Sommaire
|
Attributs du service de configuration de modalité
Les attributs du service de configuration de modalité se composent d'attributs globaux et d'organisation. Les valeurs affectées aux attributs globaux s'appliquent à la totalité de la configuration de Sun Java System Access Manager et sont transmises à chaque organisation configurée. (Elles ne peuvent pas être affectées directement aux rôles ou aux organisations dans la mesure où les attributs globaux ont pour finalité de personnaliser le serveur Access Manager.) Les valeurs associées aux attributs d'organisation dans la zone Gestion des services deviennent les valeurs par défaut pour la configuration des modalités. Le modèle de service doit être créé après enregistrement du service dans l’organisation. Les valeurs par défaut peuvent être modifiées par la suite par l'administrateur de l'organisation. Les attributs d'organisation ne sont pas transmis aux entrées de l'organisation. Les attributs de configuration de modalité se répartissent en deux catégories :
Attributs globaux
Les attributs globaux du service de configuration de modalité sont les suivants :
Comparateur de ressources
Cet attribut fournit les informations du comparateur de ressources, qui servent à comparer les ressources mentionnées dans une définition de règle de modalité. La comparaison des ressources est utilisée aussi bien pour créer que pour évaluer des modalités. Cet attribut contient les valeurs suivantes :
Continuer l'évaluation de la décision de refus
Cet attribut indique si la structure de la modalité doit ou non continuer à évaluer les modalités suivantes, même s’il existe une décision de modalité de REFUS. Si l’option n’est pas sélectionnée (par défaut), l’évaluation de modalité ignore les modalités suivantes dès qu’une décision de REFUS est identifiée.
Attribut d'organisation
Les attributs d'organisation du service de configuration de modalité sont les suivants :
Serveur LDAP principal
Ce champ spécifie le nom de l'hôte et le numéro de port du serveur LDAP principal définis au moment de l'installation de Access Manager qui seront utilisés lors de la recherche d'objets de modalité, tels que des utilisateurs LDAP, des rôles LDAP, des groupes LDAP, etc. Le format est le suivant : nomhôte:portPar exemple :
machine1.example.com:389
Pour la configuration du basculement vers plusieurs hôtes du serveur LDAP, cette valeur peut être constituée d’une liste d’hôtes séparés par des espaces. Le format suivi est nomhôte1:port1 nomhôte2:port2...
Par exemple :
machine1.example1.com:389 machine2.example1.com:389
Si vous utilisez plusieurs entrées, celles-ci doivent être précédées du nom du serveur local. Ceci doit permettre de configurer plusieurs serveurs Access Manager pour converser avec des serveurs Directory Server spécifiques.
Le format est nomserveur|nomhôte:port.
Par exemple :
machine1.example1.com|machine1.example1.com:389
machine1.example2.com|machine1.example2.com:389
Pour la configuration du basculement :
IS_Server1.example1.com|machine1.example1.com:389 machine2.example.com1:389
IS_Server2.example2.com|machine1.example2.com:389 machine2.example2.com:389
DN de base du serveur LDAP
Ce champ indique le DN de base du serveur LDAP à partir duquel la recherche est lancée. Par défaut, il s'agit de l'organisation de niveau supérieur d'Access Manager.
DN de base des utilisateurs LDAP
Cet attribut indique le DN de base utilisé par l'objet Utilisateurs LDAP dans le serveur LDAP à partir duquel la recherche est lancée. Par défaut, il s'agit de l'organisation de niveau supérieur de la base d'installation du serveur Access Manager.
DN de base des rôles Access Manager
Cet attribut indique le DN de base utilisé par l'objet Rôles Access Manager dans le serveur LDAP à partir duquel la recherche est lancée. Par défaut, il s'agit de l'organisation de niveau supérieur de la base d'installation du serveur Access Manager.
DN de la liaison LDAP
Ce champ précise le DN de la liaison avec le serveur LDAP.
Mot de passe de liaison LDAP
Cet attribut détermine le mot de passe à utiliser pour établir une liaison avec le serveur LDAP. Par défaut, le mot de passe amldapuser qui a été saisi lors de l'installation est utilisé comme nom d'utilisateur pour la liaison.
Mot de passe de liaison LDAP (confirmer)
Confirmation du mot de passe de liaison LDAP.
Filtre de recherche d'organisations LDAP
Détermine le filtre de recherche à utiliser pour rechercher des entrées d'organisation. La valeur par défaut est (objectclass=sunManagedOrganization).
Étendue de la recherche d'organisations LDAP
Cet attribut définit l'étendue à utiliser pour rechercher des entrées d'organisation. Les étendues possibles sont les suivantes :
Filtre de recherche de groupes LDAP
Détermine le filtre de recherche à utiliser pour rechercher des entrées de groupe. La valeur par défaut est (objectclass=groupOfUniqueNames).
Étendue de la recherche de groupes LDAP
Cet attribut définit l'étendue à utiliser pour rechercher des entrées de groupe. Les étendues possibles sont les suivantes :
Filtre de recherche d'utilisateurs LDAP
Détermine le filtre de recherche à utiliser pour rechercher des entrées d'utilisateur. La valeur par défaut est (objectclass=inetorgperson).
Étendue de la recherche d'utilisateurs LDAP
Cet attribut définit l'étendue à utiliser pour rechercher des entrées d'utilisateur. Les étendues possibles sont les suivantes :
Filtre de recherche de rôles LDAP
Détermine le filtre de recherche à utiliser pour rechercher des entrées de rôle. La valeur par défaut est (&(objectclass=ldapsubentry)(objectclass=nsroledefinitions)).
Étendue de la recherche de rôles LDAP
Cet attribut définit l'étendue à utiliser pour rechercher des entrées de rôle. Les étendues possibles sont les suivantes :
Étendue de la recherche des rôles Access Manager
Cet attribut définit l'étendue à utiliser pour rechercher des entrées de l'objet Rôles Access Manager. Les étendues possibles sont les suivantes :
Attribut de la recherche d'organisation LDAP
Ce champ définit le type d'attribut sur lequel effectuer une recherche d'organisation. La valeur par défaut est o.
Attribut de la recherche de groupes LDAP
Ce champ définit le type d'attribut sur lequel effectuer une recherche de groupe. La valeur par défaut est cn.
Attribut de la recherche d'utilisateurs LDAP
Ce champ définit le type d'attribut sur lequel effectuer une recherche d'utilisateur. La valeur par défaut est uid.
Attribut de la recherche de rôles LDAP
Ce champ définit le type d'attribut sur lequel effectuer une recherche de rôle. La valeur par défaut est cn.
Maximum de résultats renvoyés par la recherche
Ce champ définit le nombre maximal de résultats pouvant être renvoyés par une recherche. La valeur par défaut est 100. Si le nombre de résultats dépasse le nombre spécifié, toutes les entrées ayant été trouvées jusqu'à ce seuil seront renvoyées.
Délai d'attente de recherche
Cet attribut définit le nombre de secondes restant avant que le délai de la recherche n'arrive à expiration. Si la recherche dépasse la durée indiquée, toutes les entrées ayant été trouvées dans les limites de cette durée seront renvoyées.
Activer le protocole SSL pour LDAP
Cet attribut indique si le serveur LDAP utilise le protocole SSL. La valeur Sélectionné active le protocole SSL, tandis que la valeur Non sélectionné (par défaut) le désactive.
Si le serveur LDAP est exécuté avec SSL activé (LDAPS), vous devez vérifier qu’Access Manager est bien configuré avec les certificats de confiance SS appropriés.
Taille minimale de pool de connexion LDAP
Cet attribut indique la taille minimale des pools de connexion à utiliser pour se connecter à Directory Server, telle qu'elle est définie par l'attribut du serveur LDAP. La valeur par défaut est 1.
Taille maximale de pool de connexion LDAP
Cet attribut indique la taille maximale des pools de connexion à utiliser pour se connecter à Directory Server, telle qu'elle est définie par l'attribut du serveur LDAP. La valeur par défaut est 10.
Objets de modalité sélectionnés
Cet attribut vous permet de sélectionner un ensemble de types d'objet parmi ceux disponibles, à utiliser pour définir une modalité au sein de l'organisation.
Conditions de modalité sélectionnées
Cet attribut vous permet de sélectionner un ensemble de types de condition pouvant être utilisé pour définir une modalité au sein de l'organisation.
Orientations de modalité sélectionnées
Cet attribut vous permet de sélectionner un ensemble de types d'orientation à utiliser pour définir une modalité au sein de l'organisation.
Durée des résultats d'objets
Cet attribut indique la durée (en minutes) pendant laquelle un résultat d'objet mis en cache peut être utilisé pour évaluer une même demande de modalité basée sur le jeton SSO.
Lorsqu'une modalité est initialement évaluée pour un jeton SSO, les occurrences de l'objet incluses dans la modalité sont évaluées afin de déterminer si celle-ci est applicable à un utilisateur donné. Le résultat de l'objet, auquel l'ID du jeton SSO est attribué, est mis en cache dans la modalité. Si une autre évaluation est effectuée pour cette modalité avec le même ID de jeton SSO pendant la durée définie par l'attribut Durée des résultats d'objets, la structure de la modalité extrait le résultat des objets mis en cache, plutôt que d'évaluer les occurrences de l'objet. Cette action réduit considérablement le temps d'évaluation des modalités.
Alias utilisateur activé
Cet attribut doit être activé si vous créez une modalité pour protéger une ressource dont le membre de l'objet du serveur Directory Server distant attribue un alias à un utilisateur local.
Autrement dit, cet attribut doit être activé si vous créez uid=rmuser dans le serveur Directory Server distant et si vous attribuez l'alias rmuser à un utilisateur local (tel que uid=luser) dans Access Manager. Lorsque vous vous connectez en tant que rmuser, une session est créée avec l'utilisateur local (luser) et la modalité est correctement appliquée.
Sommaire |