6.9 配置 User Application

在 User Application 安装过程中,可以设置 User Application 配置参数。其中大部分参数都还可以于安装后在 configupdate.shconfigupdate.bat 中进行配置,有关例外的项,参见参数说明中的注释。对于群集,对其中每个成员指定相同的 User Application 配置参数。

  1. 单击下一步完成首个“User Application 配置”页。

  2. 设置基本 User Application 配置参数(参见表 表 6-1 中的说明),然后继续步骤 3

    表 6-1 User Application 配置:基本参数

    设置类型

    字段

    说明

    eDirectory 连接设置

    LDAP 主机

    必需。 指定 LDAP 服务器的主机名或 IP 地址,及其安全端口。例如: 

    myLDAPhost

    LDAP 非安全端口

    为 LDAP 服务器指定非安全端口。例如:389。

    LDAP 安全端口

    为 LDAP 服务器指定安全端口。例如:636。

    LDAP 管理员

    必需。 指定 LDAP 管理员的身份凭证。该用户必须已经存在。 User Application 使用此帐户来建立与身份库的管理连接。 此值已使用主密钥进行过加密。

    LDAP 管理员口令

    必需。 指定 LDAP 管理员口令。此口令已使用主密钥进行过加密。

    使用公开匿名帐户

    允许没有登录的用户访问 LDAP 公开匿名帐户。

    LDAP Guest

    允许没有登录的用户访问允许的门户小程序。身份库中必须已经存在此用户帐户。要启用 LDAP Guest,必须取消选择使用公开匿名帐户。要禁用 Guest 用户,请选择使用公开匿名帐户

    LDAP Guest 口令

    指定 LDAP Guest 口令。

    安全 Admin 连接

    通过选中此选项,可以要求所有使用 Admin 帐户的通讯都通过安全套接字进行。(此选项可能对性能不利)。此设置允许不需要 SSL 的其他操作在无 SSL 的情况下运行。

    安全用户连接

    通过选中此选项,可以要求所有使用已登录用户帐户的通讯都通过安全套接字进行。(此选项可能对性能不利)。此设置允许不需要 SSL 的其他操作在无 SSL 的情况下运行。

    eDirectory DN

    根容器 DN

    必需。 指定根容器的 LDAP 判别名。 如果没有在目录抽象层中指定搜索根,则将该判别名用作默认的实体定义搜索根。

    供应驱动程序 DN

    必需。 指定 User Application 驱动程序的判别名。例如,如果驱动程序为 UserApplicationDriver,驱动程序集称为 MyDriverSet,并且驱动程序集位于环境 o=myCompany 中,则可以输入以下值:

    cn=UserApplicationDriver,cn=myDriverSet,o=myCompany

    User Application Admin

    必需。 身份库中有权执行所指定 User Application 用户容器的管理任务的现有用户。该用户可以使用 User Application 的管理选项卡管理门户。

    如果 User Application 管理员参与 iManager、Designer for Identity Manager 或 User Application(请求和批准选项卡)中显示的工作流程管理任务,则必须授予此管理员对 User Application 驱动程序中包含的对象实例的相应受托者权利。有关细节,请参见《IDM User Application:管理指南》。

    要在部署 User Application 之后更改指派,必须使用 User Application 中的管理 > 安全页面。

    供应应用程序 Admin

    供应应用程序管理员使用供应选项卡(管理选项卡下)管理供应工作流程功能。用户可以通过 User Application 的请求和批准选项卡使用这些功能。在将用户指定为供应应用程序管理员之前,身份库中必须存在此用户。

    要在部署 User Application 之后更改指派,必须使用 User Application 中的管理 > 安全页面。

    eDirectory DN(续)

    角色管理员

    此角色在 Novell Identity Manager 基于角色的供应模块中可用。此角色允许成员创建、去除或修改所有角色,授予或撤消指派给任何用户、组或容器的任何角色。它还允许其角色成员运行任何用户的任何报告。默认情况下,会对 User Application Admin 指派此角色。

    要在部署 User Application 后更改此指派,请使用 User Application 中的角色 > 角色指派页面。

    用户容器 DN

    必需。 指定用户容器的 LDAP 判别名 (DN) 或完全限定的 LDAP 名称。 这定义用户和组的搜索范围。允许该容器中(及其下)的用户登录 User Application。

    重要说明:如果要使该用户能够执行工作流程,请确保在 User Application 驱动程序设置过程中指定的 User Application 管理员在该容器中存在。

    组容器 DN

    必需。 指定组容器的 LDAP 判别名 (DN) 或完全限定的 LDAP 名称。

    由目录抽象层中的实体定义使用。

    eDirectory 证书

    密钥存储区路径

    必需。 指定应用程序服务器用于运行的、JDK 密钥存储区 (cacerts) 文件的完整路径,或单击小浏览器按钮,然后浏览找到 cacerts 文件。

    在 Linux 或 Solaris 上,用户必须具有写此文件的权限。

    密钥存储区口令/确认密钥存储区口令

    必需。 指定 cacerts 口令。默认值为 changeit

    电子邮件

    通知模板 Host 令牌

    指定主管 Identity Manager User Application 的应用程序服务器。 例如:

    myapplication serverServer

    此值将替换电子邮件模板中的 $HOST$ 令牌。所建立的 URL 是指向供应请求任务和批准通知的链接。

    通知模板 Port 令牌

    用于替换供应请求任务和批准通知所用的电子邮件模板中的 $PORT$ 令牌。

    通知模板 Secure Port 令牌

    用于替换供应请求任务和批准通知所用的电子邮件模板中的 $SECURE_PORT$ 令牌。

    通知 SMTP 电子邮件发件人:

    指定供应电子邮件中发送邮件用户的电子邮件。

    通知 SMTP 电子邮件主机:

    指定供应电子邮件所使用的 SMTP 电子邮件主机。这可以是 IP 地址或 DNS 名。

    口令管理

    使用外部口令 WAR

    通过此功能,可以指定外部忘记口令 WAR 中的“忘记口令”页,或外部忘记口令 WAR 用于通过万维网服务回拨 User Application 的 URL。

    如果选择使用外部口令 WAR,则必须提供忘记口令链接忘记口令返回链接的值。

    如果没有选择使用外部口令 WAR,则 IDM 将使用默认的内部口令管理功能。/jsps/pwdmgt/ForgotPassword.jsf (开头没有 http(s) 协议)。这将用户重定向到内置于 User Application 的“忘记口令”功能,而不是外部 WAR。

    忘记口令链接

    此 URL 指向“忘记口令”功能页。指定外部或内部口令管理 WAR 中的 ForgotPassword.jsf 文件。

    忘记口令返回链接

    如果使用的是外部口令管理 WAR,需提供外部口令管理 WAR 用来通过万维网服务回调 User Application 的路径,例如 https:// idmhost:sslport/idm

  3. 如果要设置其他 User Application 配置参数,请单击显示高级选项。(通过滚动查看整个面板。)表表 6-2 说明了“高级选项”参数。如果不想设置此步骤中所述的其他参数,请跳至 步骤 4

    表 6-2 User Application 配置:所有参数

    设置类型

    字段

    说明

    eDirectory 连接设置

    LDAP 主机

    必需。 为 LDAP 服务器指定主机名或 IP 地址。例如:

    myLDAPhost

    LDAP 非安全端口

    为 LDAP 服务器指定非安全端口。例如:389。

    LDAP 安全端口

    为 LDAP 服务器指定安全端口。例如:636。

    LDAP 管理员

    必需。 指定 LDAP 管理员的身份凭证。该用户必须已经存在。 User Application 使用此帐户来建立与身份库的管理连接。 此值已使用主密钥进行过加密。

    LDAP 管理员口令

    必需。 指定 LDAP 管理员口令。此口令已使用主密钥进行过加密。

    使用公开匿名帐户

    允许没有登录的用户访问 LDAP 公开匿名帐户。

    LDAP Guest

    允许没有登录的用户访问允许的门户小程序。身份库中必须已经存在此用户帐户。要启用 LDAP Guest,必须取消选择使用公开匿名帐户。要禁用 Guest 用户,请选择使用公开匿名帐户

    LDAP Guest 口令

    指定 LDAP Guest 口令。

    安全 Admin 连接

    通过选中此选项,可以要求所有使用 Admin 帐户的通讯都通过安全套接字进行。(此选项可能对性能不利)。此设置允许不需要 SSL 的其他操作在无 SSL 的情况下运行。

    安全用户连接

    通过选中此选项,可以要求所有使用已登录用户帐户的通讯都通过安全套接字进行。(此选项可能对性能有严重不利影响)。此设置允许不需要 SSL 的其他操作在无 SSL 的情况下运行。

    eDirectory DN

    根容器 DN

    必需。 指定根容器的 LDAP 判别名。 如果没有在目录抽象层中指定搜索根,则将该判别名用作默认的实体定义搜索根。

    供应驱动程序 DN

    必需。 指定 User Application 驱动程序的判别名。例如,如果驱动程序为 UserApplicationDriver,驱动程序集称为 myDriverSet,并且驱动程序集位于环境 o=myCompany 中,则可以输入以下值:

    cn=UserApplicationDriver,cn=myDriverSet,o=myCompany

    User Application Admin

    必需。 身份库中有权执行所指定 User Application 用户容器的管理任务的现有用户。该用户可以使用 User Application 的管理选项卡管理门户。

    如果 User Application 管理员参与 iManager、Designer for Identity Manager 或 User Application(请求和批准选项卡)中显示的工作流程管理任务,则必须授予此管理员对 User Application 驱动程序中包含的对象实例的相应受托者权利。有关细节,请参见《IDM User Application:管理指南》。

    要在部署 User Application 之后更改指派,必须使用 User Application 中的管理 > 安全页面。

    供应应用程序 Admin

    供应应用程序管理员通过 User Application 的请求和批准选项卡管理可用的供应工作流程功能。在将用户指定为供应应用程序管理员之前,身份库中必须存在此用户。

    要在部署 User Application 之后更改指派,必须使用 User Application 中的管理 > 安全页面。

    Metadirectory 用户身份

    用户容器 DN

    必需。 指定用户容器的 LDAP 判别名 (DN) 或完全限定的 LDAP 名称。

    这定义用户和组的搜索范围。

    允许该容器中(及其下)的用户登录 User Application。

    重要说明:如果要使该用户能够执行工作流程,请确保在 User Application 驱动程序设置过程中指定的 User Application 管理员在该容器中存在。

    用户对象类

    LDAP 用户对象类(通常为 inetOrgPerson)。

    登录特性

    代表用户的登录名的 LDAP 特性(比如 CN)。

    命名特性

    用作查找用户或组时的标识符的 LDAP 特性。这不同于登录特性,登录特性仅在登录时使用,在用户/组搜索时不使用。

    用户成员资格特性

    可选。代表用户的组成员资格的 LDAP 特性。 不要在该名称中使用空格。

     

    角色管理员

    此角色在 Novell Identity Manager 基于角色的供应模块中可用。此角色允许成员创建、去除或修改所有角色,授予或撤消指派给任何用户、组或容器的任何角色。它还允许其角色成员运行任何用户的任何报告。默认情况下,会对 User Application Admin 指派此角色。

    要在部署 User Application 后更改此指派,请使用 User Application 中的角色 > 角色指派页面。

    Metadirectory 用户组

    组容器 DN

    必需。 指定组容器的 LDAP 判别名 (DN) 或完全限定的 LDAP 名称。 由目录抽象层中的实体定义使用。

    组对象类

    LDAP 组对象类(通常是 groupofNames)。

    组成员资格特性

    代表用户组成员资格的特性。 不要在该名称中使用空格。

    使用动态组

    如果需要使用动态组,请选择该选项。

    动态组对象类

    LDAP 动态组对象类(一般 dynamicGroup)。

    eDirectory 证书

    密钥存储区路径

    必需。 指定应用程序服务器用于运行的、JRE 的密钥存储区 (cacerts) 文件的完整路径,或单击小浏览器按钮,然后浏览找到 cacerts 文件。

    User Application 安装过程中将修改密钥存储区文件。 在 Linux 或 Solaris 上,用户必须具有写此文件的权限。

    密钥存储区口令

    确认密钥存储区口令

    必需。 指定 cacerts 口令。默认值为 changeit

    私用密钥存储区

    私用密钥存储区路径

    私用密钥存储区包含 User Application 的私用密钥和证书。保留. 如果保留为空的话,将采用默认路径 /jre/lib/security/cacerts

    私用密钥存储区口令

    口令为 changeit,除非另行指定。此口令已使用主密钥进行过加密。

    私用密钥别名

    别名为 novellIDMUserApp,除非另行指定。

    私用密钥口令

    口令为 novellIDM,除非另行指定。 此口令已使用主密钥进行过加密。

    可信密钥存储区

    可信存储区路径

    可信密钥存储区包含所有用于验证数字签名的可信签名者的证书。如果此路径为空的话,User Application 将从系统属性 javax.net.ssl.trustStore 中获取路径。如果那里没有路径,则假定为 jre/lib/security/cacerts

    可信存储口令

    如果此字段为空的话,User Application 将从系统属性 javax.net.ssl.trustStorePassword 中获取口令。如果那里没有值,则使用 changeit。此口令已使用主密钥进行过加密。

    Novell Audit 数字签名和证书密钥

     

    包容 Novell Audit 数字签名密钥和证书。

     

    Novell Audit 数字签名证书

    显示数字签名证书。

     

    Novell Audit 数字签名私用密钥

    显示数字签名私用密钥。此密钥已使用主密钥进行过加密。

    Access Manager 和 iChain 设置

    已启用同步注销

    如果选中了此选项,则 User Application 支持同时注销 User Application 和 Novell Access Manager 或 iChain。 注销时,User Application 检查是否存在 Novell Access Manager 或 iChain cookie,如果存在 cookie,则将用户重路由到 ICS 注销页。

    同步注销页面

    Novell Access Manager 或 iChain 注销页面的 URL,其中 URL 是 Novell Access Manager 或 iChain 期望的主机名。如果启用了 ICS 日志记录并且用户要注销 User Application,则将用户重路由到此页面。

    电子邮件

    通知模板 HOST 令牌

    指定主管 Identity Manager User Application 的应用程序服务器。 例如:

    myapplication serverServer

    此值将替换电子邮件模板中的 $HOST$ 令牌。所建立的 URL 是指向供应请求任务和批准通知的链接。

    通知模板 PORT 令牌

    用于替换供应请求任务和批准通知所用的电子邮件模板中的 $PORT$ 令牌。

    通知模板 SECURE PORT 令牌

    用于替换供应请求任务和批准通知所用的电子邮件模板中的 $SECURE_PORT$ 令牌。

    通知模板 PROTOCOL 令牌

    指非安全协议 HTTP。用于替换供应请求任务和批准通知所用的电子邮件模板中的 $PROTOCOL$ 令牌。

    通知模板 SECURE PROTOCOL 令牌

    指安全协议 HTTPS。用于替换供应请求任务和批准通知所使用电子邮件模板中的 $SECURE_PROTOCOL$ 令牌。

    通知 SMTP 电子邮件发件人:

    指定供应电子邮件中发送电子邮件的用户。

    通知 SMTP 电子邮件主机:

    指定供应电子邮件所使用的 SMTP 电子邮件主机。这可以是 IP 地址或 DNS 名。

    口令管理

     

     

    使用外部口令 WAR

    通过此功能,可以指定外部忘记口令 WAR 中的“忘记口令”页,或外部忘记口令 WAR 用于通过万维网服务回拨 User Application 的 URL。

    如果选择使用外部口令 WAR,则必须提供忘记口令链接忘记口令返回链接的值。

    如果没有选择使用外部口令 WAR,则 IDM 将使用默认的内部口令管理功能。/jsps/pwdmgt/ForgotPassword.jsf (开头没有 http(s) 协议)。这将用户重定向到内置于 User Application 的“忘记口令”功能,而不是外部 WAR。

    忘记口令链接

    此 URL 指向“忘记口令”功能页。指定外部或内部口令管理 WAR 中的 ForgotPassword.jsf 文件。

     

    忘记口令返回链接

    如果使用的是外部口令管理 WAR,需提供外部口令管理 WAR 用来通过万维网服务回调 User Application 的路径,例如 https:// idmhost:sslport/idm

    杂项

    会话超时

    应用程序会话超时。

    OCSP URI

    如果客户安装使用在线证书状态协议 (OCSP),请提供统一资源标识符 (URI)。例如,格式为 http://host:port/ocspLocal。OCSP URI 在线更新可信证书的状态。

    授权配置路径

    授权配置文件的完全限定名。

     

    创建 eDirectory 索引

     

     

    服务器 DN

     

    容器对象

    所选

    选择要使用的每个数字对象类型。

    容器对象类型

    有以下标准容器可供选择:位置、国家/地区、组织单位、组织和域。也可以在 iManager 中自己定义容器,然后在添加新容器对象下面添加这些容器。

    容器特性名称

    列出与容器对象类型相关的特性类型名称。

    添加新的容器对象:容器对象类型

    指定可作为容器的身份库中的对象类的 LDAP 名称。

    有关容器的信息,请参阅《Novell iManager 2.6 管理指南》。

    添加新的容器对象:容器特性名称

    提供容器对象的特性名称。

  4. 完成设置配置之后,单击确定,然后继续部分 6.10, 校验选项和安装