目录
|
成员资格验证属性
成员资格验证属性是组织属性。在“服务配置”下成员资格验证属性采用的值将成为成员资格验证模板的缺省值。为组织注册服务之后,需要创建服务模板。组织的管理员可以在注册后更改缺省值。组织属性不会被组织子树中的条目继承。成员资格验证属性包括:
最小口令长度
该字段用于指定自注册过程中设置口令时要求的最小字符数。缺省值为 8。
如果更改该缺省值,还需更改注册中的该值和以下文件的错误文本中的该值:
AcessManager-base/locale/amAuthMembership.properties (PasswdMinChars entry)
缺省用户角色
该字段用于指定分配给其配置文件是在自注册过程中创建的新用户的角色。该字段没有缺省值。管理员必须指定要分配给新用户的角色的 DN。
注
所指定的角色必须位于正在为其配置验证的组织下。在自注册过程中,只能添加可以指派给用户的角色。所有其他 DN 将被忽略。该角色可以是 Access Manager 角色,也可以是 LDAP 角色,但不接受过滤的角色。
注册后的用户状态
该菜单用于指定服务是否立即可以供已自注册的用户使用。缺省值为 Active,服务可供新用户使用。通过选中 Inactive,管理员不对新用户提供服务。
主 LDAP 服务器
该字段指定 Access Manager 安装过程中指定的主 LDAP 服务器的主机名和端口号。这是进行 LDAP 验证时 Access Manager 要搜索的首选服务器。格式为:hostname:port。(如果没有端口号,将采用 389)。
如果在多个域部署 Access Manager,可以按以下格式(如果指定多个条目,条目前面必须带有本地服务器名称)指定 Access Manager 和 Directory Server 的特定实例之间的通信链接:
local_servername|server:port local_servername2|server:port ...
例如,如果您在不同位置(L1-machine1-IS 和 L2- machine2-IS)部署两个 Access Manager,它们分别与 Access Manager 的不同实例(L1-machine1-DS 和 L2-machine2-DS)进行通信,格式如下:
L1-machine1-IS.example.com|L1-machine1-DS.example.com:389 L2-machine2-IS.example.com|L2-machine2-DS.example.com:389
次 LDAP 服务器
该字段指定 Access Manager 平台上可用的次 LDAP 服务器的主机名和端口号。如果主 LDAP 服务器对验证请求不响应,则将会搜索次服务器。如果主服务器恢复正常,Access Manager 将切换回主服务器。格式仍为 hostname:port。如果指定多个条目,条目前面必须带有本地服务器名称。
注意
当验证来自目录服务器的用户,并且目录服务器相对于 Access Manager 处于远程位置时,主活动目录服务器和次活动目录服务器的端口都必须具有相应的值。两个字段可以使用一个 Directory Server 位置的值。
起始用户搜索的 DN
该字段指定开始搜索用户的起始节点的 DN。(为了获取较好性能,DN 应当尽可能明确。)缺省值是目录树的根。可以接受任何有效的 DN。如果在搜索范围属性中选择 OBJECT,则 DN 应指定配置文件所在级别的上一级。
如果使用了多个条目,条目必须以本地服务器名称为前缀。格式如下:
servername|search dn
对于多个条目
servername1|search dn servername2|search dn servername3|search dn...
如果同一搜索找到多个用户,则验证失败。
超级用户绑定的 DN
该字段用于指定用户的 DN,该用户将作为管理员被绑定到“主 LDAP 服务器和端口”字段中指定的 Directory Server。验证模块需要进行该 DN 绑定,以便基于用户的登录 ID 搜索匹配的用户 DN。缺省值为 amldapuser。可以接受任何有效的 DN。
超级用户绑定的口令
该字段指定在“超级用户绑定的 DN”字段中指定的管理员配置文件的口令。该字段没有缺省值。只接受管理员的有效 LDAP 口令。
超级用户绑定的口令(确认)
对口令进行确认。
用于检索用户配置文件的 LDAP 属性
该字段用于指定用户条目命名惯例的属性。缺省情况下,Access Manager 假定用户条目是由 uid 属性标识的。如果您的 Directory Server 使用的是其他属性(例如 givenname),请在该字段中指明属性名称。
用于搜索要进行验证的用户的 LDAP 属性
该字段会列出为即将验证的用户形成搜索过滤器时所要使用的属性,并允许用户使用用户条目中的多个属性进行验证。例如,如果该字段被设置成 uid、employeenumber 和 mail,则用户可以使用这些名称中的任意一个来进行验证。
用户搜索过滤器
该字段指定一个属性,用于根据“起始用户搜索的 DN”字段来搜索用户。它与“用户命名”属性共同发挥作用。该字段没有缺省值。可以接受任何有效的用户条目属性。
搜索范围
该菜单指明 Directory Server 中搜索匹配的用户配置文件时所用的级别号。从起始用户搜索的 DN 属性中指定的节点开始搜索。缺省值为 SUBTREE。可以从列表中选择以下选项之一:
对 LDAP 服务器启用 SSL 访问
该选项用于启用 SSL 来访问“主/次 LDAP 服务器和端口”字段中指定的 Directory Server。缺省情况下未选中该复选框,SSL 协议不用于访问 Directory Server。
返回用户 DN 以进行验证
当 Access Manager 目录与为 LDAP 配置的目录相同时,则可能启用了该选项。如果启用了该选项,LDAP 验证模块将返回 DN,而不是 userId,并且不需要进行搜索。通常情况下,验证模块仅返回 userId,且验证模块会搜索本地 Access Manager LDAP 中的用户。如果使用了外部 LDAP 目录,则通常不启用该选项。
验证级别
各种验证方法都单独设置了验证级别。验证级别值表示信任验证的程度。用户进行验证之后,该值将存储在会话的 SSO 令牌中。当 SSO 令牌传递到用户要访问的应用程序时,应用程序将根据存储的值来确定级别是否足以授予用户访问权限。如果 SSO 令牌中存储的验证级别没有达到所需的最小级别,应用程序将提示用户使用具有较高验证级别的服务再次进行验证。缺省值为 0。
目录 |