Inhalt
|
Attribute für den Richtlinienkonfigurationsdienst
Die Attribute für den Richtlinienkonfigurationsdienst weisen globale Attribute und Organisationsattribute auf. Die den globalen Attributen zugewiesenen Werte werden über die gesamte Konfiguration von Sun Java System Access Manager hinweg zugewiesen und an jede konfigurierte Organisation vererbt. (Da die Funktion globaler Attribute in der Anpassung der Access Manager-Anwendung besteht, können sie Rollen oder Organisationen nicht direkt zugewiesen werden.) Die den Organisationsattributen in der Dienst-Verwaltung zugewiesenen Werte werden als Standardwerte der Richtlinienkonfiguration verwendet. Die Dienstvorlage muss erstellt werden, wenn der Dienst für die Organisation registriert wird. Die Standardwerte können nach der Registrierung durch den Administrator der Organisation geändert werden. Organisationsattribute werden nicht an Einträge der Organisation vererbt. Es gibt zwei Gruppen von Attributen für die Richtlinienkonfiguration:
Globale Attribute
Der Richtlinienkonfigurationsdienst weist die folgenden Organisationsattribute auf:
Ressourcen-Vergleichsoperator
Dieses Attribut stellt Ressourcen-Vergleichsinformationen zur Verfügung, die für den Vergleich der in einer Regeldefinition im Rahmen einer Richtlinie angegebenen Ressourcen verwendet werden. Der Ressourcenvergleich wird sowohl für die Erstellung als auch für die Bewertung von Richtlinien verwendet. Dieses Attribut umfasst die folgenden Werte:
Bewertung bei Verweigerungsentscheidung fortsetzen
Dieses Attribut gibt an, ob ein Richtlinienrahmen mit der Bewertung folgender Richtlinien fortfahren soll, auch wenn die Richtlinienentscheidung "Verweigern" vorliegt. Ist die Option nicht ausgewählt (Standardeinstellung), überspringt die Richtlinienbewertung nachfolgende Richtlinien, sobald die Verweigerungsentscheidung erkannt wird.
Organisationsattribute
Der Richtlinienkonfigurations-Dienst weist die folgenden Organisationsattribute auf:
Primärer LDAP-Server
In diesem Feld wird der bei der Access Manager-Installation festgelegte Host-Name und die Anschlussnummer des primären LDAP-Servers angegeben, die für die Suche nach Richtlinienbetreffs wie LDAP-Benutzer, LDAP-Rollen, LDAP-Gruppen usw. verwendet werden. Das Format lautet hostname:port. Beispiel:
machine1.beispiel.com:389
Für eine Failover-Konfiguration bei mehreren LDAP-Serverhosts kann dieser Wert aus einer durch Leerzeichen getrennten Liste bestehen. Das Format lautet hostname1:port1 hostname2:port2...
Beispielsweise:
machine1.beispiel1.com:389 machine2.beispiel1.com:389
Mehrfacheingaben müssen als Präfix den örtlichen Servernamen beinhalten. So können bestimmte Access Manager für die Kommunikation mit bestimmten Directory Server konfiguriert werden.
Das Format ist servername|hostname:port.
Beispielsweise:
machine1.beispiel1.com|machine1.beispiel1.com:389
machine1.beispiel2.com|machine1.beispiel2.com:389
Für Failover-Konfiguration:
IS_Server1.beispiel1.com|machine1.beispiel1.com:389 machine2.beispiel.com1:389
IS_Server2.beispiel2.com|machine1.beispiel2.com:389 machine2.beispiel2.com:389
LDAP-Basis-DN
Über dieses Attribut wird die Basis-DN des LDAP-Servers eingestellt, an der die Suche begonnen wird. Standardmäßig ist dies die oberste Ebene der Access Manager-Installation.
LDAP-Benutzer-Basis-DN
Über dieses Attribut wird vom LDAP-Benutzer-Betreff verwendete Basis-DN des LDAP-Servers eingestellt, an der die Suche beginnt. Standardmäßig ist dies die oberste Ebene der Installationsbasis des Access Managers.
Access Manager-Rollen-Basis-DN
Über dieses Attribut wird die vom betroffenen Access Manager-Rollen-Betreff verwendete Basis-DN des LDAP-Servers eingestellt, an der die Suche beginnt. Standardmäßig ist dies die oberste Ebene der Installationsbasis des Access Managers.
LDAP-BIND-DN
Über dieses Attribut wird die BIND-DN des LDAP-Servers festgelegt.
LDAP-BIND-Passwort
Über dieses Attribut wird das Passwort festgelegt, dass für die Verbindung zum LDAP-Server verwendet wird. Standardmäßig wird das Passwort amldapuser, das während der Installation eingegeben wurde, als Bind-Benutzer verwendet.
LDAP-BIND-Passwort (Bestätigen)
Bestätigung des LDAP-BIND-Passworts.
Suchfilter (LDAP-Organisation)
Gibt den Suchfilter an, der verwendet wird, um Organisationseinträge zu finden. Der Standardwert ist (objectclass=sunMangagedOrganization).
Suchbereich (LDAP-Organisation)
Über dieses Attribut wird der Bereich festgelegt, der verwendet wird, um Organisationseinträge zu finden. Der Bereich muss einer der folgenden Werte sein:
Suchfilter (LDAP-Gruppen)
Gibt den Suchfilter an, der verwendet wird, um Gruppeneinträge zu finden. Der Standardwert ist (objectclass=groupOfUniqueNames).
Suchbereich (LDAP-Gruppen)
Über dieses Attribut wird der Bereich festgelegt, der verwendet wird, um Gruppeneinträge zu finden. Der Bereich muss einer der folgenden Werte sein:
Suchfilter (LDAP-Benutzer)
Gibt den Suchfilter an, der verwendet wird, um Benutzereinträge zu finden. Der Standardwert ist (objectclass=inetorgperson).
Suchbereich (LDAP-Benutzer)
Über dieses Attribut wird der Bereich festgelegt, der verwendet wird, um Benutzereinträge zu finden. Der Bereich muss einer der folgenden Werte sein:
Suchfilter (LDAP-Rollen)
Gibt den Suchfilter an, der verwendet wird, um Rolleneinträge zu finden. Der Standardwert ist (&(objectclass=ldapsubentry)(objectclass=nsroledefinitions).
Suchbereich (LDAP-Rollen)
Über dieses Attribut wird der Bereich festgelegt, der verwendet wird, um Rolleneinträge zu finden. Der Bereich muss einer der folgenden Werte sein:
Access Manager-Rollen-Suchbereich
Über dieses Attribut wird der Bereich festgelegt, der verwendet wird, um nach dem Access Manager-Rollen-Betreff zu suchen. Der Bereich muss einer der folgenden Werte sein:
Suchattribut (LDAP-Organisation)
Über dieses Attribut wird die Art des Attributs festgelegt, nach dem eine Suche nach einer Organisation durchgeführt wird. Der Standardwert ist o.
Suchattribut (LDAP-Gruppen)
Über dieses Attribut wird die Art des Attributs festgelegt, nach dem eine Suche nach einer Gruppe durchgeführt wird. Der Standardwert ist cn.
Suchattribut (LDAP-Benutzer)
Über dieses Attribut wird die Art des Attributs festgelegt, nach dem eine Suche nach einem Benutzer durchgeführt wird. Der Standardwert ist uid.
Suchattribut (LDAP-Rollen)
Über dieses Attribut wird die Art des Attributs festgelegt, nach dem eine Suche nach einer Rolle durchgeführt wird. Der Standardwert ist cn.
Maximale Ergebnisse aus Suchlauf
In diesem Feld wird angegeben, wie viele Suchergebnisse maximal angezeigt werden. Der Standardwert ist 100. Wenn das Suchlimit über dem angegebenen Wert liegt, werden nur die Einträge zurückgegeben, die bis zu diesem Punkt gefunden wurden.
Timeout für Suche
Über dieses Attribut wird angegeben, wie lange eine Suche fortgesetzt wird, bevor sie wegen Überschreitung des Zeitlimits abgebrochen wird. Wenn die Suche länger dauert, als der angegebenen Wert zulässt, werden nur die Einträge zurückgegeben, die bis zu diesem Punkt gefunden wurden.
LDAP SSL aktivieren
Über dieses Attribut wird festgelegt, ob der LDAP-Server SSL unterstützt. Durch die Auswahl dieses Attributs wird SSL aktiviert, ist das Attribut nicht ausgewählt (Standard), wird SSL deaktiviert.
Wenn der LDAP-Server mit aktiviertem SSL (LDAPS) ausgeführt wird, muss Access Manager mit den entsprechenden vertrauenswürdigen SS-Zertifikaten konfiguriert sein.
Minimalgröße des LDAP-Verbindungs-Pools
Über dieses Attribut wird die minimale Größe der Verbindungs-Pools festgelegt, die für die Verbindung zum Directory Server verwendet werden, der im LDAP Server-Attribut festgelegt ist. Der Standardanschluss ist 1.
Maximalgröße des LDAP-Verbindungs-Pools
Über dieses Attribut wird die maximale Größe der Verbindungs-Pools festgelegt, die für die Verbindung zum Directory Server verwendet werden, der im LDAP Server-Attribut festgelegt ist. Der Standardanschluss ist 10.
Ausgewählte Richtlinienbetreffe
Über dieses Attribut wird eine Zusammenstellung von Betreffstypen festgelegt, die für die Richtliniendefinition innerhalb der Organisation zur Verfügung stehen.
Ausgewählte Richtlinienbedingungen
Über dieses Attribut wird eine Zusammenstellung von Bedingungstypen festgelegt, die für die Richtliniendefinition innerhalb der Organisation zur Verfügung stehen.
Ausgewählte Richtlinienbezüge
Über dieses Attribut wird eine Zusammenstellung von Bezugstypen festgelegt, die für die Richtliniendefinition innerhalb der Organisation zur Verfügung stehen.
Time to Live für Betreffergebnis
Über dieses Attribut wird angegeben, wie lange (in Minuten) ein gecachtes Betreffergebnis verwendet werden kann, um eine gleichartige Richtlinienanfrage aufgrund eines Single Sign On-Tokens zu beantworten.
Wenn die Richtlinie zuerst für ein SSO-Token verwendet wird, werden die Betreffinstanzen in der Richtlinie verwendet, um festzustellen, ob die Richtlinie für einen bestimmten Benutzer zutrifft. Das Betreffergebnis, das in der SSO-Token-ID verschlüsselt ist, wird durch die Richtlinie gecacht. Wenn für die gleiche SSO-Token-ID dieselbe Richtlinie innerhalb der im Attribut "Time to Live für Betreffergebnis" angegebenen Zeitspanne angefragt wird, wird das gecachte Betreffergebnis verwendet und es werden nicht die Betreffinstanzen erneut evaluiert. Dadurch wird die für die Richtlinienauswertung benötigte Zeit deutlich verringert.
Benutzer-Alias aktiviert
Dieses Attribut muss aktiviert sein, wenn Sie eine Richtlinie zum Schutz einer Ressource erstellen, deren Objekt ein Mitglied eines entfernten Directory Servers enthält, das Alias für einen lokalen Benutzer ist.
Dieses Attribut muss aktiviert sein, wenn Sie beispielsweise auf dem entfernten Directory Server den Benutzer uid=rmuser erstellen und dann in Access Manager rmuser als Alias für einen lokalen Benutzer hinzufügen (beispielsweise für uid=luser). Wenn Sie sich als rmuser anmelden, wird eine Sitzung für den lokalen Benutzer (luser) aufgebaut. Die Richtlinie wurde erfolgreich durchgeführt.
Inhalt |