Instant Messaging 提供了各种功能,如聊天、开会、轮询、在线状态访问等。策略说明一组可与这些功能关联的访问控制权限。反过来,又可以根据组织需要将最终用户和组分配给各策略。
本章说明如何定义和使用策略来管理最终用户和管理员对 Instant Messaging 服务器功能和权限拥有的访问权限:
Instant Messaging 提供对 Instant Messaging 功能的控制访问和保留最终用户保密性的功能。
站点策略指定最终用户对 Instant Messaging 中特定功能的访问。站点策略指定以下功能:
访问其他最终用户的在线状态
向其他最终用户发送警报
将属性保存在服务器上
创建和管理会议室
创建和管理新闻频道
Instant Messaging 管理员拥有所有 Instant Messaging 功能的访问权限。管理员对所有会议室和新闻频道拥有 MANAGE 访问权限,可以查看任何最终用户的在线状态信息,并且可以查看和修改任何最终用户的“联系人列表”和“Instant Messenger 设置”等属性。站点策略设置不影响管理员的权限。
默认情况下,最终用户有权访问其他最终用户的在线状态、发送警报给最终用户和保存属性到服务器上。大多数部署中的默认值都一样。当 Instant Messaging 专用于弹出功能时,需要更改这些默认值。
当 Instant Messaging 专用于弹出功能时,最终用户不能访问在线状态信息、聊天和新闻功能。
虽然某些权限可以设置为全局适用,但管理员也可以定义这些权限的例外情况。例如,管理员可以拒绝某些用于选择最终用户、角色或组的默认权限。
最终用户对会议室和新闻频道可以具有下列访问权限:
MANAGE - 完全访问权限,包括为其他最终用户设置会议室或新闻频道权限的能力。
WRITE - 添加内容到会议室或新闻频道的权限。
READ - 读取会议室或新闻频道内容的权限。
NONE - 没有访问权限。
拥有 MANAGE 权限的最终用户可以为所有其他最终用户设置默认的权限级别。这些最终用户还可以定义例外规则,对特定最终用户或组授予不同于默认访问级别权限的访问级别。
设置 WRITE 权限,同时授予最终用户 READ 权限。
最终用户可以指定是否允许其他最终用户查看其在线状态。默认情况下,所有最终用户均可访问其他最终用户的在线状态信息。最终用户也可以设置例外情况,拒绝特定最终用户和组访问此信息。
如果最终用户拒绝其他最终用户访问其在线状态,则该最终用户在其他最终用户联系人列表中的可用性状态将显示为脱机。无法发送警报或聊天邀请到在线状态为脱机的最终用户。
可使用 Instant Messenger 中的“用户设置”窗口配置用户保密性。有关配置用户保密性的更多信息,参见Instant Messenger 联机帮助。
使用 Instant Messaging 服务器的不同站点在启用和限制最终用户对 Instant Messaging 服务的访问类型方面具有不同的需要。控制最终用户和管理员 Instant Messaging 服务器功能及权限的过程称为策略管理。策略管理有两种方法:通过访问控制文件或通过 Sun JavaTM System Access Manager。
使用访问控制文件的管理策略 - 管理策略的访问控制文件方法允许您调整以下方面的最终用户权限:新闻频道管理、会议室管理、在“用户设置”对话框中更改首选项以及发送警报。还可以将特定的最终用户指定为系统管理员。
使用 Sun Java System Access Manager 管理策略 - 此方法给予您与访问控制文件方法提供的相同的控制权限;不过,它还允许更多对各种功能的微调控制,例如,接收警报、发送轮询、接收轮询等功能。有关完整的列表,参见表 17–3。此外,您可以使用 Sun Java System Access Manager 管理策略对权限进行微调控制。
当前有两种策略,即 Instant Messaging 策略和在线状态策略。Instant Messaging 策略管理一般的 Instant Messaging 功能,例如发送和接收警报功能、管理公共会议和新闻频道的功能以及发送文件的功能。在线状态策略管理最终用户的以下控制权:更改其在线状态、允许或阻止其他用户查看其在线状态信息。
如果您的部署未包括 Sun Java System Access Manager,则您必须使用访问控制文件方法来管理策略。如果您将 Sun Java System Access Manager 与 Instant Messaging 服务器一起使用,并且已经安装 Instant Messaging 和在线状态服务组件,则您可以使用任一策略管理方法。使用 Sun Java System Access Manager 管理策略是一种更为全面的方法。此方法的优点之一是可以将所有最终用户信息保存在目录中。
在选择管理策略所用方法时,还必须选择这些方法的保存位置。通过编辑 iim.conf 文件和将 iim.policy.modules 参数设为identity(用于 Access Manager 方法)或 iim_ldap(用于访问控制文件方法,即默认方法),可选择管理策略的方法。
您可以按照以下步骤设置策略管理方法。
打开 iim.conf。
有关查找和修改 iim.conf 的说明,参见iim.conf 文件语法。
通过将 iim.policy.modules 参数设置为以下值之一进行编辑:
iim_ldap(默认值,访问控制文件方法)
identity(Access Manager 方法)
如果您选择 identity,则可以运行 imadmin assign_services,将 Instant Messaging 和在线状态服务分配给现有用户。
编辑 iim.userprops.store 参数并将其设置为下列某个值:
ldap (在 LDAP 中存储用户属性。)
如果您选择 ldap,则可以运行 imadmin assign_services,将存储用户属性的所需对象类添加到目录中的用户条目。
file(默认值,在文件中存储用户属性。)
保存并关闭 iim.conf。
刷新配置。
表 17–1 列出并说明 iim.conf 中可用的参数,它们与可在 Instant Messaging 部署中运行的 Sun Java System Access Manager 增加的角色相关。
表 17–1 iim.conf 中与 Access Manager 相关的参数
参数名称 |
用途 |
值 |
---|---|---|
iim.policy.modules |
表示 Sun Java System Access Manager 还是目录用于策略存储。 |
iim_ldap(默认值) identity |
iim.userprops.store |
表示用户属性位于用户属性文件中还是存储在 LDAP 中。仅当安装了在线状态和 Instant Messaging 服务的服务定义时才有意义。 |
file(如果您运行 configure 实用程序时没有选择将 Access Manager 用于策略,此即为默认值。) ldap(如果您运行 configure实用程序时选择将 Access Manager 用于策略,此即为默认值。) |
通过编辑访问控制文件,可以控制下列最终用户权限:
访问其他最终用户的在线状态
向其他最终用户发送警报
将属性保存在服务器上
创建新会议室
创建新的新闻频道
默认情况下,最终用户具有访问其他最终用户在线状态、向其他最终用户发送警报和将属性保存在服务器上的权限。对于大多数部署来说,不需要更改默认值。
虽然某些权限可以设置为全局适用,但管理员也可以定义这些权限的例外情况。例如,管理员可以拒绝某些用于选择最终用户或组的默认权限。
此外,如果您通过部署中的访问控制文件强制执行策略,则同一个服务器池中,位于各个服务器中的这些文件必须相同。
表 17–2 列出 Instant Messaging 的全局访问控制文件以及这些文件提供给最终用户的权限。
表 17–2 访问控制文件
ACL 文件 |
权限 |
---|---|
sysSaveUserSettings.acl |
定义可以和不可以更改自己首选项的用户。没有此权限的用户无法进行添加联系人、创建会议等操作。 |
sysTopicsAdd.acl |
定义可以和不可以创建新闻频道的用户。 |
sysRoomsAdd.acl |
定义可以和不可以创建会议室的用户。 |
sysSendAlerts.acl |
定义可以和不可以发送警报的用户。禁用 sysSendAlerts 时会同时禁用轮询。 |
sysWatch.acl |
定义可以和不可以查看其他最终用户所做更改的用户。为没有此权限(仅允许“会议和新闻频道订阅和非订阅”)的最终用户显示 Instant Messenger 窗口。 |
sysAdmin.acl |
仅为管理员保留。此文件为所有最终用户设置所有 Instant Messaging 功能的管理权限。此权限将覆盖所有其他权限,并可供管理员创建和管理所有会议室和新闻频道,以及访问最终用户在线状态信息、设置和属性。 |
更改为 im-cfg-base/acls 目录。
有关查找 im-cfg-base 的信息,参见Instant Messaging 服务器目录结构。
编辑适当的访问控制文件。
例如:
vi sysTopicsAdd.acl |
有关访问控制文件列表,参见表 17–2。
保存更改。
最终用户需要刷新 Instant Messenger 窗口才能查看更改。
如果您通过部署中的访问控制文件强制执行策略,则同一个服务器池中,位于各个服务器中的这些文件的内容必须相同。要确保这一点,请从其中一个服务器中将文件复制到池中的其他各节点。有关查找这些文件的信息,参见访问控制文件位置。
访问控制文件的位置是 im-cfg-base/acls。其中,im-cfg-base 是配置目录。关于配置目录默认位置的信息,参见Instant Messaging 服务器目录结构。
访问控制文件包含一系列定义权限的条目。所有条目都以下列标记开始:
d: - 默认
u: - 用户
g: - 组
标记后跟有冒号 (:)。如果是默认标记,后面跟有 true 或 false。
最终用户和组标记后跟有最终用户或组名称。
通过将多个最终用户 (u) 和组 (g) 串联,可以指定多个最终用户和组。
d: 标记必须是访问控制文件中的最后一个条目。服务器将忽略 d: 标记之后的所有条目。如果 d: 标记为 true,则文件中的所有其他条目均为冗余,并且会被忽略。不能将访问控制文件中的 d: 标记设置为 true,同时选择性地禁用最终用户的此权限。如果默认值设置为 false,则只有在文件中指定的最终用户和组拥有该权限。
以下是 ACL 文件中用于新安装的默认 d: 标记条目:
sysAdmin.acl - 包含 d:false
sysTopicsAdd.acl - 包含 d:true
sysRoomsAdd.acl - 包含 d:true
sysSaveUserSettings.acl - 包含 d:true
sysSendAlerts.acl - 包含 d:true
sysWatch.acl - 包含 d:true
在未来的产品版本中,所有访问控制文件的格式可能会发生更改,并且有一些可能不再出现。
禁用 sysSendAlerts 时会同时禁用轮询。
在以下示例中,sysTopicsAdd.acl 文件的 d: 标记条目为 false。因此,d: 条目前的最终用户和组(即 user1、user2 和 sales 组)具有“添加”和“删除”新闻频道的权限。
# Example sysTopicsAdd.acl file u:user1 u:user2 g:cn=sales,ou=groups,o=siroe d:False |
Sun Java System Access Manager 中的 Instant Messaging 和在线状态服务提供了另一种控制最终用户和管理员权限的方式。每种服务具有三种属性类型:动态、用户和策略。策略属性是用于设置权限的属性类型。
将规则添加到在 Access Manager 中创建的策略后,策略属性将成为规则的一部分,从而可允许或拒绝管理员和最终用户参予各种 Instant Messaging 功能,如接收其他用户的轮询消息。
当 Instant Messaging 服务器与 Sun Java System Access Manager 一起安装时,会创建几个示例策略和角色。有关策略和角色的详细信息,参见 Sun Java System Access Manager Getting Started Guide 和 Sun Java System Access Manager 管理指南。
您可以创建新策略,并根据需要将这些策略分配给角色、组、组织或最终用户,以与您的站点的需求相匹配。
将 Instant Messaging 服务或在线状态服务分配给最终用户后,会同时应用动态属性和用户属性。动态属性可分配给 Access Manager 配置的角色或组织。
将角色分配给最终用户或在组织中创建了最终用户时,动态属性将成为最终用户的特征。用户属性会直接分配给每位最终用户,它们并非继承自角色或组织,并且每位最终用户的属性均有所不同。最终用户登录后,将依据分配给他们的角色和策略应用方式,取得适用他们的所有属性。
将在线状态服务和 Instant Messaging 服务分配给最终用户后,动态、用户或策略属性将与这些最终用户相关联。
表 17–3 列出每项服务的策略、动态和用户属性。
表 17–3 Instant Messaging 的 Access Manager 属性
服务 |
策略属性 |
动态属性 |
用户属性 |
---|---|---|---|
sunIM |
sunIMAllowChat sunIMAllowChatInvite sunIMAllowForumAccess sunIMAllowForumManage sunIMAllowForumModerate sunIMAllowAlertsAccess sunIMAllowAlertsSend sunIMAllowNewsAccess sunIMAllowNewsManage sunIMAllowFileTransfer sunIMAllowContactListManage sunIMAllowUserSettings sunIMAllowPollingAccess sunIMAllowPollingSend |
sunIMProperties sunIMRoster sunIMConferenceRoster sunIMNewsRoster sunIMPrivateSettings |
sunIMUserProperties sunIMUserRoster sunIMUserConferenceRoster sunIMUserNewsRoster sunIMUserPrivateSettings |
sunPresence |
sunPresenceAllowAccess sunPresenceAllowPublish sunPresenceAllowManage |
sunPresenceDevices sunPresencePrivacy |
sunPresenceEntityDevices sunPresenceUserPrivacy |
对于上表中的每个属性,Access Manager 管理控制台中均显示相应的标签。表 17–4 列出并说明策略属性,而表 17–5 列出并说明动态和用户属性。
表 17–4 Instant Messaging 的 Access Manager 策略属性
策略属性 |
管理控制台标签 |
属性说明 |
---|---|---|
sunIMAllowChat |
聊天的能力 |
最终用户可以应邀加入聊天室并使用一般聊天功能 |
sunIMAllowChatInvite |
邀请其他人聊天的能力 |
最终用户可以邀请其他用户聊天 |
sunIMAllowForumAccess |
加入会议室的能力 |
Instant Messenger 中显示有一个会议选项卡,允许最终用户加入会议室 |
sunIMAllowForumManage |
管理会议室的能力 |
最终用户可以创建、删除和管理会议室 |
sunIMAllowForumModerate |
主持会议室的能力 |
最终用户可以成为会议主持人 |
sunIMAllowAlertsAccess |
接收警报的能力 |
最终用户可以接收其他用户的警报 |
sunIMAllowAlertsSend |
发送警报的能力 |
最终用户可以向其他用户发送警报 |
sunIMAllowNewsAccess |
阅读新闻的能力 |
Instant Messenger 中显示有一个“新闻”按钮,最终用户可用它列出新闻频道以便接收和发送新闻消息 |
sunIMAllowNewsManage |
管理新闻频道的能力 |
最终用户可以管理新闻频道,并可为新闻频道创建、删除和分配权限 |
sunIMAllowFileTransfer |
交换文件的能力 |
最终用户可以为警报、聊天和新闻消息添加附件 |
sunIMAllowContactListManage |
管理联系人列表的能力 |
最终用户可以管理自己的联系人列表;可以向列表添加用户或组,也可从中删除用户或组;可以重新命名联系人列表中的文件夹 |
sunIMAllowUserSettings |
管理 Messenger 的能力 |
Instant Messenger 中显示有一个“设置”按钮,最终用户可用它更改自己的 Instant Messenger 设置 |
sunIMAllowPollingAccess |
接收轮询的能力 |
最终用户可以接收其他用户发送的轮询消息,并可回应轮询 |
sunIMAllowPollingSend |
发送轮询的能力 |
Instant Messenger 中显示有一个“轮询”按钮,最终用户可用它向其他人发送轮询消息并接收响应 |
sunPresenceAllowAccess |
访问他人在线状态的能力 |
最终用户可以查看其他用户的在线状态。联系人列表除显示联系人之外,还通过更改状态图标反映联系人的在线状态变化 |
sunPresenceAllowPublish |
发布在线状态的能力 |
最终用户可以通过单击选择他们的状态(联机、脱机、忙等),以便其他用户查看 |
sunPresenceAllowManage |
管理在线状态访问的能力 |
Instant Messenger 设置中显示有一个“访问”选项卡,最终用户可用它设置自己的默认在线状态访问、允许在线状态或拒绝在线状态列表 |
最终用户可以登录到 Access Manager 管理控制台,并查看 Instant Messaging 和在线状态服务属性中的属性值。最终用户可以更改已定义为可修改的属性。默认情况下,Instant Messaging 服务中的属性均不可修改,也不建议允许最终用户更改它们。但是,从系统管理的观点来看,直接处理属性非常有用。
例如,由于角色不会影响某些系统属性(如设置会议订阅),因此系统管理员可能需要通过从其他最终用户(如从会议登记表)那里复制属性值来修改这些属性的值,或者直接对其进行修改。这些属性在表 17–5 中列出。
最终用户可通过 Sun Java System Access Manager 管理控制台设置用户属性。动态属性由管理员设置。设置的动态属性值将覆盖对应的用户属性值或与之合并。
对应的动态属性和用户属性特性将影响冲突与补充信息的解决方式。例如,两个来源(动态和用户)的会议订阅会互相补充;因此,订阅将合并。两种属性不会互相覆盖。
表 17–5 Instant Messaging 的 Access Manager 用户和动态属性
管理控制台标签 |
用户属性 |
动态属性 |
属性说明 |
冲突解决方案 |
---|---|---|---|---|
Messenger 设置 |
sunIMUserProperties |
sunIMProperties |
包含 Instant Messenger 的所有属性,且对应于基于文件的用户属性存储器中的 user.properties 文件 |
合并。除非特定的属性具有来自用户和动态属性的值,否则动态属性会进行覆盖。 |
订阅 |
sunIMUserRoster |
sunIMRoster |
包含订阅信息(用户联系人列表登记表) |
合并。如果用户和动态属性中均存在 Jabber 标识符,则将采用来自用户属性的昵称,组将会是来自用户和动态属性的所有组的集合,订阅值将会是来自用户和动态值的最大值。 |
会议订阅 |
sunIMUserConferenceRoster |
sunIMConferenceRoster |
包含会议室订阅信息 |
合并。合并动态和用户订阅,并删除重复的内容。 |
新闻频道订阅 |
sunIMUserNewsRoster |
sunIMNewsRoster |
包含新闻频道订阅信息 |
合并。合并动态和用户订阅,并删除重复的内容。 |
在线状态代理 |
sunPresenceEntityDevices |
sunPresenceDevices |
本版本中未使用(供将来使用) |
使用的是动态信息。 |
保密性 |
sunPresenceUserPrivacy |
sunPresencePrivacy |
对应于 Instant Messenger 中的保密性设置 |
合并。如果有冲突,则使用动态值。 |
Instant Messenger 首选项 |
sunIMUserPrivateSettings |
sunIMPrivateSettings |
此处存储 Messenger 设置中未存储的保密性首选项 |
合并。 |
表 17–6 列出并说明安装 Instant Messaging 服务组件时 Sun Java System Access Manager 中所创建的七个策略和角色示例。您可以根据要为每个用户提供的访问控制,将最终用户添加到不同角色中。
典型站点可能会将“IM 正规用户”角色(接收默认的 Instant Messaging 和在线状态访问的角色)分配给仅使用 Instant Messenger 但没有管理 Instant Messaging 策略责任的最终用户。同一个站点可能会将“IM 管理员”角色(与管理 Instant Messaging 和在线状态服务的能力相关的角色)分配给拥有管理 Instant Messaging 策略完全责任的特定最终用户。表 17–7 列出策略属性中的默认权限分配。如果未选中规则中的操作,则值允许和拒绝将与策略无关,也不会影响该属性。
表 17–6 Sun Java System Access Manager 的默认策略和角色
策略 |
应用策略的角色 |
应用策略的服务 |
策略说明 |
---|---|---|---|
默认的 Instant Messaging 和在线状态访问 |
IM 正规用户 |
sunIM、sunPresence |
正规 Instant Messaging 最终用户应具有的默认访问权限。 |
管理 Instant Messaging 和在线状态服务的能力 |
IM 管理员 |
sunIM、sunPresence |
Instant Messaging 管理员拥有的访问权限,即对所有 Instant Messaging 功能的访问权限。 |
管理 Instant Messaging 新闻频道的能力 |
IM 新闻管理员 |
sunIM |
最终用户可通过创建、删除等操作管理新闻频道。 |
管理 Instant Messaging 会议室的能力 |
IM 会议室管理员 |
sunIM |
最终用户可通过创建、删除等操作管理会议室。 |
更改自己的 Instant Messaging 用户设置的能力 |
IM 允许用户设置角色 |
sunIM |
最终用户可通过修改 Instant Messenger 的“设置”对话框中的值来编辑设置。 |
发送 Instant Messaging 警报的能力 |
IM 允许发送警报角色 |
sunIM |
最终用户可在 Instant Messenger 中发送警报。 |
查看其他 Instant Messaging 最终用户更改的能力 |
IM 允许查看更改角色 |
sunIM |
最终用户可以访问其他 Instant Messaging 最终用户的在线状态。 |
表 17–7 默认策略分配
策略 |
|||||||
---|---|---|---|---|---|---|---|
属性 |
默认访问 |
可管理 Instant Messaging 和在线状态服务 |
可管理新闻频道 |
可管理会议室 |
可更改自身的最终用户设置 |
可发送警报 |
可查看其他用户变化 |
sunIMAllowChat |
允许 |
允许 | |||||
sunIMAllowChatInvite |
允许 |
允许 | |||||
sunIMAllowForumAccess |
允许 |
允许 |
允许 | ||||
sunIMAllowForum Manage |
拒绝 |
允许 |
允许 | ||||
sunIMAllowForum Moderate |
拒绝 |
允许 |
允许 | ||||
sunIMAllowAlertsAccess |
允许 |
允许 |
允许 | ||||
sunIMAllowAlertsSend |
允许 |
允许 |
允许 | ||||
sunIMAllowNewsAccess |
允许 |
允许 |
允许 | ||||
sunIMAllowNewsManage |
拒绝 |
允许 |
允许 | ||||
sunIMAllowFileTransfer |
允许 |
允许 | |||||
sunIMAllowContactList Manage |
允许 |
允许 | |||||
sunIMAllowUserSettings |
允许 |
允许 |
允许 | ||||
sunIMAllowPollingAccess |
允许 |
允许 | |||||
sunIMAllowPollingSend |
允许 |
允许 | |||||
sunPresenceAllowManage |
允许 |
允许 | |||||
sunPresenceAllowAccess |
允许 |
允许 |
允许 |
||||
sunPresenceAllowPublish |
允许 |
允许 |
您可以创建新策略以满足站点的特殊需要。
登录到 Access Manager 管理控制台,即 http://hostname :port/amconsole。
例如:
http://imserver.company22.example.com:80/amconsole
选择“身份管理”选项卡。
在导航窗格(方框左下角)的“查看”下拉列表中选择“策略”。
单击“新建”。
数据窗格(方框右下角)中会显示“新建策略”页。
在“策略类型”中选择“常规”。
在“名称”字段中输入策略说明。
例如:
执行 IM 任务的能力。 |
单击“创建”。
Access Manager 管理控制台会在导航窗格的策略列表中显示新策略的名称,并打开新策略的“编辑”页。
在“编辑”页中,从“查看”下拉列表中选择“规则”。
“编辑”页内会显示“规则名称服务资源”面板。
单击“添加”。
显示“添加规则”页。
选择适用的“服务”。
您可以选择 Instant Messaging 服务或在线状态服务。
每种服务均可让您允许或拒绝最终用户执行特定操作。例如,“聊天能力”是 Instant Messaging 服务专用的操作,而“访问他人在线状态的能力”是在线状态服务专用的操作。
在“规则名称”字段中输入规则的说明。
例如:
Rule 1 |
输入相应的“资源名称”。
输入:
适用于 Instant Messaging 服务的 IMResource
或
适用于在线状态服务的 PresenceResource
选择要应用的操作。
选择各个操作的值。
您可以选择“允许”或“拒绝”。
单击“创建”。
建议的规则会显示在该策略保存的规则列表中。
单击“保存”。
建议的规则会变成一个保存的规则。
如果要为该策略应用任何附加规则,请重复步骤 9 至 16。
您可以将策略分配给角色、组、组织或用户。其中包括默认策略或安装 Instant Messaging 后创建的策略。
登录到 Access Manager 管理控制台,即 http://hostname :port/amconsole。
例如:
http://imserver.company22.example.com:80/amconsole
选择“身份管理”选项卡。
在导航窗格(方框左下角)的“查看”下拉列表中选择“策略”。
单击您想要分配的策略名称旁边的箭头。
数据窗格(方框右下角)中会显示该策略的“编辑”页。
在“编辑”页中,从“查看”下拉列表中选择“主题”。
单击“添加”。
显示“添加主题”页,其中会列出可能的主题类型:
Access Manager 角色
LDAP 组
LDAP 角色
LDAP 用户
组织
选择与该策略相匹配的主题类型。
例如“组织”。
单击“下一步”。
在“名称”字段中,输入主题的说明。
(可选的)选中“独占”复选框。
默认设置没有选中“独占”复选框,这意味着策略会应用于该主题的所有成员。
选中“独占”复选框,将策略应用到非该主题的成员。
在“可用”字段中,搜索您要添加到主题的条目。
单击“创建”。
建议的主题会显示在该策略建议的主题列表中。
单击“保存”。
建议的主题会变成一个保存的主题。
如果要为该策略添加任何附加主题,请重复步骤 6 至 13。
使用 Sun Java System Access Manager 创建子组织这一能力,可用于在 Instant Messaging 服务器内创建组织性独立的人员。每个子组织可以映射到一个不同的 DNS 域。一个子组织中的最终用户与另一个子组织中的最终用户完全隔离。以下过程说明创建一个新的 Instant Messaging 子组织的最少步骤。
登录到 Access Manager 管理控制台,即 http://hostname :port/amconsole。
例如:
http://imserver.company22.example.com:80/amconsole
选择“身份管理”选项卡。
创建新组织:
为新创建的子组织注册服务:
为新选择的服务创建服务模板:
在导航窗格中,单击服务的属性箭头(从“核心”服务开始)。
创建服务模板页显示在数据窗格中。
在数据窗格中,单击“创建”。
页面会显示您选择显示的服务的模板选项列表。
即使您不想修改模板选项,也应该针对每项服务单击“创建”。
按下列所述修改每项服务的服务模板选项:
核心: 通常无需修改任何选项。
LDAP:将新子组织的前缀添加到开始用户搜索的 DN 字段。
添加前缀后,最终的 DN 应为以下格式:
o=sub1,dc=company22,dc=example,dc=com
在 超级用户绑定密码和超级用户绑定密码(确认)字段中输入 LDAP 密码。
Instant Messaging 服务: 通常无需修改任何选项。
单击“保存”。
重复步骤 a 至 d,直到为各个服务创建服务模板。
在子组织中创建新的最终用户后,需要为他们分配角色。可从父组织继承角色。
登录到 Access Manager 管理控制台,即 http://hostname :port/amconsole。
例如:
http://imserver.company22.example.com:80/amconsole
选择“身份管理”选项卡。
在导航窗格(方框左下角)的“查看”下拉列表中选择“角色”。
单击您想要分配的角色右边的属性箭头。
数据窗格(方框右下角)中会显示该角色的页面。
在数据窗格的“查看”下拉列表中选择“用户”。
单击“添加”。
显示“添加用户”页。
输入用于标识用户的匹配模式。
例如,在 UserId 字段中输入星号 * 将列出所有用户。
单击“过滤器”。
显示“选择用户”页。
在“选择用户”页中,选中“显示父级路径”复选框并单击“刷新”。
显示父级路径。
选择要分配给此角色的用户。
单击“提交”。