透過 JCE 提供者啟用安全記錄
-
使用 Java keytool 指令建立稱為 Logger 的憑證,並將它安裝在 JKS 金鑰庫中。例如:
JAVA-HOME/jre/lib/security/Logger.jks
如需 Application Server 的說明,請參閱「Sun Java System Application Server Enterprise Edition 8.2 Administration Guide」中的「Working with Certificates and SSL」。
如需 Web Server 的說明,請參閱「Sun Java System Web Server 7.0 Administrator’s Guide」中的「Managing Certificates」。
-
在 Access Manager 主控台中,開啟 [記錄服務] 配置中的 [安全記錄],並儲存此變更。管理員亦可修改 [記錄服務] 中其他屬性的預設值。
若記錄目錄預設值 (/var/opt/SUMWam/logs) 有所變更,請確定將其權限設為 0700。若此目錄不存在,記錄服務會建立此目錄,但它會建立權限設為 0755 的目錄。
此外,若您指定和預設不同的目錄,必須將 Web 容器的 server.policy 檔案中的以下參數更改為新的目錄:
permission java.io.FilePermission “/var/opt/SUNWam/logs/*”,”delete,write”
-
在包含 JKS 金鑰庫密碼的 AccessManager-base/SUNWam/config 目錄中建立檔案,並將之命名為 .wtpass。
備註 –其檔名和路徑可在 AMConfig.properties 檔中配置。如需更多資訊,請參閱「Access Manager Administration Reference」中 AMConfig.properties 檔案參照一章裡的「Certificate Database」。
請確定部署容器使用者為因安全性理由對此檔案有讀取權限的管理員。
-
在位於 AccessManager-base/config/xml 目錄的 amLogging.xml 中,編輯下列項目:
sun-am-logging-secure-log-helper <AttributeSchema name="iplanet-am-logging-secure-log-helper" type="single" syntax="string" i18nKey=""> <DefaultValues> <Value>com.sun.identity.log.secure.impl.SecureLogHelperJCEImpl</Value> </DefaultValues> </AttributeSchema> sun-am-logging-secure-certificate-store <AttributeSchema name="iplanet-am-logging-secure-certificate-store" type="single" syntax="string" i18nKey=""> <DefaultValues> <Value>/dir-to-signing-cert-store/Logger.jks</Value> </DefaultValues> </AttributeSchema> -
刪除現有的服務模式 iPlanetAMLoggingService。例如:
./amadmin -u amadmin -w netscape -r iPlanetAMLoggingService
-
使用 amadmin 指令行工具將編輯好的 amLogging.xml 載入到 Access Manager。例如:
./amadmin -u amadmin -w netscape -s /etc/opt/SUNWam/config/xml/amLogging.xml
-
重新啟動伺服器。
若要偵測安全記錄中有無未授權的變更或竄改, 請查看驗證程序寫入 /var/opt/SUNWam/debug/amLog 的錯誤訊息。若要手動檢查竄改,請執行 VerifyArchive 公用程式。如需更多資訊,請參閱「Access Manager Administration Reference」中的 VerifyArchive 指令行一章。
- © 2010, Oracle Corporation and/or its affiliates