第 5 章配置和系统维护

本章提供了使用管理员界面设置和维护 Identity Manager 对象和服务器进程的信息和过程。有关 Identity Manager 对象的详细信息，请参见“概述”一章中的 Identity Manager 对象。


注	有关为服务提供者实现配置 Identity Manager 的信息，请参见第 17 章服务提供者管理。

配置 Identity Manager 策略

什么是策略？

Identity Manager 策略通过建立 Identity Manager 帐户 ID、登录和密码特征的限制，对 Identity Manager 用户设置限制。

打开“策略”页


注	Identity Manager 还提供专用于审计用户遵循性的审计策略。第 13 章身份审计：基本概念中对审计策略进行了论述。

登录到管理员界面。

单击安全选项卡，然后单击策略子选项卡。

将打开“策略”页。

策略类型

通过使用“策略”页，您可以编辑现有策略和创建新的策略。

Identity System 帐户策略 - 建立用户、密码以及验证策略选项和限制。通过“创建组织”和“编辑组织”页以及“创建用户”和“编辑用户”页，可以将 Identity System 帐户策略（在图 5-1 中显示）分配给组织或用户。

可以设置或选择的选项包括：

用户策略选项 - 指定 Identity Manager 在用户不能正确回答验证问题时如何处理用户帐户

密码策略选项 - 设置密码到期日期、到期前的警告时间以及重设选项

验证策略选项 - 确定以何种方式向用户显示验证问题、用户是否可以提供自己的验证问题、是否在登录时强制验证，以及是否建立可以向用户显示的问题库。

图 5-1 Identity Manager 策略
可通过 Identity Manager 的“策略”页使用创建和编辑策略。

服务提供者系统帐户策略 - 可以在服务提供者实现中使用此策略类型，为服务提供者用户建立用户、密码和验证策略选项和限制。通过“创建组织”和“编辑组织”页以及“创建服务提供者用户”和“编辑服务提供者用户”页，可以将策略分配给组织或用户。

字符串质量策略 - 字符串质量策略包括密码、帐户 ID 和验证等策略类型，可用于设置长度规则、字符类型规则以及允许的字词和属性值。此策略类型绑定到每个 Identity Manager 资源，并在每个资源页上进行设置。图 5-2 提供了一个示例。

图 5-2 创建/编辑密码策略
使用“编辑策略”页设置用户、密码和验证策略选项。

可以为密码和帐户 ID 设置的选项和规则包括：

长度规则 - 确定最小和最大长度。

字符类型规则 - 设置字母、数字、大写、小写、重复和顺序字符的最小和最大允许值。

密码重新使用限制 - 指定在当前密码之前使用的、不能重新使用的密码的数量。当用户试图更改其密码时，新密码将与密码历史记录进行比较，以确保该密码是唯一密码。出于安全原因，以前密码的数字签名将被保存；而新密码将与此进行比较。

禁用的字词和属性值 - 指定不能作为 ID 或密码的组成部分使用的字词和属性。

策略中不得包含属性

可在 UserUIConfig 配置对象中更改允许的“不得包含”属性集。UserUIConfig 中列出的属性如下：

<PolicyPasswordAttributeNames> - 策略类型“密码”

<PolicyAccountAttributeNames> - 策略类型“帐户 ID”

<PolicyOtherAttributeNames> - 策略类型“其他”

字典策略

通过使用字典策略，Identity Manager 可以对照字词数据库检查密码，以确保密码不会受到简单的字典攻击。Identity Manager 通过将此策略与其他策略设置结合使用的方式来强制设定密码的长度和组成，从而使利用字典也很难猜出在系统中生成或更改的密码。

字典策略扩展了能够用该策略进行设置的密码排除列表。（此列表是使用“管理员界面”密码“编辑策略”页中的“不得包含词”选项实现的。）

配置字典策略

配置字典服务器支持

加载字典

打开“策略”页（更多...）。

单击配置字典显示“字典配置”页。

选择并输入数据库信息：

数据库类型 - 选择用于存储字典的数据库类型（Oracle、DB2、SQLServer 或 MySQL）。

主机 - 输入数据库正在其中运行的主机的名称。

用户 - 输入连接到数据库时使用的用户名。

密码 - 输入连接到数据库时使用的密码。

端口 - 输入数据库正在侦听的端口。

连接 URL - 输入连接时使用的 URL。可使用以下模板变量：

%h - 主机

%p - 端口

%d - 数据库名称

驱动程序类 - 输入与数据库交互时使用的 JDBC 驱动程序类。

数据库名称 - 输入将要加载字典的数据库的名称。

字典文件名 - 输入加载字典时使用的文件名。

单击测试以测试数据库连接。

如果连接测试成功，请单击加载词以加载字典。加载任务可能需要几分钟才能完成。

单击测试以确保正确加载字典。

实现字典策略

打开“策略”页（更多...）。

单击密码策略链接以编辑密码策略。

在“编辑策略”页中，选择根据字典的词检查密码选项。

单击保存以保存更改。

字典策略实现后，系统会根据字典来检查所有更改的或生成的密码。

自定义电子邮件模板

Identity Manager 使用电子邮件模板将信息和操作请求提交给用户和批准者。本系统包括以下用途的模板：

访问查看通知 - 发送需要查看用户访问权限的通知。当必须修正或缓解访问策略的违规时，系统发送此通知。

帐户创建批准 - 向批准者发送通知，告知有新帐户等待其批准。当相关角色的“置备通知选项”设置为批准时，系统发送此通知。

帐户创建通知 - 发送通知，告知已经用特定角色分配创建了一个帐户。当在“创建角色”或“编辑角色”页的“通知收件人”字段中选择了一个或多个管理员时，系统会发送此通知。

帐户删除批准 - 向批准者发送通知，告知有用户帐户删除操作等待其批准。当在“创建角色”或“编辑角色”页的“通知收件人”字段中选择了一个或多个管理员时，系统会发送此通知。

帐户删除通知 - 发送通知，告知已删除帐户。

帐户更新通知 - 向指定电子邮件地址或用户帐户发送通知，告知已更新帐户。

密码重设 - 发送 Identity Manager 密码重设通知。根据为相关 Identity Manager 策略选择的“重设通知选项”值，系统会立即（在 Web 浏览器中）为重设密码的管理员显示通知，或者向密码将被重设的相应用户发送电子邮件。

密码同步通知 - 通知用户已成功完成对所有资源的密码更改。这种通知将列出已成功更新的资源，还将指明密码更改请求的来源。

密码同步失败通知 - 通知用户未成功完成对所有资源的密码更改。这种通知将列出错误，还将指明密码更改请求的来源。

策略违规通知 - 发送帐户已发生策略违规的通知。

协调帐户事件、协调资源事件、协调摘要 - 分别从“通知协调响应”、“通知协调启动”和“通知协调完成”默认工作流中调用。通知按照在每个工作流中的配置发送。

报告 - 向指定的一列收件人发送生成的报告。

请求资源 - 向资源管理员发送通知，告知某个资源已被请求。当管理员从“资源”区请求资源时，系统会发送此通知。

重试通知 - 向管理员发送通知，告知已对某个资源尝试了指定次数的特定操作，但未成功。

风险分析 - 发送风险分析报告。当一个或多个电子邮件收件人被指定为资源扫描的组成部分时，系统会发送此报告。

临时密码重设 - 向用户或角色批准者发送通知，告知已经为帐户提供了临时密码。根据为相关 Identity Manager 策略选择的“密码重设通知选项”值，系统会立即（在 Web 浏览器中）为用户显示通知，发送电子邮件给用户，或者发送电子邮件给角色批准者。

用户 ID 恢复 - 将已恢复的用户 ID 发送到指定的电子邮件地址。

编辑电子邮件模板

可以通过自定义电子邮件模板为收件人提供具体指导，告诉他如何完成一项任务或如何查看结果。例如，您可能想要通过添加以下消息自定义“帐户创建批准”模板以将批准者引导到帐户批准页：

请转至 http://host.example.com:8080/idm/approval/approval.jsp 以批准为 $(fullname) 创建帐户。

要自定义电子邮件模板，请执行以下步骤（该步骤使用“帐户创建批准”模板作为示例）：

在管理员界面中，单击配置选项卡，然后单击电子邮件模板子选项卡。

将打开“电子邮件模板”页。

单击以选择帐户创建批准模板。

图 5-3 编辑电子邮件模板
使用“编辑电子邮件模板”页自定义发生操作时从何处及向何人发送电子邮件。

输入模板的详细信息：

在“SMTP 主机”字段中，输入 SMTP 服务器名称以便发送电子邮件通知。

在“发件人”字段中，自定义发件地址。

在“收件人”和“抄送”字段中，输入一个或多个将收到电子邮件通知的电子邮件地址或 Identity Manager 帐户。

在“电子邮件正文”字段中，自定义内容以提供指向 Identity Manager 位置的指针。

单击保存。

也可以通过使用 Identity Manager IDE 修改电子邮件模板。有关 IDE 的信息，请参见 Identity Manager IDE。

电子邮件模板中的 HTML 和链接

可以在电子邮件模板中插入 HTML 格式的内容，使之在电子邮件消息正文中显示。内容可以包括文本、图形以及信息的 Web 链接。要启用 HTML 格式的内容，请选择“启用 HTML”选项。

电子邮件正文中允许使用的变量

也可以在电子邮件模板正文中包括变量的引用，格式为 $(Name)；例如：您的密码 $(password) 已恢复。

表 5-1 电子邮件模板变量
模板	允许的变量
密码重设	$(password) - 新生成的密码
更新批准	$(fullname) - 用户的全称 $(role) - 用户的角色
更新通知	$(fullname) - 用户的全称 $(role) - 用户的角色
报告	$(report) - 生成的报告 $(id) - 任务实例的编码 ID $(timestamp) - 电子邮件发送的时间
请求资源	$(fullname) - 用户的全称 $(resource) - 资源类型
风险分析	$(report) - 风险分析报告
临时密码重设	$(password) - 新生成的密码 $(expiry) - 密码到期日期

配置审计组和审计事件

“审计配置”页

可以使用“审计配置”页来设置审计组。通过设置审计组，您可以随后运行审计日志报告。

打开“审计配置”页

打开管理员界面。

单击配置选项卡，然后单击审计子选项卡。

将打开“审计配置”页。

配置审计组

如果尚未打开“审计配置”页，请将其打开。（请参见上述步骤。）

“审计配置”页将显示审计组的列表，每个组可包含一个或多个事件。对于每个组，您可记录成功事件、失败事件或两者都记录。

单击列表中的审计组以显示“编辑审计配置组”页。此页允许您选择审计事件的类型，将在系统审计日志的审计配置组中记录这些类型。

检查是否选中了启用审计复选框。清除复选框以禁用审计系统。

编辑审计配置组中的事件


注	有关审计组的详细信息，请参见审计日志记录一章中的审计配置。

要编辑组中的事件，您可为对象类型添加或删除操作。要执行此操作，请将“操作”列中的项目从该对象类型的可用区域移动到已选定区域，然后单击确定。

为审计配置组添加事件

要在组中添加事件，请单击新建。Identity Manager 将事件添加到页的底部。从列表的对象类型列中选择一种对象类型，然后将操作列中的一个或多个项目从新对象类型的可用区域移动到已选定区域。单击确定将事件添加到该组。

Remedy 集成

可以将 Identity Manager 与 Remedy 服务器集成，从而使之能够根据指定的模板发送 Remedy 票证。

Remedy Server 设置 - 通过在“资源”区域创建 Remedy 资源来设置 Remedy 配置。（请参见创建资源。）资源设置完成后，请测试连接以确保集成可用。

Remedy 模板 - Remedy 资源设置完成后，定义 Remedy 模板。为此，请打开管理员界面，单击配置选项卡，然后单击 Remedy 集成。然后选择 Remedy 模式和资源。

Remedy 票证的创建是通过 Identity Manager 工作流配置的。根据您的偏好，可以在使用已定义模板的合适时间执行调用，以打开 Remedy 票证。有关配置工作流的详细信息，请参见 Identity Manager 工作流、表单和视图。

配置 Identity Manager 服务器设置

可编辑特定于服务器的设置，以使 Identity Manager 服务器仅运行特定任务。

在管理员界面中，单击主菜单中的配置，然后单击服务器。

将打开“配置服务器”页。

在“配置服务器”页的列表中，单击某个服务器以编辑单个服务器的设置。

Identity Manager 将显示“编辑服务器设置”页，可在其中编辑协调程序、调度程序、JMX 和其他设置。

协调程序设置

协调程序是用于执行协调的 Identity Manager 组件。要了解协调的信息，请参见协调。

默认情况下，协调程序设置显示在“编辑服务器设置”页上。您可接受默认值，或者取消选中使用默认值选项以指定自定义值。


注	要更改 Identity Manager 服务器使用的默认协调程序设置，请参见编辑默认服务器设置。

并行资源限制 - 指定协调程序可并行处理的最大资源线程数。资源线程将工作项目分配给工作线程，因此，如果添加了额外的资源线程，则可能还需要增加最大工作线程数。对于新安装，默认值为 3。

最少工作线程数 - 指定协调程序将始终保持活动状态的处理线程数。对于新安装，默认值为 2。

最多工作线程数 - 指定协调程序可使用的最大处理线程数。协调程序只启动工作负荷所需的线程数。这就限制了线程的数量。如果工作线程短时间内处于空闲状态，则会自动关闭。对于新安装，默认值为 6。

有关协调程序调优和故障排除的信息，请参见 Identity Manager 调优、故障排除以及错误消息。

查看协调程序状态

要查看协调程序状态信息，请打开“协调程序状态调试”页。

要打开“协调程序状态”调试页，请在浏览器中键入以下 URL：


注	必须具有“调试”权能才能查看 /idm/debug/ 页。有关权能的信息，请参见分配权能。

请刷新“协调程序状态”页以查看更新的协调程序状态信息。有关该页的其他信息，请单击帮助。

调度程序设置

您可接受默认值，或者取消选中使用默认值选项以指定自定义值。

调度程序启动 - 选择在此服务器上启动调度程序的模式：

自动 - 启动服务器时启动。此为默认启动模式。

手动 - 启动服务器时启动，但保持暂停直到手动启动。

已禁用 - 启动服务器时不启动。

启用跟踪 - 如果选择此选项，则可以在此服务器上激活调度程序对标准输出的调试跟踪。

最大并发任务数 - 如果选择此选项，则可以指定调度程序在任意时刻运行的任务的最大数量（默认情况除外）。对超过此限制的其他任务的请求将被延迟，或在其他服务器上运行。

任务限制 - 指定可在服务器上执行的任务集。为此，请从可用任务列表中选择一个或多个任务。所选任务的列表可以是包含列表或排除列表，这取决于您选择的选项。您可选择允许除列表中选定任务以外的所有任务（默认行为），或仅允许选定的任务。

有关调度程序调优和故障排除的信息，请参见 Identity Manager 调优、故障排除以及错误消息。

电子邮件模板服务器设置

通过清除使用默认值选项并输入要使用的邮件服务器，指定默认电子邮件服务器（如果不是默认值）。输入的文本将用于替换电子邮件模板中的 smtpHost 变量。

简单邮件传输协议 (Simple Mail Transfer Protocol, SMTP) 是在 Internet 上传输电子邮件的标准。

JMX

Java Management Extensions (JMX) 是一项 Java 技术，用于管理和/或监视应用程序、系统对象、设备和面向服务的网络。管理/监视的实体由称为 MBean（受管 Bean）的对象表示。

本节介绍如何在 Identity Manager 服务器上配置 JMX，以使 JMX 客户机能够监视系统中的更改。（还可以将 Identity Manager 配置为通过 JMX 提供审计事件。有关信息，请参见更多...。）

配置 JMX 轮询设置

执行配置 Identity Manager 服务器设置中的步骤。选择 JMX 选项卡。

使用以下选项启用 JMX 群集轮询，并为轮询线程配置间隔：

启用 JMX - 使用此选项可启用或禁用 JMX 群集 MBean 的轮询线程。要启用 JMX，请清除默认选项（使用默认值 [false]）。由于将系统资源用于轮询循环，因此请仅在要使用 JMX 时启用此选项。

轮询间隔 (ms) - 启用 JMX 后，使用此选项可更改服务器轮询系统信息库更改的默认间隔。指定间隔（以毫秒为单位）。

默认的轮询间隔设置为 60000 毫秒。要更改该值，请清除此选项的复选框并在提供的输入字段中输入新值。

单击保存以保存对服务器设置的更改。



注	要更改 Identity Manager 服务器的默认 JMX 轮询设置，请参见编辑默认服务器设置。

查看 JMX 数据

可以使用 JMX 客户机来查看 JMX 收集的数据。JConsole（包含在 JDK 1.5 中）就是一个这样的客户机。

在本地使用 JConsole

要在运行服务器的同一台计算机上使用 JConsole，请设置以下属性：

按以下方式设置 JAVA_OPTS：

-Dcom.sun.management.jmxremote

远程使用 JConsole

按以下方式设置 JAVA_OPTS：

-Dcom.sun.management.jmxremote.port=9004

-Dcom.sun.management.jmxremote.authenticate=false

-Dcom.sun.management.jmxremote.ssl=false

在 jre/lib/management 目录中，编辑 jmxremote.access，并确保以下两行在文件中显示为未注释状态：

monitorRole readonly

controlRole readwrite

要查看 Identity Manager MBean，请使用类似于以下内容的 URL 连接到服务器：

service:jmx:rmi:///jndi/rmi://localhost:9004/jmxrmi

可能还需要根据您的环境设置其他设置。有关详细信息，请参阅 JConsole 文档。

编辑默认服务器设置

默认服务器设置功能使您可以设置所有 Identity Manager 服务器的默认设置。除非您在各个服务器设置页上进行了不同的选择，否则服务器将继承这些设置。


注	也可以访问 Identity Manager 调试页（更多...）并单击显示 MBean 信息按钮来查看 JMX 数据。

在管理员界面中，单击配置 > 服务器。

将打开“配置服务器”页。

单击编辑默认服务器设置。

将打开“编辑默认服务器设置”页。

“编辑默认服务器设置”页显示与各个服务器设置页相同的选项。有关帮助，请参阅各个服务器设置页的文档。

除非您已取消选择该设置的“使用默认值”选项，否则对每个默认服务器设置的更改会传播到对应的服务器设置。

配置最终用户界面

管理员可以修改管理员界面中的表单，以配置最终用户界面中的某些内容。

要设置用于在最终用户界面中显示信息的选项，请执行以下步骤：

在管理员界面中，单击主菜单中的配置。

单击次级菜单中的用户界面。

将打开“用户界面”页。

填写并保存表单中的最终用户面板部分。如果需要该表单的帮助，请单击帮助。

有关填写表单中的匿名注册部分的信息，请参见匿名注册。

在最终用户界面中启用进程图

进程图说明了在最终用户启动请求或更新其配置文件时 Identity Manager 遵循的工作流。如果启用了进程图，在最终用户提交表单后，它们将显示在结果页中。

必须先在管理员界面中启用进程图，然后才能在最终用户界面中启用这些进程图。有关详细信息，请参见启用进程图。

执行配置最终用户界面.中的步骤以打开“用户界面”配置页。

选择启用最终用户进程图选项，该选项位于表单的结果页部分中。

如果启用最终用户进程图选项不可用，则必须先在管理员界面中启用进程图。请参见启用进程图。

单击保存。

要进行注册，您需要具有 Sun 联机帐户和密码。如果没有 Sun 联机帐户，您可以在以下地址填写表单以注册一个帐户：

通过从控制台中进行注册，您还可以创建一个本地服务标记，可以在 Sun 服务标记软件中使用此标记来跟踪 Sun 系统、软件和服务清单。在创建本地服务标记之前，应该先安装服务标记客户机包。可通过在以下地址中单击下载服务标记按钮来下载该包：

要注册 Identity Manager，应使用允许配置 Identity Manager 对象的管理员帐户进行登录。此帐户应具有产品注册权能。有关权能的信息，请参见分配权能。

从控制台中注册 Identity Manager


注	要使产品注册功能正常工作，必须为 SSL 正确配置 Identity Manager 应用服务器上的 Java。java.security 文件（或等效文件）中引用的所有 JAR 必须存在。

要创建本地服务标记或通过 Internet 在 Sun 中注册 Identity Manager，请执行以下步骤：

在 Windows 上，在命令行中键入以下命令以启动 Identity Manager 控制台（命令行）界面：

%WSHOME%\bin\lh

在 Unix 上，在命令行中键入以下命令以启动 Identity Manager 控制台（命令行）界面：

要创建本地服务标记，请使用以下命令：

要通过 Internet 在 Sun 中注册 Identity Manager，请使用以下命令：

register -remote -u <userid> -p <password> -userSOA <soaUserid>
-passSOA <soaPassword> -proxy <proxyHost> -port <proxyPortNumber>

其中：

userid 是经授权进行注册的 Identity Manager 管理员的 Identity Manager 用户 ID。

password 是经授权进行注册的 Identity Manager 管理员的 Identity Manager 密码。

soaUserid 是用于注册的 Sun 联机帐户的用户 ID。

soaPassword 是用于注册的 Sun 联机帐户的密码。

proxyHost 是用于访问 Sun 联机注册服务的网络代理。只有在将网络配置为使用代理到达外部 Internet 地址时，才需要使用此参数。

proxyPortNumber 是用于访问 Sun 联机注册服务的网络代理上的端口。只有在将网络配置为使用代理到达外部 Internet 地址时，才需要使用此参数。

用法

register -remote [-u <userid> [-p <password>]] [-prompt] -userSOA <userid> -passSOA <password> [-proxy <proxyHost> [-port <proxyPortNumber>]] register [-help | -?]

选项

表 5-2 Syslog 命令选项
选项	描述
-local	在此主机上创建服务标记。
-remote	通过网络在 Sun 中直接注册此 Identity Manager 安装。
-u <userid>	经授权进行注册的 Identity Manager 管理员的 Identity Manager 用户 ID。
-p <password>	经授权进行注册的 Identity Manager 管理员的 Identity Manager 密码。
-prompt	如果缺少密码，则会以交互方式提示输入密码。
-userSOA <userid>	用于注册的 Sun 联机帐户的用户 ID。如果使用 -remote 选项进行注册，则需要使用此选项。
-passSOA <password>	用于注册的 Sun 联机帐户的密码。如果使用 -remote 选项进行注册，则需要使用此选项。
-proxy <proxyHost>	用于访问 Sun 联机注册服务的网络代理。在使用 -remote 选项进行注册并将网络配置为使用代理到达外部 Internet 地址时，需要使用此选项。
-port <proxyPortNumber>	用于访问 Sun 联机注册服务的网络代理上的端口。在使用 -remote 选项进行注册并将网络配置为使用代理到达外部 Internet 地址时，需要使用此选项。
-help \| -?	将此命令的帮助输出到控制台。

从管理员界面中注册 Identity Manager

如果不需要创建本地服务标记，请从管理员界面中注册 Identity Manager。

在管理员界面中，单击配置。

在次级菜单中，单击产品注册。

将打开“产品注册”页。

填写表单，然后单击立即注册。有关各个表单字段的信息，请单击 i-Helps。



注	如果未将应用服务器配置为允许传出 SSL 连接，则可能会出现以下错误消息：由于 Sun 联机帐户用户/密码无效而无法在 Sun Connection 服务器上注册。要解决此问题，请将相应的可信根证书添加到应用服务器的密钥库中。有关详细信息，请查阅应用服务器文档。



注	如果应用服务器的类路径中包含旧版本的 xml-apis.jar 和 xercesImpl.jar，则可能会出现以下错误消息： java.lang.NoSuchMethodError:org.w3c.dom.Node.getTextContent()L java/lang/String; 要解决此问题，请修改类路径，以便只包含最新版本的 xml-apis.jar 和 xercesImpl.jar。

编辑 Identity Manager 配置对象

在管理 Identity Manager 过程中，偶尔可能需要编辑 Identity Manager 系统配置对象（也称为系统配置文件）或其他类似的对象。

在浏览器中键入以下 URL 以打开 Identity Manager 的“调试”页：

http://<AppServerHost>:<Port>/idm/debug/session.jsp

将打开“系统设置”页。



注	必须具有“调试”权能才能查看 /idm/debug/ 页。

找到列出对象按钮，然后从旁边的类型下拉列表中选择配置。

单击列出对象按钮。

将打开“列出以下类型的对象：配置”页。

在对象列表中找到所需的对象，然后单击编辑。例如，要编辑系统配置对象，请找到系统配置，然后单击编辑。

按照说明编辑该对象。

单击保存。

如果要求重新启动服务器，请将其重新启动。

从系统日志中删除记录

系统日志捕获由 Identity Manager 生成的错误。应定期截断系统日志，以使其不致变得太大。可以使用系统日志维护任务从系统日志中删除旧记录。

上一页目录索引下一页
Sun[TM] Identity Manager 8.0 管理