|
| 注意: |
嵌入式 LDAP 服务器在用户数少于 50,000 时性能最佳。如果存在更多的用户,请考虑使用其他的 LDAP 服务器和身份验证提供程序。 |
weblogic.Server 命令行参数配置这些文件的最大大小:
-Dweblogic.security.ldap.maxSize=<max bytes>,它可以限制由嵌入式 LDAP 服务器使用的数据文件的大小。当数据文件超过指定的大小时,WebLogic Server 会删除由已删除条目所占用的数据文件空间。
-Dweblogic.security.ldap.changeLogThreshold=<number of entries>,它可以限制由嵌入式 LDAP 服务器使用的更改日志文件的大小。当更改日志文件超过指定的条目数时,WebLogic Server 会删除已发送到所有受管服务器的所有条目,以此来截断更改日志。
| 注意: |
在通过 WebLogic 管理控制台删除和修改配置的安全提供程序时,可能需要手动清除嵌入式 LDAP 服务器。使用外部 LDAP 浏览器可删除不必要的信息。 |
| 警告: |
更改凭据会影响域的操作。请勿在生产服务器上执行此步骤。 |
lbe.sh
localhost.。
7001(如果使用的是 SSL,则设置为 7002)。
dc=mydomain,其中 mydomain 是所使用的 WebLogic Server 域的名称。
cn=Admin。
|
|
|
|
|
ou=people,ou=myrealm,dc=mydomain |
|
|
ou=groups,ou=myrealm,dc=mydomain |
|
|
ou=ERole,ou=myrealm,dc=mydomain |
|
|
ou=EResource,ou=myrealm,dc=mydomain |
lbe.sh
ou=people,ou=myrealm,dc=mydomain)。
lbe.sh
ou=people,ou=myrealm,dc=mydomain)。
acls.prop) 来维护它们。
| 注意: |
嵌入式 LDAP 服务器的默认行为是仅允许通过 WebLogic Server 中的管理帐户进行访问。WebLogic 安全提供程序仅使用管理帐户访问嵌入式 LDAP 服务器。如果不打算从外部 LDAP 浏览器访问嵌入式 LDAP 服务器,或如果仅计划使用管理帐户,则不需要编辑 acls.prop 文件并可以忽略本部分中的信息。 |
acls.prop) 包含整个 LDAP 目录的访问控制列表 (ACL) 的完整列表。访问控制文件中的每一行都包含一个访问控制规则。访问控制规则由下列组件组成:
acls.prop 文件中指定特殊位置 [root]。
grant 和 deny 中的任何一个操作。
|
|
|
|
|
读取特性。如果授予此权限,则允许在读取或搜索操作中返回特性和值。 |
|
|
修改或添加特性。如果授予此权限,则允许在修改操作中添加特性和值。 |
|
|
修改和删除特性。如果授予此权限,则允许在修改操作中删除特性和值。 |
|
|
搜索具有指定特性的条目。如果授予此权限,则允许在搜索操作中包括特性和值。 |
|
|
比较特性值。如果授予此权限,则允许在比较操作中包括特性和值。 |
|
|
|
m 权限。正如 w 和 o 权限用于修改操作一样,m 权限用于添加操作。w 和 o 权限与添加操作无关,m 与修改操作无关。由于尚不存在新对象,因此必须向新对象的父对象授予创建新对象所需的 a 和 m 权限。此要求不同于 w 和 o 权限,这两个权限的授予对象必须是要修改的对象。m 权限不同且独立于 w 和 o 权限,这样,向任一条目添加新子条目所需的权限与修改同一条目的现有子条目所需的权限之间便不会发生冲突。要通过修改操作替换值,用户必须同时具有 w 和 o 权限。
|
|
|
|
|
在此 LDAP 条目之下添加一个条目。如果授予此权限,则允许在 DIT 主题中创建一个条目来控制创建新条目时在该条目上设置的所有特性和值。要添加条目,还必须至少授予添加强制特性的权限。 |
|
|
删除此条目。如果授予此权限,则允许从 DIT 中删除条目,而不论该条目中的特性上应用了哪些控制。 |
|
|
如果授予此权限,则允许导出条目及其子条目(如果有);即,从当前位置删除并置于一个新的位置,其前提是在目标处授予适当的权限。 如果更改了最后一个 RDN,则还需要在当前位置授予 Rename 权限。 要导出条目或它的子条目,不需要向它们包含的特性(包括 RDN 特性)授予任何权限。即使在操作因 RDN 更改而导致添加或删除新的特性值时也不例外。 |
|
|
如果授予此权限,则允许导入条目及其子条目(如果有);即,从一个位置删除并置于指定的位置(前提是为新位置授予了适当的权限)。 当导入条目或它的子条目时,不需要向它们包含的特性(包括 RDN 特性)授予任何权限。即使在操作因 RDN 更改而导致添加或删除新的特性值时也不例外。 |
|
|
更改 LDAP 条目的 DN。由于重命名条目后会更改子条目的 DN,因此需要授予 Rename 权限才能使用新的 RDN 重命名条目。如果不更改上一级条目的名称,则只需授予此权限即可。 当重命名条目时,不需要向它包含的特性(包括 RDN 特性)授予任何权限。即使在操作因 RDN 更改而导致添加或删除新的特性值时也不例外。 |
|
|
浏览条目的 DN。如果授予此权限,则允许使用未显式提供条目名的目录操作访问条目。 |
|
|
允许在操作结果中公开条目的 DN。如果授予此权限,则允许在操作结果中公开条目的可分辨名称。 |
[entry] 指示权限适用于整个对象。这可以是诸如删除对象或添加子对象之类的操作。
[all] 指示权限适用于条目的所有特性。
[all] 和另一个特性,则该特性的较具体的权限将覆盖由 [all] 关键字指定的较宽泛的权限。
authzID - 适用于可以指定为主题定义的组成部分的单个用户。该用户在 LDAP 目录中的标识通常定义为 DN。
Group - 适用于由下列对象类之一指定的用户组:
Subtree - 适用于指定为主题组成部分的 DN以及 LDAP 目录树中的所有子条目。
IP Address - 适用于特定的 Internet 地址。当所有访问必须通过代理或其他服务器时,便可以使用此主题类型。它仅适用于特定的主机,而不适用于某个范围或子网。
Public - 适用于连接到目录的任何用户,而无论他们是否已经过身份验证。
This - 适用于其 DN 与要访问的条目的 DN 相匹配的用户。
IP Address 主题的规则的优先级最高,适用于特定 AuthzID 或 This 主题的规则次之。属于下一优先级的是适用于 Group 主题的规则。适用于 Subtree 和 Public 主题的规则的优先级最低。
|
