Sun Java System Access Manager 7.1 管理指南

第 6 章 管理主题

“主题”界面启用领域中的基本身份管理。任何在“主题”界面中创建的身份都能在策略(以“Access Manager 身份主题”类型创建的策略)的主题定义中使用。

您可以创建和修改的身份包括:

用户

用户代表个体身份。可以在组中创建和删除用户,也可以在角色和/或组中添加或删除用户。还可以将服务指定给用户。

Procedure创建或修改用户

  1. 单击“用户”选项卡。

  2. 单击“新建”。

  3. 为以下字段输入数据:

    用户 ID。此字段中应填入用户用来登录到 Access Manager 的名称。此属性可以是一个非 DN 值。

    名字。此字段中应填入用户的名字。

    姓氏。此字段中应填入用户的姓氏。

    全名 — 此字段中应填入用户的全名。

    密码— 此字段中应填入“用户 ID”字段中所指定名称的密码。

    密码(确认)— 确认密码。

    用户状态。此选项指示是否允许用户通过 Access Manager 进行验证。

  4. 单击“创建”。

  5. 创建用户之后,您可以单击用户的名称来编辑用户信息。有关用户属性的信息,参见“用户”属性。您可以进行的其他修改包括:

Procedure向角色和组添加用户

  1. 单击所要修改的用户的名称。

  2. 选择角色或组。仅显示已指定给用户的那些角色和组。

  3. 从“可用”列表中选择角色或组,然后单击“添加”。

  4. 当“选定”列表中显示所选的角色或组时,单击“保存”。

Procedure向身份添加服务

  1. 选择您要添加服务的身份。

  2. 单击“服务”选项卡。

  3. 单击“添加”。

  4. 根据您选择的身份类型,将显示以下服务列表:

    • 验证配置

    • 搜索服务

    • Liberty 个人配置文件服务

    • 会话

    • 用户

  5. 选择您要添加的服务,然后单击“下一步”。

  6. 编辑服务的属性。有关服务的说明,请单击步骤 4 中服务的名称。

  7. 单击“完成”。

代理配置文件

Access Manager 策略代理对 Web 服务器和 Web 代理服务器上的内容提供保护以防止未授权的侵入。它们基于管理员配置的策略来控制对服务和 Web 资源的访问。

代理对象定义了“策略代理”配置文件,并允许 Access Manager 存储与保护 Access Manager 资源的特定代理有关的验证及其他配置文件信息。通过 Access Manager 控制台,管理员可以查看、创建、修改和删除代理配置文件。

可以在代理对象创建页面定义代理用于通过 Access Manager 进行验证的 UID/密码。如果有多个使用相同 Access Manager 设置的 Web 容器,您可以选择为不同的代理启用多个 ID 并且可以从 Access Manager 单独将其启用和禁用。您也可以集中管理代理的一些首选项值,而不必在每台计算机上都编辑 AMAgent.properties

Procedure创建或修改代理

  1. 单击“代理”选项卡。

  2. 单击“新建”。

  3. 输入以下字段的值:

    名称。输入代理的名称或身份。此名称是代理用来登录的名称。不接受多字节用户名称。

    密码。输入代理的密码。此密码必须与在 LDAP 验证过程中代理所使用的密码不同。

    确认密码。确认密码。

    设备状态。输入代理的设备状态。如果设置为“活动”,则代理可以通过进行验证并与 Access Manager 进行通信。如果设置为“不活动”,则代理不能通过 Access Manager 进行验证。

  4. 单击“创建”。

  5. 创建代理之后,您可以另外编辑以下字段:

    说明。输入代理的简短说明。例如,可以输入代理实例名称或其保护的应用程序的名称。

    代理关键字值。使用关键字/值对设置代理属性。Access Manager 使用此属性接收有关用户的证书声明的代理请求。当前仅一个属性有效,所有其他属性都将被忽略。请使用以下格式:

    agentRootURL=protocol:// hostname:port/

    条目必须准确,而且 agentRootURL 区分大小写。

    protocol

    代表所使用的协议,即 HTTP 或 HTTPS。

    hostname

    代表代理所驻留的计算机的主机名。此计算机也托管由代理保护的资源。

    port

    代表安装代理的端口号。代理侦听此端口上的接收通信,并拦截所有要访问主机资源的请求。

配置 Access Manager 以防止 Cookie 劫持

Cookie 劫持就是指冒名顶替者(可能是使用不可信应用程序的黑客)对 cookie 进行未授权的访问 。如果被劫持的 cookie 是会话 cookie,则根据系统的配置方式,cookie 劫持可能增加对受保护 Web 资源的未授权访问威胁。

Sun 文档提供标题为“Precautions Against Session-Cookie Hijacking in an Access Management Deployment”(在访问管理部署中防止会话 Cookie 劫持的预防措施)的技术说明,该说明介绍要对抗与会话 cookie 劫持相关的特定安全威胁可采取的预防措施参见以下文档:

《Technical Note: Precautions Against Cookie Hijacking in an Access Manager Deployment》

过滤的角色

过滤的角色是用 LDAP 过滤器创建的动态角色。在创建角色时,会通过过滤器过滤所有用户并为其指定该角色。 过滤器会查找条目中的所有属性值对(例如,ca=user*),并自动将包含该属性的用户指定给角色。

Procedure创建过滤的角色

  1. 在“浏览”窗格中,找到要在其中创建角色的组织。

  2. 单击“新建”。

  3. 输入过滤的角色的名称。

  4. 输入搜索条件信息。

    例如,


    (&(uid=user1)(|(inetuserstatus=active)(!(inetuserstatus=*))))

    如果过滤器保留为空,将默认创建以下角色:


    (objectclass = inetorgperson)
  5. 单击“创建”以基于过滤条件启动搜索。由过滤条件定义的身份将会自动指定给角色。

  6. 创建过滤的角色后,单击角色的名称可查看属于该角色的“用户”。此外,还可以通过单击“服务”选项卡将服务添加到角色。

角色

角色的成员是指拥有该角色的 LDAP 条目。角色本身的条件被定义为具有属性的 LDAP 条目,由条目的标识名 (Distinguished Name, DN) 属性来标识。创建角色之后,请手动添加服务和用户。

Procedure创建或修改角色

  1. 单击“角色”选项卡。

  2. 在“角色”列表中单击“新建”。

  3. 输入角色的名称。

  4. 单击“创建”。

Procedure向角色或组添加用户

  1. 单击要为其添加用户的角色或组的名称。

  2. 单击“用户”选项卡。

  3. 从“可用”列表中选择您要添加的用户,并单击“添加”。

  4. 当“选定”列表中显示所选的用户时,单击“保存”。

代表具有共同功能、特性或利益的用户集合。通常来说,这种分组不会涉及权限。组可存在于两个级别,分别是组织和其他受管组中。

Procedure创建或修改组

  1. 单击“组”选项卡。

  2. 在“组”列表中单击“新建”。

  3. 输入组的名称。

  4. 单击“创建”。

    创建组之后,您可以单击组的名称,然后单击“用户”选项卡,将用户添加到组。