應通道的字串,以啟用該通道的管理員代理伺服器認證。這些字串在相對於「動態」的「全域」標題下之「SSO 配接卡範本」方塊中。有關範本字串與通訊通道間的關係之詳細資訊,請參閱「關於 SSO 配接卡範本」。按一下字串使其出現在配置描述欄位,即位於「新增」及「移除」按鈕上方的欄位。
- 在配置描述欄位中按一下。
- 刪除並鍵入管理代理伺服器認證的必要資訊:
表 12-4 說明要使通道支援管理員代理伺服器認證時,應於 SSO 配接卡範本中編輯的屬性。
表 12-4 管理員代理伺服器認證之 SSO 配接卡範本屬性
屬性
值
說明
enableProxyAuth
true | false
與此屬性相關的值為一旗標,用來指明代理伺服器認證啟用與否。其值為 true 時表示 SSO 配接卡及應用程式配接卡將執行代理伺服器認證。例如,
&enableProxyAuth=true
proxyAdminUid
(可配置)
與此屬性相關的值為管理員的使用者名稱。例如,
&proxyAdminUid=ServiceAdmin
proxyAdminPassword
(可配置)
與此屬性相關的值為管理員的使用者密碼。例如,
&proxyAdminPassword=mailpwd
userAttribute
(可配置)
與此屬性相關的值為使用者的命名屬性。此值對映到使用者記錄上的屬性 (使用者在目錄中的項目)。典型的記錄含有數個屬性,包括使用者 ID (uid) 及員工編號。在預設下,命名屬性設為 uid。例如,
&userAttribute=uid
藉由編輯 SSO 配接卡範本,您可將命名屬性對映到另一個屬性,例如員工編號。
以下再次列出 SSO 配接卡範本字串中的前四個屬性。這些屬性的配置值可設為 default 或 merge。在以下範例中一律設成 default。
屬性
值
範例
enableProxyAuth
default
&default=enableProxyAuth
proxyAdminUid
default
&default=proxyAdminUid
proxyAdminPassword
default
&default=proxyAdminPassword
userAttribute
default
&default=userAttribute
程式碼範例 12-7 顯示啟用代理伺服器認證的郵件 SSO 配接卡範本之完整配置範例。
程式碼範例 12-7 具代理伺服器認證之範例郵件 SSO 配接卡範本
default|imap:///?configName=SUN-ONE-MAIL
&encoded=password
&default=protocol
&default=clientProtocol
&default=type
&default=subType
&default=enableProxyAuth
&default=proxyAdminUid
&default=proxyAdminPassword
&default=ssoClassName
&default=host
&default=port
&merge=uid
&default=smtpServer
&default=clientPort
&clientProtocol=http
&enableProxyAuth=true
&proxyAdminUid=ServiceAdmin
&proxyAdminPassword=mailpwd
&host=example.sun.com
&port=143
&smtpServer=example.sun.com
&clientPort=80
&type=MAIL-TYPE
&subType=sun-one
&ssoClassName=com.sun.ssoadapter.impl.JavaMailSSOAdapter
&default=enablePerRequestConnection
&enablePerRequestConnection=true
&default=userAttribute
&userAttribute=uid
代理伺服器認證與通訊伺服器
設定 Sun ONE Messaging Server 中之管理員代理伺服器認證
設定Calendar Server中之管理員代理伺服器認證
配置「無認證的入口網站桌面」使用之唯讀通訊通道
無認證 (無認證匿名) 入口網站桌面支援唯讀通訊通道。
唯讀通訊通道實情與考量
您可以配置透過無認證匿名入口網站桌面,以唯讀方式存取通訊錄、行事曆及郵件通道。一般使用者只要存取「入口網站桌面」即可透過唯讀通訊通道存取資訊,亦即在網際網路瀏覽器中輸入下列 URL 即可:
http://hostname.domain:port/portal/dt,例如 http://psserver.company22.example.com:80/portal/dt
一般使用者無需登入,即可存取管理員所配置的任何唯讀通訊通道。不過一般使用者通常無法編輯此類通道。有關無認證的入口網站桌面的詳細資訊,包括啟用匿名登入的方法,請參閱Sun ONE Portal Server 6.2 Desktop Customization Guide。
行事曆通道是最常由多位使用者共用的通道,以下步驟即教您配置唯讀行事曆通道。在此範例中,共用的行事曆屬於使用者程式庫。公共唯讀行事曆的標題為 Library Schedule。下列的行事曆設定示範了其中一種可能的方式。如需有關設定 Sun ONE Calendar Server 使用者的更多資訊,請參閱Sun ONE Calendar Server Administrator's Guide 中 csuser 指令的 create userid 選項。
若要設定行事曆使用者
- 發出例如下列的指令之後,即可建立行事曆使用者:
csuser -g Library -s Admin -y libadmin -l en -m libadmin@library.com -c librarySchedule create libadmin
其中提供給使用者 libadmin 的名稱為 Library,姓氏為 Admin,密碼為 libadmin,喜好設定的語言為 en (英文),電子郵件位址為 libadmin@library.com,而行事曆 ID 則是 librarySchedule。
- 將存取權限設定為所有人皆可讀取:
libadmin:librarySchedule
您可以使用 cscal 公用程式來設定存取權限,而一般使用者則可以使用 Calendar Express 設定存取權限。
配置唯讀通訊通道
- 針對一般使用者設定進行配置-在此例中即指無認證匿名設定-並建立行事曆 SSO 配接卡配置。
- 透過網際網路瀏覽器,登入 Sun ONE Identity Server 主控台 (http://hostname:port/amconsole),例如 http://psserver.company22.example.com:80/amconsole
- 按一下「識別管理」標籤,在導覽窗格中顯示「檢視」下拉清單。
- 按一下「檢視」下拉清單中的「使用者」。
- 視需要將畫面捲動到無認證匿名使用者,然後按一下其旁邊的箭頭,使無認證匿名頁面顯示於資料窗格中。
現在您可以將 SSO 配接卡服務新增至無認證匿名使用者。
- 在無認證匿名頁中按一下「檢視」下拉清單中的「服務」,以顯示可用的服務。
- 按一下「新增」。
- 按一下 SSO 配接卡的核取方塊
- 按一下「儲存」。
- 針對該無認證匿名使用者建立一項行事曆 SSO 配接卡配置。
- 如果尚未登入,請登入 Sun ONE Identity Server 管理主控台。
- 按一下「識別管理」標籤,在導覽窗格中顯示「檢視」下拉清單。
- 在「檢視」下拉清單中選取「服務」,顯示可配置的服務清單。
- 向下捲動導覽窗格,找到「單次登入配接卡配置」標題,按一下 SSO 配接卡旁的箭頭,資料窗格中即出現 SSO 配接卡頁面。
- 在空白的配置描述欄位中,鍵入群組導向式的 SSO 配接卡配置字串 (帶有使用者 ID 及密碼)。稍後將提出一典型配置供您參考。此字串中可配置的屬性,會因您對於 Sun ONE Portal Server SSO 配接卡範本的配置方式而異。依預設,SSO 配接卡範本會預期使用者指定下列資訊:
- host
- port
- client port
- uid
- password
若當您準備進行配置時發現配置描述欄位已有設定,在您以下列格式輸入字串前,請選取該欄位中所有的文字並將其刪除。
default|undef://?uid:password@host:port/?
configName=configuration-name
&configDesc=configuration-description例如:
default|undef://?libadmin:libadmin@example.com:3080/?
configName=sunOneCalendar_librarySchedule
&configDesc=SUN-ONE-CALENDAR- 按一下「新增」。
- 按一下「儲存」。
- 根據新建立的 SSO 配接卡配置,建立無認證匿名使用者的新行事曆通道。
- 如果尚未登入,請登入 Sun ONE Identity Server 管理主控台。
- 按一下「識別管理」標籤,在導覽窗格中顯示「檢視」下拉清單。
- 按一下「檢視」下拉清單中的「使用者」。
- 視需要將畫面捲動到無認證匿名使用者,然後按一下其旁邊的箭頭,使無認證匿名頁面顯示於資料窗格中。
現在您可以為無認證匿名使用者建立新行事曆通道。
- 在無認證匿名頁中按一下「檢視」下拉清單中的「入口網站桌面」,以顯示「編輯」連結。
- 按一下「編輯」連結。
- 按一下「通道與容器管理」連結。
- 向下捲動到「通道」段落,然後按一下「新增」。
- 在「通道名稱」欄位中輸入一個名稱。例如:
LibraryScheduleChannel
- 請從提供者下拉式清單中選取正確的提供者。在本例中,正確的提供者為 Calendar Provider。
- 按一下「確定」之後,您將會回到「通道與容器管理」頁。
現在您可以編輯通道屬性。
- 向下捲動畫面至「通道」部分,按一下您新建通道旁邊的「編輯屬性」。例如:
LibraryScheduleChannel
- 視情況編輯欄位。例如:
- 視需要捲動畫面,按一下「儲存」。
現在您可以將新行事曆通道新增至無認證匿名使用者的「入口網站桌面」上。
- 在靠近頁面的頂端按一下「頂端」,您將會回到「通道與容器管理」頁。
- 向下捲動到「容器通道」區段,按一下您要用來加入新通道的容器連結。例如 MyFrontPageTabPanelContainer。請勿點選旁邊的「編輯屬性」連結。
- 在「通道管理」標題下,按一下您剛剛建立通道的名稱。例如,位於「現有通道」清單中的 LibraryScheduleChannel。
- 按一下「可用」與「可視」清單旁的「新增」按鈕。如此即可讓使用者看見並使用此通道,無需再做任何配置。
- 向上捲動頁面按一下「通道管理」標題下的「儲存」。
- 重新啟動網路容器。
配置 Microsoft Exchange 伺服器或 IBM Lotus Notes
除了支援 Sun ONE Messaging Server 及 Sun ONE Calendar Server 的通訊通道以外,Sun ONE Portal Server 6.2 亦支援 Microsoft Exchange 伺服器及 IBM Lotus Notes 伺服器。
您可以配置 Microsoft Exchange 伺服器使其配合 Sun ONE Portal Server 運作,讓一般使用者可以存取 Microsoft Outlook Web Access 解決方案。一般使用者只要在「入口網站桌面」上的各個通道中,按一下「啟動通訊錄」、「啟動行事曆」或「啟動郵件」即可。
同樣的,您也可以配置 IBM Lotus Notes 伺服器,使其配合 Sun ONE Portal Server 運作,讓一般使用者透過通訊錄、行事曆及郵件通道,存取 IBM Lotus Domino Webmail 解決方案。
備註
Microsoft Exchange 伺服器及 IBM Lotus Notes 伺服器不支援管理員代理伺服器認證或單次登入。此乃受限於單次登入的限制,當一般使用者啟動通道而連接這兩者的其中一種伺服器時,需重新輸入憑證才能連線。
配置 Microsoft Exchange 伺服器啟用通訊錄、行事曆及郵件
- 以網域管理員的身份登入您的網域主控站 (PDC)。
- 依序選取「開始」、「程式集」、「管理工具」、「網域使用者管理程式」,以使用者名稱 MAXHost 建立帳戶。
- 選取「群組」並將 MAXHost 加入「管理員」及「網域管理」群組。
- 確定 MAXHost 可從本端登入 MAIL_HOST、網域控制台及 MAX_HOST。
- 設定密碼。
- 以 MAXHost 登入您的 Exchange 5.5 (MAIL_HOST)。
- 進入「開始」、「程式集」、Microsoft Exchange、Microsoft Exchange 管理員。
- 針對每位一般使用者設定電子信箱使用權限。
- 啟用權限標籤的方法是,進入「工具」、「選項」、「權限」,啟用「顯示所有物件的權限頁面」。
- 連按兩下使用者名稱。
- 選取權限標籤,再從權限頁面選取「新增」,將 MAXHost 加入但角色維持「使用者」不變。
重複步驟 9 至 11,逐一設定所有需要存取通訊通道的使用者。
- 將 ocxhost.zip 檔解壓縮並置入下列目錄:
/Portal-server-install-dir/SUNWps/export。
檔案解壓縮後,會看到下列檔案格式:
Archive: ocxhost.zip
creating: ocxhost
creating: ocxhost/international
inflating:ocxhost/international/ocxhostEnglishResourceDll.dll
inflating:ocxhost/ocxhost.exe
- 依下列步驟註冊 ocxhost:
- 如要設定 ocxhost 公用程式的屬性:
- 使用 dcomcnfg 公用程式來配置 ocxhost 公用程式的必要 DCOM 設定。方法是:
- 在「分散式 COM 配置屬性」對話方塊中:
- 選取「預設屬性」標籤:
- 勾選電腦上「啟用分散式 COM」核取方塊。
- 將預設的「認證層級」設定為「連接」。
- 將預設的「模擬層級」設定為「識別」。
- 選取「應用程式」標籤。
- 在「屬性」對話框中連按兩下 ocxhost 公用程式。
出現 ocxhost 屬性視窗。
- 在「位置」標籤下勾選「在此電腦上執行應用程式」。
- 在「安全性」標籤下設定「使用自訂存取權限」、「使用自訂啟動權限」及「使用自訂配置權限」。
- 選取「編輯」分別編輯「存取」、「啟動」及「配置」設定,確定存取控制清單 (ACL) 內含下列使用者:
- 互動
- 每人
- 系統
- 在 ocxhost 屬性視窗內的「識別」標籤下,選取其中一個使用者。
- 按一下「瀏覽」並找出 MAXHost。
- 輸入密碼並確認密碼。
- 按一下「確定」。
ocxhost DCOM 元件即已配置完成,準備好與 Exchange 伺服器進行通訊。
配置 Lotus Domino 伺服器啟用通訊錄、行事曆及郵件
- 依序選取「開始」、「程式集」、「Lotus 應用程式」及「Lotus 管理員」,開啟 Lotus 管理員。
- 進入「管理」、「配置」、「伺服器」、「目前伺服器文件」。
- 在「安全性」標籤中,進行下列設定:
- 在「連接埠」標籤中:
- 選取「網際網路通訊協定」標籤及 IIOP 子標籤。確定「執行緒數目」至少為 10。
- 儲存並關閉。
- 在 Domino 伺服器主控台中鍵入下列指令,重新啟動伺服器:
restart server
重新啟動伺服器使上述設定生效。
- 在主控台中鍵入以下指令,啟用 DIIOP 伺服器:
load diiop
- 檢查 diiop_ior.txt 是否已產生於下列位置:
C:\Lotus\Domino\Data\domino\html\diiop_ior.txt
- 在主控台中鍵入以下指令,啟用 HTTP 服務:
load http
配置 Lotus Notes
要透過 Sun ONE Portal Server 郵件與行事曆通道存取 Lotus Notes 系統,需將另一個檔案加入 Sun ONE Portal Server。其檔案名為 NCSO.jar。必須從 Lotus Notes 產品光碟或 IBM 網站下載。
此檔案為 IBM 的 Domino Designer 及 Domino Server 產品所附,存放在 domino\java 子目錄中。亦可透過下列網站下載而得:
http://www-10.lotus.com/ldd/toolkits
找到 Lotus Domino Toolkit 連結,再前往 Java/Corba R5.0.8 更新連結。
參照後續關於分別介紹四個網路容器的章節,將 NCSO.jar 檔分別置入網路容器 (網路伺服器或應用程式伺服器) 的全域類別路徑下。四個網路容器的其中三個容器之 NCSO.jar 檔案放在 /usr/share/lib 中。下列表格將會後續步驟進行摘要說明。下表摘要顯示將 JAR 檔置入全域類別路徑之程序,並指出可以放置 NCSO.jar 檔的位置。在 System Classpath 或是在 Portal WAR。表格也已指出是否需要特別說明。如果需要,會在本區段稍後將說明納入。
網路容器
系統類別路徑
Portal WAR
特殊指示
Sun ONE Web Server
是
是
不適用
Sun ONE Application Server
是
是
不適用
BEA WebLogic Server
是
否
如何更新系統類別路徑
IBM WebSphere Application Server
否
是
如何剪除 JAR 檔
執行下列步驟時,需具備網路容器的管理權限。此外亦需具備網路容器說明文件的存取權限,以便參照各種網路容器處理程序與指令的詳細資訊。有關Sun ONE 網路容器的詳細資訊,請參閱 Sun ONE Application Server Administrator's Guide 或 Sun ONE Web Server Enterprise Edition Administrator' s Guide。
IBM WebSphere Application Server
Sun ONE Web Server
NCSO.jar 檔案操作位置
Sun ONE Application Server
NCSO.jar 檔案操作位置
BEA WebLogic Server
IBM WebSphere Application Server
- 從 NCSO.jar 檔中剪除 org/w3c/dom/ 及 org/xml/sax/ 下的類別並重新壓縮 JAR 檔。
這些類別應包括:
- org/w3c/dom/Document.class
- org/w3c/dom/Node.class
- org/xml/sax/InputSource.class
- org/xml/sax/SAXException.class
這項作業可透過許多方法執行。在此提供您兩個範例。請選用最適合您的方法:
- 以下方法需要手動執行 JAR 檔案的解壓縮及重新壓縮:
- 下載檔案並置入以下目錄:
/tmp/ncsoprune/work
- 在該目錄中將 JAR 檔案解壓縮。
- 移除前四個類別。
- 重新壓縮檔案。
- 以下方法需執行程序檔,藉此自動執行 JAR 壓縮及解壓縮邏輯。
- 下載檔案並置入以下目錄:
/tmp/ncsoprune/work
- 執行下列程序檔:
#!/bin/ksh
JAR=/usr/j2se/bin/jar
JAR_FILE=NCSO.jar
RM=/usr/bin/rm
BASE_DIR=/tmp/ncsoprune
WORK_DIR=${BASE_DIR}/work
# cd to director of jar file
cd $WORK_DIR
# unjar
$JAR xvf $JAR_FILE
# prune classes
$RM $WORK_DIR/org/w3c/dom/Document.class
$RM $WORK_DIR/org/w3c/dom/Node.class
$RM $WORK_DIR/org/xml/sax/InputSource.class
$RM $WORK_DIR/org/xml/sax/SAXException.class
# jar
$JAR cvf $BASE_DIR/$JAR_FILE META-INF com lotus org
- 將重新壓縮後的 NCSO.jar 檔案置入下列目錄:
Portal-server-install-dir/SUNWps/web-src/WEB-INF/lib
- 以下列指令重新佈署網路應用程式:
/Portal-server-install-dir/SUNWps/bin/deploy redeploy
其中 Portal-server-install-dir 表示 Portal Server 的原始安裝目錄。
- 重新啟動網路容器。
在預設組織下新建使用者
配置郵件提供者使其配合支援 HTTPS 的 Messaging Server 運作
郵件通道自動支援 HTTP 通訊協定,但不自動支援更安全的 HTTPS 通訊協定。不過,Sun ONE Messaging Server 若支援 HTTPS,即可依據本節的下列步驟配置郵件提供者,使其配合 Sun ONE Messaging Server 適當運作。這些步驟不適用於 Microsoft Exchange 伺服器及 IBM Lotus Notes 伺服器。
網路容器實情與考量
配置郵件提供者使其支援 HTTPS 以存取 Sun ONE Messaging Server 時,網路容器方面的步驟會因實際使用的網路容器而異:Sun ONE Web Server、Sun ONE Application Server、BEA WebLogic Server 或 IBM WebSphere Application Server。無論採用何種網路容器,都需具備管理權限。此外亦需要能夠存取網路容器說明文件,以便參照有關建立可靠資料庫、新增憑證及重新啟動網路容器等的詳細資訊。這些作業及其他有關 Sun ONE 網路容器之詳細資訊,請參閱 Sun ONE Application Server Administrator' s Guide to Security 或者 Sun ONE Web Server Enterprise Edition Administrator' s Guide.
配置郵件提供者使其配合支援 HTTPS 的 Messaging Server 運作
- 建立可靠資料庫供執行 Sun ONE Portal Server 的網路容器使用。如需詳細資訊,請參閱前一段內容所述之適當說明文件。
- 如尚未安裝信賴憑證管理中心 (TCA) 的 SSL 憑證,請立即安裝。
- 重新啟動網路容器,但通常非強制重新開機,如此較有利於實際操作。
- 新增 HTTPS 專用的 SSO 配接卡範本。本範例中使用的範本名稱為 SUN-ONE-MAIL-SSL,其中包含安全通訊協定 SSL,屬於描述性的名稱。
備註
配置 SSO 配接卡範本及相關 SSO 配接卡配置的方法很多。後述步驟為您示範較典型的配置。這些步驟說明如何建立新的範本及新配置而不只是編輯現有的範本及配置,因為這樣做會比較安全。
如果您覺得使用編輯選項比較好,亦可採用編輯方式。不過,您在編輯時如有變更 SSO 配接卡範本名稱及 SSO 配接卡配置,亦需要編輯郵件通道的屬性,變更其中的 SSO 配接卡名稱。
SSO 配接卡範本或 SSO 配接卡配置中需要編輯的兩個項目如下:
在本範例中建立新的 SSO 配接卡範本時,clientProtocol 屬性乃設定為預設屬性。因此該屬性會出現在 SSO 配接卡範本中,而非 SSO 配接卡配置。clientProtocol 必須從 http 變更為 https。此屬性的編輯後範本片段如下:
clientProtocol=https
在本範例中,clientPort 屬性設定為 merge 屬性。因此會出現在 SSO 配接卡配置中 (請參閱步驟 5)。若將 clientPort 屬性設為預設屬性,則會出現在 SSO 配接卡範本中。用戶端連接埠應變更為專為 HTTPS 保留的連接埠。在此使用連接埠 443,這是 HTTPS 通訊協定所使用的預設連接埠號碼。此屬性的編輯後範本片段如下:
&clientPort=443
- 透過網際網路瀏覽器登入 Sun ONE Identity Server 主控台 (http://hostname:port/amconsole),例如 http://psserver.company22.example.com:80/amconsole
- 按一下「服務配置」標籤,使導覽窗格顯示出可配置的服務清單。
- 向下捲動導覽窗格,找到「單次登入配接卡配置」標題,按一下 SSO 配接卡旁的箭頭,資料窗格中即出現 SSO 配接卡頁面。
- 按一下空白的配置描述欄位 (即位在「加入」及「移除」按鈕上方的欄位),該欄位位在相對於「動態」的「全域」標題下之「SSO 配接卡範本」方塊中。
- 在空白配置描述欄位中,鍵入完整的 SSO 配接卡範本字串 (或者將另一個字串複製、貼入欄位後再依需要編輯)。程式碼範例 12-8 是提供您作為參考的典型配置。您實際輸入的範本可能會有所不同。例如,您可能會輸入不同的 configName 屬性類型值,除非您要用 SUN-ONE-MAIL-SSL 名稱。此外,您設為預設及合併的屬性有可能和本範例有所出入,需視您的網站需求而定。
若當您準備進行配置時發現配置描述欄位已有設定,請選取該欄位中所有的文字並將其刪除。
程式碼範例 12-8 HTTPS Messaging Server 使用之郵件 SSO 配接卡範本
default|imap:///?configName=SUN-ONE-MAIL-SSL
&encoded=password
&default=protocol
&default=clientProtocol
&default=type
&default=subType
&default=enableProxyAuth
&default=proxyAdminUid
&default=proxyAdminPassword
&default=ssoClassName
&merge=host
&merge=port
&merge=uid
&merge=password
&merge=smtpServer
&merge=clientPort
&clientProtocol=https
&enableProxyAuth=false
&proxyAdminUid=[PROXY-ADMIN-UID]
&proxyAdminPassword=[PROXY-ADMIN_PASSWORD]
&type=MAIL-TYPE
&subType=sun-one
&ssoClassName=com.sun.ssoadapter.impl.JavaMailSSOAdapter
&default=enablePerRequestConnection
&enablePerRequestConnection=false
- 按一下「新增」。
- 按一下「儲存」。
在此,開頭為 IMAP 通訊協定的字串可能不止一個。只要接受即可。
- 新增 HTTPS 專用的 SSO 配接卡配置。本範例中使用的配置名稱是 sunOneMailSSl,特意仿照各 SSO 配接卡範本所使用的名稱。
備註
請參閱前述步驟中的備註,步驟 4。
- 透過網際網路瀏覽器,登入 Sun ONE Identity Server 主控台 (http://hostname:port/amconsole),例如 http://psserver.company22.example.com:80/amconsole
- 按一下「識別管理」標籤,在導覽窗格中顯示「檢視」下拉清單。
- 按一下「檢視」下拉清單中的「服務」。
- 向下捲動導覽窗格,找到「單次登入配接卡配置」標題,按一下 SSO 配接卡旁的箭頭,資料窗格中即出現 SSO 配接卡頁面。
- 按一下空白配置描述欄位,即位在「新增」及「移除」按鈕上方的欄位。
- 在空白配置描述欄位中,鍵入完整的 SSO 配接卡配置字串 (或者將另一個字串複製、貼入欄位後再依需要編輯)。稍後將提出一典型配置供您參考。不過您實際輸入的配置資訊可能會有所不同。例如,除非您想要使用 sunOneMailSSL 名稱,否則您可能會輸入不同的 configName 屬性類型值。至於 ConfigDesc 屬性類型,則必須使用您在各 SSO 配接卡範本中所用的 configName 屬性類型名稱,詳見程式碼範例 12-8。您不一定要使用在此提供的連接埠號碼,可任意使用不同的號碼。此外,此字串中可配置的屬性會因您對於 SSO 配接卡範本的配置方式而異。
若當您準備進行配置時發現配置描述欄位已有設定,請選取該欄位中所有的文字並將其刪除。
default|imap:///?configName=sunOneMailSSL&configDesc=SUN-ONE-MAIL-SSL&port=143&smtpPort=25&clientPort=443
- 按一下「新增」。
- 按一下「儲存」。
- 將新的郵件通道加入「入口網站桌面」。
步驟 4 和步驟 5 說明如何建立新的 SSO 配接卡範本及 SSO 配接卡配置,這兩個步驟都屬於建立新通道的部分。在此步驟中,您要開放通道供一般使用者使用。
新通道的命名準則只有一個,就是具描述性,因此這裡使用的範例名稱是 SunOneMailSSLChannel。
- 透過網際網路瀏覽器,登入 Sun ONE Identity Server 主控台 (http://hostname:port/amconsole),例如 http://psserver.company22.example.com:80/amconsole
- 按一下「識別管理」標籤,在導覽窗格中顯示「檢視」下拉清單。
- 在「檢視」下拉清單中選取「服務」,顯示可配置的服務清單。
- 在 Portal Server 配置標題下,按一下 Portal 桌面旁的箭頭,資料窗格中即出現「Portal 桌面」頁面。
- 視需要捲動畫面,按一下「通道與容器管理」連結。
- 向下捲動到通道標題,按一下「新增」。
- 在「通道名稱」欄位中,鍵入新通道的網站名稱。例如 SunOneMailSSLChannel。
- 在「提供者」下拉功能表中,選取 MailProvider。
- 按一下「確定」,如此會返回「通道與容器管理」網頁,其中包含您剛建立好的通道。
- 向下捲動至通道標題,按一下您新建的通道名稱旁之「編輯屬性」;在本範例中,此新建的通道名為 SunOneMailSSLChannel。
- 向下捲動到標題欄位,選取並刪除任何目前存在的文字,例如 mail,然後鍵入提供者標題。名稱舉例如 SSL Mail Account。
- 在描述欄位中,選取並刪除任何目前存在的文字,例如 mail,然後鍵入提供者描述。在此使用與前項子步驟相同的標題來表示提供者描述:SSL Mail Account。
- 向下捲動頁面,選取並刪除「SSO 配接卡」欄位中的任何文字,例如 sunOneMail,然後鍵入步驟 5 中使用的同一 SSO 配接卡配置名稱,亦即本範例中的 sunOneMailSSL。
- 向下捲動並按一下「儲存」。
- 向上捲動頁面,按一下 top,亦即 Container Path 後接的第一個項目。
- 向下捲動到「容器通道」標題,按一下您要用來加入新通道的容器連結。例如 MyFrontPageTabPanelContainer。請勿點選旁邊的「編輯屬性」連結。
- 向下捲動到「通道管理」標題,視需要在「現有通道」框架中捲動,按一下您新建的通道名稱將之選取。
請記住,本範例的通道名稱是 SunOneMailSSLChannel。
- 按一下「可用」與「可視」清單旁的「新增」按鈕。
如此即可讓使用者看見並使用此通道,無需再做任何配置。
- 向上捲動頁面,按一下「通道管理」標題下的「儲存」。
如此應可登入並使用支援 HTTPS 的傳訊伺服器。
