Contenido    

Atributos del servicio de configuración de políticas

Los atributos del servicio de configuración de política constan de atributos de organización y globales. Los valores aplicados a los atributos globales se aplican a la configuración de Sun Java System Access Manager y todas las organizaciones configuradas los heredan. (No se pueden aplicar directamente a roles u organizaciones, ya que el objetivo de los atributos globales es personalizar la aplicación Access Manager). Los valores aplicados a los atributos de organización en "Administración de servicios" se convierten en los valores predeterminados para la configuración de política. Es necesario crear la plantilla de servicio después de registrar el servicio para la organización. El administrador de la organización puede cambiar los valores predeterminados después del registro. Los atributos de organización no los heredan las entradas de la organización. Los atributos de configuración de política se dividen en:

Atributos globales

Los atributos globales del servicio "Configuración de política" son:

Comparador de recursos

Este atributo especifica la información del comparador de recursos que se utiliza para comparar los recursos especificados en una definición de regla de política. La comparación de recursos se realiza para la creación y evaluación de políticas. Este atributo contiene los siguientes valores:

 

 

serviceType

Especifica el servicio con el que se debe utilizar el comparador.

class

Define la clase java que implementa el algoritmo de comparación de recursos.

wildcard

Especifica el comodín que se puede definir en los nombres de recursos.

Delimitador

Especifica el delimitador que se debe utilizar en los nombres de recursos.

caseSensitivity

Especifica si la comparación entre los dos recursos debe tener en cuenta o no la distinción entre mayúsculas y minúsculas. False (Falso) hace caso omiso de la distinción y True (Verdadero) la tiene en cuenta.

Continuar evaluación tras decisión de denegación

Este atributo determina si el marco de políticas debería o no seguir evaluando políticas posteriores, aún si existe una decisión de política de denegación. Si esta opción no está seleccionada (estado predeterminado), la evaluación de políticas omitirá las políticas posteriores una vez reconocida la decisión de denegación.

Atributos de organización

Los atributos de organización del servicio "Configuración de política" son:

Servidor LDAP principal

Este campo especifica el nombre de host y el número de puerto del servidor LDAP principal especificados durante la instalación de Access Manager que se utilizarán para buscar asuntos de política, como usuarios de LDAP, roles de LDAP, grupos de LDAP, etc. El formato es hostname:port. Por ejemplo:

máquina1.ejemplo.com:389

Para una configuración de sustitución aplicada a varios servidores LDAP, este valor puede consistir en una lista de hosts delimitada por espacios. El formato es nombrehost1:puerto1 nombrehost2:puerto2...

Por ejemplo:

máquina1.ejemplo1.com:389 máquina2.ejemplo1.com:389

Las entradas múltiples deben aparecer precedidas del nombre del servidor local como prefijo. Esto permite configurar determinados Access Managers para que se comuniquen con servidores de directorios específicos.

El formato es nombreservidor|nombrehost:puerto.

Por ejemplo:

máquina1.ejemplo1.com|máquina1.ejemplo1.com:389

máquina1.ejemplo2.com|máquina1.ejemplo2.com:389

Para configurar la sustitución:

Servidor1_IS.ejemplo1.com|máquina1.ejemplo1.com:389 máquina2.ejemplo1.com:389

Servidor2_IS.ejemplo2.com|máquina1.ejemplo2.com:389 máquina2.ejemplo2.com:389

DN de base de LDAP

Este campo especifica el DN de base del servidor LDAP desde el que comenzar la búsqueda. De forma predeterminada, es la organización de nivel superior de la instalación de Access Manager.

DN de base de usuarios de LDAP

Este atributo especifica el DN de base utilizado como asunto por los usuarios de LDAP en el servidor LDAP desde el que comienza la búsqueda. De forma predeterminada, es la organización de nivel superior de la base de instalación de Access Manager.

DN de base de los roles de Access Manager

Este atributo especifica el DN de base utilizado como asunto por los roles de Access Manager en el servidor LDAP desde el que comienza la búsqueda. De forma predeterminada, es la organización de nivel superior de la base de instalación de Access Manager.

DN de conexión de LDAP

Este campo especifica el DN de conexión del servidor LDAP.

Contraseña de conexión de LDAP

Este atributo define la contraseña que se va a utilizar para conectarse al servidor LDAP. De forma predeterminada, la contraseña amldapuser que se introdujo durante la instalación se utiliza como usuario de conexión.

Contraseña de conexión de LDAP (confirmar)

Confirmación de la contraseña de conexión de LDAP.

Filtro de búsqueda de organizaciones de LDAP

Especifica el filtro de búsqueda que se utilizará al buscar entradas de organización. El valor predeterminado es (objectclass=sunManagedOrganization).

Ámbito de búsqueda de organizaciones de LDAP

Este atributo define el ámbito que se utilizará al buscar entradas de organización. El ámbito debe ser uno de los siguientes:

Filtro de búsqueda de grupos de LDAP

Especifica el filtro de búsqueda que se utilizará al buscar entradas de grupo. El valor predeterminado es (objectclass=groupOfUniqueNames).

Ámbito de búsqueda de grupos de LDAP

Este atributo define el ámbito que se utilizará al buscar entradas de grupo. El ámbito debe ser uno de los siguientes:

Filtro de búsqueda de usuarios de LDAP

Especifica el filtro de búsqueda que se utilizará al buscar entradas de usuario. El valor predeterminado es (objectclass=inetorgperson).

Ámbito de búsqueda de usuarios de LDAP

Este atributo define el ámbito que se utilizará al buscar entradas de usuario. El ámbito debe ser uno de los siguientes:

Filtro de búsqueda de roles de LDAP

Especifica el filtro de búsqueda que se utilizará al buscar entradas para roles. El valor predeterminado es (&(objectclass=ldapsubentry)(objectclass=nsroledefinitions)

Ámbito de búsqueda de roles de LDAP

Este atributo define el ámbito que se utilizará al buscar entradas para roles. El ámbito debe ser uno de los siguientes:

Ámbito de búsqueda de los roles de Access Manager

Este atributo define el ámbito que se utilizará al buscar entradas de asunto de roles de Access Manager. El ámbito debe ser uno de los siguientes:

Atributo de búsqueda de organización de LDAP

Este campo define el tipo de atributo para el que realizar una búsqueda en una organización. El valor predeterminado es o.

Atributo de búsqueda de grupos de LDAP

Este campo define el tipo de atributo para el que realizar una búsqueda en un grupo. El valor predeterminado es cn.

Atributo de búsqueda de usuarios de LDAP

Este campo define el tipo de atributo para el que realizar una búsqueda en un usuario. El valor predeterminado es uid.

Atributo de búsqueda de roles de LDAP

Este campo define el tipo de atributo para el que realizar una búsqueda en un rol. El valor predeterminado es cn.

Resultados máximos devueltos por la búsqueda

Este campo define el número máximo de resultados devueltos por una búsqueda. El valor predeterminado es 100. Si el límite de la búsqueda supera la cantidad especificada, se devolverán las entradas encontradas hasta ese momento.

Tiempo de espera para búsqueda

Este atributo especifica el tiempo que debe transcurrir para que se agote el tiempo de espera en una búsqueda. Si la búsqueda supera el tiempo especificado, se devolverán las entradas encontradas hasta ese momento.

Habilitar SSL de LDAP

Este atributo especifica si el servidor LDAP está ejecutando SSL. Si está seleccionado se activa SSL y, si no, se desactiva SSL (es el valor predeterminado).

Si el servidor LDAP está funcionando con la capacidad SSL habilitada (LDAPS), debe asegurarse de que Access Manager esté configurado con certificados adecuados de confianza SS.

Tamaño mínimo de grupo de conexión LDAP

Este atributo especifica el tamaño mínimo de los grupos de conexión que se deben utilizar para conectarse al servidor de directorios, como se especifica en el atributo del servidor LDAP. El valor predeterminado es 1.

Tamaño máximo de grupo de conexión LDAP

Este atributo especifica el tamaño máximo de los grupos de conexión que se deben utilizar para conectarse al servidor de directorios, como se especifica en el atributo del servidor LDAP. El valor predeterminado es 10.

Asuntos de política seleccionados

Este atributo le permite seleccionar un conjunto de tipos de asuntos disponibles para su uso como definición de política en la organización.

Condiciones de política seleccionadas

Este atributo le permite seleccionar un conjunto de tipos de condiciones disponibles para su uso como definición de política en la organización.

Referencias de política seleccionadas

Este atributo le permite seleccionar un conjunto de tipos de referencias disponibles para su uso como definición de política en la organización.

Tiempo de vida de resultado de asuntos

Este atributo especifica el tiempo (en minutos) durante el cual se puede utilizar un resultado de asunto guardado en caché para evaluar la misma solicitud de política basada en el token de sesión única.

Cuando se evalúa inicialmente una política para un token SSO, se evalúan las instancias de asunto de la política para determinar si ésta es aplicable a un usuario dado. El resultado de asunto, al que aplica una clave el Id. de token SSO, se guarda en caché en la política. Si se produce otra evaluación para la misma política para el mismo Id. de token SSO dentro del tiempo especificado en el atributo "Tiempo de vida de resultado de asuntos", el marco de la política recupera el resultado de asuntos guardado en caché, en lugar de evaluar las instancias de asuntos. Esto reduce significativamente el tiempo necesario para la evaluación de política.

Alias de usuario activado

Se debe activar este atributo si crea una política para proteger un recurso cuyo miembro de asunto de un servidor de directorios remoto es el alias de un usuario local.

Se debe activar este atributo, por ejemplo, si crea uid=rmuser en el servidor de directorios remoto y, a continuación, añade rmuser como alias a un usuario local (por ejemplo uid=luser) en Access Manager. Cuando inicie sesión como rmuser, se crea una sesión con el usuario local (luser) y la obligatoriedad de la política tiene éxito.


Contenido