Sun Java System Access Manager 7.1 管理指南

第 2 章管理範圍

存取控制範圍是一組可與使用者或使用者群組關聯的認證特性與授權策略。範圍資料儲存於一個專用資訊樹狀結構中，該樹狀結構由 Access Manager 在您指定的資料存放區中建立。Access Manager 架構於 Access Manager 資訊樹狀結構中聚集每一個範圍中的策略與特性。依預設，Access Manager 會將 Access Manager 資訊樹狀結構做為特殊分支插入到 Sun Java Enterprise System Directory Server 中，但使用者資料除外。當使用任何 LDAPv3 資料庫時，您可以使用存取控制範圍。

如需有關範圍的更多資訊，請參閱「Sun Java System Access Manager 7.1 Technical Overview」。

於 [範圍] 標籤中，您可為存取控制配置下列特性：

建立及管理範圍

本節描述如何建立及管理範圍。

建立新的範圍

從 [存取控制] 標籤下的 [範圍] 清單中選取 [新增]。

定義下列一般屬性：

名稱

輸入範圍的名稱。

父系

定義您正在建立的範圍位置。選取新範圍將存在處的父系範圍。

定義下列範圍屬性：

範圍狀態

選擇 [使用中] 或 [非使用中] 狀態。預設值為 [使用中]。在範圍存在期間，可以透過選取 [特性] 圖示隨時變更該狀態。登入時，選擇 [非使用中] 以停用使用者存取。

範圍/DNS 別名

允許增加範圍 DNS 名稱的別名。此屬性僅接受「實際的」網域別名 (不允許使用隨機字串)。

按一下 [確定] 以儲存，或按一下 [取消] 以返回前一個頁面。

一般特性

[一般特性] 頁面顯示範圍的基本屬性。若要修改這些特性，於 [存取控制] 標籤之下按一下 [範圍名稱] 清單中的範圍。然後，編輯下列特性：

範圍狀態: 選擇 [使用中] 或 [非使用中] 狀態。預設值為 [使用中]。在範圍存在期間，可以透過選取 [特性] 圖示隨時變更該狀態。登入時，選擇 [非使用中] 以停用使用者存取。
範圍/DNS 別名: 允許增加範圍 DNS 名稱的別名。此屬性僅接受「實際的」網域別名 (不允許使用隨機字串)。

一旦您編輯了特性，請按一下 [儲存]。

備註 –

AMAdmin.dtd 中的 recursive=true 旗標對於以範圍模式在子範圍內搜尋物件不起作用。這個旗標只在舊有模式中有效，因為所有子組織都位在相同根尾碼之下。而在範圍模式，每個子範圍能有不同的根尾碼，甚至可能位於不同的伺服器。若要在子範圍中搜尋物件 (例如群組)，必須在 XML 資料檔案內指定要在其中進行搜尋的子範圍。

認證

一般認證服務必須先註冊為某個範圍的服務，使用者才能使用其他認證模組登入。核心認證服務可讓 Access Manager 管理員定義範圍認證參數的預設值。若未於特定認證模組中定義置換值，則稍後可以使用這些值。核心認證服務的預設值定義於 amAuth.xml 檔案中，並於安裝後儲存於 Directory Server 內。

如需更多資訊，請參閱管理認證

服務

在 Access Manager 中，服務是一組由 Access Manager 主控台一起管理的屬性。屬性可以只是一些相關資訊，如員工名稱、職稱與電子郵件地址。但屬性通常做為軟體模組 (如郵件應用程式或發薪服務) 的配置參數。

經由 [服務] 標籤，您可為範圍增加並配置大量 Access Manager 預設服務。您可以增加下列服務：

管理
探索服務
全域化設定
密碼重設
階段作業
使用者

備註 –

Access Manager 會強制服務 .xml 檔案中的必需屬性必須具備一些預設值。若服務的必需屬性不具有任何值，則需要增加預設值並重新載入服務。

將服務增加至範圍

按一下您要增加服務的範圍之名稱。

選取 [服務] 標籤。

按一下 [服務] 清單中的 [增加]。

選取您要為範圍增加的服務。

按 [下一步]。

定義範圍屬性以配置服務。請參閱線上說明中的「配置」以取得服務屬性的說明。

按一下 [完成]。

若要編輯服務的特性，請按一下 [服務] 清單中的名稱。

權限

在 Access Manager 中，委託模型以指定給管理員的權限 (或資格) 為基礎。權限是一種可對資源執行的作業 (或動作)，例如對「策略」物件執行的「讀取」作業。定義的作業集為「讀取」、「修改」及「委託」。資源是可對其執行動作的物件，可以是配置物件或識別物件。

配置物件的範例有「認證配置」、「策略」、「資料存放區」等等。識別物件的範例有「使用者」、「群組」、「角色」及「代理程式」。可以在 Access Manager 中動態建立和動態增加一組權限，但在安裝期間，會在 Access Manager 中增加一小組權限，以使 Access Manager 正確地執行。一旦載入權限，即可將其指定給角色及群組。屬於這些角色及群組的使用者會成為受委託的管理員，並可執行所指定的作業。一般來說，管理員是被指定一組或更多權限的角色或群組之成員。

Access Manager 7.1 可讓您為下列管理員類型配置權限︰

範圍管理員 — 範圍管理員具有對所有物件 (包括配置及識別物件) 執行「讀取」、「修改」及「委託」作業的所有權限。可將範圍管理員視為 Unix 系統中的「超級使用者」。範圍管理員可以建立子範圍、修改所有服務的配置，也可建立、修改及刪除「使用者」、「群組」、「角色」及「代理程式」。
策略管理員 — 策略管理員僅具有管理策略及策略服務配置的權限。他們可以建立、修改及刪除包含「規則」、「主體」、「條件」及「回應」屬性的策略。但是，若要管理策略，這些管理員需要具有「識別儲存庫主體」及「認證」配置的讀取權限。這些管理員可以檢視識別及認證配置。
記錄管理員 — 記錄管理員具有讀取及/或寫入記錄的權限，這些權限可用來防止稽核記錄遭受惡意應用程式惡意濫用。因為記錄介面是公用的，任何經過認證的使用者可能都可以讀寫記錄，因此增加此權限可以防止發生這種濫用情形。記錄介面的主要使用者是 J2EE 及 Web Agents，它們只需要「修改」權限，不應具有「讀取」權限。同樣地，檢視記錄的管理員只應具有「讀取」權限，不應具有「修改」權限。為了配合這些類型的用法，記錄權限進一步細分如下︰
- 具有「寫入存取權」的記錄管理員 – 這些管理員具有寫入所有記錄檔的權限。
- 具有「讀取存取權」的記錄管理員 – 這些管理員具有讀取所有記錄檔的權限。
- 具有「讀取與寫入存取權」的記錄管理員 – 這些管理員具有讀寫所有記錄檔的權限。

定義 Access Manager 7.1 的權限

新的 Access Manager 7.1 安裝實例為策略管理員、範圍管理員 (或「舊有」模式中的組織管理員) 及記錄管理員提供存取權限。若要指定或修改權限，按一下您要編輯的角色或群組名稱。您可以選擇下列任一選項︰

對所有記錄檔的讀取和寫入存取: 為記錄管理員定義讀取及寫入存取權限。
對所有記錄檔的寫入存取: 只為記錄管理員定義寫入存取權限。
對所有記錄檔的讀取存取: 只為記錄管理員定義讀取存取權限。
僅針對策略特性的讀取與寫入存取權: 為策略管理員定義讀取及寫入存取權限。
所有範圍與策略特性的讀取與寫入存取權: 為範圍管理員定義讀取及寫入存取權限。

為從 Access Manager 7.0 升級到 7.1 定義權限

如果您將 Access Manager 從 7.0 升級到 7.1，其權限配置會與新的 Access Manager 7.1 安裝的權限配置有所不同，但仍支援策略管理員、範圍管理員及記錄管理員的權限。若要指定或修改權限，按一下您要編輯的角色或群組名稱。您可以選擇下列任一選項︰

對資料存放區唯讀存取: 為策略管理員定義對資料存放區的讀取存取權限。
對所有記錄檔的讀取和寫入存取: 為記錄管理員定義讀取及寫入存取權限。
對所有記錄檔的寫入存取: 只為記錄管理員定義寫入存取權限。
對所有記錄檔的讀取存取: 只為記錄管理員定義讀取存取權限。
僅針對策略特性的讀取與寫入存取權: 為策略管理員定義讀取及寫入存取權限。
所有範圍與策略特性的讀取與寫入存取權: 為範圍管理員定義讀取及寫入存取權限。
所有特性與服務的唯讀存取權: 為策略管理員定義對所有特性及服務的讀取存取權限。

對於下列定義，無論是單獨使用還是一同使用，皆不受 Access Manager 支援︰

資料存放區唯讀存取權
所有特性與服務的唯讀存取權

這些權限定義必須與「僅針對策略特性的讀取與寫入存取權」定義一起使用，以定義策略管理員的委託控制。

第 2 章 管理範圍