NOVELL ACCESS MANAGER 配置文档.doc

NOVELL ACCESS MANAGER 配置文档NOVELL ACCESS MANAGER 配置文档1一、操作系统以及软硬件环境1二、配置Identity Server1三、配置Access Gateway4四、IDPHQ与IDPSD之间的级联认证配置。6一、 操作系统以及软硬件环境软硬件环境见安装文档.在当前环境中，AM使用的默认用户来源为自己的ED，该ED中的用户由目录同步。用户默认存储在o=sgcc下，该组织需要手工创建。步骤如下：1 在浏览器中输入:8080/nps登陆Administration Console, 点击View Objects2 在左边的树状列表中点击IDPHQ_TREE,在弹出的窗口中选择Create Object3 在右边的Create Object的Available object classes对话框中选择Organization，点击OK4 在Organization name中填入sgcc，点击OK。5 创建后的目录树如下图：二、 配置Identity Server整个环境中有两台Identity server(以下简称IDS)，基本配置除域名不同以外，其余均相同。下面只介绍总部的IDS(以下简称IDPHQ)配置。网省的IDS（以下简称IDPSD）配置请参考IDPHQ配置。1 在浏览器中输入:8080/nps登陆Administration Console, 点击Access Manager Identity Servers. 系统将显示出当前已经安装的IDS。2 在配置之前，首先取消浏览器对弹出网页的屏蔽。点击Access Manager Identity Servers Setup New3 在填入以下内容后点击下一步：a) Name：serverconfb) Base URL：:8080/nidpc) 其余选项保持默认d) 最终结果如下图4 在Organization page页面填入以下信息后点击下一步：a) Name:IDPHQb) Display name:IDPHQc) URL:d) 最后结果如下图：5 在User Store page页面，需要填写以下内容：a) Name:userstoreb) Admin name:cn=admin,o=novellc) Admin password:novelld) Directory type:eDirectorye) Server replicas配置如下：i. 在Server replicas菜单下点击Newii. 在弹出的Specify server replica information对话框中填入以下内容后点击OK1. Name:server replica info2. IP Address:103. port:6364. 勾选Use secure LDAP connections，点击Auto import trusted root，在弹出的窗口中的Alias栏填入CERT_ROOT_IDPHQ，其它选项保持默认，点击OK。iii. 在Search Contexts菜单下点击NEW,在弹出的对话框中输入：o=sgcc其余选项保持默认，点击OK。（该选项涉及到新建一个Organization，具体步骤请参见第一节：操作系统与软硬件环境）iv. 最后完成结果如下图：f) 点击Finish,结束配置文件的创建。6 将配置文件应用于IDS上：a) 点击Access Manager Identity Servers.b) 选中需要应用配置文件的IDS，点击Actions，在下拉菜单中选择Assign to configuration。c) 在Assign Server(s) To Configuration对话框中选中刚才创建好的配置文件：serverconf，点击Assign。d) 在弹出的对话框上点击确定，等待IDS重启。e) 在等候5分钟（视物理机的性能而定）后，刷新该页面，重新登陆。f) 点击Access Manager Identity Servers.查看当前应用该配置文件的IDS是否成功启动。g) 成功启动图片如下：7 对于IDPSD的配置补充：a) 在配置Base URL时，其对应的URL应该为：:8080/nidpb) 在配置Server replicas时，其对应的IP应该为：12三、 配置Access Gateway整个环境中有两台Access Gateway（以下简称GW），基本配置中除了其对应的域名以及所对应的保护资源的域名不同外，其余配置均可以按照同样配置步骤进行。下面只介绍总部的GW（以下简称GWHQ）配置，网省的GW（以下简称GWSD）配置只列出和总部配置不同的地方。总部的PORTAL是受到GWHQ保护。对应总部的PORTAL（以下简称PortalHQ）NDS被解析到GWHQ上。也就是对应PortalHQ.的IP在DNS中对应的IP应该为GWHQ的IP。例如, PortalHQ的IP为：15，GWHQ的IP为：09。则在DNS对应的项目里面，对应的IP应该为：091 在浏览器中输入:8080/nps登陆Administration Console, 点击Access Manager Access Gateways Edit Reverse Proxy / Authentication.2 在Identity Server Configuration 选项下, 通过选择刚才已经赋予给IDS的配置文件使AccessGateway信任其对应的IDS。3 在Reverse Proxy List菜单下，点击New，输入reverse proxy的名称，然后点击OK.4 在Proxy Service List下，点击New，填入以下内容后点击Nexta) Proxy Service Name: portalhqb) Published DNS Name: portalhq.sgcctest.nec) Web Server IP Address: 15d) Host Header: Forward Received Host Name optione) 其余选项保持默认,最后结果如下图：f)5 在Proxy Service List,，点击刚才创建好的配置文件名 Protected Resources6 在In the Protected Resource List，点击New。7 在弹出的对话框中输入everything点击OK。8 Contract:选择Name/Password-Form点击OK。9 在Protected Resource List中，点击New，然后在URL Path List中点击已经存在的“/*”，在弹出的对话框中输入portal的登陆页面，例如：/DemoWeb/appmanager/p1/PORTAL。点击OK10 Contract:选择Name/Password-Form。11 点击Form Fill表单，在Form Fill Policy List菜单下点击Manage Polocies。12 在Policies对话框中点击New，输入以下信息后点击OK:a) Name：portalhq_gwhq_ffb) Type：Access Gateway: Form Fill13 在新弹出的窗口中点击New，选择Form Fill14 在Do Form Fill 表单中填入以下内容后点击OK。a) Form Number ：1b) Fill Options如下表：Input Field NameInput Field TypeInput Field ValueData ConversionusernameTextCredential ProfileLDAP Credentials:LDAP User NameNONEpasswordPasswordCredential ProfileLDAP Credentials:LDAP User PasswordNONEc) 最后效果如下图：d)e) 选中Auto Submit，点击OK。f) 点击Apply Changes，然后点击CLOSE。g) 在Form Fill Policy List中选择刚才创建好的填表策略名，点击Enableh) 点击OK，接着点击最下面的Configuration连接，点击OKi) 点击Apply Changes。等待弹出的对话框显示Changes have been applied successfully。15 验证策略是否成功;a) 在浏览器中输入/,出现如下界面:b)c) 在Username中填入user1d) 在Password中填入1，点击Login（在做这个操作前请确定GW和IDP之间的时间同步）e) 如果成功登陆，证明配置成功。四、 IDPHQ与IDPSD之间的级联认证配置。1 进入IDPHQ的配置文件，点击Security，点击NIDP Trust Store。2 点击Auto-Import From Server。3 填入以下内容后点击OKa) Server IP Address:12b) Server Port:8443 4 在弹出的对话框中填入CERT_ROOT_IDPSD，点击OK。5 点击Liberty，在Trusted Providers下点击New，在弹出菜单中选择Service Provider6 填入以下内容后点击下一步7 点击FINISH8 点击刚才创建好的配置文件，进入ACCESS，点击Attributes,在Attribute set中选择New Attribute Set9 在Set Name中填入mail,点击NEXT。10 在Define attributes中点击NEW，选择Ldap Attribute:mail LDAP Attribute Profile11 点击FINISH12 在Available中将Ldap Attribute:mail移动到Send with authenticaton:列表框中。结果如下图：1314 连续点击两次OK15 点击Update server16 进入IDPSD的配置文件，点击Security，点击NIDP Trust Store。17 点击Auto-Import From Server。18 填入以下内容后点击OKa) Server IP Address:10b) Server Port:8443 19 在弹出的对话框中填入CERT_ROOT_IDPHQ，点击OK。20 点击Liberty，在Trusted Providers下点击New，在弹出菜单中选择Identity Provider21 填入以下内容后点击下一步：22 重复814步骤23 （注意：是在SP的配置文件下的Liberty的Identiti Provider的Access标签下）点击Authentication，填入以下内容：2425 设置好User Matching methord,如下图：2627 点击FINISH，点击OK28 点击Update server29 （注意：是在SP中操作！）在进入IDPSD的配置文件，点击LOCAL,点击Contracts30 点击NEW，选择External Contracts，输入以下内容：a) Display name:ext_of_idpsdb) URI:http:/idps