test

Sun Java System Instant Messaging 7.2 管理指南

第 17 章 管理 Instant Messaging 和線上狀態策略

Instant Messaging 提供不同用處的功能,例如聊天、會議、輪詢、線上狀態存取等等。一種策略可描述一組與這些功能相關的存取控制權限。反之,一般使用者與群組可以根據組織需要指定到策略。

本章描述如何定義和使用策略來管理一般使用者和管理員對 Instant Messaging 伺服器功能和權限的存取權限。

私密性、安全性與站點策略簡介

Instant Messaging 提供對 Instant Messaging 功能的控制存取和保留一般使用者私密性的功能。

站點策略

站點策略會指定一般使用者對特定 Instant Messaging 功能的存取權限。站點策略可指定以下功能:

Instant Messaging 管理員具有所有 Instant Messaging 功能的存取權限。管理員擁有所有會議室與新聞通道的 MANAGE 存取權限,可以檢視一般使用者的線上狀態資訊,並可以檢視並修改特性,例如一般使用者的「連絡人清單」與 Instant Messenger 設定。站點策略設定不會影響管理員的權限。

依預設,會提供一般使用者存取其他一般使用者線上狀態、傳送警示給一般使用者以及儲存屬性至伺服器的權限。在大部分部署中,不會變更預設值。當 Instant Messaging 專門用於快顯功能時,需要變更這些預設值。

當 Instant Messaging 專門用於快顯功能時,不會提供一般使用者對於線上狀態資訊、聊天與新聞功能的存取權限。

備註 –

儘管某些權限可以全域設定,管理員也可以定義這些權限的例外。例如,管理員可以拒絕某些用於選取一般使用者、角色或群組的預設權限。

會議室與新聞通道存取控制

一般使用者對於「會議室」與「新聞通道」具有以下存取權限:

具有 MANAGE 權限的一般使用者可以設定所有其他一般使用者的預設權限層級。這些一般使用者也可以定義例外規則,以便將不同於預設存取層級權限的存取層級授與特定的一般使用者或群組。

備註 –

設定 WRITE 權限,同時授與一般使用者 READ 權限。

使用者私密性

一般使用者可以指定其他一般使用者是否可以查看他們的線上狀態。依預設,所有一般使用者都可以存取所有其他一般使用者的線上狀態資訊。一般使用者也可以對某些一般使用者與群組設定拒絕此存取的例外情況。

若一般使用者已拒絕其他一般使用者存取其線上狀態,則在其他一般使用者連絡人清單中,此一般使用者的可用性狀態會顯示為離線。若一般使用者的線上狀態為離線,則不能向其傳送警示或聊天邀請。

可以使用 Instant Messenger 中的 [使用者設定] 視窗對使用者私密性進行配置。如需配置使用者私密性的詳細資訊,請參閱 Instant Messenger 線上說明

控制一般使用者與管理員權限的方法

使用 Instant Messaging 伺服器的不同站點在啟用與限制一般使用者對於 Instant Messaging 服務的存取類型方面有著不同的需求。控制一般使用者與管理員 Instant Messaging 伺服器功能與權限的程序稱為策略管理。有兩種可用的策略管理方法:透過存取控制檔案或透過 Sun JavaTM System Access Manager。

如果您的部署未包含 Sun Java System Access Manager,您必須使用存取控制檔案方法來管理策略。如果您將 Sun Java System Access Manager 與 Instant Messaging 伺服器一起使用,且您已安裝 Instant Messaging 和線上狀態服務元件,您可以使用任一策略管理方法。使用 Sun Java System Access Manager 管理策略是一種比較全面的方法。這種方法的其中一項優點是允許您在目錄中儲存所有一般使用者的資訊。

設定策略管理方法

當您選擇管理策略所用的方法時,還必須選擇這些方法的儲存位置。可透過以下方式選取管理策略方法:編輯 iim.conf 檔案,並將 iim.policy.modules 參數設為 identity (針對 Access Manager 方法) 或 iim_ldap (針對存取制檔案,這也是預設的方法)。

您可以按照以下步驟設定策略管理方法。

Procedure設定策略管理方法

  1. 開啟 iim.conf

    如需尋找並修改 iim.conf 的說明,請參閱 iim.conf 檔案語法

  2. 可透過將 iim.policy.modules 參數設定為以下值之一進行編輯:

    • iim_ldap (預設值,存取控制檔案方法)

    • identity (Access Manager 方法)

    如果您選擇 identity,可以執行 imadmin assign_services 將 Instant Messaging 和線上狀態服務分派給現有的使用者。

  3. 編輯 iim.userprops.store 參數並將其設定為以下某個值:

    • ldap (在 LDAP 中儲存使用者特性。)

      如果您選擇 ldap,可以執行 imadmin assign_services,將儲存用戶特性的必要物件類別新增到目錄中的使用者項目。

    • file (預設值,在檔案中儲存使用者特性。)

  4. 儲存和關閉 iim.conf

  5. 更新配置。

策略配置參數

表 17–1 列出並描述了 iim.conf 中可用的參數,這些參數與 Sun Java System Access Manager 在 Instant Messaging 部署中可扮演的增加角色相關。

表 17–1 iim.conf 中與 Access Manager 相關的參數

參數名稱 

用途 

值 

iim.policy.modules

指定 Sun Java System Access Manager 或目錄是否用於策略儲存。 

iim_ldap (預設值)

identity

iim.userprops.store

指定使用者特性位於使用者特性檔案中還是儲存於 LDAP 中。只有在已安裝線上狀態和 Instant Messaging 服務的服務定義時才有意義。 

file (當您執行 configure 公用程式時,如果未選擇將 Access Manager 用於策略,則為預設值。)

ldap (當您執行 configure 公用程式時,如果未選擇將 Access Manager 用於策略,則為預設值。)

使用存取控制檔案管理策略

藉由編輯存取控制檔案,您可以控制下列一般使用者權限:

依預設,會提供一般使用者存取其他一般使用者的線上狀態、傳送警示給一般使用者以及儲存特性至伺服器的權限。對於大部分部署而言,不必變更預設值。

儘管某些權限可以全域設定,管理員也可以定義這些權限的例外情況。例如,管理員可以拒絕某些用於選取一般使用者或群組的預設權限。

此外,如果您透過部署中的存取控制檔案強制實施策略,則同一個伺服器池中,位於各個伺服器上的這些存取控制檔案必須相同。

表 17–2 列出 Instant Messaging 的存取控制檔案,以及這些檔案提供給一般使用者的權限。

表 17–2 存取控制檔案

ACL 檔案 

權限 

sysSaveUserSettings.acl

定義可以與不可以變更其本身喜好設定的使用者。不具有此權限的使用者無法執行新增連絡人、建立會議等動作。 

sysTopicsAdd.acl

定義可以與不可以建立新聞通道的使用者。 

sysRoomsAdd.acl

定義可以與不可以建立會議室的使用者。 

sysSendAlerts.acl

定義可以與不可以傳送警示的使用者。停用 sysSendAlerts 時會同時停用輪詢。

sysWatch.acl

定義可以與不可以查看其他一般使用者變更的使用者。Instant Messenger 視窗為不具有此權限 (僅允許「會議與新聞通道訂閱與非訂閱」) 的一般使用者而顯示。 

sysAdmin.acl

僅為管理員保留。此檔案為所有一般使用者設定所有 Instant Messaging 功能的管理權限。此權限會覆寫所有其他權限,並可供管理員建立與管理會議室和新聞通道,以及存取一般使用者線上狀態資訊、設定和屬性。 

Procedure變更存取控制檔案中的一般使用者權限

  1. 變更為 im-cfg-base/acls 目錄。

    如需尋找 im-cfg-base 的資訊,請參閱 Instant Messaging 伺服器目錄結構

  2. 編輯適當的存取控制檔案。

    例如:


    vi sysTopicsAdd.acl

    如需存取控制檔案清單,請參閱表 17–2

  3. 儲存變更。

  4. 一般使用者需要重新整理 Instant Messenger 視窗,才能看到這些變更。

使用伺服器池中的存取控制檔案

此外,如果您透過部署中的存取控制檔案強制實施策略,則同一伺服器池中,位於各個伺服器上的檔案內容必須相同。若要確定如此,從其中一台伺服器中將存取控制檔案複製到池中的其他各個節點。如需尋找這些檔案的詳細資訊,請參閱存取控制檔案位置

存取控制檔案位置

存取控制檔案的位置是 im-cfg-base/acls。其中,im-cfg-base 是配置目錄。如需配置檔案預設位置的資訊,請參閱 Instant Messaging 伺服器目錄結構

存取控制檔案格式

存取控制檔案包含一系列定義定義的項目。每個項目都以下列標籤開始:

標籤後面跟隨一個冒號 (:)。如果是預設標籤,則後面會跟隨 truefalse

一般使用者與群組標籤後面會跟隨一般使用者或群組名稱。

指定多個一般使用者與群組的方法是讓多個一般使用者 (u) 與群組 (g) 在行中。

d: 標簽必須為存取控制檔案中最後一個項目。伺服器會忽略 d: 標簽之後的所有項目。如果 d: 標簽為 true,則檔案中所有其他項目均為多餘且會被忽略。您不可以將存取控制檔案中的 d: 標簽設定為 true,並選擇性的拒絕一般使用者的該權限。若預設值設定為 false,則只有檔案中所指定的一般使用者與群組擁有該特定權限。

以下為 ACL 中用於新安裝的預設 d: 標簽項目:

注意 – 注意 –

在將來產品版本中,所有存取控制檔案的格式可能會變更,並且有一些可能不再出現。

備註 –

停用 sysSendAlerts 時會同時停用輪詢。

範例 17–1 sysTopicsAdd.acl 檔案

在以下範例中, sysTopicsAdd.acl 檔案的 d: 標籤項目為 false。因此,d: 項目之前的一般使用者與群組 (即 user1user2,與 sales 群組),具有「新增」與「刪除」新聞通道的權限。


# Example sysTopicsAdd.acl file
u:user1
u:user2
g:cn=sales,ou=groups,o=siroe
d:False

使用 Sun Java System Access Manager 管理策略

Sun Java System Access Manager 中的 Instant Messaging 和線上狀態服務提供另一種控制一般使用者和管理員權限的方法。每個服務擁有三種屬性類型:動態、使用者與策略。策略屬性是用於設定特權的屬性類型。

當新增規則至建立於 Access Manager 的策略時,策略屬性成為規則的一部份,以允許或拒絕管理員與一般使用者使用不同的 Instant Messaging 功能,例如從其他人接收輪詢訊息。

當 Instant Messaging 伺服器與 Sun Java System Access Manager 一起安裝時,會建立數個範例策略和角色。如需策略和角色的詳細資訊,請參閱 Sun Java System Access Manager Getting Started Guide Sun Java System Access Manager 管理指南

您可以建立新策略,並視您網站的需求將這些策略指定給角色、群組、組織或一般使用者。

在將 Instant Messaging 服務或線上狀態服務指定給一般使用者時,他們會接收到適用的動態與使用者屬性。動態屬性可指定給 Access Manager 配置的角色或組織。

在將角色指定給一般使用者或於組織中建立一般使用者時,動態屬性則會變為一般使用者的特性。使用者屬性會直接指定給每個一般使用者,這些屬性不是繼承自角色或組織,且通常每個一般使用者的使用者屬性皆不相同。當一般使用者登入時,將根據所指定的角色與策略的套用方式取得適用的所有屬性。

在將線上狀態與 Instant Messaging 服務指定給一般使用者之後,動態、使用者或策略屬性會與這些一般使用者相關聯。

Instant Messaging 服務屬性

表 17–3 列出每個服務的策略、動態和使用者屬性。

表 17–3 Instant Messaging 的 Access Manager 屬性

服務 

策略屬性 

動態屬性 

使用者屬性 

sunIM 

sunIMAllowChat

sunIMAllowChatInvite

sunIMAllowForumAccess

sunIMAllowForumManage

sunIMAllowForumModerate

sunIMAllowAlertsAccess

sunIMAllowAlertsSend

sunIMAllowNewsAccess

sunIMAllowNewsManage

sunIMAllowFileTransfer

sunIMAllowContactListManage

sunIMAllowUserSettings

sunIMAllowPollingAccess

sunIMAllowPollingSend

sunIMProperties

sunIMRoster

sunIMConferenceRoster

sunIMNewsRoster

sunIMPrivateSettings

sunIMUserProperties

sunIMUserRoster

sunIMUserConferenceRoster

sunIMUserNewsRoster

sunIMUserPrivateSettings

sunPresence 

sunPresenceAllowAccess

sunPresenceAllowPublish

sunPresenceAllowManage

sunPresenceDevices

sunPresencePrivacy

sunPresenceEntityDevices

sunPresenceUserPrivacy

對於上述表格中的每一個屬性,Access Manager 管理主控台會顯示其對應的標籤。表 17–4 列出並描述策略屬性,而 表 17–5 則列出並描述動態與使用者屬性。

表 17–4 Instant Messaging 的 Access Manager 策略屬性

策略屬性 

管理主控台標籤 

屬性說明 

sunIMAllowChat

聊天的能力 

一般使用者可以被邀請加入聊天室並存取一般聊天功能 

sunIMAllowChatInvite

邀請他人聊天的能力 

一般使用者可以邀請其他人聊天 

sunIMAllowForumAccess

加入會議室的能力 

Instant Messenger 中會顯示會議標籤,允許一般使用者加入會議室 

sunIMAllowForumManage

管理會議室的能力 

一般使用者可以建立、刪除與管理會議室 

sunIMAllowForumModerate

主持會議室的能力 

一般使用者可以是會議主持人 

sunIMAllowAlertsAccess

接收警示的能力 

一般使用者可以從其他使用者接收警示 

sunIMAllowAlertsSend

傳送警示的能力 

一般使用者可以傳送警示給其他使用者 

sunIMAllowNewsAccess

閱讀新聞的能力 

Instant Messenger 中會顯示 [新聞] 按鈕,可以讓一般使用者列出新聞通道以接收與傳送新聞訊息 

sunIMAllowNewsManage

管理新聞通道的能力 

一般使用者可以管理新聞通道,並可以為新聞通道建立、刪除與指定權限 

sunIMAllowFileTransfer

交換檔案的能力 

一般使用者可以在警示、聊天與新聞訊息中新增附件 

sunIMAllowContactListManage

管理連絡人清單的能力 

一般使用者可以管理自己的連絡人清單;可以從清單新增與刪除使用者或群組;可以在連絡人清單中重新命名資料夾 

sunIMAllowUserSettings

管理 Messenger 的能力 

Instant Messenger 中會顯示 [設定] 按鈕,可以讓一般使用者變更其 Instant Messenger 設定 

sunIMAllowPollingAccess

接收輪詢的能力 

一般使用者可以從其他使用者接收輪詢訊息,也可以回應輪詢 

sunIMAllowPollingSend

傳送輪詢的能力 

Instant Messenger 中會顯示 [輪詢] 按鈕,可以讓一般使用者傳送輪詢訊息給其他使用者並接收回應 

sunPresenceAllowAccess

存取其他使用者線上狀態的能力 

一般使用者可以查看其他使用者的線上狀態。除了顯示連絡人以外,連絡人清單還可透過變更狀態圖示來反映連絡人的線上狀態變更 

sunPresenceAllowPublish

發佈線上狀態的能力 

一般使用者可以按一下以選取其狀態 (線上、離線、忙碌等),以供他人查看 

sunPresenceAllowManage

管理線上狀態存取的能力 

Instant Messenger 設定中會顯示 [存取] 標籤,讓一般使用者可以設定自己的預設線上狀態存取、線上狀態允許或線上狀態拒絕清單 

直接修改屬性

一般使用者可登入 Access Manager 管理主控台,並檢視 Instant Messaging 和線上狀態服務屬性中的屬性值。若屬性已定義為可修改,則一般使用者可以變更這些屬性。依預設,Instant Messaging 服務中的任何屬性都是不可修改的,也不建議允許一般使用者修改這些屬性。然而,從系統管理的觀點來看,直接處理屬性是相當有用的。

例如,由於角色不會影響某些系統屬性,如設定會議訂閱,因此系統管理員可以透過複製其他一般使用者 (例如從會議名冊) 的屬性值,來修改這些屬性的屬性值,或直接對其進行修改。這些屬性列於表 17–5 中。

一般使用者可透過 Sun Java System Access Manager 管理主控台設定使用者屬性。動態屬性由管理員設定。為動態屬性設定的值會覆寫或合併對應的使用者屬性值。

對應動態與使用者屬性本質會影響解決衝突與補充資訊的方式。例如,來自兩個來源 (動態和使用者) 的「會議訂閱」彼此互補,因此會合併訂閱。屬性不會互相覆寫。

表 17–5 Instant Messaging 的 Access Manager 使用者和動態屬性

管理主控台標籤 

使用者屬性 

動態屬性 

屬性說明 

衝突解決方案 

Messenger 設定 

sunIMUserProperties

sunIMProperties

包含所有 Instant Messenger 屬性,並對應至以檔案為基礎的使用者屬性儲存中的 user.properties 檔案

合併。除非特定特性的值來自使用者和動態屬性,否則動態屬性會加以覆寫。 

訂閱 

sunIMUserRoster

sunIMRoster

包含訂閱資訊 (使用者連絡人清單名冊) 

合併。如果使用者屬性和動態屬性中均存在 Jabber 識別碼,則會採用來自使用者屬性的暱稱,群組會是使用者屬性和動態屬性的所有群組的併集,訂閱值會是使用者值和動態值的最大值。 

會議訂閱 

sunIMUserConferenceRoster

sunIMConferenceRoster

包含會議室訂閱資訊 

合併。動態和使用者訂閱會合併,重複項目會被移除。 

新聞通道訂閱 

sunIMUserNewsRoster

sunIMNewsRoster

包含新聞通道訂閱資訊 

合併。動態和使用者訂閱會合併,重複項目會被移除。 

線上狀態代理程式 

sunPresenceEntityDevices

sunPresenceDevices

本版本未使用 (供未來版本使用) 

使用動態資訊。 

私密性 

sunPresenceUserPrivacy

sunPresencePrivacy

對應至 Instant Messenger 的私密性設定 

合併。如果有衝突,則使用動態值。 

Instant Messenger 喜好設定 

sunIMUserPrivateSettings

sunIMPrivateSettings

在此儲存 Messenger 設定中未儲存的私有喜好設定 

合併。 

預先定義的 Instant Messaging 和線上狀態策略

表 17–6 列出並描述當安裝 Instant Messaging 服務元件時,於 Sun Java System Access Manager 中建立的七個範例策略和角色。您可以根據要提供一般使用者的存取控制,將其新增至不同角色。

典型站點可能希望將「IM 一般使用者」角色 (接收預設 Instant Messaging 與線上狀態存取的角色) 指定給只使用 Instant Messenger 但不負責管理 Instant Messaging 策略的一般使用者。同一個站點可能會將「IM 管理員」角色 (與管理 Instant Messaging 和線上狀態服務能力相關聯的角色) 指定給完全負責管理 Instant Messaging 策略的特定一般使用者。表 17–7 列出策略屬性中的預設權限指定。若未在規則中選擇動作,則允許拒絕值與策略無關,且不會影響該屬性。

表 17–6 Sun Java System Access Manager 的預設策略和角色

策略 

套用策略的角色 

套用策略的服務 

策略說明 

預設的 Instant Messaging 和線上狀態存取權限 

IM 一般使用者 

sunIM、sunPresence 

標準的 Instant Messaging 一般使用者應擁有的預設存取權限。 

管理 Instant Messaging 和線上狀態服務的能力 

IM 管理員 

sunIM、sunPresence 

Instant Messaging 管理員所擁有的存取權限,可存取 Instant Messaging 的所有功能。 

管理 Instant Messaging 新聞通道的能力 

IM 新聞管理員 

sunIM 

一般使用者可以藉由建立、刪除等方法管理新聞通道 

管理 Instant Messaging 會議室的能力 

IM 會議室管理員 

sunIM 

一般使用者可以藉由建立、刪除等方法管理會議室 

變更自己的 Instant Messaging 使用者設定的能力 

IM 允許使用者設定角色 

sunIM 

一般使用者可透過修改 Instant Messenger 中 [設定] 對話方塊中的值來編輯設定值。 

傳送 Instant Messaging 警示的能力 

IM 允許傳送警示角色 

sunIM 

一般使用者可在 Instant Messenger 中傳送警示。 

查看其他 Instant Messaging 一般使用者變更的能力 

IM 允許查看變更規則 

sunIM 

一般使用者可以存取其他 Instant Messaging 一般使用者的線上狀態。 

表 17–7 預設策略指定
 

策略 

屬性 

預設存取 

可以管理 Instant Messaging 和線上狀態服務 

可以管理新聞通道 

可以管理會議室 

可以變更本身的一般使用者設定 

可以傳送警示 

可以查看其他使用者的變更 

sunIMAllowChat

允許 

允許 

         

sunIMAllowChatInvite

允許 

允許 

         

sunIMAllowForumAccess

允許 

允許 

 

允許 

     

sunIMAllowForumManage

拒絕 

允許 

 

允許 

     

sunIMAllowForumModerate

拒絕 

允許 

 

允許 

     

sunIMAllowAlertsAccess

允許 

允許 

     

允許 

 

sunIMAllowAlertsSend

允許 

允許 

     

允許 

 

sunIMAllowNewsAccess

允許 

允許 

允許 

       

sunIMAllowNewsManage

拒絕 

允許 

允許 

       

sunIMAllowFileTransfer

允許 

允許 

         

sunIMAllowContactListManage

允許 

允許 

         

sunIMAllowUserSettings

允許 

允許 

   

允許 

   

sunIMAllowPollingAccess

允許 

允許 

         

sunIMAllowPollingSend

允許 

允許 

         

sunPresenceAllowManage

允許 

允許 

         

sunPresenceAllowAccess

允許 

允許 

       

允許 

sunPresenceAllowPublish

允許 

允許 

         

建立新的 Instant Messaging 策略

您可以建立新策略以符合站點的特定需求。

Procedure建立新策略

  1. 登入 Access Manager 管理主控台,即 http://hostname :port/amconsole

    例如:

    http://imserver.company22.example.com:80/amconsole

  2. 選取 [身份識別管理] 標籤。

  3. 在瀏覽窗格 (框架左下角) 中,選取 [檢視] 下拉式清單中的 [策略]。

  4. 按一下 [新的]。

    資料窗格 (框架右下角) 中會顯示 [新的策略] 頁面。

  5. 在 [策略類型] 中選取 [一般]。

  6. 在 [名稱] 欄位中輸入策略說明。

    例如:


    可執行 IM 作業。

  7. 按一下 [建立]。

    Access Manager 管理主控台在瀏覽窗格的策略清單中顯示新策略的名稱,並開啟新策略的 [編輯] 頁面。

  8. 在 [編輯] 頁面中,選取 [檢視] 下拉式清單中的 [規則]。

    隨即在 [編輯] 頁面中顯示 [規則名稱服務資源] 面板。

  9. 按一下 [新增]。

    隨即顯示 [新增規則] 頁面。

  10. 選取要套用的服務。

    您可以選取 Instant Messaging 服務或線上狀態服務。

    每個服務均可讓您允許或拒絕一般使用者執行特定動作的能力。例如,「聊天的能力」是 Instant Messaging 服務特定的動作,而「存取其他使用者線上狀態的能力」則是線上狀態服務特定的動作。

  11. 在 [規則名稱] 欄位中輸入規則的說明。

    例如:


    規則 1

  12. 輸入適當的「資源名稱」。

    以下兩者擇一輸入:

    若為 Instant Messaging 服務,則為 IMResource

    若為線上狀態服務,則為 PresenceResource

  13. 選取您要套用的動作。

  14. 選取每個動作的值。

    您可以選取「允許」或「拒絕」。

  15. 按一下 [建立]。

    建議的規則會在該策略的已儲存規則清單中顯示。

  16. 按一下 [儲存]。

    建議的規則會變成已儲存規則。

  17. 對於任何您要套用在該策略的其他規則重複步驟 9-16。

將策略指定給角色、組織或使用者

您可以將策略指定給角色、群組、組織或使用者。其中包括預設策略或在安裝 Instant Messaging 後建立的策略。

Procedure指定策略

  1. 登入 Access Manager 管理主控台,即 http://hostname :port/amconsole

    例如:

    http://imserver.company22.example.com:80/amconsole

  2. 選取 [身份識別管理] 標籤。

  3. 在瀏覽窗格 (框架左下角) 中,選取 [檢視] 下拉式清單中的 [策略]。

  4. 按一下您要指定的策略名稱旁的箭頭。

    該策略的 [編輯] 頁面會出現在資料窗格 (框架右下角) 中。

  5. 在 [編輯] 頁中,選取 [檢視] 下拉式清單中的 [主旨]。

  6. 按一下 [新增]。

    隨即顯示 [新增主旨] 頁面,其中列出可能的主旨類型:

    • Access Manager 角色

    • LDAP 群組

    • LDAP 角色

    • LDAP 使用者

    • 組織

  7. 選取符合策略的主旨類型。

    例如,組織。

  8. 按 [下一步]。

  9. 在 [名稱] 欄位中輸入主旨的說明。

  10. (可選擇) 選取 [專用] 核取方塊。

    預設設定中沒有選取 [專用] 核取方塊,這意味著策略將套用至所有主旨成員。

    選取 [專用] 核取方塊,將策略套用至非主旨成員的每個使用者。

  11. 在 [可用] 欄位中搜尋要新增至主旨的項目。

    1. 鍵入您要搜尋之項目的搜尋條件。

      預設搜尋條件是 *,可顯示該主旨類型的所有主旨。

    2. 按一下 [搜尋]。

    3. 反白顯示要新增至 [已選取] 文字方塊的 [可用] 文字方塊中的項目。

    4. 按一下適用的 [新增] 或 [新增全部]。

    5. 重複步驟 a-d,直到您將所有需要的名稱新增至 [已選取] 文字方塊中。

  12. 按一下 [建立]。

    建議的主旨會出現在該策略所建議的主旨清單中。

  13. 按一下 [儲存]。

    建議的主旨會變成已儲存主旨。

  14. 對於任何您要新增至該策略的其他主旨重複步驟 9-16。

使用 Access Manager 建立新子組織

使用 Sun Java System Access Manager 建立子組織這一能力,可以在 Instant Messaging 伺服器內建立組織性獨立的人員。每個子組織可對映至不同的 DNS 網域。子組織中的一般使用者與其他子組織中的一般使用者是完全隔離的。以下程序說明為 Instant Messaging 建立新子組織的最少步驟。

Procedure建立新子組織

  1. 登入 Access Manager 管理主控台,即 http://hostname :port/amconsole

    例如:

    http://imserver.company22.example.com:80/amconsole

  2. 選取 [身份識別管理] 標籤。

  3. 建立新組織:

    1. 在瀏覽窗格 (框架左下角) 中,選取 [檢視] 下拉式清單中的 [組織]。

    2. 按一下 [新的]。

      資料窗格 (框架右下角) 中會顯示 [新的組織] 頁面。

    3. 輸入子組織的名稱。

      例如:


      sub1

    4. 輸入網域名稱。

      例如:


      sub1.company22.example.com

    5. 按一下 [建立]。

  4. 新建立子組織的註冊服務:

    1. 在瀏覽窗格中,按一下新子組織的名稱。

      例如,按一下 sub1。確定您按一下名稱,而非右邊的特性箭頭。

    2. 在導覽窗格的 [檢視] 下拉式清單中選取 [服務]。

    3. 按一下 [註冊]。

      隨即在資料窗格中顯示 [註冊服務] 頁面。

    4. 在 [認證] 標題下選取下列服務:

      • 核心

      • LDAP

    5. 在 [Instant Messaging 配置] 標題下選取下列服務:

      • Instant Messaging 服務

      • 線上狀態服務

    6. 按一下 [註冊]。

      為此子組織新選取的服務隨即顯示在瀏覽窗格中。

  5. 建立新選服務的服務範本:

    1. 在瀏覽窗格中,按一下服務的特性箭頭,由「核心」服務開始。

      [建立服務範本] 頁面會顯示在資料窗格中。

    2. 在資料窗格中,按一下 [建立]。

      隨即出現一個頁面,其中顯示您已選取服務的範本選項清單。

      即使您不希望修改範本選項,您還是應該在每個服務中按一下 [建立]。

    3. 依如下所述修改每個服務的服務範本選項:

      • 核心:一般而言,不需修改任何選項。

      • LDAP: 將新子組織的前綴新增至啟動使用者搜尋的 DN 欄位。

        在新增前綴後,最終 DN 應為如下格式:

        o=sub1,dc=company22,dc=example,dc=com

        超級使用者連結密碼超級使用者連結密碼 (確認)欄位中輸入 LDAP 密碼。

      • Instant Messaging 服務:一般而言,不需修改任何選項。

    4. 按一下 [儲存]。

    5. 重複步驟 a-d,直到您已為每個服務建立服務範本。

將角色指定給新子組織中的一般使用者

在子組織中建立新的一般使用者之後,需要為他們指定角色。角色可以繼承自父組織。

Procedure將角色指定給新子組織中的一般使用者

  1. 登入 Access Manager 管理主控台,即 http://hostname :port/amconsole

    例如:

    http://imserver.company22.example.com:80/amconsole

  2. 選取 [身份識別管理] 標籤。

  3. 在瀏覽窗格 (框架左下角) 中,選取 [檢視] 下拉式清單中的 [角色]。

  4. 按一下您想要指派的角色右側的特性箭頭。

    該角色的頁面會顯示在資料窗格 (框架右下角) 中。

  5. 在資料窗格的 [檢視] 下拉式清單中選取 [使用者]。

  6. 按一下 [新增]。

    隨即顯示 [新增使用者] 頁面。

  7. 輸入符合樣式以識別使用者。

    例如,在 UserId 欄位中輸入星號 *,會列出所有使用者。

  8. 按一下 [篩選器]。

    隨即顯示 [選取使用者] 頁面。

  9. 在 [選取使用者] 頁面上,核取 [顯示父系路徑] 核取方塊,並按一下 [重新整理]。

    隨即顯示父系路徑。

  10. 選取要指定給此角色的使用者。

  11. 按一下 [送出]。