第 3 章 資料存放區

資料存放區是一個資料庫，您可在其中儲存使用者屬性與使用者配置資料。Access Manager 提供可連線至 LDAPv3 識別儲存庫架構的識別儲存庫外掛程式。這些外掛程式可讓您檢視並擷取 Access Manager 使用者資訊，而無需對您現有的使用者資料庫進行變更。Access Manager 架構整合識別儲存庫外掛程式的資料與其他 Access Manager 外掛程式的資料以形成每位使用者的虛擬識別。Access Manager 稍後可在多個識別儲存庫間的認證與授權程序中使用通用識別。當使用者階段作業結束時，將銷毀虛擬使用者識別。

Access Manager 資料存放區類型

本節描述您可配置的資料存放區類型，也提供建立新資料存放區類型的步驟以及配置它們的方法。

您可以針對下列任一資料存放區類型建立新的資料存放區實例︰

Access Manager 儲存庫外掛程式

此資料存放區類型位於 Sun Java System Directory Server 實例中，並保存 Access Manager 資訊樹狀結構。此資料存放區類型使用不屬於 LDAP 版本 3 規格的 Directory Server 功能 (如角色及服務類別)，並與先前版本的 Access Manager 相容。

Active Directory

此資料存放區類型使用 LDAP 版本 3 規格向 Microsoft Active Directory 的實例寫入識別資料。

平面檔案儲存庫

此儲存庫可讓您在 Access Manager 的本機安裝實例上以平面 DIT 結構儲存資料及識別，而不必建立個別的資料存放區。它通常用來測試或驗證概念部署。

通用 LDAPv3

此資料存放區類型可讓您向任何與 LDAPv3 相容的資料庫寫入識別資料。如果您使用的 LDAPv3 資料庫不支援持續搜尋，則無法使用快取功能。

具有 Access Manager 模式的 Sun Directory Server

此資料存放區類型位於 Sun Java System Directory Server 實例中，並保存 Access Manager 資訊樹狀結構。它與 Access Manager 儲存庫外掛程式的不同之處在於，後者有更多配置屬性可讓您更好地自訂資料存放區。

建立新的資料存放區

下節將描述連線資料存放區的步驟。

1. 選取要增加資料存放區的範圍。

2. 按一下 [資料存放區] 標籤。

3. 按一下 [資料存放區] 清單中的 [新建]。

4. 輸入資料存放區的名稱。

5. 選取要建立的資料存放區類型。

6. 按 [下一步]。

7. 輸入適當的屬性值以配置資料存放區。

8. 按一下 [完成]。

資料存放區屬性

本節定義用來配置每個新 Access Manager 資料存放區的屬性。資料存放區屬性為︰

• Access Manager 儲存庫屬性

• 平面檔案儲存庫屬性

• LDAPv3 屬性

---

備註 –

Active Directory、通用 LDAPv3 以及具有 Access Manager 模式的 Sun Directory Server 資料存放區類型共用相同的基礎外掛程式，因此配置屬性都一樣。但是，對每一種資料存放區類型而言，其中有些屬性的預設值會不同，這些值會對應顯示在 Access Manager 主控台中。

---

Access Manager 儲存庫屬性

下列屬性用於配置 Access Manager 儲存庫外掛程式：

類別名稱

指定實作 Access Manager 儲存庫外掛程式的類別檔案位置。

Access Manager 支援的類型和作業

指定 LDAP 伺服器允許的或可執行的作業。預設作業是僅限於此 LDAPv3 儲存庫外掛程式支援的作業。以下是「LDAPv3 儲存庫外掛程式」支援的作業：

• 群組 — 讀取、建立、編輯、刪除

• 使用者 — 讀取、建立、編輯、刪除、服務

• 代理程式 — 讀取、建立、編輯、刪除

可根據您的 LDAP 伺服器設定及作業從上述清單中移除權限，但您不能增加更多權限。

如果所配置的 LDAPv3 儲存庫外掛程式指向 Sun Java Systems Directory Server 的實例，則可以增加角色類型的權限。否則，由於其他資料存放區可能不支援角色，或許不能增加此權限。「角色」類型的權限為：

• 角色 — 讀取、建立、編輯、刪除

如果將使用者做為 LDAPv3 儲存庫支援的類型，則該使用者可以進行讀取、建立、編輯及刪除服務作業。換句話說，如果使用者是受支援的類型，則讀取、編輯、建立及刪除作業可讓您讀取、編輯、建立及刪除識別儲存庫中的使用者項目。user=service 作業可讓 Access Manager 服務存取使用者項目中的屬性。此外，如果為使用者所屬的範圍或角色指定了動態服務，則使用者也可以存取動態服務屬性。

使用者還能管理所有指定服務的使用者屬性。如果使用者將 service 做為作業 (user=service)，則它會指定所有服務相關的作業均受支援。這些作業包括 assignService、unassignService、getAssignedServices、getServiceAttributes、removeServiceAttributes 及 modifyService。

組織 DN 值

定義指向 Access Manager 管理的 Directory Server 中組織的 DN。此將做為於資料存放區中執行之所有作業的基底 DN。

使用者容器命名屬性

使用者存在於使用者容器中時，指定使用者容器的命名屬性。若使用者並未位於使用者容器中，此欄位應為空白。

使用者容器值

指定使用者容器值。預設值為 people。

代理程式容器命名屬性

若代理程式位於一個代理程式容器中，則為代理程式容器的命名屬性。若代理程式並未位於代理程式容器中，此欄位應為空白。

代理程式容器值

指定代理程式容器值。預設值為 agents。

遞迴搜尋

若啟用，則在 Access Manager 儲存庫中執行的搜尋會針對指定的識別進行遞迴搜尋。例如，對下列資料結構執行遞迴搜尋：

root
realm1
    subrealm11
        user5
    subrealm12
        user6
realm2
    user1
    user2
    subrealm21
        user3
        user4

會產生下列結果：

• 如果從 root 開始執行搜尋，而且該層級上沒有定義任何使用者 (amadmin 及 anonymous 除外)，則搜尋會傳回 user 1–6。

• 如果從 realm1 開始執行搜尋，而且沒有定義任何使用者，則搜尋會傳回 user5 及 user6。

• 如果從 realm2 開始執行搜尋 (定義了 2 位使用者)，則搜尋會傳回 user 1–4。

複製範圍配置

如果在範圍模式安裝中啟用了此屬性，則 Access Manager 會為每個存在於儲存庫中的範圍及子範圍建立等同的組織及子組織。此外，在範圍/子範圍中註冊的服務也會在新建立的組織/子組織中進行註冊。範圍 DIT 及組織 DIT 均存在於資料存放區內。

平面檔案儲存庫屬性

下列屬性用於配置平面檔案儲存庫：

檔案儲存庫外掛程式類別名稱

此屬性指定可提供平面檔案實作的 Java 類別檔案。此屬性不得修改。

檔案儲存庫目錄

定義存放識別及其屬性的基底目錄。

快取

若啟用 (預設值)，則會快取識別及其屬性。從而後續請求將不會存取檔案系統。

更新快取的時間

若啟用了快取，則此屬性決定檢查快取的時間間隔 (以分鐘為單位)，即在該時間間隔之後檢查快取中的項目，以確定有無對檔案系統進行過任何變更。檢查機制基於時間戳記。

檔案使用者物件類別

定義建立使用者時要自動增加至使用者的物件類別。

密碼屬性

提供包含用於認證之密碼的屬性名稱。若啟用了「資料存放區」認證模組，則此屬性用於認證使用者。

狀態屬性

提供儲存識別狀態的屬性名稱。狀態屬性的值是使用中或非使用中。認證識別期間會使用狀態屬性。如果識別是非使用中，則不會認證使用者。

雜湊的屬性

提供一份屬性值將雜湊且儲存在檔案內的屬性清單。一旦雜湊，就無法取得原始值。只能擷取雜湊的值。這可用來確保特定屬性不應永久儲存 (但需用於驗證) 情況下的私密性。識別的密碼屬性即為此類屬性的範例。

已加密的屬性

提供一份屬性值將加密且儲存在檔案內的屬性清單。雖然屬性經過加密及儲存，但呼叫識別存放區 API 仍會傳回原來未加密的值。這樣可防止使用者直接存取檔案系統並讀取機密屬性。

LDAPv3 屬性

下列屬性用於配置 LDAPv3 儲存庫外掛程式：

LDAP 伺服器

輸入您要連線的 LDAP 伺服器名稱。格式應為 hostname.domainname:portnumber。

如果輸入了多個 host:portnumber 項目，則會嘗試連線清單中的第一個主機。僅當連線至目前主機失敗時，才會嘗試清單中的下一個項目。

LDAP 連結 DN

指定 Access Manager 將用來向您目前所連線之 LDAP 伺服器認證的 DN 名稱。具有連結所用之 DN 名稱的使用者應具有您於LDAPv3 外掛程式支援的類型和作業屬性中配置之正確的增加/修改/刪除權限。

LDAP 連結密碼

指定 Access Manager 將用來向您目前所連線之 LDAP 伺服器認證的 DN 密碼。

LDAP 連結密碼 (確認)

確認密碼。

LDAP 組織 DN

此資料存放區將對映的 DN 。此將為於此資料存放區中執行之所有作業的基底 DN。

LDAP SSL

當啟用時，Access Manger 將使用 HTTPS 協定連線至主伺服器。

LDAP 連線池最小大小

指定連線池中的初始連線數目。使用連線池就不必每次都建立新的連線。

LDAP 連線池最大大小

指定允許的最大連線數目。

從搜尋傳回的最多結果

指定搜尋作業傳回項目的最大數目。若已達到上限，Directory Server 會傳回任何符合搜尋請求的項目。

搜尋逾時

指定為搜尋請求配置的最大秒數。若已達到上限，Directory Server 會傳回任何符合搜尋請求的搜尋項目。

LDAP 依照參照

若啟用，此選項指定自動跟隨其他 LDAP 伺服器的參照。

LDAPv3 儲存庫外掛程式類別名稱

指定實作 LDAPv3 儲存庫的類別檔案的位置。

一般屬性名稱對映

使架構所知的通用屬性對映至本機資料存放區。例如，若架構使用 inetUserStatus 來決定使用者狀態，則本機資料存放區可能實際使用 userStatus。屬性定義區分大小寫。

LDAPv3 外掛程式支援的類型和作業

指定 LDAP 伺服器允許的或可執行的作業。預設作業是僅限於此 LDAPv3 儲存庫外掛程式支援的作業。以下是「LDAPv3 儲存庫外掛程式」支援的作業：

• 群組 — 讀取、建立、編輯、刪除

• 使用者 — 讀取、建立、編輯、刪除、服務

• 代理程式 — 讀取、建立、編輯、刪除

可根據您的 LDAP 伺服器設定及作業從上述清單中移除權限，但您不能增加更多權限。

如果所配置的 LDAPv3 儲存庫外掛程式指向 Sun Java Systems Directory Server 的實例，則可以增加角色類型的權限。否則，由於其他資料存放區可能不支援角色，或許不能增加此權限。「角色」類型的權限為：

• 角色 — 讀取、建立、編輯、刪除

如果將使用者做為 LDAPv3 儲存庫支援的類型，則該使用者可以進行讀取、建立、編輯及刪除服務作業。換句話說，如果使用者是受支援的類型，則讀取、編輯、建立及刪除作業可讓您讀取、編輯、建立及刪除識別儲存庫中的使用者項目。user=service 作業可讓 Access Manager 服務存取使用者項目中的屬性。此外，如果為使用者所屬的範圍或角色指定了動態服務，則使用者也可以存取動態服務屬性。

使用者還能管理所有指定服務的使用者屬性。如果使用者將 service 做為作業 (user=service)，則它會指定所有服務相關的作業均受支援。這些作業包括 assignService、unassignService、getAssignedServices、getServiceAttributes、removeServiceAttributes 及 modifyService。

LDAPv3 外掛程式搜尋範圍

定義用於尋找 LDAPv3 外掛程式項目的範圍。此範圍必須為以下一種：

• SCOPE_BASE

• SCOPE_ONE

• SCOPE_SUB (預設)

LDAP 使用者搜尋屬性

此欄位定義對使用者進行搜尋的屬性類型。例如，如果使用者的 DN 是 uid=user1,ou=people,dc=iplanet,dc=com，則命名屬性是 uid。

LDAP 使用者搜尋篩選器

指定用於尋找使用者項目的搜尋篩選器。

LDAP 使用者物件類別

指定使用者的物件類別。建立使用者時，本使用者物件類別清單將增加至使用者的屬性清單。

LDAP 使用者屬性

定義與使用者相關聯的屬性清單。不允許讀取/寫入任何不在此清單上的使用者屬性。這些屬性區分大小寫。於此處定義物件類別與屬性模式之前，必須在 Directory Server 中定義物件類別與屬性模式。

LDAP 使用者建立屬性對映

指定建立使用者時需要哪些屬性。此屬性使用下列語法：

DestinationAttributeName=SourceAttributeName

如果缺少來源屬性名稱，則預設值是使用者 ID (uid)。例如：

cn
sn=givenName

若要建立使用者設定檔，則 cn 和 sn 都是必要的。cn 取得屬性 uid 的值，而 sn 取得屬性 givenName 的值。

使用者狀態屬性

指定可指示使用者狀態的屬性名稱。

使用者狀態使用中的值

指定使用中使用者狀態的屬性名稱。預設值為使用中。

使用者狀態非使用中的值

指定非使用中使用者狀態的屬性名稱。預設值為非使用中。

LDAP 群組搜尋屬性

此欄位定義對群組進行搜尋的屬性類型。預設值為 cn。

LDAP 群組搜尋篩選器

指定用於尋找群組項目的搜尋篩選器。預設值為 (objectclass=groupOfUniqueNames)。

LDAP 群組容器命名屬性

若群組存在於容器中，指定群組容器的命名屬性。否則，此屬性將為空白。例如，若 cn=group1,ou=groups,dc=iplanet,dc=com 的群組 DN 位於 ou=groups 之中，則群組容器命名屬性為 ou。

LDAP 群組容器值

指定群組容器值。例如，如果 cn=group1,ou=groups,dc=iplanet,dc=com 的群組 DN 位於容器名稱 ou=groups 之中，則群組容器值應為 groups。

LDAP 群組物件類別

指定群組的物件類別。建立群組時，本群組物件類別清單將增加至群組的屬性清單。

LDAP 群組屬性

定義與群組相關聯的屬性清單。不允許讀取/寫入任何不在此清單上的群組屬性。這些屬性區分大小寫。於此處定義物件類別與屬性模式之前，必須在 Directory Server 中定義物件類別與屬性模式。

群組成員身份屬性

指定屬性名稱，其值為 DN 所屬之所有群組的名稱。預設值為 memberOf。

唯一成員屬性

指定屬性名稱，其值為屬於此群組的 DN。預設值為 uniqueMember。

群組成員 URL 屬性

指定屬性名稱，其值為一個 LDAP URL，可解析為此群組的成員。預設值為 memberUrl。

LDAP 使用者容器命名屬性

使用者存在於使用者容器中時，指定使用者容器的命名屬性。若使用者並未位於使用者容器中，此欄位應為空白。

LDAP 使用者容器值

指定使用者容器值。預設值為 people。

LDAP 代理程式搜尋屬性

此欄位定義對代理程式進行搜尋的屬性類型。預設值為 uid。

LDAP 代理程式容器命名屬性

若代理程式位於一個代理程式容器中，則為代理程式容器的命名屬性。若代理程式並未位於代理程式容器中，此欄位應為空白。

LDAP 代理程式容器值

指定代理程式容器值。預設值為 agents。

LDAP 代理程式搜尋篩選器

定義用來搜尋代理程式的篩選器。LDAP 代理程式搜尋屬性置於此欄位之前以形成實際代理程式搜尋篩選器。

例如，若 LDAP 代理程式搜尋屬性為 uid，而 LDAP 使用者搜尋篩選器為 (objectClass=sunIdentityServerDevice)，則實際使用者搜尋篩選器將為：(&(uid=*)(objectClass=sunIdentityServerDevice))

LDAP 代理程式物件類別

定義代理程式的物件類別。建立代理程式時，本使用者物件類別清單將增加至代理程式的屬性清單。

LDAP 代理程式屬性

定義與代理程式相關聯的屬性清單。不允許讀取/寫入任何不在此清單上的代理程式屬性。這些屬性區分大小寫。於此處定義物件類別與屬性模式之前，必須在 Directory Server 中定義物件類別與屬性模式。

可認證的識別類型

指定當範圍的認證模組模式設定為「資料存放區」時，資料存放區可以認證使用者及/或代理程式識別類型。

持續搜尋基底 DN

定義用於持續搜尋的基底 DN。某些 LDAPv3 伺服器僅在根尾碼層級上支援持續搜尋。

持續搜尋篩選器

定義可傳回目錄伺服器項目之特定變更的篩選器。資料存放區只會接收與定義的篩選器相符的變更。

重新啟動前持續搜尋最長閒置時間

定義重新啟動持續搜尋之前的最大閒置時間。此值必須大於 1。若值小於或等於 1，則無論連線的閒置時間為何，皆將重新啟動搜尋。

若 Access Manager 與負載平衡器同時部署，則某些負載平衡器將在閒置一段特定時間後逾時。在此情況下，您應該將 [重新啟動前持續搜尋最長閒置時間] 設定為一個小於負載平衡器之特定時間的值。

出現錯誤碼後的最大重試次數

定義遇到 [需要重試的 LDAPException 錯誤碼] 中指定的錯誤碼時，持續搜尋作業的最大重試次數。

重試之間的延遲時間

指定每次重試前的等待時間。僅適用於持續搜尋連線。

需要重試的 LDAPException 錯誤碼

指定需要重新啟動持續搜尋作業的錯誤碼。此屬性僅適用於持續搜尋，並不適用於所有 LDAP 作業。

快取

若啟用，則可讓 Access Manager 快取從資料存放區擷取的資料。

快取項目的最長保留時間

指定資料在被移除之前要儲存在快取中的最長時間。以秒為單位定義值。

快取的最大大小

指定快取的最大大小。值越大，可儲存的資料越多，但也需要更多記憶體。以位元組為單位定義值。