Sun[TM] Identity Manager 8.0 管理 |
第 5 章
配置和系统维护本章提供了使用管理员界面设置和维护 Identity Manager 对象和服务器进程的信息和过程。有关 Identity Manager 对象的详细信息,请参见“概述”一章中的 Identity Manager 对象。
注
有关为服务提供者实现配置 Identity Manager 的信息,请参见第 17 章 服务提供者管理。
本章按以下主题进行组织:
配置 Identity Manager 策略阅读本节可以了解配置用户策略的信息和过程。
什么是策略?
Identity Manager 策略通过建立 Identity Manager 帐户 ID、登录和密码特征的限制,对 Identity Manager 用户设置限制。
注
Identity Manager 还提供专用于审计用户遵循性的审计策略。第 13 章 身份审计:基本概念中对审计策略进行了论述。
打开“策略”页
可在“策略”页中创建和编辑 Identity Manager 用户策略。
要打开“策略”页,请执行以下步骤:
策略类型
通过使用“策略”页,您可以编辑现有策略和创建新的策略。
策略按以下类型分类:
- Identity System 帐户策略 - 建立用户、密码以及验证策略选项和限制。通过“创建组织”和“编辑组织”页以及“创建用户”和“编辑用户”页,可以将 Identity System 帐户策略(在图 5-1 中显示)分配给组织或用户。
- 服务提供者系统帐户策略 - 可以在服务提供者实现中使用此策略类型,为服务提供者用户建立用户、密码和验证策略选项和限制。通过“创建组织”和“编辑组织”页以及“创建服务提供者用户”和“编辑服务提供者用户”页,可以将策略分配给组织或用户。
- 字符串质量策略 - 字符串质量策略包括密码、帐户 ID 和验证等策略类型,可用于设置长度规则、字符类型规则以及允许的字词和属性值。此策略类型绑定到每个 Identity Manager 资源,并在每个资源页上进行设置。图 5-2 提供了一个示例。
图 5-2 创建/编辑密码策略
策略中不得包含属性
可在 UserUIConfig 配置对象中更改允许的“不得包含”属性集。UserUIConfig 中列出的属性如下:
字典策略
通过使用字典策略,Identity Manager 可以对照字词数据库检查密码,以确保密码不会受到简单的字典攻击。Identity Manager 通过将此策略与其他策略设置结合使用的方式来强制设定密码的长度和组成,从而使利用字典也很难猜出在系统中生成或更改的密码。
字典策略扩展了能够用该策略进行设置的密码排除列表。(此列表是使用“管理员界面”密码“编辑策略”页中的“不得包含词”选项实现的。)
配置字典策略
要设置字典策略,必须:
要设置字典策略,请执行以下步骤:
- 打开“策略”页(更多...)。
- 单击配置字典显示“字典配置”页。
- 选择并输入数据库信息:
- 单击测试以测试数据库连接。
- 如果连接测试成功,请单击加载词以加载字典。加载任务可能需要几分钟才能完成。
- 单击测试以确保正确加载字典。
实现字典策略
要实现字典策略,请执行以下步骤:
- 打开“策略”页(更多...)。
- 单击密码策略链接以编辑密码策略。
- 在“编辑策略”页中,选择根据字典的词检查密码选项。
- 单击保存以保存更改。
字典策略实现后,系统会根据字典来检查所有更改的或生成的密码。
自定义电子邮件模板Identity Manager 使用电子邮件模板将信息和操作请求提交给用户和批准者。本系统包括以下用途的模板:
- 访问查看通知 - 发送需要查看用户访问权限的通知。当必须修正或缓解访问策略的违规时,系统发送此通知。
- 帐户创建批准 - 向批准者发送通知,告知有新帐户等待其批准。当相关角色的“置备通知选项”设置为批准时,系统发送此通知。
- 帐户创建通知 - 发送通知,告知已经用特定角色分配创建了一个帐户。当在“创建角色”或“编辑角色”页的“通知收件人”字段中选择了一个或多个管理员时,系统会发送此通知。
- 帐户删除批准 - 向批准者发送通知,告知有用户帐户删除操作等待其批准。当在“创建角色”或“编辑角色”页的“通知收件人”字段中选择了一个或多个管理员时,系统会发送此通知。
- 帐户删除通知 - 发送通知,告知已删除帐户。
- 帐户更新通知 - 向指定电子邮件地址或用户帐户发送通知,告知已更新帐户。
- 密码重设 - 发送 Identity Manager 密码重设通知。根据为相关 Identity Manager 策略选择的“重设通知选项”值,系统会立即(在 Web 浏览器中)为重设密码的管理员显示通知,或者向密码将被重设的相应用户发送电子邮件。
- 密码同步通知 - 通知用户已成功完成对所有资源的密码更改。这种通知将列出已成功更新的资源,还将指明密码更改请求的来源。
- 密码同步失败通知 - 通知用户未成功完成对所有资源的密码更改。这种通知将列出错误,还将指明密码更改请求的来源。
- 策略违规通知 - 发送帐户已发生策略违规的通知。
- 协调帐户事件、协调资源事件、协调摘要 - 分别从“通知协调响应”、“通知协调启动”和“通知协调完成”默认工作流中调用。通知按照在每个工作流中的配置发送。
- 报告 - 向指定的一列收件人发送生成的报告。
- 请求资源 - 向资源管理员发送通知,告知某个资源已被请求。当管理员从“资源”区请求资源时,系统会发送此通知。
- 重试通知 - 向管理员发送通知,告知已对某个资源尝试了指定次数的特定操作,但未成功。
- 风险分析 - 发送风险分析报告。当一个或多个电子邮件收件人被指定为资源扫描的组成部分时,系统会发送此报告。
- 临时密码重设 - 向用户或角色批准者发送通知,告知已经为帐户提供了临时密码。根据为相关 Identity Manager 策略选择的“密码重设通知选项”值,系统会立即(在 Web 浏览器中)为用户显示通知,发送电子邮件给用户,或者发送电子邮件给角色批准者。
- 用户 ID 恢复 - 将已恢复的用户 ID 发送到指定的电子邮件地址。
编辑电子邮件模板
可以通过自定义电子邮件模板为收件人提供具体指导,告诉他如何完成一项任务或如何查看结果。例如,您可能想要通过添加以下消息自定义“帐户创建批准”模板以将批准者引导到帐户批准页:
请转至 http://host.example.com:8080/idm/approval/approval.jsp 以批准为 $(fullname) 创建帐户。
要自定义电子邮件模板,请执行以下步骤(该步骤使用“帐户创建批准”模板作为示例):
也可以通过使用 Identity Manager IDE 修改电子邮件模板。有关 IDE 的信息,请参见 Identity Manager IDE。
电子邮件模板中的 HTML 和链接
可以在电子邮件模板中插入 HTML 格式的内容,使之在电子邮件消息正文中显示。内容可以包括文本、图形以及信息的 Web 链接。要启用 HTML 格式的内容,请选择“启用 HTML”选项。
电子邮件正文中允许使用的变量
也可以在电子邮件模板正文中包括变量的引用,格式为 $(Name);例如:您的密码 $(password) 已恢复。
下表定义了每个模板允许使用的变量。
配置审计组和审计事件设置审计配置组使您可以记录和报告您选择的系统事件。
“审计配置”页
可以使用“审计配置”页来设置审计组。通过设置审计组,您可以随后运行审计日志报告。
打开“审计配置”页
要打开“审计配置”页,请执行以下步骤:
配置审计组
配置审计组和事件需要配置审计管理权能。
如果尚未打开“审计配置”页,请将其打开。(请参见上述步骤。)
“审计配置”页将显示审计组的列表,每个组可包含一个或多个事件。对于每个组,您可记录成功事件、失败事件或两者都记录。
单击列表中的审计组以显示“编辑审计配置组”页。此页允许您选择审计事件的类型,将在系统审计日志的审计配置组中记录这些类型。
检查是否选中了启用审计复选框。清除复选框以禁用审计系统。
编辑审计配置组中的事件
要编辑组中的事件,您可为对象类型添加或删除操作。要执行此操作,请将“操作”列中的项目从该对象类型的可用区域移动到已选定区域,然后单击确定。
为审计配置组添加事件
要在组中添加事件,请单击新建。Identity Manager 将事件添加到页的底部。从列表的对象类型列中选择一种对象类型,然后将操作列中的一个或多个项目从新对象类型的可用区域移动到已选定区域。单击确定将事件添加到该组。
Remedy 集成可以将 Identity Manager 与 Remedy 服务器集成,从而使之能够根据指定的模板发送 Remedy 票证。
在管理员界面的两个区域设置 Remedy 集成:
- Remedy Server 设置 - 通过在“资源”区域创建 Remedy 资源来设置 Remedy 配置。(请参见创建资源。)资源设置完成后,请测试连接以确保集成可用。
- Remedy 模板 - Remedy 资源设置完成后,定义 Remedy 模板。为此,请打开管理员界面,单击配置选项卡,然后单击 Remedy 集成。然后选择 Remedy 模式和资源。
Remedy 票证的创建是通过 Identity Manager 工作流配置的。根据您的偏好,可以在使用已定义模板的合适时间执行调用,以打开 Remedy 票证。有关配置工作流的详细信息,请参见 Identity Manager 工作流、表单和视图。
配置 Identity Manager 服务器设置可编辑特定于服务器的设置,以使 Identity Manager 服务器仅运行特定任务。
要配置特定于服务器的设置,请执行以下步骤:
协调程序设置
协调程序是用于执行协调的 Identity Manager 组件。要了解协调的信息,请参见协调。
要配置协调程序设置,请执行配置 Identity Manager 服务器设置中的步骤。选择协调程序选项卡。
默认情况下,协调程序设置显示在“编辑服务器设置”页上。您可接受默认值,或者取消选中使用默认值选项以指定自定义值。
注
要更改 Identity Manager 服务器使用的默认协调程序设置,请参见编辑默认服务器设置。
使用以下设置配置协调程序:
有关协调程序调优和故障排除的信息,请参见 Identity Manager 调优、故障排除以及错误消息。
查看协调程序状态
要查看协调程序状态信息,请打开“协调程序状态调试”页。
注
必须具有“调试”权能才能查看 /idm/debug/ 页。有关权能的信息,请参见分配权能。
要打开“协调程序状态”调试页,请在浏览器中键入以下 URL:
http://<AppServerHost>:<Port>/idm/debug/Show_Reconciler.jsp
其中 AppServerHost 是启用了协调程序的主机。
请刷新“协调程序状态”页以查看更新的协调程序状态信息。有关该页的其他信息,请单击帮助。
调度程序设置
调度程序组件控制 Identity Manager 中的任务调度。
要在特定服务器上配置调度程序设置,请执行配置 Identity Manager 服务器设置中的步骤。选择调度程序选项卡。
您可接受默认值,或者取消选中使用默认值选项以指定自定义值。
单击保存以保存对服务器设置的更改。
要更改 Identity Manager 服务器的默认调度程序设置,请参见编辑默认服务器设置。
有关调度程序调优和故障排除的信息,请参见 Identity Manager 调优、故障排除以及错误消息。
电子邮件模板服务器设置
要配置 SMTP 服务器设置,请执行配置 Identity Manager 服务器设置中的步骤。选择电子邮件模板选项卡。
通过清除使用默认值选项并输入要使用的邮件服务器,指定默认电子邮件服务器(如果不是默认值)。输入的文本将用于替换电子邮件模板中的 smtpHost 变量。
简单邮件传输协议 (Simple Mail Transfer Protocol, SMTP) 是在 Internet 上传输电子邮件的标准。
要更改 Identity Manager 服务器的默认 SMTP 设置,请参见编辑默认服务器设置。
JMX
Java Management Extensions (JMX) 是一项 Java 技术,用于管理和/或监视应用程序、系统对象、设备和面向服务的网络。管理/监视的实体由称为 MBean(受管 Bean)的对象表示。
本节介绍如何在 Identity Manager 服务器上配置 JMX,以使 JMX 客户机能够监视系统中的更改。(还可以将 Identity Manager 配置为通过 JMX 提供审计事件。有关信息,请参见更多...。)
配置 JMX 轮询设置
要在单个服务器上配置 JMX 轮询设置,请执行以下步骤:
- 执行配置 Identity Manager 服务器设置中的步骤。选择 JMX 选项卡。
- 使用以下选项启用 JMX 群集轮询,并为轮询线程配置间隔:
- 单击保存以保存对服务器设置的更改。
注
要更改 Identity Manager 服务器的默认 JMX 轮询设置,请参见编辑默认服务器设置。
查看 JMX 数据
可以使用 JMX 客户机来查看 JMX 收集的数据。JConsole(包含在 JDK 1.5 中)就是一个这样的客户机。
在本地使用 JConsole
要在运行服务器的同一台计算机上使用 JConsole,请设置以下属性:
JConsole 将使用正确的 PID 进行连接。
远程使用 JConsole
要远程使用 JConsole,请设置以下属性:
可能还需要根据您的环境设置其他设置。有关详细信息,请参阅 JConsole 文档。
注
也可以访问 Identity Manager 调试页(更多...)并单击显示 MBean 信息按钮来查看 JMX 数据。
有关 JMX 的详细信息,请访问以下网站:
http://java.sun.com/javase/technologies/core/mntr-mgmt/javamanagement/docs.jsp
编辑默认服务器设置
默认服务器设置功能使您可以设置所有 Identity Manager 服务器的默认设置。除非您在各个服务器设置页上进行了不同的选择,否则服务器将继承这些设置。
要编辑默认服务器设置,请执行以下步骤:
“编辑默认服务器设置”页显示与各个服务器设置页相同的选项。有关帮助,请参阅各个服务器设置页的文档。
除非您已取消选择该设置的“使用默认值”选项,否则对每个默认服务器设置的更改会传播到对应的服务器设置。
单击保存以保存对服务器设置的更改。
配置最终用户界面管理员可以修改管理员界面中的表单,以配置最终用户界面中的某些内容。
要设置用于在最终用户界面中显示信息的选项,请执行以下步骤:
- 在管理员界面中,单击主菜单中的配置。
- 单击次级菜单中的用户界面。
将打开“用户界面”页。
- 填写并保存表单中的最终用户面板部分。如果需要该表单的帮助,请单击帮助。
有关填写表单中的匿名注册部分的信息,请参见匿名注册。
在最终用户界面中启用进程图
进程图说明了在最终用户启动请求或更新其配置文件时 Identity Manager 遵循的工作流。如果启用了进程图,在最终用户提交表单后,它们将显示在结果页中。
必须先在管理员界面中启用进程图,然后才能在最终用户界面中启用这些进程图。有关详细信息,请参见启用进程图。
要在最终用户界面中启用进程图,请执行以下步骤:
注册 Identity Manager建议管理员注册其 Identity Manager 安装。
要进行注册,您需要具有 Sun 联机帐户和密码。如果没有 Sun 联机帐户,您可以在以下地址填写表单以注册一个帐户:
可以通过控制台或管理员界面来注册 Identity Manager。
通过从控制台中进行注册,您还可以创建一个本地服务标记,可以在 Sun 服务标记软件中使用此标记来跟踪 Sun 系统、软件和服务清单。在创建本地服务标记之前,应该先安装服务标记客户机包。可通过在以下地址中单击下载服务标记按钮来下载该包:
http://inventory.sun.com/inventory
要注册 Identity Manager,应使用允许配置 Identity Manager 对象的管理员帐户进行登录。此帐户应具有产品注册权能。有关权能的信息,请参见分配权能。
从控制台中注册 Identity Manager
要创建本地服务标记或通过 Internet 在 Sun 中注册 Identity Manager,请执行以下步骤:
- 要创建本地服务标记,请使用以下命令:
register -local
要通过 Internet 在 Sun 中注册 Identity Manager,请使用以下命令:
register -remote -u <userid> -p <password> -userSOA <soaUserid>
-passSOA <soaPassword> -proxy <proxyHost> -port <proxyPortNumber>其中:
- userid 是经授权进行注册的 Identity Manager 管理员的 Identity Manager 用户 ID。
- password 是经授权进行注册的 Identity Manager 管理员的 Identity Manager 密码。
- soaUserid 是用于注册的 Sun 联机帐户的用户 ID。
- soaPassword 是用于注册的 Sun 联机帐户的密码。
- proxyHost 是用于访问 Sun 联机注册服务的网络代理。 只有在将网络配置为使用代理到达外部 Internet 地址时,才需要使用此参数。
- proxyPortNumber 是用于访问 Sun 联机注册服务的网络代理上的端口。只有在将网络配置为使用代理到达外部 Internet 地址时,才需要使用此参数。
register 命令
用法
register -local
register -remote [-u <userid> [-p <password>]] [-prompt] -userSOA <userid> -passSOA <password> [-proxy <proxyHost> [-port <proxyPortNumber>]] register [-help | -?]
选项
可以将以下选项与 register 命令一起使用:
从管理员界面中注册 Identity Manager
如果不需要创建本地服务标记,请从管理员界面中注册 Identity Manager。
要从管理员界面中注册 Identity Manager,请执行以下步骤:
编辑 Identity Manager 配置对象在管理 Identity Manager 过程中,偶尔可能需要编辑 Identity Manager 系统配置对象(也称为系统配置文件)或其他类似的对象。
要使用管理员界面编辑对象,请执行以下步骤:
从系统日志中删除记录系统日志捕获由 Identity Manager 生成的错误。应定期截断系统日志,以使其不致变得太大。可以使用系统日志维护任务从系统日志中删除旧记录。
要计划从系统日志中删除旧记录的任务,请执行以下步骤: