4.14 設定使用者應用程式組態

「使用者應用程式」的安裝可讓您設定「使用者應用程式」組態參數。安裝之後,這些參數之中有大部分也可透過 configupdate.shconfigupdate.bat 進行編輯;如有例外,則於參數描述中說明。

對於叢集,請為叢集的每一個成員指定同一個「使用者應用程式」組態參數。

  1. 設定表 4-1所述的「使用者應用程式」基本組態參數,然後繼續進行步驟 2

    表 4-1 使用者應用程式組態:基本參數

    設定類型

    欄位

    描述

    eDirectory 連線設定

    LDAP 主機

    必要。指定輕量目錄存取協定 (LDAP) 伺服器的主機名稱或 IP 位址。例如:

    myLDAPhost
    

    LDAP 非安全連接埠

    指定 LDAP 伺服器的非安全連接埠。例如︰389。

    LDAP 安全連接埠

    指定 LDAP 伺服器的安全連接埠。例如︰636。

    LDAP 管理員

    必要。指定 LDAP 管理員的認證。此使用者必須已經存在。「使用者應用程式」會使用此帳戶,來建立 Identity Vault 的管理連線。這個值會根據萬能金鑰進行加密。

    LDAP 管理員密碼

    必要。指定 LDAP 管理員密碼。這個密碼會根據萬能金鑰進行加密。

    使用公用匿名帳戶

    允許未登入的使用者存取「LDAP 公用匿名帳戶」。

    LDAP 訪客

    允許未登入的使用者存取允許的入口網站應用程式。這個使用者帳戶必須已存在於 Identity Vault。若要啟用「LDAP 訪客」,您必須取消選取「使用公用匿名帳戶」。若要停用「訪客使用者」,請選取「使用公用匿名帳戶」。

    LDAP 訪客密碼

    指定 LDAP 訪客密碼。

    安全管理員連線

    選取這個選項來要求,必須以安全插槽進行所有使用管理員帳戶的通訊。(此選項可能會對效能產生負面影響。)此設定允許不透過 SSL 來執行不需要 SSL 的其他操作。

    安全使用者連線

    選取這個選項來要求,必須以安全插槽進行所有使用登入之使用者帳戶的通訊。(此選項可能會對效能產生負面影響)。此設定允許不透過 SSL 來執行不需要 SSL 的其他操作。

    eDirectory DN

    根容器 DN

    必要。指定根容器的輕量目錄存取協定 (LDAP) 可辨識名稱。當在目錄抽象層中沒有指定任何搜尋根部時,會將它用做預設實體定義搜尋根部。

    提供驅動程式 DN

    必要。指定您先前在節 3.1, 在 iManager 中建立使用者應用程式驅動程式中建立之「使用者應用程式」驅動程式的可辨識名稱。例如,如果您的驅動程式為 UserApplicationDriver、而驅動程式集稱為 myDriverSet,並且該驅動程式集位於 o=myCompany 的網路位置,則輸入值:

    cn=UserApplicationDriver,cn=myDriverSet,o=myCompany
    

    使用者應用程式管理員

    必要。Identity Vault 中擁有權限執行管理任務 (由「使用者應用程式」使用者容器指定) 的使用者。此使用者可以使用「使用者應用程式」的「管理」索引標籤來管理入口網站。

    如果「使用者應用程式管理員」參與 iManager、Novell Designer for Identity Manager 或「使用者應用程式」(「申請與核准」索引標籤) 中公開的工作流程管理任務,您就必須給予此管理員適當的託管者權限,使其能夠存取「使用者應用程式」驅動程式中的物件例項。如需詳細資訊,請參閱《IDM 使用者應用程式:管理指南》

    若想在部署「使用者應用程式」之後變更此指定,則必須使用「使用者應用程式」中的「管理 > 安全性」頁面。

    提供應用程式管理員

    「提供應用程式管理員」會使用「管理」索引標籤下方的「提供」索引標籤來管理「提供工作流程」功能。這些功能可透過「使用者應用程式」的「申請與核准」索引標籤供使用者使用。此使用者必須先存在於 Identity Vault,才能指定為「提供應用程式管理員」。

    若想在部署「使用者應用程式」之後變更此指定,則必須使用「使用者應用程式」中的「管理 > 安全性」頁面。

    eDirectory DN (續)

    角色管理員

    此角色用於「Novell Identity Manager 角色提供模組」中。此角色允許成員建立、移除或修改所有角色,授予或撤銷對任何使用者、群組或容器所做的任何角色指定。它還允許其角色成員為任一使用者執行報告。依預設,「使用者應用程式」管理員會指定為此角色。

    若要在部署「使用者應用程式」之後更改此指定,請使用「使用者應用程式」中的「角色」>「角色指定」頁面。

    使用者容器 DN

    必要。指定使用者容器的 LDAP 可辨識名稱 (DN) 或完全合法的 LDAP 名稱。這會定義使用者和群組的搜尋範圍。此容器中 (和下方) 的使用者可以登入「使用者應用程式」。

    重要:如果您想讓使用者可以執行工作流程,請確定「使用者應用程式」驅動程式設定期間指定的「使用者應用程式管理員」存在於此容器中。

    群組容器 DN

    必要。指定群組容器的輕量目錄存取協定 (LDAP) 可辨識名稱 (DN) 或完全合法的 LDAP 名稱。

    由目錄抽象層內的實體定義使用。

    eDirectory 證書

    KeyStore 路徑

    必要。針對應用程式伺服器用來執行之 JDK 的 KeyStore (cacerts) 檔案,輸入其完整路徑,或者,按一下瀏覽器小按鈕來瀏覽 cacerts 檔案。

    在 Linux 或 Solaris 上,使用者必須擁有權限寫入此檔案。

    KeyStore 密碼/確認 KeyStore 密碼

    必要。指定 cacerts 密碼。預設值為「changeit」。

    電子郵件

    通知範本 HOST 記號

    指定代管「Identity Manager 使用者應用程式」的應用程式伺服器。例如:

    myapplication serverServer
    

    此值會取代電子郵件範本中的 $HOST$ 記號。建構的 URL 是提供申請任務和核准通知的連結。

    通知範本 PORT 記號

    用於取代提供申請任務和核准通知中所使用之電子郵件範本中的 $PORT$ 記號。

    通知範本 SECURE PORT 記號

    用於取代提供申請任務和核准通知中所使用之電子郵件範本中的 $SECURE_PORT$ 記號。

    SMTP 電子郵件通知寄件者:

    指定來自提供電子郵件中使用者的電子郵件。

    SMTP 電子郵件通知主機

    指定提供電子郵件所使用的 SMTP 電子郵件主機。可以是 IP 位址或 DNS 名稱。

    密碼管理

    使用外部密碼 WAR

    此功能可讓您指定一個「忘記密碼」頁面放在外部「忘記密碼 WAR」中,並指定一個 URL,讓外部「忘記密碼 WAR」用來透過 Web 服務喚回「使用者應用程式」。

    如果您核取「使用外部密碼 WAR」,就必須提供「忘記密碼連結」和「忘記密碼回傳連結」的值。

    如果您不勾選「使用外部密碼 WAR」,IDM 就會使用預設的內部「密碼管理」功能,./jsps/pwdmgt/ForgotPassword.jsf (開頭不使用 HTTP 通訊協定)。這會將使用者重新導向至「使用者應用程式」內建的「忘記密碼」功能,而不是外部 WAR。

    忘記密碼連結

    此 URL 指向「忘記密碼」功能頁面。在外部或內部的密碼管理 WAR 中指定 ForgotPassword.jsf 檔案。如需詳細資料,請參閱使用密碼 WAR

    忘記密碼回傳連結

    如果您使用外部密碼管理 WAR,則請提供該外部「密碼管理 WAR」用來透過 Web 服務喚回「使用者應用程式」的路徑,例如 https://idmhost:sslport/idm

  2. 如果您想設定「使用者應用程式」其他的組態參數,請按一下「顯示進階選項」(請捲動檢視整個面板)。表 4-2描述了「進階選項」參數。

    如果您不想設定此步驟所述的其他參數,請跳至步驟 3

    表 4-2 使用者應用程式組態:所有參數

    設定類型

    欄位

    描述

    eDirectory 連線設定

    LDAP 主機

    必要。指定 LDAP 伺服器的主機名稱或 IP 位址。例如:

    myLDAPhost

    LDAP 非安全連接埠

    指定 LDAP 伺服器的非安全連接埠。例如︰389。

    LDAP 安全連接埠

    指定 LDAP 伺服器的安全連接埠。例如︰636。

    LDAP 管理員

    必要。指定 LDAP 管理員的認證。此使用者必須已經存在。「使用者應用程式」會使用此帳戶,來建立 Identity Vault 的管理連線。這個值會根據萬能金鑰進行加密。

    LDAP 管理員密碼

    必要。指定 LDAP 管理員密碼。這個密碼會根據萬能金鑰進行加密。

    使用公用匿名帳戶

    允許未登入的使用者存取「LDAP 公用匿名帳戶」。

    LDAP 訪客

    允許未登入的使用者存取允許的入口網站應用程式。這個使用者帳戶必須已存在於 Identity Vault。若要啟用「LDAP 訪客」,您必須取消選取「使用公用匿名帳戶」。若要停用「訪客使用者」,請選取「使用公用匿名帳戶」。

    LDAP 訪客密碼

    指定 LDAP 訪客密碼。

    安全管理員連線

    選取這個選項來要求,必須以安全插槽進行所有使用管理員帳戶的通訊。(此選項可能會對效能產生負面影響)。此設定允許不透過 SSL 來執行不需要 SSL 的其他操作。

    安全使用者連線

    選取這個選項來要求,必須以安全插槽進行所有使用登入之使用者帳戶來執行的通訊。(此選項可能會對效能產生負面影響)。此設定允許不透過 SSL 來執行不需要 SSL 的其他操作。

    eDirectory DN

    根容器 DN

    必要。指定根容器的輕量目錄存取協定 (LDAP) 可辨識名稱。當在目錄抽象層中沒有指定任何搜尋根部時,會將它用做預設實體定義搜尋根部。

    提供驅動程式 DN

    必要。指定您先前在節 3.1, 在 iManager 中建立使用者應用程式驅動程式中建立之「使用者應用程式」驅動程式的可辨識名稱。例如,如果您的驅動程式為 userapplicationdriver、而驅動程式集稱為 mydriverset,並且該驅動程式集位於 o=myCompany 的網路位置,則輸入值:

    cn=UserApplicationDriver,cn=myDriverSet,o=myCompany
    

    使用者應用程式管理員

    必要。Identity Vault 中擁有權限執行管理任務 (由「使用者應用程式」使用者容器指定) 的使用者。此使用者可以使用「使用者應用程式」的「管理」索引標籤來管理入口網站。

    如果「使用者應用程式管理員」參與 iManager、Novell Designer for Identity Manager 或「使用者應用程式」(「申請與核准」索引標籤) 中公開的工作流程管理任務,您就必須給予此管理員適當的託管者權限,使其能夠存取「使用者應用程式」驅動程式中的物件例項。如需詳細資訊,請參閱《IDM 使用者應用程式:管理指南》

    若想在部署「使用者應用程式」之後變更此指定,則必須使用「使用者應用程式」中的「管理 > 安全性」頁面。

    提供應用程式管理員

    「提供應用程式管理員」會管理透過「使用者應用程式」的「申請與核准」索引標籤提供的提供工作流程功能。此使用者必須先存在於 Identity Vault,才能指定為「提供應用程式管理員」。

    若想在部署「使用者應用程式」之後變更此指定,則必須使用「使用者應用程式」中的「管理 > 安全性」頁面。

    中繼目錄使用者身分

    使用者容器 DN

    必要。指定使用者容器的 LDAP 可辨識名稱 (DN) 或完全合法的 LDAP 名稱。

    這會定義使用者和群組的搜尋範圍。

    此容器中 (和下方) 的使用者可以登入「使用者應用程式」。

    重要:如果您想讓使用者可以執行工作流程,請確定「使用者應用程式」驅動程式設定期間指定的「使用者應用程式管理員」存在於此容器中。

    使用者物件類別

    LDAP 使用者物件類別 (通常為 inetOrgPerson)。

    登入屬性

    代表使用者登入名稱的 LDAP 屬性 (例如 CN)。

    命名屬性

    此 LDAP 可在查閱使用者或群組時做為識別碼。這和登入屬性不一樣,後者只能用於登入,不可用於使用者/群組搜尋。

    使用者成員資格屬性

    選用。代表使用者群組成員資格的 LDAP 屬性。請勿在此名稱中使用空格。

    角色管理員

    此角色用於「Novell Identity Manager 角色提供模組」中。此角色允許成員建立、移除或修改所有角色,授予或撤銷對任何使用者、群組或容器所做的任何角色指定。它還允許其角色成員為任一使用者執行報告。依預設,「使用者應用程式」管理員會指定為此角色。

    若要在部署「使用者應用程式」之後更改此指定,請使用「使用者應用程式」中的「角色」>「角色指定」頁面。

    中繼目錄使用者群組

    群組容器 DN

    必要。指定群組容器的輕量目錄存取協定 (LDAP) 可辨識名稱 (DN) 或完全合法的 LDAP 名稱。由目錄抽象層內的實體定義使用。

    群組物件類別

    LDAP 群組物件類別 (通常為 groupofNames)。

    群組成員資格屬性

    代表使用者群組成員資格的屬性。請勿在此名稱中使用空格。

    使用動態群組

    如果您想要使用動態群組,請選取此選項。

    動態群組物件類別

    LDAP 動態群組物件類別 (通常為 dynamicGroup)。

    eDirectory 證書

    KeyStore 路徑

    必要。針對應用程式伺服器用來執行之 JRE 的 keystore (cacerts) 檔案,輸入其完整路徑,或者,按一下瀏覽器小按鈕來瀏覽 cacerts 檔案。

    「使用者應用程式」的安裝會修改 KeyStore 檔案。在 Linux 或 Solaris 上,使用者必須擁有權限寫入此檔案。

    KeyStore 密碼

    確認 KeyStore 密碼

    必要。指定 cacerts 密碼。預設值為「changeit」。

    私密金鑰儲存區

    私密 KeyStore 路徑

    私密 KeyStore 含有「使用者應用程式」的私密金鑰和證書。保留。如果您想保留空白,此路徑則預設為 /jre/lib/security/cacerts

    私密 KeyStore 密碼

    除非您另行指定,否則密碼為 changeit。這個密碼會根據萬能金鑰進行加密。

    私密金鑰別名

    除非您另行指定,否則密碼為 novellIDMUserApp

    私密金鑰密碼

    除非您另行指定,否則密碼為 nove1lIDM。這個密碼會根據萬能金鑰進行加密。

    託管金鑰儲存區

    託管儲存區路徑

    「託管金鑰儲存區」包含所有託管簽名者的證書,用來驗證數位簽名。如果此路徑為空,則「使用者應用程式」會從「系統」內容 javax.net.ssl.trustStore 取得路徑。如果路徑不在那裡,就假設為 jre/lib/security/cacerts

    託管儲存區密碼

    如果此欄位為空,則「使用者應用程式」會從「系統」內容 javax.net.ssl.trustStorePassword 取得密碼。如果值不在那裡,則使用 changeit。這個密碼會根據萬能金鑰進行加密。

    Novell Audit 數位簽名和證書金鑰

    包含 Novell Audit 的數位簽名金鑰和證書。

    Novell Audit 數位簽名證書

    顯示數位簽名證書。

    Novell Audit 數位簽名私密金鑰

    顯示數位簽名私密金鑰。這個金鑰會根據萬能金鑰進行加密。

    Access Manager 和 iChain 設定

    啟用同時登出

    若選取此選項,「使用者應用程式」就可支援同時登出「使用者應用程式」以及 Novell Access Manager 或 iChain。「使用者應用程式」會在登出時檢查是否有 Novell Access Manager™ 或 iChain® 的 Cookie,如果有,就將使用者重新路由至同時登出頁面。

    同時登出頁面

    到 Novell Access Manager 或 iChain 登出頁面的 URL,其中 URL 是 Novell Access Manager 或 iChain 的主機名稱。如果「同時登出」已經啟用,且使用者登出了「使用者應用程式」,則該使用者會被重新導向至此頁面。以下兩個 URL 會視您的環境將同時登出功能導向至正確的頁面:

    Access Manager:https://yourAccessGatewayServer/AGLogout

    iChain:https://youriChainServer/cmd/ICSLogout

    電子郵件

    通知範本 HOST 記號

    指定代管「Identity Manager 使用者應用程式」的應用程式伺服器。例如:

    myapplication serverServer
    

    此值會取代電子郵件範本中的 $HOST$ 記號。建構的 URL 是提供申請任務和核准通知的連結。

    通知範本 PORT 記號

    用於取代提供申請任務和核准通知中所使用之電子郵件範本中的 $PORT$ 記號。

    通知範本 SECURE PORT 記號

    用於取代提供申請任務和核准通知中所使用之電子郵件範本中的 $SECURE_PORT$ 記號。

    通知範本 PROTOCOL 記號

    指的是非安全通訊協定 HTTP。用於取代提供申請任務和核准通知中所使用之電子郵件範本中的 $PROTOCOL$ 記號。

    通知範本 SECURE PROTOCOL 記號

    指的是安全通訊協定 HTTPS。用於取代提供申請任務和核准通知中所使用之電子郵件範本中的 $SECURE_PROTOCOL$ 記號。

    SMTP 電子郵件通知寄件者:

    指定來自提供電子郵件中使用者的電子郵件。

    SMTP 電子郵件通知主機

    指定提供電子郵件所使用的 SMTP 電子郵件主機。可以是 IP 位址或 DNS 名稱。

    密碼管理

     

     

    使用外部密碼 WAR

    此功能可讓您指定一個「忘記密碼」頁面放在外部「忘記密碼 WAR」中,並指定一個 URL,讓外部「忘記密碼 WAR」用來透過 Web 服務喚回「使用者應用程式」。

    如果您核取「使用外部密碼 WAR」,就必須提供「忘記密碼連結」和「忘記密碼回傳連結」的值。

    如果您不勾選「使用外部密碼 WAR」,IDM 就會使用預設的內部「密碼管理」功能,./jsps/pwdmgt/ForgotPassword.jsf (開頭不使用 HTTP 通訊協定)。這會將使用者重新導向至「使用者應用程式」內建的「忘記密碼」功能,而不是外部 WAR。

    忘記密碼連結

    此 URL 指向「忘記密碼」功能頁面。在外部或內部的密碼管理 WAR 中指定 ForgotPassword.jsf 檔案。如需詳細資料,請參閱使用密碼 WAR

     

    忘記密碼回傳連結

    如果您使用外部密碼管理 WAR,則請提供該外部「密碼管理 WAR」用來透過 Web 服務喚回「使用者應用程式」的路徑,例如 https://idmhost:sslport/idm

    其他

    會期逾時

    應用程式會期逾時。

    OCSP URI

    如果用戶端安裝使用線上證書狀態通訊協定 (On-Line Certificate Status Protocol,OCSP),則請提供資源識別字串 (Uniform Resource Identifier,URI)。例如,格式為 http://host:port/ocspLocal。OCSP URI 會在線上更新託管證書的狀態。

    授權組態路徑

    授權組態檔案的完全合法名稱。

    容器物件

    選取

    選取要使用的「容器物件類型」。

    容器物件類型

    從下列的標準容器中進行選取:地區、國家、organizationalUnit和領域。您也可以在 iManager 中定義自己的容器,然後將其新增至「新增新容器物件」之下。

    容器屬性名稱

    列出與「容器物件類型」關聯的「屬性類型」名稱。

    新增新容器物件:容器物件類型

    在 Identity Vault 中指定一個可做為容器的 ObjectClass 之 LDAP 名稱。

    如需有關容器的資訊,請參閱《Novell iManager 2.6 管理指南》

    新增新容器物件:容器屬性名稱

    提供容器物件的屬性名稱。

    附註:在安裝之後,您可以在此檔案中編輯大部分的設定。若要這麼做,請執行 configupdate.sh 程序檔或 Windows configupdate.bat 檔案 (位於您的安裝子目錄中)。請記住,在叢集中,對於叢集的所有成員,此檔案中的設定必須完全相同。

  3. 完成設定後,請按一下「確定」,然後繼續進行節 4.16, 確認您的選擇後進行安裝