使用 Sun Java System Access Manager 管理策略
Sun Java System Access Manager 中的 Instant Messaging 和線上狀態服務提供另一種控制一般使用者和管理員權限的方法。每個服務擁有三種屬性類型:動態、使用者與策略。策略屬性是用於設定特權的屬性類型。
當新增規則至建立於 Access Manager 的策略時,策略屬性成為規則的一部份,以允許或拒絕管理員與一般使用者使用不同的 Instant Messaging 功能,例如從其他人接收輪詢訊息。
當 Instant Messaging 伺服器與 Sun Java System Access Manager 一起安裝時,會建立數個範例策略和角色。如需策略和角色的詳細資訊,請參閱 Sun Java System Access Manager Getting Started Guide 和 Sun Java System Access Manager 管理指南。
您可以建立新策略,並視您網站的需求將這些策略指定給角色、群組、組織或一般使用者。
在將 Instant Messaging 服務或線上狀態服務指定給一般使用者時,他們會接收到適用的動態與使用者屬性。動態屬性可指定給 Access Manager 配置的角色或組織。
在將角色指定給一般使用者或於組織中建立一般使用者時,動態屬性則會變為一般使用者的特性。使用者屬性會直接指定給每個一般使用者,這些屬性不是繼承自角色或組織,且通常每個一般使用者的使用者屬性皆不相同。當一般使用者登入時,將根據所指定的角色與策略的套用方式取得適用的所有屬性。
在將線上狀態與 Instant Messaging 服務指定給一般使用者之後,動態、使用者或策略屬性會與這些一般使用者相關聯。
Instant Messaging 服務屬性
表 17–3 列出每個服務的策略、動態和使用者屬性。
表 17–3 Instant Messaging 的 Access Manager 屬性|
服務 |
策略屬性 |
動態屬性 |
使用者屬性 |
|---|---|---|---|
|
sunIM |
sunIMAllowChat sunIMAllowChatInvite sunIMAllowForumAccess sunIMAllowForumManage sunIMAllowForumModerate sunIMAllowAlertsAccess sunIMAllowAlertsSend sunIMAllowNewsAccess sunIMAllowNewsManage sunIMAllowFileTransfer sunIMAllowContactListManage sunIMAllowUserSettings sunIMAllowPollingAccess sunIMAllowPollingSend |
sunIMProperties sunIMRoster sunIMConferenceRoster sunIMNewsRoster sunIMPrivateSettings |
sunIMUserProperties sunIMUserRoster sunIMUserConferenceRoster sunIMUserNewsRoster sunIMUserPrivateSettings |
|
sunPresence |
sunPresenceAllowAccess sunPresenceAllowPublish sunPresenceAllowManage |
sunPresenceDevices sunPresencePrivacy |
sunPresenceEntityDevices sunPresenceUserPrivacy |
對於上述表格中的每一個屬性,Access Manager 管理主控台會顯示其對應的標籤。表 17–4 列出並描述策略屬性,而 表 17–5 則列出並描述動態與使用者屬性。
表 17–4 Instant Messaging 的 Access Manager 策略屬性|
策略屬性 |
管理主控台標籤 |
屬性說明 |
|---|---|---|
|
sunIMAllowChat |
聊天的能力 |
一般使用者可以被邀請加入聊天室並存取一般聊天功能 |
|
sunIMAllowChatInvite |
邀請他人聊天的能力 |
一般使用者可以邀請其他人聊天 |
|
sunIMAllowForumAccess |
加入會議室的能力 |
Instant Messenger 中會顯示會議標籤,允許一般使用者加入會議室 |
|
sunIMAllowForumManage |
管理會議室的能力 |
一般使用者可以建立、刪除與管理會議室 |
|
sunIMAllowForumModerate |
主持會議室的能力 |
一般使用者可以是會議主持人 |
|
sunIMAllowAlertsAccess |
接收警示的能力 |
一般使用者可以從其他使用者接收警示 |
|
sunIMAllowAlertsSend |
傳送警示的能力 |
一般使用者可以傳送警示給其他使用者 |
|
sunIMAllowNewsAccess |
閱讀新聞的能力 |
Instant Messenger 中會顯示 [新聞] 按鈕,可以讓一般使用者列出新聞通道以接收與傳送新聞訊息 |
|
sunIMAllowNewsManage |
管理新聞通道的能力 |
一般使用者可以管理新聞通道,並可以為新聞通道建立、刪除與指定權限 |
|
sunIMAllowFileTransfer |
交換檔案的能力 |
一般使用者可以在警示、聊天與新聞訊息中新增附件 |
|
sunIMAllowContactListManage |
管理連絡人清單的能力 |
一般使用者可以管理自己的連絡人清單;可以從清單新增與刪除使用者或群組;可以在連絡人清單中重新命名資料夾 |
|
sunIMAllowUserSettings |
管理 Messenger 的能力 |
Instant Messenger 中會顯示 [設定] 按鈕,可以讓一般使用者變更其 Instant Messenger 設定 |
|
sunIMAllowPollingAccess |
接收輪詢的能力 |
一般使用者可以從其他使用者接收輪詢訊息,也可以回應輪詢 |
|
sunIMAllowPollingSend |
傳送輪詢的能力 |
Instant Messenger 中會顯示 [輪詢] 按鈕,可以讓一般使用者傳送輪詢訊息給其他使用者並接收回應 |
|
sunPresenceAllowAccess |
存取其他使用者線上狀態的能力 |
一般使用者可以查看其他使用者的線上狀態。除了顯示連絡人以外,連絡人清單還可透過變更狀態圖示來反映連絡人的線上狀態變更 |
|
sunPresenceAllowPublish |
發佈線上狀態的能力 |
一般使用者可以按一下以選取其狀態 (線上、離線、忙碌等),以供他人查看 |
|
sunPresenceAllowManage |
管理線上狀態存取的能力 |
Instant Messenger 設定中會顯示 [存取] 標籤,讓一般使用者可以設定自己的預設線上狀態存取、線上狀態允許或線上狀態拒絕清單 |
直接修改屬性
一般使用者可登入 Access Manager 管理主控台,並檢視 Instant Messaging 和線上狀態服務屬性中的屬性值。若屬性已定義為可修改,則一般使用者可以變更這些屬性。依預設,Instant Messaging 服務中的任何屬性都是不可修改的,也不建議允許一般使用者修改這些屬性。然而,從系統管理的觀點來看,直接處理屬性是相當有用的。
例如,由於角色不會影響某些系統屬性,如設定會議訂閱,因此系統管理員可以透過複製其他一般使用者 (例如從會議名冊) 的屬性值,來修改這些屬性的屬性值,或直接對其進行修改。這些屬性列於表 17–5 中。
一般使用者可透過 Sun Java System Access Manager 管理主控台設定使用者屬性。動態屬性由管理員設定。為動態屬性設定的值會覆寫或合併對應的使用者屬性值。
對應動態與使用者屬性本質會影響解決衝突與補充資訊的方式。例如,來自兩個來源 (動態和使用者) 的「會議訂閱」彼此互補,因此會合併訂閱。屬性不會互相覆寫。
表 17–5 Instant Messaging 的 Access Manager 使用者和動態屬性|
管理主控台標籤 |
使用者屬性 |
動態屬性 |
屬性說明 |
衝突解決方案 |
|---|---|---|---|---|
|
Messenger 設定 |
sunIMUserProperties |
sunIMProperties |
包含所有 Instant Messenger 屬性,並對應至以檔案為基礎的使用者屬性儲存中的 user.properties 檔案 |
合併。除非特定特性的值來自使用者和動態屬性,否則動態屬性會加以覆寫。 |
|
訂閱 |
sunIMUserRoster |
sunIMRoster |
包含訂閱資訊 (使用者連絡人清單名冊) |
合併。如果使用者屬性和動態屬性中均存在 Jabber 識別碼,則會採用來自使用者屬性的暱稱,群組會是使用者屬性和動態屬性的所有群組的併集,訂閱值會是使用者值和動態值的最大值。 |
|
會議訂閱 |
sunIMUserConferenceRoster |
sunIMConferenceRoster |
包含會議室訂閱資訊 |
合併。動態和使用者訂閱會合併,重複項目會被移除。 |
|
新聞通道訂閱 |
sunIMUserNewsRoster |
sunIMNewsRoster |
包含新聞通道訂閱資訊 |
合併。動態和使用者訂閱會合併,重複項目會被移除。 |
|
線上狀態代理程式 |
sunPresenceEntityDevices |
sunPresenceDevices |
本版本未使用 (供未來版本使用) |
使用動態資訊。 |
|
私密性 |
sunPresenceUserPrivacy |
sunPresencePrivacy |
對應至 Instant Messenger 的私密性設定 |
合併。如果有衝突,則使用動態值。 |
|
Instant Messenger 喜好設定 |
sunIMUserPrivateSettings |
sunIMPrivateSettings |
在此儲存 Messenger 設定中未儲存的私有喜好設定 |
合併。 |
預先定義的 Instant Messaging 和線上狀態策略
表 17–6 列出並描述當安裝 Instant Messaging 服務元件時,於 Sun Java System Access Manager 中建立的七個範例策略和角色。您可以根據要提供一般使用者的存取控制,將其新增至不同角色。
典型站點可能希望將「IM 一般使用者」角色 (接收預設 Instant Messaging 與線上狀態存取的角色) 指定給只使用 Instant Messenger 但不負責管理 Instant Messaging 策略的一般使用者。同一個站點可能會將「IM 管理員」角色 (與管理 Instant Messaging 和線上狀態服務能力相關聯的角色) 指定給完全負責管理 Instant Messaging 策略的特定一般使用者。表 17–7 列出策略屬性中的預設權限指定。若未在規則中選擇動作,則允許與拒絕值與策略無關,且不會影響該屬性。
表 17–6 Sun Java System Access Manager 的預設策略和角色|
策略 |
套用策略的角色 |
套用策略的服務 |
策略說明 |
|---|---|---|---|
|
預設的 Instant Messaging 和線上狀態存取權限 |
IM 一般使用者 |
sunIM、sunPresence |
標準的 Instant Messaging 一般使用者應擁有的預設存取權限。 |
|
管理 Instant Messaging 和線上狀態服務的能力 |
IM 管理員 |
sunIM、sunPresence |
Instant Messaging 管理員所擁有的存取權限,可存取 Instant Messaging 的所有功能。 |
|
管理 Instant Messaging 新聞通道的能力 |
IM 新聞管理員 |
sunIM |
一般使用者可以藉由建立、刪除等方法管理新聞通道 |
|
管理 Instant Messaging 會議室的能力 |
IM 會議室管理員 |
sunIM |
一般使用者可以藉由建立、刪除等方法管理會議室 |
|
變更自己的 Instant Messaging 使用者設定的能力 |
IM 允許使用者設定角色 |
sunIM |
一般使用者可透過修改 Instant Messenger 中 [設定] 對話方塊中的值來編輯設定值。 |
|
傳送 Instant Messaging 警示的能力 |
IM 允許傳送警示角色 |
sunIM |
一般使用者可在 Instant Messenger 中傳送警示。 |
|
查看其他 Instant Messaging 一般使用者變更的能力 |
IM 允許查看變更規則 |
sunIM |
一般使用者可以存取其他 Instant Messaging 一般使用者的線上狀態。 |
表 17–7 預設策略指定
|
策略 |
|||||||
|---|---|---|---|---|---|---|---|
|
屬性 |
預設存取 |
可以管理 Instant Messaging 和線上狀態服務 |
可以管理新聞通道 |
可以管理會議室 |
可以變更本身的一般使用者設定 |
可以傳送警示 |
可以查看其他使用者的變更 |
|
sunIMAllowChat |
允許 |
允許 | |||||
|
sunIMAllowChatInvite |
允許 |
允許 | |||||
|
sunIMAllowForumAccess |
允許 |
允許 |
允許 | ||||
|
sunIMAllowForumManage |
拒絕 |
允許 |
允許 | ||||
|
sunIMAllowForumModerate |
拒絕 |
允許 |
允許 | ||||
|
sunIMAllowAlertsAccess |
允許 |
允許 |
允許 | ||||
|
sunIMAllowAlertsSend |
允許 |
允許 |
允許 | ||||
|
sunIMAllowNewsAccess |
允許 |
允許 |
允許 | ||||
|
sunIMAllowNewsManage |
拒絕 |
允許 |
允許 | ||||
|
sunIMAllowFileTransfer |
允許 |
允許 | |||||
|
sunIMAllowContactListManage |
允許 |
允許 | |||||
|
sunIMAllowUserSettings |
允許 |
允許 |
允許 | ||||
|
sunIMAllowPollingAccess |
允許 |
允許 | |||||
|
sunIMAllowPollingSend |
允許 |
允許 | |||||
|
sunPresenceAllowManage |
允許 |
允許 | |||||
|
sunPresenceAllowAccess |
允許 |
允許 |
允許 |
||||
|
sunPresenceAllowPublish |
允許 |
允許 | |||||
建立新的 Instant Messaging 策略
您可以建立新策略以符合站點的特定需求。
建立新策略
-
登入 Access Manager 管理主控台,即 http://hostname :port/amconsole。
例如:
http://imserver.company22.example.com:80/amconsole
-
選取 [身份識別管理] 標籤。
-
在瀏覽窗格 (框架左下角) 中,選取 [檢視] 下拉式清單中的 [策略]。
-
按一下 [新的]。
資料窗格 (框架右下角) 中會顯示 [新的策略] 頁面。
-
在 [策略類型] 中選取 [一般]。
-
在 [名稱] 欄位中輸入策略說明。
例如:
可執行 IM 作業。
-
按一下 [建立]。
Access Manager 管理主控台在瀏覽窗格的策略清單中顯示新策略的名稱,並開啟新策略的 [編輯] 頁面。
-
在 [編輯] 頁面中,選取 [檢視] 下拉式清單中的 [規則]。
隨即在 [編輯] 頁面中顯示 [規則名稱服務資源] 面板。
-
按一下 [新增]。
隨即顯示 [新增規則] 頁面。
-
選取要套用的服務。
您可以選取 Instant Messaging 服務或線上狀態服務。
每個服務均可讓您允許或拒絕一般使用者執行特定動作的能力。例如,「聊天的能力」是 Instant Messaging 服務特定的動作,而「存取其他使用者線上狀態的能力」則是線上狀態服務特定的動作。
-
在 [規則名稱] 欄位中輸入規則的說明。
例如:
規則 1
-
輸入適當的「資源名稱」。
以下兩者擇一輸入:
若為 Instant Messaging 服務,則為 IMResource
或
若為線上狀態服務,則為 PresenceResource
-
選取您要套用的動作。
-
選取每個動作的值。
您可以選取「允許」或「拒絕」。
-
按一下 [建立]。
建議的規則會在該策略的已儲存規則清單中顯示。
-
按一下 [儲存]。
建議的規則會變成已儲存規則。
-
對於任何您要套用在該策略的其他規則重複步驟 9-16。
將策略指定給角色、組織或使用者
您可以將策略指定給角色、群組、組織或使用者。其中包括預設策略或在安裝 Instant Messaging 後建立的策略。
指定策略
-
登入 Access Manager 管理主控台,即 http://hostname :port/amconsole。
例如:
http://imserver.company22.example.com:80/amconsole
-
選取 [身份識別管理] 標籤。
-
在瀏覽窗格 (框架左下角) 中,選取 [檢視] 下拉式清單中的 [策略]。
-
按一下您要指定的策略名稱旁的箭頭。
該策略的 [編輯] 頁面會出現在資料窗格 (框架右下角) 中。
-
在 [編輯] 頁中,選取 [檢視] 下拉式清單中的 [主旨]。
-
按一下 [新增]。
隨即顯示 [新增主旨] 頁面,其中列出可能的主旨類型:
-
Access Manager 角色
-
LDAP 群組
-
LDAP 角色
-
LDAP 使用者
-
組織
-
-
選取符合策略的主旨類型。
例如,組織。
-
按 [下一步]。
-
在 [名稱] 欄位中輸入主旨的說明。
-
(可選擇) 選取 [專用] 核取方塊。
預設設定中沒有選取 [專用] 核取方塊,這意味著策略將套用至所有主旨成員。
選取 [專用] 核取方塊,將策略套用至非主旨成員的每個使用者。
-
在 [可用] 欄位中搜尋要新增至主旨的項目。
-
按一下 [建立]。
建議的主旨會出現在該策略所建議的主旨清單中。
-
按一下 [儲存]。
建議的主旨會變成已儲存主旨。
-
對於任何您要新增至該策略的其他主旨重複步驟 9-16。
使用 Access Manager 建立新子組織
使用 Sun Java System Access Manager 建立子組織這一能力,可以在 Instant Messaging 伺服器內建立組織性獨立的人員。每個子組織可對映至不同的 DNS 網域。子組織中的一般使用者與其他子組織中的一般使用者是完全隔離的。以下程序說明為 Instant Messaging 建立新子組織的最少步驟。
建立新子組織
-
登入 Access Manager 管理主控台,即 http://hostname :port/amconsole。
例如:
http://imserver.company22.example.com:80/amconsole
-
選取 [身份識別管理] 標籤。
-
建立新組織:
-
新建立子組織的註冊服務:
-
建立新選服務的服務範本:
-
在瀏覽窗格中,按一下服務的特性箭頭,由「核心」服務開始。
[建立服務範本] 頁面會顯示在資料窗格中。
-
在資料窗格中,按一下 [建立]。
隨即出現一個頁面,其中顯示您已選取服務的範本選項清單。
即使您不希望修改範本選項,您還是應該在每個服務中按一下 [建立]。
-
依如下所述修改每個服務的服務範本選項:
-
核心:一般而言,不需修改任何選項。
-
LDAP: 將新子組織的前綴新增至啟動使用者搜尋的 DN 欄位。
在新增前綴後,最終 DN 應為如下格式:
o=sub1,dc=company22,dc=example,dc=com
在超級使用者連結密碼與超級使用者連結密碼 (確認)欄位中輸入 LDAP 密碼。
-
Instant Messaging 服務:一般而言,不需修改任何選項。
-
-
按一下 [儲存]。
-
重複步驟 a-d,直到您已為每個服務建立服務範本。
-
將角色指定給新子組織中的一般使用者
在子組織中建立新的一般使用者之後,需要為他們指定角色。角色可以繼承自父組織。
將角色指定給新子組織中的一般使用者
-
登入 Access Manager 管理主控台,即 http://hostname :port/amconsole。
例如:
http://imserver.company22.example.com:80/amconsole
-
選取 [身份識別管理] 標籤。
-
在瀏覽窗格 (框架左下角) 中,選取 [檢視] 下拉式清單中的 [角色]。
-
按一下您想要指派的角色右側的特性箭頭。
該角色的頁面會顯示在資料窗格 (框架右下角) 中。
-
在資料窗格的 [檢視] 下拉式清單中選取 [使用者]。
-
按一下 [新增]。
隨即顯示 [新增使用者] 頁面。
-
輸入符合樣式以識別使用者。
例如,在 UserId 欄位中輸入星號 *,會列出所有使用者。
-
按一下 [篩選器]。
隨即顯示 [選取使用者] 頁面。
-
在 [選取使用者] 頁面上,核取 [顯示父系路徑] 核取方塊,並按一下 [重新整理]。
隨即顯示父系路徑。
-
選取要指定給此角色的使用者。
-
按一下 [送出]。
- © 2010, Oracle Corporation and/or its affiliates