领域模式控制台

领域模式中的管理控制台使管理员能够管理基于领域的访问控制、默认服务配置、Web 服务以及联合。要访问管理员登录屏幕，请在浏览器中使用以下地址语法：

图 1–1 领域模式管理视图

“传统模式”控制台是基于 Access Manager 6.3 体系结构的。此传统 Access Manager 体系结构使用 Sun Java System Directory Server 自带的 LDAP 目录信息树 (DIT)。在“传统模式”下，用户信息和访问控制信息均存储于 LDAP 组织中。选择“传统模式”时，LDAP 组织等同于访问控制领域。领域信息集成在 LDAP 组织内。在“传统模式”下，“目录管理”选项卡可在基于 Access Manager 的身份管理中使用。

要访问管理员登录屏幕，请在浏览器中使用以下地址语法：

图 1–2 传统模式管理视图

Access Manager 6.3 的某些功能在 Access Manager 7.1 控制台中不可用。因此，管理员可以通过 7.1 传统部署登录到 6.3 控制台。在将 Access Manager 建立在 Sun Java System Portal Server 或其他需要将 Sun Java System Directory Server 用作中心身份库的 Sun Java System 通信产品上的情况下，通常会使用此控制台。其他功能（如“委托管理”和“服务类”）只能通过此控制台进行访问。

请勿交换使用 6.3 传统模式控制台和 7.1 传统模式控制台。

要访问 6.3 控制台，请在浏览器中使用以下地址语法：

图 1–3 基于传统 6.3 的控制台

当尚未指定管理角色的用户向 Access Manager 进行验证时，默认视图为用户自己的“用户概要文件”视图。在“领域模式”或“传统模式”下均可访问“用户概要文件”视图。要访问该视图，用户必须在“登录”页面中输入自己的用户名和密码。

用户可以在该视图中修改用户的个人配置文件所特有的属性值。其中包括（但不限于）姓名、家庭地址和密码。“用户概要文件视图”中显示的属性可以扩展。

图 1–4 用户概要文件视图

您可以通过“服务”选项卡在领域中添加并配置许多 Access Manager 默认的服务。您可以添加以下服务：

配置对象的示例是“验证配置”、“策略”、“数据存储库”等。身份对象的示例是“用户”、“组”、“角色”和“代理”。可动态创建一组权限并动态将其添加到 Access Manager，不过在安装期间，会将少量权限添加到 Access Manager 以使其正常运行。一旦加载权限后，就可将其指定给角色和组。属于这些角色和组的用户就可成为委托管理员，并且可执行已指定的操作。管理员基本上就是一些特定的用户，他们是已指定了一组或多组权限的角色和组的成员。

可通过 Access Manager 7.1 为以下管理员类型配置权限：

领域管理员 — 领域管理员拥有对所有对象（配置对象和身份对象）执行 READ、MODIFY 和 DELEGATE 操作的权限。可将领域管理员视为 Unix 系统中的“超级用户”。领域管理员可为所有服务创建子领域，修改配置，也可创建、修改以及删除“用户”、“组”、“角色”和“代理”。

定义 Access Manager 7.1 的权限

Access Manager 7.1 的新安装实例为策略管理员、领域管理员（或传统模式中的组织管理员）和日志管理员提供访问权限。单击您要进行编辑的角色或组的名称，可指定或修改权限。可选择的权限包括：

为日志管理员定义读写访问权限。

仅为日志管理员定义写入访问权限。

仅为日志管理员定义读取访问权限。

为策略管理员定义读写访问权限。

为领域管理员定义读写访问权限。

为从 Access Manager 7.0 升级到 7.1 定义权限

如果已将 Access Manager 从版本 7.0 升级到 7.1，那么相关权限配置与新 Access Manager 7.1 安装有所不同，但仍然支持策略管理员、领域管理员和日志管理员的权限。单击您要进行编辑的角色或组的名称，可指定或修改权限。可选择的权限包括：

为策略管理员定义数据存储库的读取访问权限。

为日志管理员定义读写访问权限。

仅为日志管理员定义写入访问权限。

仅为日志管理员定义读取访问权限。

为策略管理员定义读写访问权限。

为领域管理员定义读写访问权限。

为策略管理员定义所有属性和服务的读取访问权限。

Access Manager 不支持以下定义（无论是单独使用还是一起使用）：

对数据存储库的只读访问

第 3 章 数据存储库

Access Manager 数据存储库类型

本节说明可配置的数据存储库类型，提供创建和配置新数据存储库类型的步骤。

可为以下数据存储库类型创建新的数据存储库实例：

Access Manager 系统信息库插件

该数据存储库类型驻留在 Sun Java System Directory Server 实例中，并拥有 Access Manager 信息树。该数据存储库类型使用不属于 LDAP 版本 3 规范的 Directory Server 功能（如角色和服务类），并与以前的 Access Manager 版本兼容。

该数据存储类型使用 LDAP 版本 3 规范将身份数据写入到 Microsoft 活动目录的实例中。

平面文件系统信息库

该系统信息库允许用户在 Access Manager 的本地安装实例上以平面 DIT 结构存储数据和身份，而不必创建单独的数据存储库。通常将其用于测试或验证概念部署。

普通 LDAPv3

该数据存储库类型允许将身份数据写入任意与 LDAPv3 兼容的数据库。如果所使用的 LDAPv3 数据库不支持持久性搜索，则无法使用高速缓存功能。

使用 Access Manager 模式的 Sun Directory Server

该数据存储库类型驻留在 Sun Java System Directory Server 实例中，并拥有 Access Manager 信息树。它与 Access Manager 系统信息库插件不同，后者包含更多配置属性，从而可更好地自定义数据存储库。

以下部分描述连接数据存储库的步骤。

Active Directory、普通 LDAPv3 以及使用 Access Manager 模式的 Sun Directory Server 数据存储库类型共享相同的基本插件，因此配置属性是相同的。然而，对于每个数据存储库类型而言，某些属性的默认值是不同的，在 Access Manager 控制台中会相应地显示这些默认值。

Access Manager 系统信息库属性

指定实现 Access Manager 系统信息库插件的类文件的位置。

Access Manager 支持的类型和操作

指定允许或可以在该 LDAP 服务器上执行的操作。只有默认操作才是受此 LDAPv3 系统信息库插件支持的操作。LDAPv3 系统信息库插件支持以下操作：

组 -- 读取、创建、编辑、删除

可根据 LDAP 服务器设置和任务从上述列表删除权限，但不能添加其他权限。

如果已配置的 LDAPv3 系统信息库插件指向 Sun Java Systems Directory Server 的实例，则可添加 角色 类型的权限。否则，由于其他数据存储库可能不支持角色，从而可能无法添加该权限。“角色”类型的权限为：

角色 — 读取、创建、编辑、删除

如果 用户 类型是 LDAPv3 系统信息库所支持的类型，则可对该用户执行读取、创建、编辑和删除服务操作。换句话说，如果支持 用户 类型，则通过读取、创建、编辑和删除操作便可分别从身份系统信息库中读取、创建、编辑和删除用户条目。 user=service 操作会使 Access Manager 服务访问用户条目中的属性。此外，如果将动态服务指定给用户所属的领域或角色，则用户可以访问动态服务属性。

用户也可以管理任意指定服务的用户属性。如果用户将 service 作为操作 ( user=service )，则指定了对所有与服务相关的操作提供支持。这些操作是： assignService、 unassignService、 getAssignedServices、 getServiceAttributes、removeServiceAttributes 和 modifyService 。

组织 DN 值

定义指向 Access Manager 要管理的 Directory Server 中组织的DN。它将成为在该数据存储库内执行的所有操作的基 DN。

人员容器命名属性

如果用户驻留在人员容器中，则指定该人员容器的命名属性。如果用户没有驻留在人员容器中，则将该字段保留为空。

人员容器值

指定人员容器的值。默认值为 people 。

代理容器命名属性

如果代理驻留在代理容器中，则指定该代理容器的命名属性。如果代理没有驻留在代理容器中，则将该字段保留为空。

代理容器值

指定代理容器的值。默认值为 agents 。

如果启用，在 Access Manager 系统信息库中执行的搜索会对指定身份进行递归搜索。例如，在以下数据结构中执行递归搜索：

会产生以下结果：

如果从 root 开始执行搜索，且未在该级别定义任何用户（除 amadmin 和 anonymous 以外），则搜索返回 user 1–6。

复制领域配置

若在领域模式安装中启用了该属性，Access Manager 将为系统信息库中存在的每个领域和子领域创建等效组织及子组织。此外，在领域/子领域中注册的服务还将在新创建的组织/子组织中进行注册。领域 DIT 和组织 DIT 均存在于数据存储库内。

平面文件系统信息库属性

文件系统信息库插件类名称

该属性指定为平面文件提供实现的 Java 类文件。不应修改该属性。

文件系统信息库目录

定义用于存储身份及其属性的基目录。

若为启用（默认），将对身份及其属性进行高速缓存。这样，后续请求就不会访问文件系统。

更新高速缓存的时间

启用高速缓存后，该属性将确定检查高速缓存的时间间隔（以分钟为单位），超过该间隔便会对高速缓存中的条目进行检查，以确定是否对文件系统进行过任何更改。检查机制以时间戳为基础。

文件用户对象类

定义创建用户时自动为用户添加的对象类。

提供包含用于验证的密码的属性名。 该属性用于在启用“数据存储库”验证模块时对用户进行验证。

提供存储身份状态的属性名。状态属性的值为 活动 或 不活动 。该属性在身份验证期间使用。如果身份为 不活动 ，则不验证用户。

散列的属性

提供属性列表，这些属性的值将散列并存储于文件中。执行散列后，便无法获取原始值。只能对散列的值进行检索。某些用于验证的属性不应永久存储，使用散列便可确保这些属性的保密性。例如，身份的密码属性就是此类型属性的例子。

加密的属性

提供属性列表，这些属性的值将加密并存储于文件中。虽然对其进行了加密和存储，但调用身份系统信息库 API 仍可返回加密前的原始值。这可防止用户直接访问文件系统并读取敏感属性。

LDAPv3 属性

LDAP 服务器

输入要连接的 LDAP 服务器的名称。格式应为 hostname.domainname:portnumber 。

如果输入多个 host:portnumber 条目，则会尝试连接到列表中的第一个主机。仅当尝试连接当前主机失败时，才会尝试列表中的下一个条目。

LDAP 绑定 DN

LDAP 绑定密码

指定 Access Manager 将用来向当前连接的 LDAP 服务器验证的 DN 密码。

LDAP 绑定密码（确认）

确认密码。

LDAP 组织 DN

该数据存储库将映射到的 DN。它将成为在此数据存储库内执行的所有操作的基 DN。

LDAP SSL

启用后，Access Manager 将使用 HTTPS 协议连接到主服务器。

LDAP 连接池的最小尺寸

指定连接池中的初始连接数。使用连接池可避免每次都必须创建新的连接。

LDAP 连接池的最大尺寸

指定允许的最大连接数。

搜索返回的结果的最大数目

指定搜索操作所返回的最大条目数。如果达到该限制，Directory Server 将返回与搜索请求相匹配的任何条目。

指定分配给搜索请求的最长时间（以秒计）。如果达到该限制，Directory Server 将返回与搜索请求相匹配的任何搜索条目。

LDAP 遵循引用

如果启用该选项，将指定自动遵循其他 LDAP 服务器的引用。

LDAPv3 系统信息库插件类名称

指定实现 LDAPv3 系统信息库的类文件的位置。

常规属性名称映射

将框架已知的公共属性映射到本地数据存储库。例如，如果框架使用 inetUserStatus 确定用户状态，则本机数据存储库实际可能会使用 userStatus 。属性定义区分大小写。

LDAPv3 插件支持的类型和操作

指定允许或可以在该 LDAP 服务器上执行的操作。只有默认操作才是受此 LDAPv3 系统信息库插件支持的操作。LDAPv3 系统信息库插件支持以下操作：

组 -- 读取、创建、编辑、删除

可根据 LDAP 服务器设置和任务从上述列表删除权限，但不能添加其他权限。

如果已配置的 LDAPv3 系统信息库插件指向 Sun Java Systems Directory Server 的实例，则可添加 角色 类型的权限。否则，由于其他数据存储库可能不支持角色，从而可能无法添加该权限。“角色”类型的权限为：

角色 — 读取、创建、编辑、删除

如果 用户 类型是 LDAPv3 系统信息库所支持的类型，则可对该用户执行读取、创建、编辑和删除服务操作。换句话说，如果支持 用户 类型，则通过读取、创建、编辑和删除操作便可分别从身份系统信息库中读取、创建、编辑和删除用户条目。 user=service 操作会使 Access Manager 服务访问用户条目中的属性。此外，如果将动态服务指定给用户所属的领域或角色，则用户可以访问动态服务属性。

用户也可以管理任意指定服务的用户属性。如果用户将 service 作为操作 ( user=service )，则指定了对所有与服务相关的操作提供支持。这些操作是： assignService、 unassignService、 getAssignedServices、 getServiceAttributes、removeServiceAttributes 和 modifyService 。

LDAPv3 插件搜索范围

定义用于查找 LDAPv3 插件条目的范围。该范围必须为以下值之一：

SCOPE_BASE

LDAP 用户搜索属性

该字段用于定义搜索用户时使用的属性类型。例如，如果用户 DN 为 uid=user1,ou=people,dc=iplanet,dc=com ，则命名属性为 uid 。

LDAP 用户搜索过滤器

指定用于查找用户条目的搜索过滤器。

LDAP 用户对象类

指定用户的对象类。创建用户之后，用户对象类列表将被添加到该用户的属性列表中。

LDAP 用户属性

定义与用户相关的属性列表。禁止对不在列表之内的用户属性进行任何读/写尝试。属性区分大小写。在这里定义对象类和属性模式之前，必须先在 Directory Server 中定义对象类和属性模式。

LDAP 用户创建属性映射

指定创建用户时需要哪些属性。此属性使用下列语法：

如果缺少源属性名，则默认为用户 ID ( uid )。例如：

创建用户概要文件时， cn 和 sn 都是必需的。 cn 获取名为 uid 的属性的值， sn 则获取名为 givenName 的属性的值。

用户状态属性

指定属性名以表示用户状态。

用户状态活动值

指定活动用户状态的属性名。默认值为 活动 。

用户状态非活动值

指定不活动用户状态的属性名。默认值为 不活动 。

LDAP 组搜索属性

该字段用于定义搜索组时使用的属性类型。默认值为 cn 。

LDAP 组搜索过滤器

指定用于查找组条目的搜索过滤器。默认值为 (objectclass=groupOfUniqueNames) 。

LDAP 组容器命名属性

如果组驻留在容器中，则指定组容器的命名属性。否则，该属性保留为空。例如，如果 cn=group1,ou=groups,dc=iplanet,dc=com 的组 DN 位于 ou=groups 中，则组容器命名属性为 ou 。

LDAP 组容器值

指定组容器的值。例如，如果 cn=group1,ou=groups,dc=iplanet,dc=com 的组 DN 位于容器名 ou=groups 中，则组容器值应为 groups 。

LDAP 组对象类

指定组的对象类。创建组之后，组属性列表中会添加此组对象类列表。

LDAP 组属性

定义与组相关的属性列表。禁止对不在列表之内的组属性进行任何读/写尝试。属性区分大小写。在这里定义对象类和属性模式之前，必须先在 Directory Server 中定义对象类和属性模式。

组成员资格属性

指定属性名称，该属性的值为包含 DN 的所有组的名称。默认值为 memberOf 。

唯一成员属性

指定属性名称，该属性的值是该组所包含的某个 DN。默认值为 uniqueMember 。

组成员 URL 属性

指定属性名称，该属性的值是可解析为该组所包含成员的 LDAP URL。默认值为 memberUrl 。

LDAP 人员容器命名属性

如果用户驻留在人员容器中，则指定该人员容器的命名属性。如果用户没有驻留在人员容器中，则将该字段保留为空。

LDAP 人员容器值

指定人员容器的值。默认值为 people 。

LDAP 代理搜索属性

该字段用于定义搜索代理时使用的属性类型。默认值为 uid 。

LDAP 代理容器命名属性

如果代理驻留在代理容器中，则指定该代理容器的命名属性。如果代理没有驻留在代理容器中，则将该字段保留为空。

LDAP 代理容器值

指定代理容器的值。默认值为 agents 。

LDAP 代理搜索过滤器

定义用于搜索代理的过滤器。LDAP 代理搜索属性将被置于此字段之前，以构成实际的代理搜索过滤器。

定义代理的对象类。创建代理之后，将在代理属性列表中添加此用户对象类列表

LDAP 代理属性

定义与代理相关的属性列表。禁止对不在列表之内的代理属性进行任何读/写尝试。属性区分大小写。在这里定义对象类和属性模式之前，必须先在 Directory Server 中定义对象类和属性模式。

可验证的身份类型

当领域的验证模块模式设置为“数据存储库”时，指定该数据存储库可验证用户和/或代理身份类型。

持久搜索基 DN

定义用于持久搜索的基 DN。某些 LDAPv3 服务器仅在根后缀级别上支持持久搜索。

持久搜索过滤器

定义可返回目录服务器条目的特定更改的过滤器。数据存储库只接收与所定义过滤器相匹配的更改。

重新启动前的持久搜索最长空闲时间

定义重新启动持久搜索前的最长空闲时间。该值必须大于 1。如果小于或等于 1，重新启动搜索时将不会考虑连接的空闲时间。

如果部署 Access Manager 时包括负载平衡器，则某些负载平衡器会在空闲指定的时间后超时。在这种情况下， 您为重新启动持久搜索前的最长空闲时间设置的值应该小于为负载平衡器指定的空闲时间。

出现错误代码后的最大重试次数

定义持久搜索操作遇到在“需要重试的 LDAP 异常错误代码”中指定的错误代码时，可以重试的最大次数。

重试之间的延时

指定每次重试之前的等待时间。仅适用于持久搜索连接。

需要重试的 LDAP 异常错误代码

指定需要重新执行持久搜索操作的错误代码。该属性仅适用于持久搜索，而非所有 LDAP 操作。

如果启用，Access Manager 便可对数据存储库中检索到的数据进行高速缓存。

高速缓存项的最大生存期

指定在高速缓存上删除数据之前，数据的最长存储时间。按秒来定义该值。

高速缓存的最大大小

指定高速缓存的最大大小。值越大，可存储的数据越多，但是这也需要更多的内存。按字节来定义该值。

第 4 章 管理验证

“验证服务”为所有在 Access Manager 部署中安装的默认验证类型提供基于 Web 的用户界面。此界面在用户请求访问时显示登录要求屏幕（根据所调用的验证模块），从而为收集验证证书提供动态和可自定义的方法。此界面使用 Sun Java System™ 应用程序框架（有时称为 JATO ）创建，该框架是一个用来帮助开发者创建功能性 Web 应用程序的 Java 2 Enterprise Edition (J2EE) 表示框架。

本节介绍如何为部署配置验证。第一小节概述默认验证模块类型并提供所有必需的预配置说明。可以为领域、用户、角色等配置同一验证模块类型的多个配置实例。另外，可以添加验证链，这样验证必须满足多个实例的条件后才能成功。本节包括：

http://docs.sun.com/app/docs/coll/S1_websvr61_en

或参见以下位置的《 Sun ONE Application Sever Administrator’s Guide to Security 》：

数据存储库

数据存储库验证模块允许使用领域的身份系统信息库在用户登录时对其进行验证。如果要根据同一数据存储库系统信息库进行验证，那么采用数据存储库模块便可免去编写验证插件模块，加载然后配置验证模块的麻烦。此外，也无需编写自定义验证模块（其中，需要对该领域中的相应系统信息库进行平面文件验证）。

配置 Access Manager 验证时，此验证类型会提供不少便利。在 Access Manager 7.1 之前的版本中，如果希望 LDAPv3 数据存储库中的用户可验证到其领域，则必须执行以下操作：

配置 LDAPv3 数据存储库

数据存储库验证模块验证在领域的身份系统信息库中定义的用户。无需任何 LDAP 验证配置。例如，假设领域的身份系统信息库包括一个 LDAPv3 数据存储库，而且相同的领域使用数据存储库验证。在这种情况下，定义于身份系统信息库中的任何用户都可验证到该领域。

HTTP Basic

此模块使用基本验证，该验证是 HTTP 协议的内置验证支持。Web Server 发出对用户名和密码的客户机请求，并将这些信息作为已授权的请求的一部分发送回服务器。Access Manager 将检索用户名和密码，然后在内部将用户验证到 LDAP 验证模块。为使 HTTP Basic 正常工作，还必须添加 LDAP 验证模块（只添加 HTTP Basic 模块将无法正常工作）。用户成功进行验证后，无需提供用户名和密码即可重新进行验证。

Java 数据库连接 (Java Database Connectivity, JDBC) 验证模块提供一种验证机制，允许 Access Manager 通过任何 SQL 数据库（提供启用 JDBC 技术的驱动程序）验证用户。可以直接通过 JDBC 驱动程序或 JNDI 连接池连接 SQL 数据库。

此模块已在 MySQL4.0 和 Oracle 8i 上进行过测试。

使用 LDAP 验证模块时，用户登录时必须用特定用户 DN 和密码绑定至 LDAP Directory Server。这是所有基于领域的验证的默认验证模块。如果用户提供了 Directory Server 中的用户 ID 和密码， 则会为用户设置有效的 Access Manager 会话并允许其进行访问。对于默认领域，核心验证模块和 LDAP 验证模块自动启用。

成员资格验证的实现类似于个性化设置站点，如 my.site.com 或 mysun.sun.com 。启用此模块时，用户可以在没有管理员帮助的情况下创建帐户并对其进行个性化设置。利用这个新帐户，用户可以作为已添加的用户来访问。用户还可以访问作为授权数据和用户首选项保存在用户概要文件数据库中的查看器界面。

MSISDN

移动站集成服务数字网络 (Mobile Station Integrated Services Digital Network, MSISDN) 验证模块使用与设备（如移动电话）关联的移动用户 ISDN 来启用验证。它是一种非交互式模块。该模块检索用户 ISDN 并根据 Directory Server 对其进行验证，以查找与编号匹配的用户。

RADIUS

可以将 Access Manager 配置为与已安装的 RADIUS 服务器一起使用。如果企业中正使用原有的 RADIUS 服务器进行验证，这样做很有用。RADIUS 验证模块的启用过程分为两个步骤：

配置 RADIUS 服务器。

有关详细指示，参见 RADIUS 服务器文档。

使用 Sun Java System Application Server 配置 RADIUS

默认情况下，当 RADUIS 客户机建立到其服务器的套接字连接时，在 Application Server 的 server.policy 文件中只允许 SocketPermission 连接权限。为使 RADUIS 验证正常工作，对于以下操作应授予权限：

要授予套接字连接权限，必须在 Application Server 的 server.policy 文件中添加一个条目。SocketPermission 由主机规范和指定连接到该主机的方式的一组操作组成。请按以下格式指定主机：

host = hostname | IPaddress:portrange:portrange = portnumber 
| -portnumberportnumber-portnumber

Host 可以表示为 DNS 名称、数字 IP 地址或本地主机（对于本地计算机）。DNS 名称主机规范中可包含一处通配符“*”。如果包含通配符，它必须位于最左侧的位置，如 *.example.com 。

port（或 port range）是可选的。形式为 N- 的端口规范（其中 N 为端口号）表示编号为 N 及以上的所有端口。形式为 -N 的规范表示编号为 N 及以下的所有端口。

例如，当创建 SocketPermission 时，请注意如果将以下权限授予某代码，将允许该代码连接到 machine1.example.com 上的 port 1645 ，并接受该端口上的连接：

permission java.net.SocketPermission machine1.example.com:1645, "connect,accept";

类似地，如果将以下权限授予某代码，将允许该代码接受本地主机上 1024 到 65535 之间的任意端口上的连接，并可连接或侦听这些端口：

permission java.net.SocketPermission "machine1.example.com:1645", "connect,accept";
permission java.net.SocketPermission "localhost:1024-", "accept,connect,listen";

授予代码权限以接受或建立到远程主机的连接可能会引起问题，因为恶意代码可以更容易地在各方之间传送和共享机密数据，使可能不具有数据访问权限的人访问到数据。请确保仅通过指定确切的端口号（而不是指定端口号的范围）授予适当的权限。

SafeWord

可以配置 Access Manager 使其处理对 Secure Computing 的 SafeWord™ 或 SafeWord PremierAccess™ 验证服务器的 SafeWord 验证请求。Access Manager 提供 SafeWord 验证的客户机部分。SafeWord 服务器可位于安装 Access Manager 的系统或单独的系统中。

使用 Sun Java System Application Server 配置 SafeWord

默认情况下，当 SafeWord 客户机建立到其服务器的套接字连接时，在 Application Server 的 server.policy 文件中只允许 SocketPermission 的 connect 权限。为使 SafeWord 验证正常工作，需要对以下操作授予权限：

要授予套接字连接权限，必须在 Application Server 的 server.policy 文件中添加一个条目。SocketPermission 由主机规范和指定连接到该主机的方式的一组操作组成。请按以下格式指定主机：

host = (hostname | IPaddress)[:portrange] portrange = 
portnumber | -portnumberportnumber-[portnumber]

Host 可以表示为 DNS 名称、数字 IP 地址或本地主机（对于本地计算机）。DNS 名称主机规范中可包含一处通配符“*”。如果包含通配符，它必须位于最左侧的位置，如 *.example.com 。

port（或 port range）是可选的。形式为 N- 的端口规范（其中 N 为端口号）表示编号为 N 及以上的所有端口。形式为 -N 的规范表示编号为 N 及以下的所有端口。

例如，当创建 SocketPermission 时，请注意如果将以下权限授予某个代码，将允许该代码连接到 machine1.example.com 上的 port 1645 ，并接受该端口上的连接：

permission java.net.SocketPermission machine1.example.com:5030, "connect,accept";

类似地，如果将以下权限授予某些代码，将允许该代码接受本地主机上 1024 到 65535 之间的所有端口上的连接、连接到这些端口或侦听它们：

permission java.net.SocketPermission "machine1.example.com:5030", "connect,accept";
permission java.net.SocketPermission "localhost:1024-", "accept,connect,listen";

授予代码权限以接受或建立到远程主机的连接可能会引起问题，因为恶意代码可以更容易地在各方之间传送和共享机密数据，使可能不具有数据访问权限的人访问到数据。请确保通过指定确切的端口号（而不是指定一个端口号的范围）仅授予适当的权限。

安全声明标记语言 (Security Assertion Markup Language, SAML) 验证模块接收和验证目标服务器上的 SAML 声明。SAML SSO 仅在目标计算机上配置了此模块后才会工作（包括升级后，例如从 Access Manager 2005Q4 升级到 Access Manager 7.1）。

SecurID

可以对 Access Manager 进行配置，以处理 RSA 的 ACE/Server 验证服务器的 SecureID 验证请求。Access Manager 提供 SecurID 验证的客户机部分。ACE/Server 可位于安装 Access Manager 的系统或单独的系统中。要验证本地管理的用户 ID（参见 admintool (1M)），必须具备超级用户 (root) 访问权限。

SecurID 验证使用验证 帮助应用程序 amsecuridd ，这是独立于主 Access Manager 进程以外的进程。在启动时，此帮助应用程序将在端口上侦听配置信息。如果 Access Manager 被安装为以 nobody 身份运行，或者以非超级用户的某种 userid 身份运行，则 AccessManager-base /SUNWam/share/bin/amsecuridd 进程必须仍以超级用户身份运行。有关 amsecuridd 帮助应用程序的详细信息，参见 Access Manager Administration Reference 中的“The amSecurID Helper”。

在此发行版本的 Access Manager 中，SecurID 验证模块不适用于 Linux 或 Solaris x86 平台，不能在这两个平台上注册、配置或启用。它仅适用于 SPARC 系统。

可以配置 Access Manager 使其按照安装了 Access Manager 的 Solaris 或 Linux 系统已知的 Unix 用户 ID 和密码来处理验证请求。尽管 Unix 验证只有一个领域属性和几个全局属性，仍有一些面向系统的注意事项。要验证本地管理的用户 ID（参见 admintool (1M)），必须具备超级用户 (root) 访问权限。

Unix 验证使用验证 帮助应用程序 amunixd ，这是独立于主 Access Manager 进程以外的进程。在启动时，此帮助应用程序将在端口上侦听配置信息。每个 Access Manager 只有一个 Unix 帮助应用程序用于其所有领域。

如果将 Access Manager 安装为以 nobody 运行，或者以非超级用户的某种 userid 身份运行，则 AccessManager-base /SUNWam/share/bin/amunixd 进程必须仍以超级用户身份运行。Unix 验证模块通过打开到 localhost:58946 的套接字调用 amunixd 守护进程以侦听 Unix 验证请求。要在默认端口上运行 amunixd 帮助应用程序进程，请输入以下命令：

./amunixd

要在非默认端口上运行 amunixd ，请输入以下命令：

./amunixd [-c portnm] [ipaddress]

ipaddress 和 portnumber 位于 AMConfig.properties 中的 UnixHelper.ipadrs （以 IPV4 格式）和 UnixHelper.port 属性中。您可以通过 amserver 命令行实用程序运行 amunixd （ amserver 自动运行进程，从 AMConfig.properties 中检索端口号和 IP 地址）。

Windows Desktop SSO

Windows Desktop SSO 验证模块是一个基于 Kerberos 的验证插件模块，用于 Windows 2000™。它允许已通过 Kerberos 分发中心 (Kerberos Distribution Center, KDC) 验证的用户无需重新提交登录条件即可验证到 Access Manager（单点登录）。

用户通过 SPNEGO（Simple and Protected GSS-API Negotiation Mechanism，简单且受保护的 GSS-API 协商机制）协议向 Access Manager 提供 Kerberos 令牌。要通过此验证模块执行基于 Kerberos 的 Access Manager 单点登录，用户必须在客户机端支持 SPNEGO 协议以验证本身。一般而言，支持此协议的任何用户应该都能使用此模块验证 Access Manager。根据客户机端令牌的可用性，此模块提供 SPENGO 令牌或 Kerberos 令牌（这两种情况下协议是相同的）。在 Windows 2000（或更高版本）上运行的 Microsoft Internet Explorer（5.01 或更高版本）当前支持此协议。此外，Solaris（9 和 10）上的 Mozilla 1.4 支持 SPNEGO，但返回的令牌只有一个 KERBEROS 令牌，因为 Solaris 上不支持 SPNEGO。

必须使用 JDK 1.4 或更高版本利用 Kerberos V5 验证模块和 Java GSS API 的新功能，以执行此 SPNEGO 模块中基于 Kerberos 的 SSO。

Internet Explorer 的已知限制

如果在进行 WindowsDesktopSSO 验证时使用 Microsoft Internet Explorer 6.x，并且浏览器不能访问与 WindowsDesktopSSO 模块中配置的 (KDC) 领域匹配的用户 Kerberos/SPNEGO 令牌，则浏览器在向 WindowsDesktopSSO 模块验证失败后无法对其他模块实施正确的行为。问题的直接原因是：在 Internet Explorer 对 WindowsDesktopSSO 模块失败后，浏览器若未重新启动，将无法传送回叫（其他模块的）给 Access Manager，即使系统提示该回叫。由于用户证书为空，因此 WindowsDesktopSSO 后的所有模块都将失败。

有关相关信息，参见以下文档：

配置 Windows Desktop SSO

启用 Windows Desktop SSO 验证分为两个步骤：

在 Windows 2000 域控制器中创建用户。

ktpass -princ host/hostname.domainname@DCDOMAIN -pass password -mapuser userName-out 
hostname.host.keytab
ktpass -princ HTTP/hostname.domainname@DCDOMAIN -pass 
password -mapuser userName-out hostname.HTTP.keytab

ktpass /out demo.HTTP.keytab /mapuser http 
/princ HTTP/[email protected] /crypto RC4-HMAC-NT 
/rndpass /ptype KRB5_NT_PRINCIPAL /target IDENTITY.SUN.COM

Windows NT

可以将 Access Manager 配置为与已安装的 Windows NT/Windows 2000 server 一起使用。Access Manager 提供 NT 验证的客户机部分。

配置 NT 服务器。有关详细信息，参见 Windows NT 服务器文档。

安装 Samba 客户端

为了激活 Windows NT 验证模块，必须下载 Samba Client 2.2.2 并将其安装到以下目录：

AccessManager-base/SUNWam/bin

Samba Client 是文件和打印服务器，它将 Windows 计算机和 UNIX 计算机融合在一起而无需使用单独的 Windows NT/2000 服务器。有关该软件的详细信息及下载该软件，请访问 http://wwws.sun.com/software/download/products/3e3af224.html。

Red Hat Linux 产品随附有 Samba 客户端，它位于以下目录：

/usr/bin

要使用 Linux 的 Windows NT 验证模块进行验证，将客户机二进制文件复制到以下 Access Manager 目录：

如果有多个接口，则需要额外配置。可通过 smb.conf 文件中的配置设置多个接口，以便传递到 mbclient 。

验证模块实例

可以根据默认验证模块为领域创建多个验证模块实例。可以添加同一个验证模块的多个单独配置的实例。

可以配置一个或多个验证模块，用户必须将验证证书传递到这些验证模块中。这称为 验证链接 。Access Manager 的验证链接是通过使用集成在验证服务中的 JAAS 框架实现的。

验证类型如何确定访问

对于每种方法，用户验证都可能通过或失败。一旦确定，每种方法都遵守这一过程。步骤 1 到步骤 3 接着成功的验证执行；步骤 4 接着成功和失败的验证执行。

Access Manager 确认验证的用户是否在 Directory Server 数据存储库中定义，以及配置文件是否处于活动状态。

“核心验证”模块中的“用户概要文件”属性可以定义为 必需 、 动态、随用户别名动态变换 或 忽略 。在成功的验证之后，Access Manager 确认是否在 Directory Server 数据存储库中定义了验证的用户，并且如果“用户概要文件”值为 必需 ，则确认用户概要文件是否处于活动状态。（这是默认情况。）如果“用户概要文件”是 动态配置 ， “验证服务”将在 Directory Server 数据存储库中创建用户概要文件。如果“用户概要文件”被设置成 忽略 ，将不进行用户验证。

URL 重定向

在验证配置服务中，您可以指定成功或不成功验证的 URL 重定向。而 URL 本身是在该服务的“登录成功 URL”和“登录失败 URL”属性中进行定义的。为了启用 URL 重定向，必须将“验证配置”服务添加到您的领域中，以便可以为角色、领域或用户进行配置。添加“验证配置”服务时，请确保添加一个验证模块，例如 LDAP - REQUIRED。

基于领域的验证

此验证方法允许用户向领域或子领域进行验证。这是 Access Manager 的默认验证方法。通过把“核心验证”模块注册到领域，并定义“领域验证配置”属性，可以设置领域的验证方法。

基于领域的验证登录 URL

通过在“用户界面登录 URL”中定义 realm 参数或 domain 参数可以指定验证的领域。验证请求的领域由下列项目按优先级确定：

http://server_name.domain_name:port/amserver/UI/Login
http://server_name.domain_name:port/amserver/UI/Login?domain=domain_name
http://server_name.domain_name:port/amserver/UI/Login?realm=realm_name

如果没有定义参数，将由登录 URL 中指定的服务器主机和域确定领域。

如果用户是特定领域的成员并且验证到该特定领域，然后又尝试验证至不同领域，则只会传送 realm 和 module 这两个参数。例如，如果 User1 是 realmA 的成员并且验证到该领域，然后又尝试切换或验证到 realmB ，则用户将收到一个警告页面，要求用户使用为 realmB 指定的模块实例启动到 realmB 的新验证，或返回 realmA 中现有的验证会话。如果选择验证到 realmB ，则只会传送和使用领域名称和模块名称（如果指定）来确定新的验证过程。

基于领域的验证重定向 URL

在基于组织的验证成功或失败后，Access Manager 会查找信息以重定向用户。下面是应用程序查找这些信息的优先顺序。

成功的基于领域的验证重定向 URL

成功的基于领域的验证重定向 URL 通过按优先顺序检查以下位置来确定：

验证模块设置的 URL。

基于组织的验证

此验证类型只适用于在“传统”模式下安装的 Access Manager 部署。

此验证方法允许用户向组织或子组织进行验证。这是 Access Manager 的默认验证方法。通过把“核心验证”模块注册到组织，并定义“组织验证配置”属性，可以设置组织的验证方法。

基于组织的验证登录 URL

通过在“用户界面登录 URL”中定义 org 参数或 domain 参数可以指定验证的组织。验证请求的组织由下列项目按优先级确定：

http://server_name.domain_name:port/amserver/UI/Login
http://server_name.domain_name:port/amserver/UI/Login?domain=domain_name
http://server_name.domain_name:port/amserver/UI/Login?org=org_name

如果没有定义参数，将由服务器主机和登录 URL 指定的域确定组织。

如果用户是特定组织的成员并且验证到该特定组织，然后又尝试验证至不同组织，则只会传送 org 和 module 这两个参数。例如，如果 User1 是 orgA 的成员并且验证到该领域，然后又尝试切换或验证到 orgB ，则用户将收到一个警告页面，要求用户使用为 orgB 指定的模块实例启动到 orgB 的新验证，或返回 orgA 中现有的验证会话。如果选择验证到 orgB ，则只会传送和使用组织名称和模块名称（如果指定）来确定新的验证过程。

基于组织的验证重定向 URL

在基于组织的验证成功或失败后，Access Manager 会查找信息以重定向用户。下面是应用程序查找这些信息的优先顺序。

成功的基于组织的验证重定向 URL

成功的基于组织的验证重定向 URL 通过按优先顺序检查以下位置来确定：

验证模块设置的 URL。

“验证配置服务”在作为实例注册到角色以前，必须首先注册到领域。

验证要想成功，用户必须属于该角色，并且必须向为该角色配置的“验证配置服”实例中定义的每个模块进行验证。每个基于角色验证的实例均可指定下列属性：

基于角色的验证登录 URL

通过定义 role 参数，可以在“用户界面登录 URL”中指定基于角色的验证。在调用正确的角色后，可以通过为角色定义的“验证配置服务”实例获取将要验证用户的验证模块。

用于指定和启动基于角色的验证的登录 URL 是：

http://server_name.domain_name:port/amserver/UI/Login?role=role_name
http://server_name.domain_name:port/amserver/UI/Login?realm=realm_name&role=role_name

如果没有配置 realm 参数，将通过在登录 URL 中指定的服务器主机和域来确定角色所属的领域。

基于角色的验证重定向 URL

在基于角色的验证成功或失败后，Access Manager 会查找信息以重定向用户。下面是应用程序查找这些信息的优先顺序。

成功的基于角色的验证重定向 URL

成功的基于角色的验证重定向 URL 通过按以下顺序检查以下位置来确定：

验证模块设置的 URL。

基于服务的验证

此验证方法允许用户向在领域或子领域中注册的特定服务或应用程序进行验证。服务在“验证配置服务”内配置成“服务实例”，并且与“实例名称”关联。验证要想成功，用户必须向为服务配置的“验证配置”服务实例中定义的每个模块进行验证。每个基于服务验证的实例均可指定下列属性：

基于服务的验证登录 URL

通过定义 service 参数，可以在“用户界面登录 URL”中指定基于服务的验证。在调用服务后，可以通过为服务定义的“验证配置”服务实例获取将要验证用户的验证模块。

用来指定和启动基于服务的验证的登录 URL 是：

http://server_name.domain_name:port/amserver/UI/
Login?service=auth-chain-name

http://server_name.domain_name:port/amserver/UI/Login?realm=realm_name&service=auth-chain-name

如果没有配置 realm 参数，将通过在登录 URL 中指定的服务器主机和域来确定用户所属的领域。

基于服务的验证重定向 URL

在基于服务的验证成功或失败后，Access Manager 会查找信息以重定向用户。下面是应用程序查找这些信息的优先顺序。

成功的基于服务的验证重定向 URL

成功的基于服务的验证重定向 URL 通过按以下顺序检查以下位置来确定：

验证模块设置的 URL。

基于用户的验证

此验证方法允许用户向专门为其配置的验证进程进行验证。这个过程被配置成用户概要文件中的“用户验证配置”属性值。验证要想成功，用户必须向定义的每个模块验证。

基于用户的验证登录 URL

通过定义 user 参数，可以在“用户界面登录 URL”中指定基于用户的验证。在调用正确的用户后，可以通过为用户定义的“用户验证配置”实例获取将要验证用户的验证模块。

用于指定和启动基于角色的验证的登录 URL 是：

http://server_name.domain_name:port/amserver/UI/Login?user=user_name
http://server_name.domain_name:port/amserver/UI/Login?org=org_name&user=user_name

如果没有配置 realm 参数，将通过登录 URL 中指定的服务器主机和域来确定角色所属的领域。

用户别名列表属性

在收到基于用户的验证请求时，“验证”服务会先验证用户是否为有效的用户，然后为其检索“验证配置”数据。如果有多个与用户登录 URL 参数值关联的有效用户概要文件，则所有配置文件都必须映射到指定的用户。可以在用户概要文件的“用户别名属性” ( iplanet-am-user-alias-list ) 中指定属于该用户的其他概要文件。如果映射失败，将拒绝该用户进行有效的会话。例外情况是，如果用户之一是顶级管理员，则不进行用户映射验证，并且用户被授予顶级管理员权限。

基于用户的验证重定向 URL

在基于模块的验证成功或失败后，Access Manager 会查找信息以重定向用户。下面是应用程序查找这些信息的优先顺序。

成功的基于用户的验证重定向 URL

成功的基于用户的验证重定向 URL 通过按优先顺序检查以下位置来确定：

验证模块设置的 URL。

基于验证级别的验证

每个验证模块均可以与其 验证级别 的整数值相关联。更改模块的“验证级别”属性相应的值，可以指定验证级别。用户一个或多个验证模块的验证后，验证级别越高，则用户的信任级别就越高。

用户成功地通过模块的验证之后，系统将在用户的 SSO 令牌中设置验证级别。如果用户需要通过多个验证模块的验证并且成功地通过了这些验证，系统将在用户的 SSO 令牌中设置其中最高的验证级别值。

如果用户试图访问某个服务，该服务可以通过查看用户的 SSO 令牌中的验证级别来确定是否允许该用户进行访问。随后服务将用户重定向，使用户以设定的验证级别通过验证模块。

用户还可以访问具有特定验证级别的验证模块。例如，用户使用以下语法进行登录：