在 realms.xml 中配置 CA EEM 身份验证

保护 Introscope › 使用 CA EEM 保护 Introscope › 在 realms.xml 中配置 CA EEM 身份验证

在 realms.xml 中配置 CA EEM 身份验证

在 realms.xml 文件中将 CA EEM 配置成安全领域时，Introscope 将使用 CA EEM 进行身份验证。

由于每个组织的 CA EEM 服务器配置都独一无二，因此必须先获得 CA EEM 配置信息，然后才能尝试配置 realms.xml CA EEM 属性。如果没有安装 CA EEM，请联系您所在组织的 CA EEM 管理员来获得该信息。另外，您还必须确认您要对其进行身份验证的 CA APM 用户拥有 CA EEM 服务器上定义的权限。有关在 CA EEM 服务器上设置 CA APM 用户的信息，请参阅“在 CA EEM 中创建和删除 APM 用户”。

在配置 realms.xml 时，请遵循以下规则：

重要信息！ 如果未满足所有这些规则，企业管理器不会启动。

descriptor= 的值区分大小写。
- 例如，descriptor=EEM Realm 不同于 descriptor=eem realm
对于 EEM 领域，descriptor= 的值必须为 EEM Realm。
在有多个领域的情况下，领域标记中的 id= 的值对每个领域必须唯一。例如：
- <realm descriptor="EEM Realm" id="EEM Server 1" active="true">
- <realm descriptor="EEM Realm" id="EEM Server 2" active="true">

在有些情况下，可以设置多个领域，例如，需要一个默认领域授予用户基本权限，需要另外一个领域授予不同权限的情况。或者，组织可能有两个 LDAP 服务器，您想测试两者的安全性。或者，组织可能一直在使用本地安全设置，而且您希望在移动到 CA EEM 时将其保留在适当位置。

如果 realms.xml 配置不正确，企业管理器会显示错误消息。例如，

4/13/10 03:06:32.960 PM PDT [ERROR] [main] [Manager] The EM failed to start. Invalid realm descriptor in the EEM realm descriptor: eem realm

请执行以下步骤：

注意：有关基于名为 APM 的应用程序的示例 EEM 领域，请参阅位于 <EM_Home>/examples/authentication 目录中的示例 realms.eem.xml 配置文件。

打开位于 <EM_Home>/config 目录中的 realms.xml 文件。
适当设置以下属性。
注意：通过将 enableAuthorization 属性保留为其默认值 true，可以使用 CA EEM 服务器进行身份验证和授权。如果该值设置为 false，则 CA EEM 仅执行身份验证，而使用本地安全领域进行授权。在有些情况下，您可能会选择使用本地授权，例如，要使用配置为使用 LDAP 或 SiteMinder 进行身份验证的 CA EEM，但将权限保留在本地领域中。
主机

CA EEM 服务器的主机名。此属性是可选的。

appname

CA EEM 中企业管理器附加到的 APM 应用程序的名称。此属性是必需属性。

username

要连接到 CA EEM 服务器的用户名。此属性是可选的。

CA EEM 默认值为 EiamAdmin。

password

用于连接到 CA EEM 服务器的密码。此属性是必需属性。

CA EEM 默认值为 EiamAdmin。

plainTextPasswords
指示将密码保存为纯文本形式还是加密形式。此属性是必需属性。

企业管理器读取 realms.xml 文件并发现该值设为 True 时，它会执行以下操作：
- 为纯文本密码加密
- 使用加密密码重写 realms.xml
- 将 realms.xml plainTextPasswords 属性设置为 False
如果该值设为 False，则假定密码是经过加密的。

重要信息！ 如果该属性未包含在 realms.xml 文件中，则企业管理器不会启动，并显示一条错误消息。

enableAuthorization

启用 CA EEM 作为授权机制。此属性是可选的。

默认情况下，该值设为 True，即，使用 CA EEM 进行身份验证和授权。

如果该值设为 False，则 CA EEM 仅用于身份验证，而使用本地授权。

保存 realms.xml 文件。
重新启动企业管理器以应用 realms.xml 更改。

启用 CA EEM 身份验证的 realms.xml 语法示例

以下内容是在 realms.xml 中配置启用 CA EEM 的安全领域的语法：

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<realms xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" version="0.1" xsi:noNamespaceSchemaLocation="realms0.1.xsd">
    <realm descriptor="EEM Realm" id="EEM" active="true">
        <!-- 设置 EEM 服务器的主机名 -->
        <!-- 该属性是可选属性 -->
        <!-- 默认值为 localhost -->
            <value>localhost</value>
        </property>
        <!-- 设置要连接到的 EEM 应用程序的名称 -->
        <!-- 该属性是必需属性 -->
        <!--
        <property name="appname">
            <value>MyIntroscopeApp</value>
        </property>
        -->
        <!-- 设置要连接到 EEM 服务器的用户名称 -->
        <!-- 该属性是可选属性 -->
        <!-- 默认值为 EiamAdmin -->
        <property name="username">
            <value>EiamAdmin</value>
        </property>
        <!-- 设置连接到 EEM 服务器的密码 -->
        <!-- 该属性是必需属性 -->
        <property name="password">
            <value>EiamAdmin</value>
        </property>
        <!-- 如果密码是纯文本，则设置为 true -->
        <!-- 如果 plainTextPasswords 设置为 true，企业管理器将覆盖该文件， -->
        <!-- 对密码进行加密并将 plainTextPasswords 设置为 false -->
        <!-- 该属性是必需属性 -->
        <property name="plainTextPasswords">
            <value>true</value>
        </property>
        <!-- 启用 EEM 服务器中的授权 -->
        <!-- 如果设为 false，EEM 服务器将仅可用来进行身份验证 -->
        <!-- 该属性是可选属性 -->
        <!-- 默认值为 true -->
        <property name="enableAuthorization">
            <value>true</value>
        </property>
    </realm>
</realms>