Sun Java System Access Manager 7.1 管理指南

第 2 章管理领域

访问控制领域是可以与用户或用户组关联的一组验证属性和授权策略。领域数据存储于专有信息树中，该信息树由 Access Manager 在您指定的数据存储库中创建。Access Manager 框架在 Access Manager 信息树中聚集了每个领域所包含的策略和属性。默认情况下，Access Manager 会将 Access Manager 信息树作为特殊分支插入到 Sun Java Enterprise System Directory Server 中，但用户数据除外。您可以在使用任何 LDAPv3 数据库的同时使用访问控制领域。

有关领域的详细信息，参见《Sun Java System Access Manager 7.1 Technical Overview》。

在“领域”选项卡中，可以为访问控制配置以下属性：

创建和管理领域

本节说明了如何创建和管理领域。

创建新的领域

从“访问控制”选项卡下的“领域”列表中选择“新建”。

定义以下常规属性：

名称

输入领域名称。

父领域

定义要创建的领域的位置。选择要在其中创建新领域的父领域。

定义以下领域属性：

领域状态

选择“活动”或“不活动”状态。默认值为“活动”。在领域存在期间，可以随时选择属性图标以更改其状态。如果选择“不活动”，则当登录时，将禁止用户访问。

领域/DNS 别名

允许为领域的 DNS 名称添加别名。该属性只接受“真实的”域别名（不允许使用随机字符串）。

请单击“确认”保存或单击“取消”返回上一页面。

常规属性

“常规属性”页面显示领域的基本属性。要修改这些属性，请从“访问控制”选项卡下的“领域名称”列表中单击该领域。然后编辑以下属性：

领域状态: 选择“活动”或“不活动”状态。默认值为“活动”。在领域存在期间，可以随时选择属性图标以更改其状态。如果选择“不活动”，则当登录时，将禁止用户访问。
领域/DNS 别名: 允许为领域的 DNS 名称添加别名。该属性只接受“真实的”域别名（不允许使用随机字符串）。

编辑属性后，单击“保存”。

注 –

AMAdmin.dtd 中的 recursive=true 标志对于以领域模式在子领域中搜索对象不起作用。该标志只能在传统模式中发挥作用，因为所有子组织均位于相同的根后缀下。在领域模式下，每个子领域都可拥有不同的根后缀，甚至可以位于不同的服务器上。如果要在子领域中搜索对象（例如组），则必须在 XML 数据文件中指定要搜索的子领域。

验证

必须先将常规验证服务注册为领域的服务，用户才能使用其他验证模块登录。核心验证服务允许 Access Manager 管理员为领域的验证参数定义默认值。如果在指定的验证模块里没有定义替代值，那么便可使用这些值。核心验证服务的默认值在 amAuth.xml 文件中定义，并于安装结束后存储在 Directory Server 中。

有关详细信息，参见管理验证

服务

在 Access Manager 中，服务是由 Access Manager 控制台一起管理的一组属性。属性可以仅仅是一些相关信息，如雇员姓名、职务以及电子邮件地址。但是属性通常被用作软件模块（如邮件应用程序或工资单服务）的配置参数。

您可以通过“服务”选项卡在领域中添加并配置许多 Access Manager 默认的服务。您可以添加以下服务：

管理
搜索服务
全局化设置
密码重置
会话
用户

注 –

Access Manager 强制要求服务 .xml 文件中的必需属性具备一些默认值。如果服务的必需属性没有值，则需要添加默认值并重新加载服务。

向领域添加服务

单击要为其添加新服务的领域的名称。

选中“服务”选项卡。

单击“服务”列表中的“添加”。

选择要为领域添加的服务。

单击“下一步”。

通过定义领域属性来配置服务。有关服务属性的说明，参见联机帮助中的“配置”。

单击“完成”。

要编辑服务的属性，请在“服务”列表中单击其名称。

权限

Access Manager 中的委托模型基于已指定给管理员的权限（或权利）。权限是可对资源执行的操作（或行为）；例如对“策略”对象执行的 READ 操作。一组已定义的操作是 READ、MODIFY 和 DELEGATE。资源是可对其执行操作的对象，可以是配置对象，也可以是身份对象。

配置对象的示例是“验证配置”、“策略”、“数据存储库”等。身份对象的示例是“用户”、“组”、“角色”和“代理”。可动态创建一组权限并动态将其添加到 Access Manager，不过在安装期间，会将少量权限添加到 Access Manager 以使其正常运行。一旦加载权限后，就可将其指定给角色和组。属于这些角色和组的用户就可成为委托管理员，并且可执行已指定的操作。管理员基本上就是一些特定的用户，他们是已指定了一组或多组权限的角色和组的成员。

可通过 Access Manager 7.1 为以下管理员类型配置权限：

领域管理员 — 领域管理员拥有对所有对象（配置对象和身份对象）执行 READ、MODIFY 和 DELEGATE 操作的权限。可将领域管理员视为 Unix 系统中的“超级用户”。领域管理员可为所有服务创建子领域，修改配置，也可创建、修改以及删除“用户”、“组”、“角色”和“代理”。
策略管理员 — 策略管理员仅拥有管理策略和策略服务配置的权限。他们可以创建、修改以及删除由“规则”、“主题”、“条件”和“响应”属性组成的策略。不过，为了管理策略，这些管理员需要拥有读取“身份系统信息库主题”和“验证配置”的权限。这些管理员能查看身份和验证配置。
日志管理员 — 日志管理员具有读取和/或写入日志的权限，这些权限可用于防止审计日志被恶意应用程序恶意滥用。日志记录接口是公共接口，任何通过验证的用户都可以读取和写入日志记录，添加此权限正是为防止日志记录被滥用。日志记录接口的主要用户是 J2EE 和 Web 代理，他们只需要 MODIFY 权限，但不应该拥有 READ 权限。类似地，查看日志的管理员只应该拥有 READ 权限，而不应该拥有 MODIFY 权限。为满足这些类型的用法，又进一步将日志记录权限细分为如下：
- 拥有写入权限的日志管理员 – 这些管理员拥有写入所有日志文件的权限。
- 拥有读取权限的日志管理员 – 这些管理员拥有读取所有日志文件的权限。
- 拥有读写权限的日志管理员 – 这些管理员有权读取和写入所有日志文件。

定义 Access Manager 7.1 的权限

Access Manager 7.1 的新安装实例为策略管理员、领域管理员（或传统模式中的组织管理员）和日志管理员提供访问权限。单击您要进行编辑的角色或组的名称，可指定或修改权限。可选择的权限包括：

对所有日志文件的读写权限: 为日志管理员定义读写访问权限。
对所有日志文件的写入权限: 仅为日志管理员定义写入访问权限。
对所有日志文件的读取权限: 仅为日志管理员定义读取访问权限。
仅针对策略属性的读写访问权限: 为策略管理员定义读写访问权限。
所有领域和策略属性的读写访问权限: 为领域管理员定义读写访问权限。

为从 Access Manager 7.0 升级到 7.1 定义权限

如果已将 Access Manager 从版本 7.0 升级到 7.1，那么相关权限配置与新 Access Manager 7.1 安装有所不同，但仍然支持策略管理员、领域管理员和日志管理员的权限。单击您要进行编辑的角色或组的名称，可指定或修改权限。可选择的权限包括：

对数据存储库的只读访问: 为策略管理员定义数据存储库的读取访问权限。
对所有日志文件的读写权限: 为日志管理员定义读写访问权限。
对所有日志文件的写入权限: 仅为日志管理员定义写入访问权限。
对所有日志文件的读取权限: 仅为日志管理员定义读取访问权限。
仅针对策略属性的读写访问权限: 为策略管理员定义读写访问权限。
所有领域和策略属性的读写访问权限: 为领域管理员定义读写访问权限。
所有属性和服务的只读访问权限: 为策略管理员定义所有属性和服务的读取访问权限。

Access Manager 不支持以下定义（无论是单独使用还是一起使用）：

对数据存储库的只读访问
所有属性和服务的只读访问权限

这些权限定义必须和“仅针对策略属性的读写访问权限”定义一起使用，从而为策略管理员定义委托控制。

第 2 章 管理领域