「使用者應用程式」的安裝可讓您設定「使用者應用程式」組態參數。安裝之後,這些參數之中有大部分也可透過 configupdate.sh 或 configupdate.bat 進行編輯;如有例外,則於參數描述中說明。
對於叢集,請為叢集的每一個成員指定同一個「使用者應用程式」組態參數。
設定表 4-1所述的「使用者應用程式」基本組態參數,然後繼續進行步驟 2。
表 4-1 使用者應用程式組態:基本參數
設定類型 |
欄位 |
描述 |
---|---|---|
eDirectory 連線設定 |
|
必要。指定輕量目錄存取協定 (LDAP) 伺服器的主機名稱或 IP 位址。例如: myLDAPhost |
|
指定 LDAP 伺服器的非安全連接埠。例如︰389。 |
|
|
指定 LDAP 伺服器的安全連接埠。例如︰636。 |
|
|
必要。指定 LDAP 管理員的認證。此使用者必須已經存在。「使用者應用程式」會使用此帳戶,來建立 Identity Vault 的管理連線。這個值會根據萬能金鑰進行加密。 |
|
|
必要。指定 LDAP 管理員密碼。這個密碼會根據萬能金鑰進行加密。 |
|
|
允許未登入的使用者存取「LDAP 公用匿名帳戶」。 |
|
|
允許未登入的使用者存取允許的入口網站應用程式。這個使用者帳戶必須已存在於 Identity Vault。若要啟用「LDAP 訪客」,您必須取消選取「 」。若要停用「訪客使用者」,請選取「 」。 |
|
|
指定 LDAP 訪客密碼。 |
|
|
選取這個選項來要求,必須以安全插槽進行所有使用管理員帳戶的通訊。(此選項可能會對效能產生負面影響。)此設定允許不透過 SSL 來執行不需要 SSL 的其他操作。 |
|
|
選取這個選項來要求,必須以安全插槽進行所有使用登入之使用者帳戶的通訊。(此選項可能會對效能產生負面影響)。此設定允許不透過 SSL 來執行不需要 SSL 的其他操作。 |
|
eDirectory DN |
|
必要。指定根容器的輕量目錄存取協定 (LDAP) 可辨識名稱。當在目錄抽象層中沒有指定任何搜尋根部時,會將它用做預設實體定義搜尋根部。 |
|
必要。指定您先前在節 3.1, 在 iManager 中建立使用者應用程式驅動程式中建立之「使用者應用程式」驅動程式的可辨識名稱。例如,如果您的驅動程式為 UserApplicationDriver、而驅動程式集稱為 myDriverSet,並且該驅動程式集位於 o=myCompany 的網路位置,則輸入值: cn=UserApplicationDriver,cn=myDriverSet,o=myCompany |
|
|
必要。Identity Vault 中擁有權限執行管理任務 (由「使用者應用程式」使用者容器指定) 的使用者。此使用者可以使用「使用者應用程式」的「 」索引標籤來管理入口網站。如果「使用者應用程式管理員」參與 iManager、Novell Designer for Identity Manager 或「使用者應用程式」(「《IDM 使用者應用程式:管理指南》。 」索引標籤) 中公開的工作流程管理任務,您就必須給予此管理員適當的託管者權限,使其能夠存取「使用者應用程式」驅動程式中的物件例項。如需詳細資訊,請參閱若想在部署「使用者應用程式」之後變更此指定,則必須使用「使用者應用程式」中的「 」頁面。 |
|
|
「提供應用程式管理員」會使用「 」索引標籤下方的「 」索引標籤來管理「提供工作流程」功能。這些功能可透過「使用者應用程式」的「 」索引標籤供使用者使用。此使用者必須先存在於 Identity Vault,才能指定為「提供應用程式管理員」。若想在部署「使用者應用程式」之後變更此指定,則必須使用「使用者應用程式」中的「 」頁面。 |
|
eDirectory DN (續) |
|
此角色用於「Novell Identity Manager 角色提供模組」中。此角色允許成員建立、移除或修改所有角色,授予或撤銷對任何使用者、群組或容器所做的任何角色指定。它還允許其角色成員為任一使用者執行報告。依預設,「使用者應用程式」管理員會指定為此角色。 若要在部署「使用者應用程式」之後更改此指定,請使用「使用者應用程式」中的 頁面。 |
|
必要。指定使用者容器的 LDAP 可辨識名稱 (DN) 或完全合法的 LDAP 名稱。這會定義使用者和群組的搜尋範圍。此容器中 (和下方) 的使用者可以登入「使用者應用程式」。 重要:如果您想讓使用者可以執行工作流程,請確定「使用者應用程式」驅動程式設定期間指定的「使用者應用程式管理員」存在於此容器中。 |
|
|
必要。指定群組容器的輕量目錄存取協定 (LDAP) 可辨識名稱 (DN) 或完全合法的 LDAP 名稱。 由目錄抽象層內的實體定義使用。 |
|
eDirectory 證書 |
|
必要。針對應用程式伺服器用來執行之 JDK 的 KeyStore (cacerts) 檔案,輸入其完整路徑,或者,按一下瀏覽器小按鈕來瀏覽 cacerts 檔案。 在 Linux 或 Solaris 上,使用者必須擁有權限寫入此檔案。 |
|
必要。指定 cacerts 密碼。預設值為「changeit」。 |
|
電子郵件 |
|
指定代管「Identity Manager 使用者應用程式」的應用程式伺服器。例如: myapplication serverServer 此值會取代電子郵件範本中的 $HOST$ 記號。建構的 URL 是提供申請任務和核准通知的連結。 |
|
用於取代提供申請任務和核准通知中所使用之電子郵件範本中的 $PORT$ 記號。 |
|
|
用於取代提供申請任務和核准通知中所使用之電子郵件範本中的 $SECURE_PORT$ 記號。 |
|
|
指定來自提供電子郵件中使用者的電子郵件。 |
|
|
指定提供電子郵件所使用的 SMTP 電子郵件主機。可以是 IP 位址或 DNS 名稱。 |
|
密碼管理 |
|
此功能可讓您指定一個「忘記密碼」頁面放在外部「忘記密碼 WAR」中,並指定一個 URL,讓外部「忘記密碼 WAR」用來透過 Web 服務喚回「使用者應用程式」。 如果您核取「 」,就必須提供「 」和「 」的值。如果您不勾選「/jsps/pwdmgt/ForgotPassword.jsf (開頭不使用 HTTP 通訊協定)。這會將使用者重新導向至「使用者應用程式」內建的「忘記密碼」功能,而不是外部 WAR。 」,IDM 就會使用預設的內部「密碼管理」功能,. |
|
此 URL 指向「忘記密碼」功能頁面。在外部或內部的密碼管理 WAR 中指定 ForgotPassword.jsf 檔案。如需詳細資料,請參閱使用密碼 WAR。 |
|
|
如果您使用外部密碼管理 WAR,則請提供該外部「密碼管理 WAR」用來透過 Web 服務喚回「使用者應用程式」的路徑,例如 https://idmhost:sslport/idm。 |
如果您想設定「使用者應用程式」其他的組態參數,請按一下「顯示進階選項」(請捲動檢視整個面板)。表 4-2描述了「進階選項」參數。
如果您不想設定此步驟所述的其他參數,請跳至步驟 3。
表 4-2 使用者應用程式組態:所有參數
設定類型 |
欄位 |
描述 |
---|---|---|
eDirectory 連線設定 |
|
必要。指定 LDAP 伺服器的主機名稱或 IP 位址。例如: myLDAPhost |
|
指定 LDAP 伺服器的非安全連接埠。例如︰389。 |
|
|
指定 LDAP 伺服器的安全連接埠。例如︰636。 |
|
|
必要。指定 LDAP 管理員的認證。此使用者必須已經存在。「使用者應用程式」會使用此帳戶,來建立 Identity Vault 的管理連線。這個值會根據萬能金鑰進行加密。 |
|
|
必要。指定 LDAP 管理員密碼。這個密碼會根據萬能金鑰進行加密。 |
|
|
允許未登入的使用者存取「LDAP 公用匿名帳戶」。 |
|
|
允許未登入的使用者存取允許的入口網站應用程式。這個使用者帳戶必須已存在於 Identity Vault。若要啟用「LDAP 訪客」,您必須取消選取「 」。若要停用「訪客使用者」,請選取「 」。 |
|
|
指定 LDAP 訪客密碼。 |
|
|
選取這個選項來要求,必須以安全插槽進行所有使用管理員帳戶的通訊。(此選項可能會對效能產生負面影響)。此設定允許不透過 SSL 來執行不需要 SSL 的其他操作。 |
|
|
選取這個選項來要求,必須以安全插槽進行所有使用登入之使用者帳戶來執行的通訊。(此選項可能會對效能產生負面影響)。此設定允許不透過 SSL 來執行不需要 SSL 的其他操作。 |
|
eDirectory DN |
|
必要。指定根容器的輕量目錄存取協定 (LDAP) 可辨識名稱。當在目錄抽象層中沒有指定任何搜尋根部時,會將它用做預設實體定義搜尋根部。 |
|
必要。指定您先前在節 3.1, 在 iManager 中建立使用者應用程式驅動程式中建立之「使用者應用程式」驅動程式的可辨識名稱。例如,如果您的驅動程式為 userapplicationdriver、而驅動程式集稱為 mydriverset,並且該驅動程式集位於 o=myCompany 的網路位置,則輸入值: cn=UserApplicationDriver,cn=myDriverSet,o=myCompany |
|
|
必要。Identity Vault 中擁有權限執行管理任務 (由「使用者應用程式」使用者容器指定) 的使用者。此使用者可以使用「使用者應用程式」的「 」索引標籤來管理入口網站。如果「使用者應用程式管理員」參與 iManager、Novell Designer for Identity Manager 或「使用者應用程式」(「《IDM 使用者應用程式:管理指南》。 」索引標籤) 中公開的工作流程管理任務,您就必須給予此管理員適當的託管者權限,使其能夠存取「使用者應用程式」驅動程式中的物件例項。如需詳細資訊,請參閱若想在部署「使用者應用程式」之後變更此指定,則必須使用「使用者應用程式」中的「 」頁面。 |
|
|
「提供應用程式管理員」會管理透過「使用者應用程式」的「 」索引標籤提供的提供工作流程功能。此使用者必須先存在於 Identity Vault,才能指定為「提供應用程式管理員」。若想在部署「使用者應用程式」之後變更此指定,則必須使用「使用者應用程式」中的「 」頁面。 |
|
中繼目錄使用者身分 |
|
必要。指定使用者容器的 LDAP 可辨識名稱 (DN) 或完全合法的 LDAP 名稱。 這會定義使用者和群組的搜尋範圍。 此容器中 (和下方) 的使用者可以登入「使用者應用程式」。 重要:如果您想讓使用者可以執行工作流程,請確定「使用者應用程式」驅動程式設定期間指定的「使用者應用程式管理員」存在於此容器中。 |
|
LDAP 使用者物件類別 (通常為 inetOrgPerson)。 |
|
|
代表使用者登入名稱的 LDAP 屬性 (例如 CN)。 |
|
|
此 LDAP 可在查閱使用者或群組時做為識別碼。這和登入屬性不一樣,後者只能用於登入,不可用於使用者/群組搜尋。 |
|
|
選用。代表使用者群組成員資格的 LDAP 屬性。請勿在此名稱中使用空格。 |
|
|
此角色用於「Novell Identity Manager 角色提供模組」中。此角色允許成員建立、移除或修改所有角色,授予或撤銷對任何使用者、群組或容器所做的任何角色指定。它還允許其角色成員為任一使用者執行報告。依預設,「使用者應用程式」管理員會指定為此角色。 若要在部署「使用者應用程式」之後更改此指定,請使用「使用者應用程式」中的 頁面。 |
|
中繼目錄使用者群組 |
|
必要。指定群組容器的輕量目錄存取協定 (LDAP) 可辨識名稱 (DN) 或完全合法的 LDAP 名稱。由目錄抽象層內的實體定義使用。 |
|
LDAP 群組物件類別 (通常為 groupofNames)。 |
|
|
代表使用者群組成員資格的屬性。請勿在此名稱中使用空格。 |
|
|
如果您想要使用動態群組,請選取此選項。 |
|
|
LDAP 動態群組物件類別 (通常為 dynamicGroup)。 |
|
eDirectory 證書 |
|
必要。針對應用程式伺服器用來執行之 JRE 的 keystore (cacerts) 檔案,輸入其完整路徑,或者,按一下瀏覽器小按鈕來瀏覽 cacerts 檔案。 「使用者應用程式」的安裝會修改 KeyStore 檔案。在 Linux 或 Solaris 上,使用者必須擁有權限寫入此檔案。 |
|
必要。指定 cacerts 密碼。預設值為「changeit」。 |
|
私密金鑰儲存區 |
|
私密 KeyStore 含有「使用者應用程式」的私密金鑰和證書。保留。如果您想保留空白,此路徑則預設為 /jre/lib/security/cacerts。 |
|
除非您另行指定,否則密碼為 changeit。這個密碼會根據萬能金鑰進行加密。 |
|
|
除非您另行指定,否則密碼為 novellIDMUserApp。 |
|
|
除非您另行指定,否則密碼為 nove1lIDM。這個密碼會根據萬能金鑰進行加密。 |
|
託管金鑰儲存區 |
|
「託管金鑰儲存區」包含所有託管簽名者的證書,用來驗證數位簽名。如果此路徑為空,則「使用者應用程式」會從「系統」內容 javax.net.ssl.trustStore 取得路徑。如果路徑不在那裡,就假設為 jre/lib/security/cacerts。 |
|
如果此欄位為空,則「使用者應用程式」會從「系統」內容 javax.net.ssl.trustStorePassword 取得密碼。如果值不在那裡,則使用 changeit。這個密碼會根據萬能金鑰進行加密。 |
|
Novell Audit 數位簽名和證書金鑰 |
包含 Novell Audit 的數位簽名金鑰和證書。 |
|
|
顯示數位簽名證書。 |
|
|
顯示數位簽名私密金鑰。這個金鑰會根據萬能金鑰進行加密。 |
|
Access Manager 和 iChain 設定 |
|
若選取此選項,「使用者應用程式」就可支援同時登出「使用者應用程式」以及 Novell Access Manager 或 iChain。「使用者應用程式」會在登出時檢查是否有 Novell Access Manager™ 或 iChain® 的 Cookie,如果有,就將使用者重新路由至同時登出頁面。 |
|
到 Novell Access Manager 或 iChain 登出頁面的 URL,其中 URL 是 Novell Access Manager 或 iChain 的主機名稱。如果「同時登出」已經啟用,且使用者登出了「使用者應用程式」,則該使用者會被重新導向至此頁面。以下兩個 URL 會視您的環境將同時登出功能導向至正確的頁面: Access Manager:https://yourAccessGatewayServer/AGLogout iChain:https://youriChainServer/cmd/ICSLogout |
|
電子郵件 |
|
指定代管「Identity Manager 使用者應用程式」的應用程式伺服器。例如: myapplication serverServer 此值會取代電子郵件範本中的 $HOST$ 記號。建構的 URL 是提供申請任務和核准通知的連結。 |
|
用於取代提供申請任務和核准通知中所使用之電子郵件範本中的 $PORT$ 記號。 |
|
|
用於取代提供申請任務和核准通知中所使用之電子郵件範本中的 $SECURE_PORT$ 記號。 |
|
|
指的是非安全通訊協定 HTTP。用於取代提供申請任務和核准通知中所使用之電子郵件範本中的 $PROTOCOL$ 記號。 |
|
|
指的是安全通訊協定 HTTPS。用於取代提供申請任務和核准通知中所使用之電子郵件範本中的 $SECURE_PROTOCOL$ 記號。 |
|
|
指定來自提供電子郵件中使用者的電子郵件。 |
|
|
指定提供電子郵件所使用的 SMTP 電子郵件主機。可以是 IP 位址或 DNS 名稱。 |
|
密碼管理 |
|
|
|
此功能可讓您指定一個「忘記密碼」頁面放在外部「忘記密碼 WAR」中,並指定一個 URL,讓外部「忘記密碼 WAR」用來透過 Web 服務喚回「使用者應用程式」。 如果您核取「 」,就必須提供「 」和「 」的值。如果您不勾選「/jsps/pwdmgt/ForgotPassword.jsf (開頭不使用 HTTP 通訊協定)。這會將使用者重新導向至「使用者應用程式」內建的「忘記密碼」功能,而不是外部 WAR。 」,IDM 就會使用預設的內部「密碼管理」功能,. |
|
|
此 URL 指向「忘記密碼」功能頁面。在外部或內部的密碼管理 WAR 中指定 ForgotPassword.jsf 檔案。如需詳細資料,請參閱使用密碼 WAR。 |
|
|
|
如果您使用外部密碼管理 WAR,則請提供該外部「密碼管理 WAR」用來透過 Web 服務喚回「使用者應用程式」的路徑,例如 https://idmhost:sslport/idm。 |
其他 |
|
應用程式會期逾時。 |
|
如果用戶端安裝使用線上證書狀態通訊協定 (On-Line Certificate Status Protocol,OCSP),則請提供資源識別字串 (Uniform Resource Identifier,URI)。例如,格式為 http://host:port/ocspLocal。OCSP URI 會在線上更新託管證書的狀態。 |
|
|
授權組態檔案的完全合法名稱。 |
|
容器物件 |
|
選取要使用的「容器物件類型」。 |
|
從下列的標準容器中進行選取:地區、國家、organizationalUnit和領域。您也可以在 iManager 中定義自己的容器,然後將其新增至「 」之下。 |
|
|
列出與「容器物件類型」關聯的「屬性類型」名稱。 |
|
|
在 Identity Vault 中指定一個可做為容器的 ObjectClass 之 LDAP 名稱。 如需有關容器的資訊,請參閱《Novell iManager 2.6 管理指南》。 |
|
|
提供容器物件的屬性名稱。 |
附註:在安裝之後,您可以在此檔案中編輯大部分的設定。若要這麼做,請執行 configupdate.sh 程序檔或 Windows configupdate.bat 檔案 (位於您的安裝子目錄中)。請記住,在叢集中,對於叢集的所有成員,此檔案中的設定必須完全相同。
完成設定後,請按一下「確定」,然後繼續進行節 4.16, 確認您的選擇後進行安裝