当单击时,该表包含可用的配置参数。
表 A-2 User Application 配置:所有选项
|
设置类型 |
选项 |
描述 |
|---|---|---|
|
身份库设置 |
|
必需。 为 LDAP 服务器指定主机名或 IP 地址。例如: myLDAPhost |
|
|
为 LDAP 服务器指定非安全端口。例如:389。 |
|
|
|
为 LDAP 服务器指定安全端口。例如:636。 |
|
|
|
必需。 指定 LDAP 管理员的身份凭证。该用户必须已经存在。 User Application 使用此帐户来建立与身份库的管理连接。 此值已使用主密钥进行过加密。 |
|
|
|
必需。 指定 LDAP 管理员口令。此口令已使用主密钥进行过加密。 |
|
|
|
允许没有登录的用户访问 LDAP 公开匿名帐户。 |
|
|
|
允许没有登录的用户访问允许的门户小程序。身份库中必须已经存在此用户帐户。要启用 LDAP Guest,必须取消选择。要禁用 Guest 用户,请选择。 |
|
|
|
指定 LDAP Guest 口令。 |
|
|
|
通过选中此选项,可以要求所有使用 Admin 帐户的通讯都通过安全套接字进行。(此选项可能对性能不利)。此设置允许不需要 SSL 的其他操作在无 SSL 的情况下运行。 |
|
|
|
通过选中此选项,可以要求所有使用已登录用户帐户的通讯都通过安全套接字进行。(此选项可能对性能有严重不利影响)。此设置允许不需要 SSL 的其他操作在无 SSL 的情况下运行。 |
|
|
身份库 DN |
|
必需。 指定根容器的 LDAP 判别名。 如果没有在目录抽象层中指定搜索根,则将该判别名用作默认的实体定义搜索根。 |
|
|
必需。指定 User Application 驱动程序的判别名。例如,如果驱动程序为 UserApplicationDriver,驱动程序集称为 myDriverSet,并且驱动程序集位于环境 o=myCompany 中,则可以输入以下值: cn=UserApplicationDriver,cn=myDriverSet,o=myCompany |
|
|
|
必需。 身份库中有权执行所指定 User Application 用户容器的管理任务的现有用户。该用户可以使用 User Application 的选项卡管理门户。 如果 User Application 管理员参与 iManager、Designer for Identity Manager 或 User Application(选项卡)中显示的工作流程管理任务,则必须授予此管理员对 User Application 驱动程序中包含的对象实例的相应受托者权限。 有关细节,请参考《User Application:管理指南》。 要在部署 User Application 之后更改指派,必须使用 User Application 中的页面。 如果已启动托管 User Application 的应用程序服务器,则无法通过 configupdate 更改此设置。 |
|
|
|
供应管理员管理 User Application 所有可用的供应工作流程功能。在将用户指定为供应管理员之前,身份库中必须存在此用户。 要在部署 User Application 后更改此指派,请使用 User Application 中的页面。 |
|
|
|
合规性管理员是一个系统角色,它允许成员执行选项卡上的所有功能。在将用户指定为合规性模块管理员之前,身份库中必须存在此用户。 configupdate 执行过程中,仅在未指派有效的合规性管理员时,对此值的更改才会生效。如果存在有效的合规性管理员,则将不保存更改。 要在部署 User Application 后更改此指派,请使用 User Application 中的页面。 |
|
|
此角色允许成员创建、去除或修改所有角色,授予或撤消指派给任何用户、组或容器的任何角色。它还允许其角色成员运行任何用户的任何报告。默认情况下,会对 User Application Admin 指派此角色。 要在部署 User Application 后更改此指派,请使用 User Application 中的页面。 configupdate 执行过程中,仅在未指派有效的角色管理员时,对此值的更改才会生效。如果存在有效的角色管理员,则将不保存更改。 |
|
|
此角色为成员提供安全域内的所有功能。 安全管理员可以对安全域内的所有对象执行所有可能的操作。安全域允许安全管理员使用Roles Based Provisioning Module配置所有域内所有对象的访问权限。安全管理员可以配置小组,还可以指派域管理员、委托管理员及其他安全管理员。 要在部署 User Application 后更改此指派,请使用 User Application 中的页面。 |
|
|
|
此角色为成员提供资源域内的所有功能。资源管理员可以对资源域内的所有对象执行所有可能的操作。 要在部署 User Application 后更改此指派,请使用 User Application 中的页面。 |
|
|
|
此角色为成员提供配置域内的所有功能。 RBPM 配置管理员可以对配置域内的所有对象执行所有可能的操作。RBPM 配置管理员控制对Roles Based Provisioning Module内的导航项目的访问。此外,RBPM 配置管理员还配置委托和代理服务、供应用户界面及工作流程引擎。 要在部署 User Application 后更改此指派,请使用 User Application 中的页面。 |
|
|
|
指向 Reporting Administrator。默认情况下,安装程序将该值设置为与其他安全字段相同的用户。 |
|
|
|
允许重设置安全性的复选框。 |
|
|
|
指向 Identity Reporting 模块的用户界面的 URL。 |
|
|
身份库用户身份 |
|
必需。 指定用户容器的 LDAP 判别名 (DN) 或完全限定的 LDAP 名称。 允许该容器中(及其下)的用户登录 User Application。 如果已启动托管 User Application 的应用程序服务器,则无法通过 configupdate 更改此设置。 重要说明:如果要使该用户能够执行工作流程,请确保在 User Application 驱动程序设置过程中指定的 User Application 管理员在该容器中存在。 |
|
用户容器范围 |
这定义了用户的搜索范围。 |
|
|
|
LDAP 用户对象类(通常为 inetOrgPerson)。 |
|
|
|
代表用户的登录名的 LDAP 特性(比如 CN)。 |
|
|
|
用作查找用户或组时的标识符的 LDAP 特性。这不同于登录特性,登录特性仅在登录时使用,在用户/组搜索时不使用。 |
|
|
|
可选。代表用户的组成员资格的 LDAP 特性。 不要在该名称中使用空格。 |
|
|
身份库用户组 |
|
必需。 指定组容器的 LDAP 判别名 (DN) 或完全限定的 LDAP 名称。 由目录抽象层中的实体定义使用。 如果已启动托管 User Application 的应用程序服务器,则无法通过 configupdate 更改此设置。 |
|
|
这定义了组的搜索范围。 |
|
|
|
LDAP 组对象类(通常是 groupofNames)。 |
|
|
|
代表用户组成员资格的特性。 不要在该名称中使用空格。 |
|
|
|
如果需要使用动态组,请选择该选项。 |
|
|
|
LDAP 动态组对象类(一般 dynamicGroup)。 |
|
|
身份库证书 |
|
必需。 指定应用程序服务器用于运行的、JRE 的密钥储存区 (cacerts) 文件的完整路径,或单击小浏览器按钮,然后找到 cacerts 文件。 User Application 安装过程中将修改密钥储存区文件。 在 Linux 或 Solaris 上,用户必须具有写此文件的权限。 WebSphere 注意事项。 密钥储存区路径字段需要设置为 RBPM 的安装目录,而不是像 JBoss 安装中设置为 JDK cacerts 文件位置。默认值设置的即为正确位置。 |
|
|
必需。 指定 cacerts 口令。默认值为 changeit。 |
|
|
可信密钥储存区 |
|
可信密钥储存区包含所有可信签名人的证书。如果此路径为空的话,User Application 将从系统属性 javax.net.ssl.trustStore 中获取路径。如果那里没有路径,则假定为 jre/lib/security/cacerts。 |
|
|
如果此字段为空的话,User Application 将从系统属性 javax.net.ssl.trustStorePassword 中获取口令。如果那里没有值,则使用 changeit。此口令已使用主密钥进行过加密。 |
|
|
|
指示要使用的数字签名的类型。如果已选中此字段,则将指示可信储存区路径的类型是否为 JKS。 |
|
|
|
指示要使用的数字签名的类型。如果已选中此字段,则将指示可信储存区路径的类型是否为 PKCS12。 |
|
|
Novell Audit 数字签名和证书密钥 |
|
包含审计服务的数字签名密钥及证书。 |
|
|
显示审计服务的数字签名证书。 |
|
|
显示数字签名私用密钥。此密钥已使用主密钥进行过加密。 |
|
Access Manager 设置 |
|
如果选中了此选项,则 User Application 支持同时注销 User Application 和 Novell Access Manager 或 iChain。 注销时,User Application 检查是否存在 Novell Access Manager 或 iChain cookie,如果存在 cookie,则将用户重路由到 ICS 注销页。 |
|
|
Novell Access Manager 或 iChain 注销页面的 URL,其中 URL 是 Novell Access Manager 或 iChain 期望的主机名。如果启用了 ICS 日志记录并且用户要注销 User Application,则将用户重路由到此页面。 |
|
|
电子邮件服务器配置 |
|
指定主管 Identity Manager User Application 的应用程序服务器。 例如: myapplication serverServer 此值将替换电子邮件模板中的 $HOST$ 令牌。所建立的 URL 是指向供应请求任务和批准通知的链接。 |
|
|
用于替换供应请求任务和批准通知所用的电子邮件模板中的 $PORT$ 令牌。 |
|
|
|
用于替换供应请求任务和批准通知所用的电子邮件模板中的 $SECURE_PORT$ 令牌。 |
|
|
|
指非安全协议 HTTP。用于替换供应请求任务和批准通知所用的电子邮件模板中的 $PROTOCOL$ 令牌。 |
|
|
|
指安全协议 HTTPS。用于替换供应请求任务和批准通知所使用电子邮件模板中的 $SECURE_PROTOCOL$ 令牌。 |
|
|
|
指定供应电子邮件中发送电子邮件的用户。 |
|
|
|
指定供应电子邮件所使用的 SMTP 电子邮件主机。这可以是 IP 地址或 DNS 名。 |
|
|
口令管理 |
|
|
|
|
通过此功能,可以指定外部忘记口令 WAR 中的“忘记口令”页,或外部忘记口令 WAR 用于通过万维网服务回拨 User Application 的 URL。 如果选择,则必须提供、和 的值。 如果没有选择,则 Identity Manager 将使用默认的内部口令管理功能。/jsps/pwdmgt/ForgotPassword.jsp(开头没有 http(s) 协议)。这将用户重定向到内置于 User Application 的“忘记口令”功能,而不是外部 WAR。 |
|
|
|
此 URL 指向“忘记口令”功能页。在外部或内部口令管理 WAR 中指定 ForgotPassword.jsp 文件。 |
|
|
|
指定供用户在执行完忘记口令操作后进行单击。 |
|
|
这是外部忘记口令 WAR 用来回拨 User Application 以执行核心忘记口令功能的 URL。此 URL 的格式为: https://<idmhost>:<sslport>/<idm>/pwdmgt/service |
|
|
杂项 |
|
应用程序会话超时。 |
|
|
如果客户安装使用在线证书状态协议 (OCSP),请提供统一资源标识符 (URI)。例如,格式为 http://host:port/ocspLocal。OCSP URI 在线更新可信证书的状态。 |
|
|
|
授权配置文件的完全限定名。 |
|
|
|
如果希望安装实用程序创建 manager、ismanager 和 srvprvUUID 属性的索引,请选中此复选框。如果这些属性没有索引,User Application 用户可能会遇到不良性能,尤其在群集环境中。安装 User Application 后,可使用 iManager 手动创建这些索引。请参见部分 9.3.1, 在 eDirectory 中创建索引。 为达到最佳性能,应完成索引的创建。索引应处于联机方式,才可使用 User Application。 |
|
|
去除 manager、ismanager 和 srvprvUUID 属性的索引。 |
|
|
选择应创建或去除索引的 eDirectory 服务器。 注:要在多个 eDirectory 服务器上配置索引,必须多次运行 configupdate 实用程序。一次只能指定一个服务器。 |
|
容器对象 |
|
选择要使用的每个数字对象类型。 |
|
|
有以下标准容器可供选择:位置、国家/地区、组织单位、组织和域。也可以在 iManager 中自己定义容器,然后在下面添加这些容器。 |
|
|
|
列出与容器对象类型相关的属性类型名称。 |
|
|
|
指定可作为容器的身份库中对象类的 LDAP 名称。 |
|
|
|
提供容器对象的属性名称。 |