Опубликован: 04.07.2008 | Уровень: профессионал | Доступ: платный
Лекция 12:

Функции безопасности других продуктов Lotus

Вложенные группы

Portal Server поддерживает вложение групп, обеспечивая простое наследование управления доступом. Две группы являются вложенными, если одна из групп содержит другую группу в качестве участника. Система управления доступом WebSphere Portal Server воспринимает это таким образом, как если бы все участники вложенной группы также были участниками содержащей группы. Другими словами, Portal Server осуществляет суммирование разрешений вложенных групп. Например, одна группа, GlobalMarketing, содержит другую группу, USMarketing. Portal Server воспринимает это таким образом, как если бы все участники группы USMarketing были также участниками группы GlobalMarketing. Участники группы USMarketing наследуют права доступа, назначенные участникам группы GlobalMarketing. Таким образом, если GlobalMarketing имеет доступ для просмотра к портлету File Server и USMarketing имеет доступ для просмотра к портлету World Clock, то USMarketing будет иметь доступ для просмотра к портлетам File Server и World Clock. В частности, пользователь Fred из группы GlobalMarketing сможет осуществлять доступ только к портлету File Server, тогда как пользователь Sandy из группы USMarketing будет иметь доступ и к портлету File Server, и к портлету World Clock.

Применение Tivoli Access Manager для управления пользователями

WebSphere Portal обеспечивает три способа создания новых пользователей (два из них выполняются во время работы портала):

  • саморегистрация позволяет анонимным пользователям создавать собственные учетные данные пользователей для портала;
  • портлет User/Group Manager позволяет администраторам портала создавать новые учетные записи пользователей;
  • перед установкой можно импортировть LDIF-файл, содержащий административных пользователей, непосредственно в LDAP-каталог.

При употреблении Tivoli Access Manager в качестве внешнего диспетчера безопасности создание пользователей через WebSphere Portal или через импорт LDIF-файла может вызвать две проблемы:

  • это может противоречить принятым в компании инструкциям относительно создания учетной записи нового пользователя без соответствующей авторизации или без прохождения соответствующего процесса;
  • пользователи и группы, созданные в WebSphere Portal Server, не могут пройти аутентификацию в модуле входа Tivoli Access Manager (см. portallogin.config) во время входа; таким образом, попытка входа пользователя будет неудачной.

Для разрешения второй проблемы можно просто импортировать пользователя в Tivoli Access Manager путем ввода следующих команд в командной строке TAM:

pdadmin> user import wpsadmin uid=wpsadmin,cn=users,dc=yourco,dc=compdadmin> user modify wpsadmin account-valid yes

Часто создание пользователей в среде Tivoli Access Manager осуществляется в рамках некоторого процесса обеспечения ресурсами вне WebSphere Portal. В этом случае функции создания пользователей портала должны быть отключены в данной среде. Сведения о том, как отключить возможность создания пользователей через интерфейсы WebSphere Portal, см. в документации к WebSphere Portal Server.

Изменение страницы входа

По умолчанию, когда неаутентифицированные пользователи пытаются получить доступ к /wps/myportal, они перенаправляются на страницу входа, имеющую расположение /wps/portal/.scr/Login, для ввода имени пользователя и пароля. При употреблении WEBSEAL для аутентификации с применением TAI вам не требуется использовать экран входа Portal Server. Вместо этого значок входа должен указывать на страницу / wps/myportal.

WebSphere Portal Server предлагает централизованное администрирование пользователей и групп пользователей, что упрощает эффективное определение пользователей портала и управление правами доступа пользователей. Пользователи могут регистрировать свои учетные записи и управлять ими самостоятельно, либо администратор может создавать и управлять пользователями. Участие в группах дает требуемые разрешения для доступа к объекту или выполнения запроса.

Настройка генерирования общих имен

После установки можно изменить порядок элементов в общих именах (common names), генерируемых WebSphere Portal Server. По умолчанию WebSphere Portal Server генерирует общие имена, содержащие имя и фамилию пользователя. Можно изменить этот порядок, отредактировав соответствующую строку в файле was_root\lib\app\config\puma.properties:

puma.commonname = {0} {1}

где {0} представляет имя, а {1} представляет фамилию. В этом шаблоне числовые значения {0} и {1} представляют имя+" "+фамилия. Имя пользователя всегда подставляется вместо {0}, а фамилия всегда подставляется вместо {1}. Чтобы генерировать имена, в которых бы сначала указывалась фамилия, а затем имя, необходимо изменить строку следующим образом: puma.commonname = {1} {0}.

Управление пользователями и группами

WebSphere Portal Server содержит портлет для управления пользователями и группами. Подробные сведения об применении портлета см. в файлах электронной справки по портлету.

Управление подписчиками

WebSphere Portal Server содержит процессы регистрации и самопомощи (self-care) для управления подписчиками. Регистрация дает возможность пользователям регистрироваться для доступа к порталу, тогда как введенная при регистрации информация может быть изменена в процессе самопомощи.

Регистрация

Во время регистрации пользователь вводит обязательные данные, в частности идентификатор пользователя, а также имя и фамилию. Пользователь может выбрать предпочтительный язык из списка доступных языков. Портал применяет этот язык при взаимодействии с пользователем и передает эту информацию во все портлеты, чтобы они могли адаптироваться к заданному предпочтению пользователя. Пользователь может выбрать интерес, и эта информация применяется портлетом публикации содержимого WebSphere Portal для настройки выводимого содержимого.

Процесс регистрации в Portal Server употребляет "турбинные действия" (turbine actions) для регистрации пользователя для доступа к порталу. Файл конфигурации Puma.properties применяется процессом регистрации сервлета Registration Servlet. Ключ puma.UserValidator употребляется для определения класса, проверяющего информацию о пользователе.

В процессе регистрации используются следующие страницы JSP (Java Server Pages):

  • UserProfileForm.jsp употребляется для ввода или повторного ввода пользовательской информации, в частности личных данных;
  • UserProfileConf.jsp используется для просмотра пользовательской информации, в частности личных данных;
  • Congrats.jsp подтверждает, что пользователь зарегистрирован в портале;
  • RegistrationError.jsp отображается при возникновении ошибки.
Создание новых атрибутов для JSP-страниц регистрации

JSP-страницы регистрации WebSphere Portal Server можно расширить под любые требования путем добавления в них новых атрибутов, в частности атрибутов для создания новых полей для ввода информации. При добавлении атрибута в JSP-страницы следует использовать имя, такое, как wps.Name, где Name представляет имя, которое требуется определить. Если атрибут Name уже существует в пользовательской схеме inetOrgPerson в LDAP-каталоге, в соответствии с постановкой в соответствие attributeMap.xml, рассмотренной выше, вводимое пользователем значение будет записано в LDAP-каталог. В противном случае имя и значение атрибута будут сохранены в базе данных Portal Server, где применяются следующие ограничения: имя не может иметь длину больше 64 символов и значение не может иметь длину больше 255 символов.

Самопомощь

Пользователь применяет процесс самопомощи (Self-care) для изменения обязательной и необязательной информации, введенной пользователем во время регистрации, за исключением идентификатора пользователя. Процесс самопомощи в Portal Server применяет "турбинные действия", чтобы дать пользователю возможность редактировать информацию в учетной записи. Файл Puma.properties применяется процессом самопомощи сервлета Registration Servlet. Ключ puma.UserValidator употребляется для определения класса, проверяющего информацию о пользователе.

В процессе самопомощи применяются следующие JSP-страницы:

  • UserProfileForm.jsp применяется для изменения личных данных существующего пользователя. Эта страница также употребляется для повторного ввода личных данных в случае ошибки. Когда авторизованный пользователь запрашивает эту страницу, сервлет применяет идентификатор пользователя для извлечения личных данных и их вывода в форме.
  • UserProfileConf.jsp применяется для просмотра личных данных. Для обновления пользовательских данных новой информацией следует нажать Continue (Продолжить). Для возврата в UserProfileForm.jsp и повторного ввода данных следует нажать Cancel (Отмена).
  • RegistrationError.jsp выводится при возникновении ошибки.

12.6 Domino Everyplace Access

Domino Everyplace Access Server (DEAS) является сервлетом Domino HTTP. Он осуществляет обмен данными между серверами Domino и клиентами Mobile Notes™, обеспечивая защищенный доступ пользователей к электронной почте Notes/Domino, календарю и каталогу Domino. DEAS обеспечивает беспроводной доступ к почте пользователя, календарю и каталогам Domino с любого устройства с микробраузером на основе WAP 1.1.

Сервер Domino Everyplace Access выступает в качестве прокси-сервера для обеспечения связи между серверами Domino и мобильными устройствами. Программное обеспечение принимает HTTP-запросы и возвращает ответы на микробраузер в WML. Сервер Domino Everyplace Access возвращает ответы на основе подмножества форм и представлений, используемых для вывода сообщений, календаря и информации каталога в Notes. При доступе к приложениям Domino DEAS выступает в качестве транспортного механизма для любого приложения Domino, уже записанного в WML.

Антон Чурков
Антон Чурков
Россия, Владимир, Владимирский государственный университет, 2002
Елена Коппалина
Елена Коппалина
Россия, г. Губкинский