数据存储库属性

本节定义用于配置每个新 Access Manager 数据存储库的属性。这些数据存储库属性是：

• Access Manager 系统信息库属性

• 平面文件系统信息库属性

• LDAPv3 属性

---

注 –

Active Directory、普通 LDAPv3 以及使用 Access Manager 模式的 Sun Directory Server 数据存储库类型共享相同的基本插件，因此配置属性是相同的。然而，对于每个数据存储库类型而言，某些属性的默认值是不同的，在 Access Manager 控制台中会相应地显示这些默认值。

---

Access Manager 系统信息库属性

用于配置 Access Manager 系统信息库插件的属性如下：

类名称

指定实现 Access Manager 系统信息库插件的类文件的位置。

Access Manager 支持的类型和操作

指定允许或可以在该 LDAP 服务器上执行的操作。只有默认操作才是受此 LDAPv3 系统信息库插件支持的操作。LDAPv3 系统信息库插件支持以下操作：

• 组 -- 读取、创建、编辑、删除

• 用户 -- 读取、创建、编辑、删除、服务

• 代理 -- 读取、创建、编辑、删除

可根据 LDAP 服务器设置和任务从上述列表删除权限，但不能添加其他权限。

如果已配置的 LDAPv3 系统信息库插件指向 Sun Java Systems Directory Server 的实例，则可添加角色类型的权限。否则，由于其他数据存储库可能不支持角色，从而可能无法添加该权限。“角色”类型的权限为：

• 角色 — 读取、创建、编辑、删除

如果用户类型是 LDAPv3 系统信息库所支持的类型，则可对该用户执行读取、创建、编辑和删除服务操作。换句话说，如果支持用户类型，则通过读取、创建、编辑和删除操作便可分别从身份系统信息库中读取、创建、编辑和删除用户条目。user=service 操作会使 Access Manager 服务访问用户条目中的属性。此外，如果将动态服务指定给用户所属的领域或角色，则用户可以访问动态服务属性。

用户也可以管理任意指定服务的用户属性。如果用户将 service 作为操作 (user=service)，则指定了对所有与服务相关的操作提供支持。这些操作是：assignService、unassignService、getAssignedServices、getServiceAttributes、removeServiceAttributes 和 modifyService。

组织 DN 值

定义指向 Access Manager 要管理的 Directory Server 中组织的DN。它将成为在该数据存储库内执行的所有操作的基 DN。

人员容器命名属性

如果用户驻留在人员容器中，则指定该人员容器的命名属性。如果用户没有驻留在人员容器中，则将该字段保留为空。

人员容器值

指定人员容器的值。默认值为 people。

代理容器命名属性

如果代理驻留在代理容器中，则指定该代理容器的命名属性。如果代理没有驻留在代理容器中，则将该字段保留为空。

代理容器值

指定代理容器的值。默认值为 agents。

递归搜索

如果启用，在 Access Manager 系统信息库中执行的搜索会对指定身份进行递归搜索。例如，在以下数据结构中执行递归搜索：

root
realm1
    subrealm11
        user5
    subrealm12
        user6
realm2
    user1
    user2
    subrealm21
        user3
        user4

会产生以下结果：

• 如果从 root 开始执行搜索，且未在该级别定义任何用户（除 amadmin 和 anonymous 以外），则搜索返回 user 1–6。

• 如果从 realm1 开始执行搜索且未定义任何用户，则搜索返回 user5 和 user6。

• 如果从 realm2 开始执行搜索（已定义两个用户），则搜索返回 user 1–4。

复制领域配置

若在领域模式安装中启用了该属性，Access Manager 将为系统信息库中存在的每个领域和子领域创建等效组织及子组织。此外，在领域/子领域中注册的服务还将在新创建的组织/子组织中进行注册。领域 DIT 和组织 DIT 均存在于数据存储库内。

平面文件系统信息库属性

用于配置平面文件系统信息库的属性如下：

文件系统信息库插件类名称

该属性指定为平面文件提供实现的 Java 类文件。不应修改该属性。

文件系统信息库目录

定义用于存储身份及其属性的基目录。

高速缓存

若为启用（默认），将对身份及其属性进行高速缓存。这样，后续请求就不会访问文件系统。

更新高速缓存的时间

启用高速缓存后，该属性将确定检查高速缓存的时间间隔（以分钟为单位），超过该间隔便会对高速缓存中的条目进行检查，以确定是否对文件系统进行过任何更改。检查机制以时间戳为基础。

文件用户对象类

定义创建用户时自动为用户添加的对象类。

密码属性

提供包含用于验证的密码的属性名。 该属性用于在启用“数据存储库”验证模块时对用户进行验证。

状态属性

提供存储身份状态的属性名。状态属性的值为活动或不活动。该属性在身份验证期间使用。如果身份为不活动，则不验证用户。

散列的属性

提供属性列表，这些属性的值将散列并存储于文件中。执行散列后，便无法获取原始值。只能对散列的值进行检索。某些用于验证的属性不应永久存储，使用散列便可确保这些属性的保密性。例如，身份的密码属性就是此类型属性的例子。

加密的属性

提供属性列表，这些属性的值将加密并存储于文件中。虽然对其进行了加密和存储，但调用身份系统信息库 API 仍可返回加密前的原始值。这可防止用户直接访问文件系统并读取敏感属性。

LDAPv3 属性

用于配置 LDAPv3 系统信息库插件的属性如下：

LDAP 服务器

输入要连接的 LDAP 服务器的名称。格式应为 hostname.domainname:portnumber。

如果输入多个 host:portnumber 条目，则会尝试连接到列表中的第一个主机。仅当尝试连接当前主机失败时，才会尝试列表中的下一个条目。

LDAP 绑定 DN

指定 Access Manager 将用来向当前连接的 LDAP 服务器验证的 DN 名称。拥有用于绑定的 DN 名称的用户应具有在LDAPv3 插件支持的类型和操作属性中配置的正确的添加/修改/删除权限。

LDAP 绑定密码

指定 Access Manager 将用来向当前连接的 LDAP 服务器验证的 DN 密码。

LDAP 绑定密码（确认）

确认密码。

LDAP 组织 DN

该数据存储库将映射到的 DN。它将成为在此数据存储库内执行的所有操作的基 DN。

LDAP SSL

启用后，Access Manager 将使用 HTTPS 协议连接到主服务器。

LDAP 连接池的最小尺寸

指定连接池中的初始连接数。使用连接池可避免每次都必须创建新的连接。

LDAP 连接池的最大尺寸

指定允许的最大连接数。

搜索返回的结果的最大数目

指定搜索操作所返回的最大条目数。如果达到该限制，Directory Server 将返回与搜索请求相匹配的任何条目。

搜索超时

指定分配给搜索请求的最长时间（以秒计）。如果达到该限制，Directory Server 将返回与搜索请求相匹配的任何搜索条目。

LDAP 遵循引用

如果启用该选项，将指定自动遵循其他 LDAP 服务器的引用。

LDAPv3 系统信息库插件类名称

指定实现 LDAPv3 系统信息库的类文件的位置。

常规属性名称映射

将框架已知的公共属性映射到本地数据存储库。例如，如果框架使用 inetUserStatus 确定用户状态，则本机数据存储库实际可能会使用 userStatus。属性定义区分大小写。

LDAPv3 插件支持的类型和操作

指定允许或可以在该 LDAP 服务器上执行的操作。只有默认操作才是受此 LDAPv3 系统信息库插件支持的操作。LDAPv3 系统信息库插件支持以下操作：

• 组 -- 读取、创建、编辑、删除

• 用户 -- 读取、创建、编辑、删除、服务

• 代理 -- 读取、创建、编辑、删除

可根据 LDAP 服务器设置和任务从上述列表删除权限，但不能添加其他权限。

如果已配置的 LDAPv3 系统信息库插件指向 Sun Java Systems Directory Server 的实例，则可添加角色类型的权限。否则，由于其他数据存储库可能不支持角色，从而可能无法添加该权限。“角色”类型的权限为：

• 角色 — 读取、创建、编辑、删除

如果用户类型是 LDAPv3 系统信息库所支持的类型，则可对该用户执行读取、创建、编辑和删除服务操作。换句话说，如果支持用户类型，则通过读取、创建、编辑和删除操作便可分别从身份系统信息库中读取、创建、编辑和删除用户条目。user=service 操作会使 Access Manager 服务访问用户条目中的属性。此外，如果将动态服务指定给用户所属的领域或角色，则用户可以访问动态服务属性。

用户也可以管理任意指定服务的用户属性。如果用户将 service 作为操作 (user=service)，则指定了对所有与服务相关的操作提供支持。这些操作是：assignService、unassignService、getAssignedServices、getServiceAttributes、removeServiceAttributes 和 modifyService。

LDAPv3 插件搜索范围

定义用于查找 LDAPv3 插件条目的范围。该范围必须为以下值之一：

• SCOPE_BASE

• SCOPE_ONE

• SCOPE_SUB（默认值）

LDAP 用户搜索属性

该字段用于定义搜索用户时使用的属性类型。例如，如果用户 DN 为 uid=user1,ou=people,dc=iplanet,dc=com，则命名属性为 uid。

LDAP 用户搜索过滤器

指定用于查找用户条目的搜索过滤器。

LDAP 用户对象类

指定用户的对象类。创建用户之后，用户对象类列表将被添加到该用户的属性列表中。

LDAP 用户属性

定义与用户相关的属性列表。禁止对不在列表之内的用户属性进行任何读/写尝试。属性区分大小写。在这里定义对象类和属性模式之前，必须先在 Directory Server 中定义对象类和属性模式。

LDAP 用户创建属性映射

指定创建用户时需要哪些属性。此属性使用下列语法：

DestinationAttributeName=SourceAttributeName

如果缺少源属性名，则默认为用户 ID (uid)。例如：

cn
sn=givenName

创建用户概要文件时，cn 和 sn 都是必需的。cn 获取名为 uid 的属性的值，sn 则获取名为 givenName 的属性的值。

用户状态属性

指定属性名以表示用户状态。

用户状态活动值

指定活动用户状态的属性名。默认值为活动。

用户状态非活动值

指定不活动用户状态的属性名。默认值为不活动。

LDAP 组搜索属性

该字段用于定义搜索组时使用的属性类型。默认值为 cn。

LDAP 组搜索过滤器

指定用于查找组条目的搜索过滤器。默认值为 (objectclass=groupOfUniqueNames)。

LDAP 组容器命名属性

如果组驻留在容器中，则指定组容器的命名属性。否则，该属性保留为空。例如，如果 cn=group1,ou=groups,dc=iplanet,dc=com 的组 DN 位于 ou=groups 中，则组容器命名属性为 ou。

LDAP 组容器值

指定组容器的值。例如，如果 cn=group1,ou=groups,dc=iplanet,dc=com 的组 DN 位于容器名 ou=groups 中，则组容器值应为 groups。

LDAP 组对象类

指定组的对象类。创建组之后，组属性列表中会添加此组对象类列表。

LDAP 组属性

定义与组相关的属性列表。禁止对不在列表之内的组属性进行任何读/写尝试。属性区分大小写。在这里定义对象类和属性模式之前，必须先在 Directory Server 中定义对象类和属性模式。

组成员资格属性

指定属性名称，该属性的值为包含 DN 的所有组的名称。默认值为 memberOf。

唯一成员属性

指定属性名称，该属性的值是该组所包含的某个 DN。默认值为 uniqueMember。

组成员 URL 属性

指定属性名称，该属性的值是可解析为该组所包含成员的 LDAP URL。默认值为 memberUrl。

LDAP 人员容器命名属性

如果用户驻留在人员容器中，则指定该人员容器的命名属性。如果用户没有驻留在人员容器中，则将该字段保留为空。

LDAP 人员容器值

指定人员容器的值。默认值为 people。

LDAP 代理搜索属性

该字段用于定义搜索代理时使用的属性类型。默认值为 uid。

LDAP 代理容器命名属性

如果代理驻留在代理容器中，则指定该代理容器的命名属性。如果代理没有驻留在代理容器中，则将该字段保留为空。

LDAP 代理容器值

指定代理容器的值。默认值为 agents。

LDAP 代理搜索过滤器

定义用于搜索代理的过滤器。LDAP 代理搜索属性将被置于此字段之前，以构成实际的代理搜索过滤器。

例如，如果 LDAP 代理搜索属性为 uid 且 LDAP 用户搜索过滤器为 (objectClass=sunIdentityServerDevice)，则实际的用户搜索过滤器将是：(&(uid=*)(objectClass=sunIdentityServerDevice))

LDAP 代理对象类

定义代理的对象类。创建代理之后，将在代理属性列表中添加此用户对象类列表

LDAP 代理属性

定义与代理相关的属性列表。禁止对不在列表之内的代理属性进行任何读/写尝试。属性区分大小写。在这里定义对象类和属性模式之前，必须先在 Directory Server 中定义对象类和属性模式。

可验证的身份类型

当领域的验证模块模式设置为“数据存储库”时，指定该数据存储库可验证用户和/或代理身份类型。

持久搜索基 DN

定义用于持久搜索的基 DN。某些 LDAPv3 服务器仅在根后缀级别上支持持久搜索。

持久搜索过滤器

定义可返回目录服务器条目的特定更改的过滤器。数据存储库只接收与所定义过滤器相匹配的更改。

重新启动前的持久搜索最长空闲时间

定义重新启动持久搜索前的最长空闲时间。该值必须大于 1。如果小于或等于 1，重新启动搜索时将不会考虑连接的空闲时间。

如果部署 Access Manager 时包括负载平衡器，则某些负载平衡器会在空闲指定的时间后超时。在这种情况下， 您为重新启动持久搜索前的最长空闲时间设置的值应该小于为负载平衡器指定的空闲时间。

出现错误代码后的最大重试次数

定义持久搜索操作遇到在“需要重试的 LDAP 异常错误代码”中指定的错误代码时，可以重试的最大次数。

重试之间的延时

指定每次重试之前的等待时间。仅适用于持久搜索连接。

需要重试的 LDAP 异常错误代码

指定需要重新执行持久搜索操作的错误代码。该属性仅适用于持久搜索，而非所有 LDAP 操作。

高速缓存

如果启用，Access Manager 便可对数据存储库中检索到的数据进行高速缓存。

高速缓存项的最大生存期

指定在高速缓存上删除数据之前，数据的最长存储时间。按秒来定义该值。

高速缓存的最大大小

指定高速缓存的最大大小。值越大，可存储的数据越多，但是这也需要更多的内存。按字节来定义该值。