Sun Java Enterprise System 服务器(包括 Calendar Server 和 Messaging Server)可以使用 Sun Java System Access Manager (6 2003Q4 版或更高版本)实现 SSO 功能
Access Manager 可以作为 Sun Java Enterprise System 服务器的 SSO 网关。即用户登录 Access Manager 后即可访问其他 Sun Java Enterprise System 服务器,只要这些服务器已经过适当配置,支持 SSO。
请确保已安装和配置 Access Manager 和 Directory Server。有关安装和配置这些产品的信息,参阅《Sun Java Enterprise System 5 Installation Guide for UNIX》。
停止 Calendar Server 服务后,通过设置8.1 通过 Access Manager 配置 SSO中显示的参数来为 Calendar Server 配置 SSO。要使这些值生效,必须重新启动 Calendar Server 服务。
设置 local.calendar.sso.amnamingurl 参数时,必须使用安装了 Access Manager 软件的主机的全限定主机名。
要为 Messaging Server 配置 SSO,参阅《Sun Java System Messaging Server 6.3 Administration Guide》。
用户使用他们的 Directory Server LDAP 用户名和密码登录 Access Manager。(通过其他服务器例如 Calendar Server 或 Messaging Server 登录的用户将无法使用 SSO 访问其他 Sun Java Enterprise System 服务器。)
登录后,用户就可以使用适当的 URL,通过 Communications Express 访问 Calendar Server。用户还可以访问其他 Communications Suite 服务器(例如 Messaging Server),只要这些服务器已经过适当配置,支持 SSO。
参数 |
说明 |
---|---|
local.calendar.sso.amnamingurl |
指定 Access Manager SSO 命名服务的 URL。 默认值为 。 http://AccessManager:port/amserver/namingservice 其中,AccessManager 是 Access Manager 的全限定名,port 是 Access Manager 端口号。 |
local.calendar.sso.amcookiename |
指定 Access Manager SSO Cookie 的名称。 默认值为 "iPlanetDirectoryPro"。 |
local.calendar.sso.amloglevel |
指定 Access Manager SSO 的日志级别。取值范围从 1(静默)到 5(详细)。默认值为 "3"。 |
local.calendar.sso.logname |
指定 Access Manager SSO API 日志文件名。 默认值为:am_sso.log |
local.calendar.sso.singlesignoff |
启用 ("yes") 或禁用 ("no") 从 Calendar Server 到 Access Manager 的单点注销。 如果启用,用户从 Calendar Server 注销的同时也将从 Access Manager 注销,而且用户通过 Access Manager 启动的任何其他会话(例如 Messaging Server Web 邮件会话)也将终止。 由于 Access Manager 是验证网关,因此总是启用从 Access Manager 到 Calendar Server 单点注销。 默认值为 "yes"。 |
更改 ics.conf 文件的最佳方法是将参数和其新值添加到文件末尾。系统会读取整个文件,然后使用最后找到的参数值。
本节列出了一些在 Access Manager 中使用单点登录 (Single Sign-on, SSO) 的注意事项。
以下便是这些注意事项:
只要 Access Manager 会话有效,日历会话就会有效。如果用户从 Access Manager 注销,日历会话也会自动地关闭(单点注销)。
SSO 应用程序必须在同一个域中。
SSO 应用程序必须可以访问 Access Manager 验证 URL(命名服务)。
浏览器必须支持 Cookie。
如果使用的是 Sun Java System Portal Server 网关,请设置以下 Calendar Server 参数:
service.http.ipsecurity="no"
render.xslonclient.enable="no"
在通过通信服务器信任环技术(也就是不通过 Access Manager)配置 SSO 时,请注意以下几点:
必须配置每个信任的应用程序以支持 SSO。
如果 default.html 页面位于浏览器的高速缓存中,SSO 将无法正常工作。在使用 SSO 之前,确保将 default.html 页面重新装入浏览器。例如,在 Netscape Navigator 中,按住 Shift 键,然后单击“重新装入”。
SSO 只支持主干 URL。例如,SSO 支持:http://servername。
下表介绍了通过通信服务器信任环技术启用 SSO 所需的 Calendar Server 配置参数。
表 8–1 通过通信服务器信任环技术启用 SSO 所需的 Calendar Server 参数
下表介绍了通过通信服务器信任环技术启用 SSO 所需的 Messaging Server 配置参数。
表 8–2 通过通信服务器信任环技术启用 SSO 所需的 Messaging Server 参数
有关配置 Messaging Server 以启用 SSO 的更多信息,参见《Sun Java System Messaging Server 6.3 Administration Guide》。