NOVELL ACCESS MANAGER 配置文档

NOVELL ACCESS MANAGER 配置文档
NOVELL ACCESS MANAGER 配置文档 (1)
一、操作系统以及软硬件环境 (1)
二、配置Identity Server (1)
三、配置Access Gateway (4)
四、IDPHQ与IDPSD之间的级联认证配置。

(6)
一、操作系统以及软硬件环境
软硬件环境见安装文档.
在当前环境中，AM使用的默认用户来源为自己的ED，该ED中的用户由目录同步。

用户默认存储在o=sgcc下，该组织需要手工创建。

步骤如下：
1．在浏览器中输入:8080/nps登陆Administration Console, 点击View Objects
2．在左边的树状列表中点击IDPHQ_TREE,在弹出的窗口中选择Create Object
3．在右边的Create Object的Available object classes对话框中选择Organization，点击OK 4．在Organization name中填入sgcc，点击OK。

5．创建后的目录树如下图：
二、配置Identity Server
整个环境中有两台Identity server(以下简称IDS)，基本配置除域名不同以外，其余均相同。

下面只介绍总部的IDS(以下简称IDPHQ)配置。

网省的IDS（以下简称IDPSD）配置请参考IDPHQ配置。

1．在浏览器中输入:8080/nps登陆Administration Console, 点击Access Manager > Identity Servers. 系统将显示出当前已经安装的IDS。

2．在配置之前，首先取消浏览器对弹出网页的屏蔽。

点击Access Manager > Identity Servers > Setup > New
3．在填入以下内容后点击下一步：
a)Name：serverconf
b)Base URL：:8080/nidp
c)其余选项保持默认
d)最终结果如下图
4．在Organization page页面填入以下信息后点击下一步：
a)Name: IDPHQ
b)Display name: IDPHQ
c)URL:
d)最后结果如下图：
5．在User Store page页面，需要填写以下内容：
a)Name: userstore
b)Admin name: cn=admin,o=novell
c)Admin password: novell
d)Directory type: eDirectory
e)Server replicas配置如下：
i.在Server replicas菜单下点击New
ii.在弹出的Specify server replica information对话框中填入以下内容后点击OK
: server replica info
2.IP Address: 10.1.187.210
3.port: 636
4.勾选Use secure LDAP connections，点击Auto import trusted root，在弹出
的窗口中的Alias栏填入CERT_ROOT_IDPHQ，其它选项保持默认，点
击OK。

iii.在Search Contexts菜单下点击NEW,在弹出的对话框中输入：o=sgcc其余选项保持默认，点击OK。

（该选项涉及到新建一个Organization，具体步骤请参见
第一节：操作系统与软硬件环境）
iv.最后完成结果如下图：
f)点击Finish,结束配置文件的创建。

6．将配置文件应用于IDS上：
a)点击Access Manager > Identity Servers.
b)选中需要应用配置文件的IDS，点击Actions，在下拉菜单中选择Assign to
configuration。

c)在Assign Server(s) To Configuration对话框中选中刚才创建好的配置文件：
serverconf，点击Assign。

d)在弹出的对话框上点击确定，等待IDS重启。

e)在等候5分钟（视物理机的性能而定）后，刷新该页面，重新登陆。

f)点击Access Manager > Identity Servers.查看当前应用该配置文件的IDS是否成功启
动。

g)成功启动图片如下：
7．对于IDPSD的配置补充：
a)在配置Base URL时，其对应的URL应该为：:8080/nidp
b)在配置Server replicas时，其对应的IP应该为：10.1.187.212
三、配置Access Gateway
整个环境中有两台Access Gateway（以下简称GW），基本配置中除了其对应的域名以及所对应的保护资源的域名不同外，其余配置均可以按照同样配置步骤进行。

下面只介绍总部的GW（以下简称GWHQ）配置，网省的GW（以下简称GWSD）配置只列出和总部配置不同的地方。

总部的PORTAL是受到GWHQ保护。

对应总部的PORTAL（以下简称PortalHQ）NDS被解析到GWHQ上。

也就是对应的IP在DNS中对应的IP应该为GWHQ 的IP。

例如, PortalHQ的IP为：10.1.187.215，GWHQ的IP为：10.1.187.209。

则在DNS对应的项目里面，对应的IP应该为：10.1.187.209
1．在浏览器中输入:8080/nps登陆Administration Console, 点击Access Manager > Access Gateways > Edit > Reverse Proxy / Authentication.
2．在Identity Server Configuration 选项下, 通过选择刚才已经赋予给IDS的配置文件使AccessGateway信任其对应的IDS。

3．在Reverse Proxy List菜单下，点击New，输入reverse proxy的名称，然后点击OK. 4．在Proxy Service List下，点击New，填入以下内容后点击Next
a)Proxy Service Name: portalhq
b)Published DNS Name: portalhq.sgcctest.ne
c)Web Server IP Address: 10.1.187.215
d)Host Header: Forward Received Host Name option
e)其余选项保持默认,最后结果如下图：
f)
5． 在Proxy Service List,，点击刚才创建好的配置文件名> Protected Resources
6． 在In the Protected Resource List ，点击New 。

7． 在弹出的对话框中输入everything 点击OK 。

8． Contract:选择Name/Password-Form 点击OK 。

9． 在Protected Resource List 中，点击New ，然后在URL Path List 中点击已经存在的“/*”，
在弹出的对话框中输入portal 的登陆页面，例如：/DemoWeb/appmanager/p1/PORTAL 。

点击OK
10． Contract:选择Name/Password-Form 。

11． 点击Form Fill 表单，在Form Fill Policy List 菜单下点击Manage Polocies 。

12． 在Policies 对话框中点击New ，输入以下信息后点击OK:
a) Name ： portalhq_gwhq_ff
b) Type ： Access Gateway: Form Fill
13． 在新弹出的窗口中点击New ，选择Form Fill
14． 在Do Form Fill 表单中填入以下内容后点击OK 。

a) Form Number ： 1
c) 最后效果如下图：
d)
e)
选中Auto Submit ，点击OK 。

f)
点击Apply Changes ，然后点击CLOSE 。

g)
在Form Fill Policy List 中选择刚才创建好的填表策略名，点击Enable h) 点击OK ，接着点击最下面的Configuration 连接，点击OK
i)点击Apply Changes。

等待弹出的对话框显示Changes have been applied successfully。

15．验证策略是否成功;
a)在浏览器中输入/,出现如下界面:
b)
c)在Username中填入user1
d)在Password中填入1，点击Login（在做这个操作前请确定GW和IDP之间的时间
同步）
e)如果成功登陆，证明配置成功。

四、IDPHQ与IDPSD之间的级联认证配置。

1．进入IDPHQ的配置文件，点击Security，点击NIDP Trust Store。

2．点击Auto-Import From Server。

3．填入以下内容后点击OK
a)Server IP Address: 10.1.187.212
b)Server Port: 8443
4．在弹出的对话框中填入CERT_ROOT_IDPSD，点击OK。

5．点击Liberty，在Trusted Providers下点击New，在弹出菜单中选择Service Provider 6．填入以下内容后点击下一步
7．点击FINISH
8．点击刚才创建好的配置文件，进入ACCESS，点击Attributes,在Attribute set中选择New Attribute Set
9．在Set Name中填入mail,点击NEXT。

10．在Define attributes中点击NEW，选择Ldap Attribute:mail [LDAP Attribute Profile] 11．点击FINISH
12．在Available中将Ldap Attribute:mail移动到Send with authenticaton:列表框中。

结果如下图：
13．
14．连续点击两次OK
15．点击Update server
16．进入IDPSD的配置文件，点击Security，点击NIDP Trust Store。

17．点击Auto-Import From Server。

18．填入以下内容后点击OK
a)Server IP Address: 10.1.187.210
b)Server Port: 8443
19．在弹出的对话框中填入CERT_ROOT_IDPHQ，点击OK。

20．点击Liberty，在Trusted Providers下点击New，在弹出菜单中选择Identity Provider 21．填入以下内容后点击下一步：
22．重复8－14步骤
23．（注意：是在SP的配置文件下的Liberty的Identiti Provider的Access标签下）点击Authentication，填入以下内容：
24．
25．设置好User Matching methord,如下图：
26．
27．点击FINISH，点击OK
28．点击Update server
29．（注意：是在SP中操作！）在进入IDPSD的配置文件，点击LOCAL,点击Contracts 30．点击NEW，选择External Contracts，输入以下内容：
a)Display name: ext_of_idpsd
b)URI: :8080/nidp/（此为IDP
地址！）
31．在浏览器中输入:8080/nidp，出现以下界面：
32．
33．点击idp_for_idphq
34．在登录框中输入user1，1
35．点击YES
36．登出该页面，并且关闭浏览器
37．测试，访问,出现和上面同样的界面，点击idp_for_idphq，在登录框中输入user1，1，成功登陆证明配置完成。

38．注意，在进行以上步骤之前，需要同步各个服务器之间的时间必须同步。