目錄
|
作用中的目錄認證屬性
作用中的目錄認證屬性是組織屬性。 在服務配置下套用於這些屬性的值會成為作用中的目錄認證範本的預設值。組織註冊服務後,需要建立服務範本。註冊後組織的管理員可以變更預設值。組織屬性不會由組織中的項目繼承。作用中的目錄認證屬性為:
主要的作用中的目錄伺服器
此欄位指定的主機名稱與連接埠號,是您在安裝 Access Manager 期間所指定的主要作用中目錄伺服器的值。這是作用中的目錄認證將聯絡的首選伺服器。格式為 hostname:port。(如果沒有連接埠號,則假定為 389。)
如果您使用多重網域部署 Access Manager,則可按以下格式 (多重項目必須以本機伺服器名稱為字首) 指定 Access Manager 和 Directory Server 特定實例之間的通訊連結:
local_servername|server:port local_servername2|server2:port2 ...
例如,若要將兩個 Access Manager 實例部署在與不同的 Directory Server 實例 (L1-machine1-DS 和 L2-machine2-DS) 通訊的不同位置 (L1-machine1-IS 和 L2- machine2-IS) 中,則如下所示:
L1-machine1-IS.example.com|L1-machine1-DS.example.com:389 L2-machine2-IS.example.com|L2-machine2-DS.example.com:389
次要的作用中的目錄伺服器
此欄位指定 Access Manager 平台上可用的次要的作用中的目錄伺服器之主機名稱與連接埠號。如果主要的作用中的目錄伺服器未回應認證請求,則會聯絡該伺服器。如果主伺服器開啟,則 Access Manager 將切換回此主伺服器。格式也為 hostname:port。多重項目必須以本機伺服器名稱為字首。
警告
認證位於 Access Manager 企業遠端的 Directory Server 使用者時,請務必使主/次作用中的目錄伺服器連接埠均有值。兩個欄位可使用一個 Directory Server 位置的值。
開始使用者搜尋的 DN
此欄位指定使用者搜尋起始處的節點 DN。(出於效能原因,此 DN 應該儘可能明確。)預設值是目錄樹的根。將識別任何有效 DN。若搜尋範圍屬性中的 OBJECT 已被選取,則 DN 應指定一個比設定檔所在層級還高一級的層級。
多重項目必須以本機伺服器名稱為字首。格式如下所示:
servername|search dn
對於多重項目
servername1|search dn servername2|search dn servername3|search dn...
如果同一次搜尋找到多個使用者,則認證將失敗。
超級使用者連結 DN
此欄位指定使用者的 DN,該使用者將用來作為管理員連結至 [主作用中的目錄伺服器與連接埠] 欄位中指定的 Directory Server。認證服務需要以此 DN 連結,以便基於使用者登入 ID 搜尋相符的使用者 DN。預設值為 amLDAPuser。將識別任何有效 DN。
登出前請確保密碼正確,因為如果密碼不正確,您將被鎖定。如果您被鎖定,可使用 AMConfig.Properties 檔案之 com.iplanet.authentication.super.user 內容中的超級使用者 DN 登入。雖然您可以使用完整的 DN,但依預設這才是您通常用來登入的 amAdmin 帳戶。例如:
uid_amAdmin,ou=People,AccessManager-base
超級使用者連結密碼
此欄位中為在 [超級使用者連結 DN] 欄位中指定的管理員設定檔的密碼。此欄位沒有預設值。僅會辨識管理員的有效的作用中目錄密碼。
超級使用者連結密碼 (確認)
對此密碼的確認。
用於擷取使用者設定檔的作用中目錄屬性
使用者成功認證後,將擷取使用者設定檔。此屬性的值用於執行搜尋。此欄位指定要使用的 [作用中的目錄] 屬性。依預設,Access Manager 將假定使用者項目是由 uid 屬性識別的。如果 Directory Server 使用的是其他屬性 (例如 givenname),請在此欄位中指定屬性名稱。
用於搜尋要認證之使用者的作用中目錄的屬性
此欄位列出了用於為要認證的使用者形成搜尋過濾器的屬性,並且允許使用者使用使用者項目中的多個屬性進行認證。例如,如果此欄位設定為 uid、employeenumber 和 mail,則使用者可以使用其中任一名稱進行認證。
使用者搜尋過濾器
此欄位指定一個屬性,用於在 [開始使用者搜尋的 DN] 欄位下尋找使用者。它與 [使用者項目命名] 屬性配合使用。此欄位沒有預設值。將會辨識任何有效的使用者項目屬性。
搜尋範圍
此功能表指示 Directory Server 中將於其中搜尋相符使用者設定檔的層級數。搜尋從「開始使用者搜尋的 DN」屬性中指定的節點開始。預設值為 SUBTREE。可以從清單中選取以下其中一個選項:
對作用中的目錄伺服器啟用 SSL 存取
此選項對在 [主/次作用中的目錄伺服器與連接埠] 欄位中指定的 Directory Server 啟用 SSL 存取。依預設,不啟用 SSL 存取,且不使用 SSL 協定存取 Directory Server。但是,如果啟用了此屬性,則可以連結至非 SSL 伺服器。
將使用者 DN 傳回以認證
Access Manager 目錄與為作用中的目錄配置的目錄相同時,則可以啟用此選項。如果啟用了此選項,則允許作用中的目錄認證模組傳回 DN,而不是 userId,並且不必進行任何搜尋。通常,認證模組僅傳回 userId,並且認證服務會搜尋本機 Access Manager 作用中目錄的使用者。如果使用外部作用中目錄的目錄,則通常不啟用此選項。
作用中的目錄伺服器檢查間隔
此屬性用於對作用中的目錄伺服器進行故障修復。它定義驗證該作用中的目錄主伺服器是否正在執行前,執行緒將「休息」的分鐘數。
使用者建立屬性清單
此屬性在作用中的目錄伺服器被配置為外部作用中的目錄伺服器時,由作用中的目錄認證模組使用。它包含本機 Directory Server 和外部 Directory Server 之間的屬性對映。此屬性具有以下格式:
attr1|externalattr1
attr2|externalattr2
植入此屬性後,會從外部 Directory Server 讀取外部屬性的值,並將之設定為內部 Directory Server 屬性。僅當使用者設定檔屬性 (在核心認證模組中) 設定為「動態建立」,並且本機 Directory Server 實例中不存在使用者時,才在內部屬性中設定外部屬性的值。新建立的使用者將包含內部屬性的值 (如使用者建立屬性清單中所指定) 及它們對映的外部屬性的值。
認證層級
會分別為每個認證方法設定認證層級。此值指示信任認證的程度。使用者進行認證後,此值便會儲存在階段作業的 SSO 記號中。SSO 記號呈現給使用者要存取的應用程式時,應用程式將使用此儲存值以決定此層級是否達到了允許使用者存取的層級。如果儲存在 SSO 記號中的認證層級不滿足最小值需求,應用程式可以提示使用者透過具有較高認證層級的服務重新進行認證。預設值為 0。
目錄 |