Inhalt    

Attribute für den Richtlinienkonfigurationsdienst

Die Attribute für den Richtlinienkonfigurationsdienst weisen globale Attribute und Organisationsattribute auf. Die den globalen Attributen zugewiesenen Werte werden über die gesamte Konfiguration von Sun Java System Access Manager hinweg zugewiesen und an jede konfigurierte Organisation vererbt. (Da die Funktion globaler Attribute in der Anpassung der Access Manager-Anwendung besteht, können sie Rollen oder Organisationen nicht direkt zugewiesen werden.) Die den Organisationsattributen in der Dienst-Verwaltung zugewiesenen Werte werden als Standardwerte der Richtlinienkonfiguration verwendet. Die Dienstvorlage muss erstellt werden, wenn der Dienst für die Organisation registriert wird. Die Standardwerte können nach der Registrierung durch den Administrator der Organisation geändert werden. Organisationsattribute werden nicht an Einträge der Organisation vererbt. Es gibt zwei Gruppen von Attributen für die Richtlinienkonfiguration:

Globale Attribute

Der Richtlinienkonfigurationsdienst weist die folgenden Organisationsattribute auf:

Ressourcen-Vergleichsoperator

Dieses Attribut stellt Ressourcen-Vergleichsinformationen zur Verfügung, die für den Vergleich der in einer Regeldefinition im Rahmen einer Richtlinie angegebenen Ressourcen verwendet werden. Der Ressourcenvergleich wird sowohl für die Erstellung als auch für die Bewertung von Richtlinien verwendet. Dieses Attribut umfasst die folgenden Werte:

 

 

serviceType

Gibt den Dienst an, für den der Vergleichsoperator verwendet werden soll.

Klasse

Gibt die Java-Klasse an, die den Ressourcen-Vergleichsalgorithmus anwendet.

Platzhalter

Gibt das Platzhalterzeichen an, das in Ressourcennamen definiert werden kann.

Trennzeichen

Gibt das Trennzeichen an, das im Ressourcennamen verwendet werden soll.

caseSensitivity

Gibt an, ob für den Vergleich der zwei Ressourcen die Groß- und Kleinschreibung beachtet werden muss. Lautet der Wert Falsch, wird die Groß- und Kleinschreibung nicht beachtet. Bei Wahr wird die Groß- und Kleinschreibung beachtet.

Bewertung bei Verweigerungsentscheidung fortsetzen

Dieses Attribut gibt an, ob ein Richtlinienrahmen mit der Bewertung folgender Richtlinien fortfahren soll, auch wenn die Richtlinienentscheidung "Verweigern" vorliegt. Ist die Option nicht ausgewählt (Standardeinstellung), überspringt die Richtlinienbewertung nachfolgende Richtlinien, sobald die Verweigerungsentscheidung erkannt wird.

Organisationsattribute

Der Richtlinienkonfigurations-Dienst weist die folgenden Organisationsattribute auf:

Primärer LDAP-Server

In diesem Feld wird der bei der Access Manager-Installation festgelegte Host-Name und die Anschlussnummer des primären LDAP-Servers angegeben, die für die Suche nach Richtlinienbetreffs wie LDAP-Benutzer, LDAP-Rollen, LDAP-Gruppen usw. verwendet werden. Das Format lautet hostname:port. Beispiel:

machine1.beispiel.com:389

Für eine Failover-Konfiguration bei mehreren LDAP-Serverhosts kann dieser Wert aus einer durch Leerzeichen getrennten Liste bestehen. Das Format lautet hostname1:port1 hostname2:port2...

Beispielsweise:

machine1.beispiel1.com:389 machine2.beispiel1.com:389

Mehrfacheingaben müssen als Präfix den örtlichen Servernamen beinhalten. So können bestimmte Access Manager für die Kommunikation mit bestimmten Directory Server konfiguriert werden.

Das Format ist servername|hostname:port.

Beispielsweise:

machine1.beispiel1.com|machine1.beispiel1.com:389

machine1.beispiel2.com|machine1.beispiel2.com:389

Für Failover-Konfiguration:

IS_Server1.beispiel1.com|machine1.beispiel1.com:389 machine2.beispiel.com1:389

IS_Server2.beispiel2.com|machine1.beispiel2.com:389 machine2.beispiel2.com:389

LDAP-Basis-DN

Über dieses Attribut wird die Basis-DN des LDAP-Servers eingestellt, an der die Suche begonnen wird. Standardmäßig ist dies die oberste Ebene der Access Manager-Installation.

LDAP-Benutzer-Basis-DN

Über dieses Attribut wird vom LDAP-Benutzer-Betreff verwendete Basis-DN des LDAP-Servers eingestellt, an der die Suche beginnt. Standardmäßig ist dies die oberste Ebene der Installationsbasis des Access Managers.

Access Manager-Rollen-Basis-DN

Über dieses Attribut wird die vom betroffenen Access Manager-Rollen-Betreff verwendete Basis-DN des LDAP-Servers eingestellt, an der die Suche beginnt. Standardmäßig ist dies die oberste Ebene der Installationsbasis des Access Managers.

LDAP-BIND-DN

Über dieses Attribut wird die BIND-DN des LDAP-Servers festgelegt.

LDAP-BIND-Passwort

Über dieses Attribut wird das Passwort festgelegt, dass für die Verbindung zum LDAP-Server verwendet wird. Standardmäßig wird das Passwort amldapuser, das während der Installation eingegeben wurde, als Bind-Benutzer verwendet.

LDAP-BIND-Passwort (Bestätigen)

Bestätigung des LDAP-BIND-Passworts.

Suchfilter (LDAP-Organisation)

Gibt den Suchfilter an, der verwendet wird, um Organisationseinträge zu finden. Der Standardwert ist (objectclass=sunMangagedOrganization).

Suchbereich (LDAP-Organisation)

Über dieses Attribut wird der Bereich festgelegt, der verwendet wird, um Organisationseinträge zu finden. Der Bereich muss einer der folgenden Werte sein:

Suchfilter (LDAP-Gruppen)

Gibt den Suchfilter an, der verwendet wird, um Gruppeneinträge zu finden. Der Standardwert ist (objectclass=groupOfUniqueNames).

Suchbereich (LDAP-Gruppen)

Über dieses Attribut wird der Bereich festgelegt, der verwendet wird, um Gruppeneinträge zu finden. Der Bereich muss einer der folgenden Werte sein:

Suchfilter (LDAP-Benutzer)

Gibt den Suchfilter an, der verwendet wird, um Benutzereinträge zu finden. Der Standardwert ist (objectclass=inetorgperson).

Suchbereich (LDAP-Benutzer)

Über dieses Attribut wird der Bereich festgelegt, der verwendet wird, um Benutzereinträge zu finden. Der Bereich muss einer der folgenden Werte sein:

Suchfilter (LDAP-Rollen)

Gibt den Suchfilter an, der verwendet wird, um Rolleneinträge zu finden. Der Standardwert ist (&(objectclass=ldapsubentry)(objectclass=nsroledefinitions).

Suchbereich (LDAP-Rollen)

Über dieses Attribut wird der Bereich festgelegt, der verwendet wird, um Rolleneinträge zu finden. Der Bereich muss einer der folgenden Werte sein:

Access Manager-Rollen-Suchbereich

Über dieses Attribut wird der Bereich festgelegt, der verwendet wird, um nach dem Access Manager-Rollen-Betreff zu suchen. Der Bereich muss einer der folgenden Werte sein:

Suchattribut (LDAP-Organisation)

Über dieses Attribut wird die Art des Attributs festgelegt, nach dem eine Suche nach einer Organisation durchgeführt wird. Der Standardwert ist o.

Suchattribut (LDAP-Gruppen)

Über dieses Attribut wird die Art des Attributs festgelegt, nach dem eine Suche nach einer Gruppe durchgeführt wird. Der Standardwert ist cn.

Suchattribut (LDAP-Benutzer)

Über dieses Attribut wird die Art des Attributs festgelegt, nach dem eine Suche nach einem Benutzer durchgeführt wird. Der Standardwert ist uid.

Suchattribut (LDAP-Rollen)

Über dieses Attribut wird die Art des Attributs festgelegt, nach dem eine Suche nach einer Rolle durchgeführt wird. Der Standardwert ist cn.

Maximale Ergebnisse aus Suchlauf

In diesem Feld wird angegeben, wie viele Suchergebnisse maximal angezeigt werden. Der Standardwert ist 100. Wenn das Suchlimit über dem angegebenen Wert liegt, werden nur die Einträge zurückgegeben, die bis zu diesem Punkt gefunden wurden.

Timeout für Suche

Über dieses Attribut wird angegeben, wie lange eine Suche fortgesetzt wird, bevor sie wegen Überschreitung des Zeitlimits abgebrochen wird. Wenn die Suche länger dauert, als der angegebenen Wert zulässt, werden nur die Einträge zurückgegeben, die bis zu diesem Punkt gefunden wurden.

LDAP SSL aktivieren

Über dieses Attribut wird festgelegt, ob der LDAP-Server SSL unterstützt. Durch die Auswahl dieses Attributs wird SSL aktiviert, ist das Attribut nicht ausgewählt (Standard), wird SSL deaktiviert.

Wenn der LDAP-Server mit aktiviertem SSL (LDAPS) ausgeführt wird, muss Access Manager mit den entsprechenden vertrauenswürdigen SS-Zertifikaten konfiguriert sein.

Minimalgröße des LDAP-Verbindungs-Pools

Über dieses Attribut wird die minimale Größe der Verbindungs-Pools festgelegt, die für die Verbindung zum Directory Server verwendet werden, der im LDAP Server-Attribut festgelegt ist. Der Standardanschluss ist 1.

Maximalgröße des LDAP-Verbindungs-Pools

Über dieses Attribut wird die maximale Größe der Verbindungs-Pools festgelegt, die für die Verbindung zum Directory Server verwendet werden, der im LDAP Server-Attribut festgelegt ist. Der Standardanschluss ist 10.

Ausgewählte Richtlinienbetreffe

Über dieses Attribut wird eine Zusammenstellung von Betreffstypen festgelegt, die für die Richtliniendefinition innerhalb der Organisation zur Verfügung stehen.

Ausgewählte Richtlinienbedingungen

Über dieses Attribut wird eine Zusammenstellung von Bedingungstypen festgelegt, die für die Richtliniendefinition innerhalb der Organisation zur Verfügung stehen.

Ausgewählte Richtlinienbezüge

Über dieses Attribut wird eine Zusammenstellung von Bezugstypen festgelegt, die für die Richtliniendefinition innerhalb der Organisation zur Verfügung stehen.

Time to Live für Betreffergebnis

Über dieses Attribut wird angegeben, wie lange (in Minuten) ein gecachtes Betreffergebnis verwendet werden kann, um eine gleichartige Richtlinienanfrage aufgrund eines Single Sign On-Tokens zu beantworten.

Wenn die Richtlinie zuerst für ein SSO-Token verwendet wird, werden die Betreffinstanzen in der Richtlinie verwendet, um festzustellen, ob die Richtlinie für einen bestimmten Benutzer zutrifft. Das Betreffergebnis, das in der SSO-Token-ID verschlüsselt ist, wird durch die Richtlinie gecacht. Wenn für die gleiche SSO-Token-ID dieselbe Richtlinie innerhalb der im Attribut "Time to Live für Betreffergebnis" angegebenen Zeitspanne angefragt wird, wird das gecachte Betreffergebnis verwendet und es werden nicht die Betreffinstanzen erneut evaluiert. Dadurch wird die für die Richtlinienauswertung benötigte Zeit deutlich verringert.

Benutzer-Alias aktiviert

Dieses Attribut muss aktiviert sein, wenn Sie eine Richtlinie zum Schutz einer Ressource erstellen, deren Objekt ein Mitglied eines entfernten Directory Servers enthält, das Alias für einen lokalen Benutzer ist.

Dieses Attribut muss aktiviert sein, wenn Sie beispielsweise auf dem entfernten Directory Server den Benutzer uid=rmuser erstellen und dann in Access Manager rmuser als Alias für einen lokalen Benutzer hinzufügen (beispielsweise für uid=luser). Wenn Sie sich als rmuser anmelden, wird eine Sitzung für den lokalen Benutzer (luser) aufgebaut. Die Richtlinie wurde erfolgreich durchgeführt.


Inhalt