Sun Java System Access Manager 7.1 管理指南

Procedure通过 JCE 提供者启用安全日志记录

  1. 使用 Java 的 keytool 命令创建名为 Logger 的证书,并将其安装在 JKS 密钥库中。例如:

    JAVA-HOME/jre/lib/security/Logger.jks

    有关 Application Server 的说明,参见《Sun Java System Application Server Enterprise Edition 8.2 管理指南》中的《Sun Java System Application Server Enterprise Edition 8.2 Administration Guide》中的“Working with Certificates and SSL”

    有关 Web Server 的说明,参见《Sun Java System Web Server 7.0 管理员指南》中的《Sun Java System Web Server 7.0 Administrator’s Guide》中的“Managing Certificates”

  2. 使用 Access Manager 控制台打开“日志记录服务”配置中的“安全日志记录”,然后保存更改。管理员也可修改“日志记录服务”中其他属性的默认值。

    如果日志记录目录从默认值 (/var/opt/SUMWam/logs) 进行了更改,则确保将权限设置为 0700。日志记录服务将创建目录(如果不存在),但它会按设置权限为 0755 的情况来创建目录。

    另外,如果指定了与默认目录不同的其他目录,则必须将 Web 容器的 server.policy 文件中的以下参数更改为新的目录:

    permission java.io.FilePermission “/var/opt/SUNWam/logs/*”,”delete,write”

  3. 在包含 JKS 密钥库密码的 AccessManager-base/SUNWam/config 目录下创建一个文件,然后将其命名为 .wtpass


    注 –

    可在 AMConfig.properties 文件中配置其文件名和路径。有关详细信息,参见 Access Manager Administration Reference 中 AMConfig.properties 文件参考章节内的“Certificate Database”。

    出于安全考虑,应确保部署容器用户是唯一拥有读取该文件权限的管理员。


  4. 编辑位于 AccessManager-base/config/xml 目录中的 amLogging.xml 内的以下条目:


    sun-am-logging-secure-log-helper
    
                    <AttributeSchema name="iplanet-am-logging-secure-log-helper"
                        type="single"
                        syntax="string"
                        i18nKey="">
                        <DefaultValues>
                            <Value>com.sun.identity.log.secure.impl.SecureLogHelperJCEImpl</Value>
                        </DefaultValues>
                    </AttributeSchema>
    
     sun-am-logging-secure-certificate-store
    
                    <AttributeSchema name="iplanet-am-logging-secure-certificate-store"
                        type="single"
                        syntax="string"
                        i18nKey="">
                        <DefaultValues>
                            <Value>/dir-to-signing-cert-store/Logger.jks</Value>
                        </DefaultValues>
                    </AttributeSchema>
  5. 删除现有的服务模式 iPlanetAMLoggingService。例如:

    ./amadmin -u amadmin -w netscape -r iPlanetAMLoggingService

  6. 使用 amadmin 命令行工具将已编辑的 amLogging.xml 加载到 Access Manager 中。例如:

    ./amadmin -u amadmin -w netscape -s /etc/opt/SUNWam/config/xml/amLogging.xml

  7. 重新启动服务器。

    要检测未授权的安全日志更改或篡改,请查找由验证程序写入 /var/opt/SUNWam/debug/amLog 的错误信息。要手动检查篡改,请运行 VerifyArchive 实用程序。有关详细信息,参见 Access Manager Administration Reference 中的 VerifyArchive 命令行章节。