在 User Application 安装过程中,可以设置 User Application 配置参数。其中大部分参数都还可以于安装在 configupdate.sh 或 configupdate.bat 中进行配置,有关例外的项,参见参数说明中的注释。
对于群集,对其中每个成员指定相同的 User Application 配置参数。
设置基本 User Application 配置参数(参见表 4-1中的说明),然后继续步骤 2。
表 4-1 User Application 配置:基本参数
设置类型 |
字段 |
说明 |
---|---|---|
eDirectory 连接设置 |
|
必需。 指定 LDAP 服务器的主机名或 IP 地址,及其安全端口。例如: myLDAPhost |
|
为 LDAP 服务器指定非安全端口。例如:389。 |
|
|
为 LDAP 服务器指定安全端口。例如:636。 |
|
|
必需。 指定 LDAP 管理员的身份凭证。该用户必须已经存在。 User Application 使用此帐户来建立与身份库的管理连接。 此值已使用主密钥进行过加密。 |
|
|
必需。 指定 LDAP 管理员口令。此口令已使用主密钥进行过加密。 |
|
|
允许没有登录的用户访问 LDAP 公开匿名帐户。 |
|
|
允许没有登录的用户访问允许的门户小程序。身份库中必须已经存在此用户帐户。要启用 LDAP Guest,必须取消选择 。要禁用 Guest 用户,请选择 。 |
|
|
指定 LDAP Guest 口令。 |
|
|
通过选中此选项,可以要求所有使用 Admin 帐户的通讯都通过安全套接字进行。(此选项可能对性能不利。)此设置允许不需要 SSL 的其他操作在无 SSL 的情况下运行。 |
|
|
通过选中此选项,可以要求所有使用已登录用户帐户的通讯都通过安全套接字进行。(此选项可能对性能不利)。此设置允许不需要 SSL 的其他操作在无 SSL 的情况下运行。 |
|
eDirectory DN |
|
必需。 指定根容器的 LDAP 判别名。 如果没有在目录抽象层中指定搜索根,则将该判别名用作默认的实体定义搜索根。 |
|
必需。 指定以前在部分 3.1, 在 iManager 中创建 User Application 驱动程序中创建的 User Application 驱动程序的判别名。 例如,如果驱动程序为 UserApplicationDriver,驱动程序集称为 MyDriverSet,并且驱动程序集位于环境 o=myCompany 中,则可以输入以下值: cn=UserApplicationDriver,cn=myDriverSet,o=myCompany |
|
|
必需。 身份库中有权执行所指定 User Application 用户容器的管理任务的现有用户。该用户可以使用 User Application 的 选项卡管理门户。如果 User Application 管理员参与 iManager、Designer for Identity Manager 或 User Application(IDM User Application:管理指南》。 选项卡)中显示的工作流程管理任务,则必须授予此管理员对 User Application 驱动程序中包含的对象实例的相应受托者权利。有关细节,请参见《要在部署 User Application 之后更改指派,必须使用 User Application 中的 页面。 |
|
|
供应应用程序管理员使用 选项卡( 选项卡下)管理供应工作流程功能。用户可以通过 User Application 的 选项卡使用这些功能。在将用户指定为供应应用程序管理员之前,身份库中必须存在此用户。要在部署 User Application 之后更改指派,必须使用 User Application 中的 页面。 |
|
eDirectory DN(续) |
|
此角色在 Novell Identity Manager 基于角色的供应模块中可用。此角色允许成员创建、去除或修改所有角色,授予或撤消指派给任何用户、组或容器的任何角色。它还允许其角色成员运行任何用户的任何报告。默认情况下,会对 User Application Admin 指派此角色。 要在部署 User Application 后更改此指派,请使用 User Application 中的 页面。 |
|
必需。 指定用户容器的 LDAP 判别名 (DN) 或完全限定的 LDAP 名称。 这定义用户和组的搜索范围。允许该容器中(及其下)的用户登录 User Application。 重要说明:如果要使该用户能够执行工作流程,请确保在 User Application 驱动程序设置过程中指定的 User Application 管理员在该容器中存在。 |
|
|
必需。 指定组容器的 LDAP 判别名 (DN) 或完全限定的 LDAP 名称。 由目录抽象层中的实体定义使用。 |
|
eDirectory 证书 |
|
必需。 指定应用程序服务器用于运行的、JDK 密钥存储区 (cacerts) 文件的完整路径,或单击小浏览器按钮,然后浏览找到 cacerts 文件。 在 Linux 或 Solaris 上,用户必须具有写此文件的权限。 |
|
必需。 指定 cacerts 口令。默认值为 changeit。 |
|
电子邮件 |
|
指定主管 Identity Manager User Application 的应用程序服务器。 例如: myapplication serverServer 此值将替换电子邮件模板中的 $HOST$ 令牌。所建立的 URL 是指向供应请求任务和批准通知的链接。 |
|
用于替换供应请求任务和批准通知所用的电子邮件模板中的 $PORT$ 令牌。 |
|
|
用于替换供应请求任务和批准通知所用的电子邮件模板中的 $SECURE_PORT$ 令牌。 |
|
|
指定供应电子邮件中发送邮件用户的电子邮件。 |
|
|
指定供应电子邮件所使用的 SMTP 电子邮件主机。这可以是 IP 地址或 DNS 名。 |
|
口令管理 |
|
通过此功能,可以指定外部忘记口令 WAR 中的“忘记口令”页,或外部忘记口令 WAR 用于通过万维网服务回拨 User Application 的 URL。 如果选择 ,则必须提供 和 的值。如果没有选择/jsps/pwdmgt/ForgotPassword.jsf (开头没有 http(s) 协议)。这将用户重定向到内置于 User Application 的“忘记口令”功能,而不是外部 WAR。 ,则 IDM 将使用默认的内部口令管理功能。 |
|
此 URL 指向“忘记口令”功能页。指定外部或内部口令管理 WAR 中的 ForgotPassword.jsf 文件。有关细节,请参见使用口令 WAR。 |
|
|
如果使用的是外部口令管理 WAR,需提供外部口令管理 WAR 用来通过万维网服务回调 User Application 的路径,例如 https:// idmhost:sslport/idm。 |
如果要设置其他 User Application 配置参数,请单击显示高级选项。(通过滚动查看整个面板。)表 4-2说明了“高级选项”参数。
如果不想设置此步骤中所述的其他参数,请跳至 步骤 3。
表 4-2 User Application 配置:所有参数
设置类型 |
字段 |
说明 |
---|---|---|
eDirectory 连接设置 |
|
必需。 为 LDAP 服务器指定主机名或 IP 地址。例如: myLDAPhost |
|
为 LDAP 服务器指定非安全端口。例如:389。 |
|
|
为 LDAP 服务器指定安全端口。例如:636。 |
|
|
必需。 指定 LDAP 管理员的身份凭证。该用户必须已经存在。 User Application 使用此帐户来建立与身份库的管理连接。 此值已使用主密钥进行过加密。 |
|
|
必需。 指定 LDAP 管理员口令。此口令已使用主密钥进行过加密。 |
|
|
允许没有登录的用户访问 LDAP 公开匿名帐户。 |
|
|
允许没有登录的用户访问允许的门户小程序。身份库中必须已经存在此用户帐户。要启用 LDAP Guest,必须取消选择 。要禁用 Guest 用户,请选择 。 |
|
|
指定 LDAP Guest 口令。 |
|
|
通过选中此选项,可以要求所有使用 Admin 帐户的通讯都通过安全套接字进行。(此选项可能对性能不利)。此设置允许不需要 SSL 的其他操作在无 SSL 的情况下运行。 |
|
|
通过选中此选项,可以要求所有使用已登录用户帐户的通讯都通过安全套接字进行。(此选项可能对性能有严重不利影响)。此设置允许不需要 SSL 的其他操作在无 SSL 的情况下运行。 |
|
eDirectory DN |
|
必需。 指定根容器的 LDAP 判别名。 如果没有在目录抽象层中指定搜索根,则将该判别名用作默认的实体定义搜索根。 |
|
必需。 指定以前在部分 3.1, 在 iManager 中创建 User Application 驱动程序中创建的 User Application 驱动程序的判别名。 例如,如果驱动程序为 UserApplicationDriver,驱动程序集称为 myDriverSet,并且驱动程序集位于环境 o=myCompany 中,则可以输入以下值: cn=UserApplicationDriver,cn=myDriverSet,o=myCompany |
|
|
必需。 身份库中有权执行所指定 User Application 用户容器的管理任务的现有用户。该用户可以使用 User Application 的 选项卡管理门户。如果 User Application 管理员参与 iManager、Designer for Identity Manager 或 User Application(IDM User Application:管理指南》。 选项卡)中显示的工作流程管理任务,则必须授予此管理员对 User Application 驱动程序中包含的对象实例的相应受托者权利。有关细节,请参见《要在部署 User Application 之后更改指派,必须使用 User Application 中的 页面。 |
|
|
供应应用程序管理员通过 User Application 的 选项卡管理可用的供应工作流程功能。在将用户指定为供应应用程序管理员之前,身份库中必须存在此用户。要在部署 User Application 之后更改指派,必须使用 User Application 中的 页面。 |
|
Metadirectory 用户身份 |
|
必需。 指定用户容器的 LDAP 判别名 (DN) 或完全限定的 LDAP 名称。 这定义用户和组的搜索范围。 允许该容器中(及其下)的用户登录 User Application。 重要说明:如果要使该用户能够执行工作流程,请确保在 User Application 驱动程序设置过程中指定的 User Application 管理员在该容器中存在。 |
|
LDAP 用户对象类(通常为 inetOrgPerson)。 |
|
|
代表用户的登录名的 LDAP 特性(比如 CN)。 |
|
|
用作查找用户或组时的标识符的 LDAP 特性。这不同于登录特性,登录特性仅在登录时使用,在用户/组搜索时不使用。 |
|
|
可选。代表用户的组成员资格的 LDAP 特性。 不要在该名称中使用空格。 |
|
|
此角色在 Novell Identity Manager 基于角色的供应模块中可用。此角色允许成员创建、去除或修改所有角色,授予或撤消指派给任何用户、组或容器的任何角色。它还允许其角色成员运行任何用户的任何报告。默认情况下,会对 User Application Admin 指派此角色。 要在部署 User Application 后更改此指派,请使用 User Application 中的 页面。 |
|
Metadirectory 用户组 |
|
必需。 指定组容器的 LDAP 判别名 (DN) 或完全限定的 LDAP 名称。 由目录抽象层中的实体定义使用。 |
|
LDAP 组对象类(通常是 groupofNames)。 |
|
|
代表用户组成员资格的特性。 不要在该名称中使用空格。 |
|
|
如果需要使用动态组,请选择该选项。 |
|
|
LDAP 动态组对象类(一般 dynamicGroup)。 |
|
eDirectory 证书 |
|
必需。 指定应用程序服务器用于运行的、JRE 的密钥存储区 (cacerts) 文件的完整路径,或单击小浏览器按钮,然后浏览找到 cacerts 文件。 User Application 安装过程中将修改密钥存储区文件。 在 Linux 或 Solaris 上,用户必须具有写此文件的权限。 |
|
必需。 指定 cacerts 口令。默认值为 changeit。 |
|
私用密钥存储区 |
|
私用密钥存储区包含 User Application 的私用密钥和证书。保留. 如果保留为空的话,将采用默认路径 /jre/lib/security/cacerts。 |
|
口令为 changeit,除非另行指定。此口令已使用主密钥进行过加密。 |
|
|
别名为 novellIDMUserApp,除非另行指定。 |
|
|
口令为 novellIDM,除非另行指定。 此口令已使用主密钥进行过加密。 |
|
可信密钥存储区 |
|
可信密钥存储区包含所有用于验证数字签名的可信签名者的证书。如果此路径为空的话,User Application 将从系统属性 javax.net.ssl.trustStore 中获取路径。如果那里没有路径,则假定为 jre/lib/security/cacerts。 |
|
如果此字段为空的话,User Application 将从系统属性 javax.net.ssl.trustStorePassword 中获取口令。如果那里没有值,则使用 changeit。此口令已使用主密钥进行过加密。 |
|
Novell Audit 数字签名和证书密钥 |
包容 Novell Audit 数字签名密钥和证书。 |
|
|
显示数字签名证书。 |
|
|
显示数字签名私用密钥。此密钥已使用主密钥进行过加密。 |
|
Access Manager 和 iChain 设置 |
|
如果选中了此选项,则 User Application 支持同时注销 User Application 和 Novell Access Manager 或 iChain。 注销时,User Application 检查是否存在 Novell Access Manager™ 或 iChain® cookie,如果存在 cookie,则将用户重路由到同步注销页。 |
|
Novell Access Manager 或 iChain 注销页面的 URL,其中 URL 是 Novell Access Manager 或 iChain 期望的主机名。如果启用了同步注销并且用户要注销 User Application,则将用户重路由到此页面。 以下两个 URL 之一将根据您的环境将同步注销功能定向到正确的页面: Access Manager:https://yourAccessGatewayServer/AGLogout iChain:https://youriChainServer/cmd/ICSLogout |
|
电子邮件 |
|
指定主管 Identity Manager User Application 的应用程序服务器。 例如: myapplication serverServer 此值将替换电子邮件模板中的 $HOST$ 令牌。所建立的 URL 是指向供应请求任务和批准通知的链接。 |
|
用于替换供应请求任务和批准通知所用的电子邮件模板中的 $PORT$ 令牌。 |
|
|
用于替换供应请求任务和批准通知所用的电子邮件模板中的 $SECURE_PORT$ 令牌。 |
|
|
指非安全协议 HTTP。用于替换供应请求任务和批准通知所用的电子邮件模板中的 $PROTOCOL$ 令牌。 |
|
|
指安全协议 HTTPS。用于替换供应请求任务和批准通知所使用电子邮件模板中的 $SECURE_PROTOCOL$ 令牌。 |
|
|
指定供应电子邮件中发送电子邮件的用户。 |
|
|
指定供应电子邮件所使用的 SMTP 电子邮件主机。这可以是 IP 地址或 DNS 名。 |
|
口令管理 |
|
|
|
通过此功能,可以指定外部忘记口令 WAR 中的“忘记口令”页,或外部忘记口令 WAR 用于通过万维网服务回拨 User Application 的 URL。 如果选择 ,则必须提供 和 的值。如果没有选择/jsps/pwdmgt/ForgotPassword.jsf (开头没有 http(s) 协议)。这将用户重定向到内置于 User Application 的“忘记口令”功能,而不是外部 WAR。 ,则 IDM 将使用默认的内部口令管理功能。 |
|
|
此 URL 指向“忘记口令”功能页。指定外部或内部口令管理 WAR 中的 ForgotPassword.jsf 文件。有关细节,请参见使用口令 WAR。 |
|
|
|
如果使用的是外部口令管理 WAR,需提供外部口令管理 WAR 用来通过万维网服务回调 User Application 的路径,例如 https:// idmhost:sslport/idm。 |
杂项 |
|
应用程序会话超时。 |
|
如果客户安装使用在线证书状态协议 (OCSP),请提供统一资源标识符 (URI)。例如,格式为 http://host:port/ocspLocal。OCSP URI 在线更新可信证书的状态。 |
|
|
授权配置文件的完全限定名。 |
|
容器对象 |
|
选择要使用的每个数字对象类型。 |
|
有以下标准容器可供选择:位置、国家/地区、组织单位、组织和域。也可以在 iManager 中自己定义容器,然后在 下面添加这些容器。 |
|
|
列出与容器对象类型相关的特性类型名称。 |
|
|
指定可作为容器的身份库中的对象类的 LDAP 名称。 有关容器的信息,请参阅《Novell iManager 2.6 管理指南》。 |
|
|
提供容器对象的特性名称。 |
注:安装后,可以编辑此文件中的大部分设置。要执行此操作,请运行安装子目录中的 configupdate.sh 底稿或 Windows configupdate.bat 文件。请记住,在群集中,此文件中的设置对于群集中的所有成员必须保持一致。
完整设置配置之后,单击确定,然后继续部分 4.16, 校验选项和安装。