Oracle身份管理用户密码策略

这里描述简单的密码策略的设置,无任何密码过期以及警告策略

OIM密码策略:

     修改OIM密码策略:

          1.登录到designconsole

          2.访问Administration->Password Policies:

Image(1)

           3.点击toolbar的搜索:

Image(2)

           4.设置策略:

Image(3)

登录后修改密码可发现:

Image(4)

OIM密码策略更多请参考:

http://www.orastudy.com/oradoc/selfstu/fusion/doc.1111/e14308/oim_admin.htm

OID密码策略:

1.登录到ODSM

     2.选择:

Image(5)

     3.选择第二个default:

cn=default,cn=pwdPolicies,cn=Common,cn=Products,cn=OracleContext,dc=xxx,dc=com

Image(6)

     4.将第一个default的密码策略不启用:

cn=default,cn=pwdPolicies,cn=Common,cn=Products,cn=OracleContext

OID密码策略更多请参考:

http://download.oracle.com/docs/cd/E21764_01/oid.1111/e10029/pwdpolicies.htm#i1047430

OAM禁用用户策略

1.进入到

/u01/app/Oracle/Middleware/user_projects/domains/IDMDomain/config/fmwconfig

2.修改最大用户登录尝试次数

<Setting Name="MaxRetryLimit" Type="xsd:integer">5</Setting>

设置为希望的次数。

WebCenter与OAM单点登录集成

配置步骤和其他基于OPSS应用的SSO大同小异,一些相同的东西就不做描述了。

直奔正题:

配置步骤

整个配置过程主要有以下几个步骤:

1. 准备工作:安装所需中间件软件

  • l OAM
  • l Webcenter
  • l Webtier
  • l Webgate

2. 部署webtier

3. 部署webgate

4. 配置OID与weblogic集成

5. 配置Weblogic Provider

6. 配置Webcenter SSO服务

7. 配置discussions

部署webtier

修改mod_wl_ohs.conf文件,设置其为webcenter proxy

添加以下内容到该文件:

<Location /webcenter>

SetHandler weblogic-handler

WebLogicHost portaldev.XXXXX.com.cn

WebLogicPort 8888

</Location>

<Location /rss>

SetHandler weblogic-handler

WebLogicHost portaldev.XXXXX.com.cn

WebLogicPort 8890

</Location>

<Location /owc_wiki>

SetHandler weblogic-handler

WebLogicHost portaldev.XXXXX.com.cn

WebLogicPort 8890

</Location>

<Location /owc_discussions>

SetHandler weblogic-handler

WebLogicHost portaldev.XXXXX.com.cn

WebLogicPort 8890

</Location>

部署Webgate

添加保护资源:

protectedResourcesList

<resource>/webcenter/adfAuthentication</resource>

<resource>/webcenter/content</resource>

<resource>/webcenter/content/…/*</resource>

<resource>/rss/rssservlet</resource>

<resource>/owc_discussions/login!withRedirect.jspa</resource>

<resource>/owc_discussions/login!default.jspa</resource>

<resource>/owc_discussions/login.jspa</resource>

<resource>/owc_discussions/admin</resource>

<resource>/owc_discussions/admin/…/*</resource>

<resource>/owc_wiki/user/login.jz</resource>

<resource>/owc_wiki/adfAuthentication</resource>

<resource>/rest/api/resourceIndex</resource>

<resource>/rest/api/spaces</resource>

<resource>/rest/api/spaces/…/*</resource>

<resource>/rest/api/discussions</resource>

<resource>/rest/api/discussions/…/*</resource>

<resource>/rest/api/tags</resource>

<resource>/rest/api/tags/…/*</resource>

<resource>/rest/api/taggeditems</resource>

<resource>/rest/api/taggeditems/…/*</resource>

<resource>/rest/api/activities</resource>

<resource>/rest/api/activities/…/*</resource>

<resource>/rest/api/activitygraph</resource>

<resource>/rest/api/activitygraph/…/*</resource>

<resource>/rest/api/feedback</resource>

<resource>/rest/api/feedback/…/*</resource>

<resource>/rest/api/people</resource>

<resource>/rest/api/people/…/*</resource>

<resource>/rest/api/messageBoards</resource>

<resource>/rest/api/messageBoards/…/*</resource>

<resource>/rest/api/searchresults</resource>

<resource>/rest/api/searchresults/…/*</resource>

公共资源列表

publicResourcesList

<resource>/webcenter</resource>

<resource>/webcenter/…/*</resource>

<resource>/webcenterhelp</resource>

<resource>/webcenterhelp/…/*</resource>

<resource>/owc_discussions</resource>

<resource>/owc_discussions/…/*</resource>

<resource>/owc_wiki</resource>

<resource>/owc_wiki/…/*</resource>

<resource>/rss</resource>

<resource>/rss/…/*</resource>

<resource>/rest/api/cmis/…/*</resource>

配置OID与weblogic集成

配置weblogic oam provider

配置Webcenter SSO服务

1. 编辑setDomainEnv.sh文件

在其中增加如下变量设置

EXTRA_JAVA_PROPERTIES="-Doracle.webcenter.spaces.osso=true ${EXTRA_JAVA_PROPERTIES}"

export EXTRA_JAVA_PROPERTIES

2. 重启spaces服务

配置discussions

趁热打铁,把discussions的单点登录也配了:

1. 登录到discussions的管理界面中

选择system->Forum System->System Properties

2. 添加两个property:

  • l owc_discussions.sso.mode=true
  • l jiveURL = idmdev.xxx.com.cn:7777/owc_discussions(单点登录的地址)

至此,配置完毕。

UCM与OAM进行单点登录集成

配置步骤

整个配置过程主要有以下几个步骤:

  1. 准备工作:安装所需中间件软件
  • l  OAM
  • l  UCM
  • l  Webtier
  • l  Webgate
  1. 部署webtier
  2. 部署webgate
  3. 配置UCM JPS Provider
  4. 配置OID与weblogic集成
  5. 配置Weblogic Provider

1.部署webtier

在安装完成Webtier 11.1.1.5.0后,执行以下脚本:

cd /u01/app/Oracle/Middleware/Oracle_WT1/bin/

./config.sh

修改mod_wl_ohs.conf文件,设置其为UCM proxy

添加以下内容到该文件:

#UCM

<Location /cs>

SetHandler weblogic-handler

WebLogicHost portaldev.xxxx.com.cn

WebLogicPort 16200

</Location>

<Location /adfAuthentication>

SetHandler weblogic-handler

WebLogicHost portaldev.xxxx.com.cn

WebLogicPort 16200

</Location>

<Location /_ocsh/help>

SetHandler weblogic-handler

WebLogicHost portaldev.xxxx.com.cn

WebLogicPort 16200

</Location>

重启OHS

2.部署Webgate

准备部署

运行如下脚本(【】中的不运行),准备部署OAM11g Webgate :

1. cd /u01/app/Oracle/Middleware/Oracle_OAMWebGate1/webgate/ohs/tools/deployWebGate/

2. ./deployWebGateInstance.sh -w /u01/app/Oracle/Middleware/Oracle_WT1/instances/instance/config/OHS/ohs -oh /u01/app/Oracle/Middleware/Oracle_OAMWebGate1

【./deployWebgateInstance.sh -w <Webgate_Instance_Directory>

-oh <Webgate_Oracle_Home>】

3. export LD_LIBRARY_PATH= /home/oracle/Oracle/Middleware/Oracle_WT1/lib

4. cd /u01/app/Oracle/Middleware/Oracle_OAMWebGate1/webgate/ohs/tools/setup/InstallTools

5. ./EditHttpConf -w /u01/app/Oracle/Middleware/Oracle_WT1/instances/instance1/config/OHS/ohs1 -oh /u01/app/Oracle/Middleware/Oracle_OAMWebGate1 -o webgate.conf

【./EditHttpConf -w <Webgate_Instance_Directory> [-oh <Webgate_Oracle_Home>] [-o <output_file>]】

注册Webgate Agent

1. 登录到oamconsole,选择首页的SSO代理中的新建 OAM 11g Webgate

clip_image002新建 OAM 11g Webgate

2. 新建OAM 11g Webgate

1. 添加资源

资源列表:

受保护资源列表:

protectedResourcesList

/adfAuthentication

公共资源列表

publicResourcesList

/cs

/_ocsh

2.拷贝文件

根据上面创建成功的提醒,进入到所提示创建文件的目录下将

cwallet.sso

ObAccessClient.xml

两个文件拷贝到

/u01/app/Oracle/Middleware/

/Oracle_WT1/instances/instance1/config/OHS/ohs1/webgate/config

3.在注册完毕以后注销oamconsole,然后重新登录,选择以下功能

1. 进行响应的编辑

添加两个值:

  • l REMOTE_USER

名称:REMOTE_USER

类型:标头

值:$user.attr.uid

  • l OAM_REMOTE_USER

名称:OAM_REMOTE_USER

类型:标头

值:$user.attr.uid

至此,部署webgate完毕。

3.配置UCM JPS Provider

1. 运行以下命令导航到:

cd /u01/app/Oracle/Middleware/oracle_common/common/bin

2. 运行WLST脚本:

./wlst.sh

3. 连接到UCM所在的域

Connect(‘weblogic’, ‘weblogic1’,’portaldev.xxx.com.cn:7001’)

4. 运行以下命令:

addOAMSSOProvider(loginuri="/${app.context}/adfAuthentication",logouturi="/oamsso/logout.html",autologinuri="/obrar.cgi")

5. 退出

exit()

6.重启UCM服务

4.配置OID与weblogic集成

参见其他单点登录文章。

5. 配置weblogic OAM provider

参见其他单点登录文章

至此整个配置完成。

EM/Console与OAM单点登录集成

一个企业会有多个应用系统,就拿中间件的产品来说吧,假如一个企业上了中间件产品中的Webcenter,SOA/BPM,IDM等产品。它们会装在不同的服务器机子上,需要多个weblogic。与此同时就会针对每个产品都有一个相对应的EM以及Console,那如何来对这些所有的EM/Console来进行单点登录配置呢?

起初想弄的结果是这样的:

方案1:

Webcenter:

  • http://ssohost:7777/webcenter_console
  • http://ssohost:7777/webcenter_em

SOA/BPM:

  • http://ssohost:7777/BPM_console
  • http://ssohost:7777/BPM_EM

IDM:

  • http://ssohost:7777/IDM_console
  • http://ssohost:7777/IDM_EM

苦思冥想之后,发觉不太好弄。

最终采用的方式:

方案2:

Webcenter:

  • http://ssohost:7777/console
  • http://ssohost:7777/em

SOA/BPM:

  • http://ssohost:7778/console
  • http://ssohost:7778/em

IDM:

  • http://ssohost:7779/console
  • http://ssohost:7779/em

实现方式:

1.创建OHS实例

针对每台需要配置单点登录的服务器都创建一个OHS实例

2.创建主机标识符

针对每台需要配置单点登录的服务器都创建一个主机标识符,每个主机标识符对应着上面创建的OHS实例。

3.添加资源

资源的构成是:

  • 主机标识符+/console
  • 主机标识符+/em

定义三个资源。

在omaconsole中,资源应该是唯一,但不是必须是唯一的,所以我们可以定义多个相同URL的资源。与此同时主机标识符+资源的组合在资源配置中,整个应用域中必须是唯一的,所以我们采取了不同主机标识符+相同的资源名称(/console, /em)进行配置。

详细配置过程比较简单。

SIEBEL与OAM单点登录

在做siebel和OAM单点登录配置的时候,由于相关的资料比较少,所以花费的时间相对较多,不多说,直奔正题。

首先来了解下OAM与Siebel的集成是个怎么样的流程以及其架构

OAM与Siebel集成架
  • OAM部分

OAM与siebel的集成验证过程主要是这样的:首先用户会去对siebel系统中的内容进行请求访问,webgate会对用户的请求进行拦截,并且会对该请求内容判断其是否为被保护的内容,如果为公开的内容,则返回内容给用户,反之,则webgate会去验证其session,存在相应的合法session的话,webgate会将头变量传递到siebel服务器。如果不存在合法的session,就会对用户进行验证。验证成功以后,OAM会执行定义在验证策略中的动作并且会设置映射到siebel系统中userID的HTTP头变量。最后webgate会重定向到用户所请求的siebel资源。

  • Siebel部分

Siebel会对OAM设置的HTTP头变量进行判别,并对用户身份进行验证以及初始化session。然后用户可以对OAM进行保护的所有资源进行访问。如果Siebel判别不通过的话,用户会被拒绝访问,最后会被重定向到由管理员指定的另一个URL。

头变量是存储在Siebel Web Engine中的。

image

Siebel配置过程

1. 安装IBM Ldap Client, GSKit

2. 创建用户

1. 创建siebel用户

2. 创建OID用户

3. 配置Ldap Adapter(服务器)

4. 配置组件参数

5. 配置eapps.cfg

6. 配置siebel.cfg

7. 配置siebel监听端口

8. 重启siebel

1. 安装IBM Ldap Client,GSKit

由于在我们配置的过程需要用到Ldap Adapter,然后使用Ldap Adapter需要安装IBM Client某些库的支撑。

安装介质:itds60-client-lin-ia32-ismp.tar

image

image

image

image

image

image

image

image

添加环境变量:

LD_LIBRARY_PATH=/opt/ibm/ldap/V6.0/lib:$LD_LIBRARY_PATH

2.创建用户

创建siebel用户

在进行配置之前,我们需要在siebel系统中拥有配置过程需要使用到的三个用户

1. 匿名用户

2. 管理员用户

3. 测试用户

在siebel中创建三个用户(由于原先Siebel中已存在,我们就直接进行使用,不需要创建):

匿名用户

GUESTCST

管理员用户

SADMIN

测试用户

SADMIN

创建OID用户

分别对应着上述章节的每个siebel用户创建相关的OID用户,与此同时我们还需要一个OID可登录的管理员帐号,这里我们用的是orcladmin

1. GUESTCST:

cn=GUESTCST,cn=users,dc=XXXX,dc=com,dc=cn

注意:GUESTCST的mail属性设置为username=SADMIN password=SADMIN

J6H75_YN)4JY{B4]WBZBF8I

SADMIN

SADMIN即为可登录到Siebel数据库的帐号,密码,并且该帐号具有查看所有siebel表的权限(sse_role)。

image

3.配置LDAP Security Adapter

通过浏览->网站地图->管理-服务器配置->企业浏览器->SBA_81->配置信息->LDAP Security Adapter进入到LDAP Security Adapter配置界面:

image

具体配置参数如下:

属性

说明

Application User

cn=orcladmin,cn=users,dc=xxx,dc=com,dc=cn

用以访问LDAP的Siebel用户的DN

Application Password

weblogic1

Orcladmin的密码

Base Dn

cn=Users, dc=xxxx,dc=com,dc=cn

LDAP的base DN

Credentials Attribute Type

mail

验证属性:即为刚刚我们用以存储DB登录帐号密码的属性mail

Security Adapter Dll Name

sscfldap

Security adapter dll 的名字

Port

3060

LDAP的端口

Propagate Change

True

 

Password Attribute Type

userpassword

在LDAP用以存储用户密码的属性

Server Name

xxxxxxx

LDAP服务器名称

Shared Credentials DN

   

Shared DB Password

SADMIN

用以连接Siebel数据库的密码

Shared DB Username

SADMIN

用以连接Siebel数据库的名称

Siebel Username Attribute Type

Cn

LDAP中用以存储siebel用户名的属性

Single Sign On

True

启用单点登录

Trust Token

DICK

自定义的Trust Token

Username Attribute Type

Cn

LDAP中用以存储用户名的属性

image

保存配置.

4.配置组件参数

通过浏览->网站地图->管理-服务器配置->企业浏览器->SBA_81->服务器->组件->Sales Object Management(CHS)->参数进入到Sales_chs配置界面:

查询Sec*

image

配置以下两个参数:

Security Adapter Mode

LDAP

Security Adapter Name

LDAPSecAdpt

保存配置

5.配置eapps.cfg

进入到/app/siebel/sweapp/bin目录下,进行配置eapps.cfg文件:

进行需要配置的组件进行配置(这里我们配置的是sales_chs组件):

修改[sales_chs]如下:

[/sales_chs]

EncryptedPassword = False

AnonUserName = GUESTCST

AnonPassword = GUESTCST

Singlesignon = TRUE

TrustToken = DICK

UserSpec = SSO_SIEBEL_USER

UserSpecSource = Header

ConnectString = siebel.TCPIP.None.ZLIB://siebeltest:2321/SBA_81/SSEObjMgr_chs

WebPublicRootDir = /app/siebel/sweapp/public/chs

SiebEntSecToken = P8+0qD5UzVQBK00AAA==

6.配置siebel.cfg

 

进入到/app/siebel/siebsrvr/bin/chs目录,对siebel.cfg文件进行配置:

配置内容如下:

[LDAPSecAdpt]

SecAdptDllName = sscfldap

ServerName = XXXX

Port = 3060

BaseDN = cn=Users, dc=XXX,dc=com,dc=cn

SharedCredentialsDN =

UsernameAttributeType = cn

PasswordAttributeType = userpassword

CredentialsAttributeType = mail

RolesAttributeType =

SslDatabase =

ApplicationUser = cn=orcladmin,cn=users,dc=XXXX,dc=com,dc=cn

ApplicationPassword = weblogic1

HashDBPwd = FALSE

PropagateChange = TRUE

CRC =

SingleSignOn = TRUE

TrustToken = DICK

UseAdapterUsername = TRUE

SiebelUsernameAttributeType = cn

7.配置siebel监听端口

1. 正常关闭Siebel Server,Gateway Server以及Web Server

2. 备份/u01/app/siebel/web/ohs/conf/httpd.conf &highperformance.conf

3. 修改httpd.conf 内#Listen 7780 – >Listen 7777

4. 修改highperformance.conf

#Listen 7780
Listen 7777
ServerRoot /u01/app/siebel/web/ohs
DocumentRoot /u01/app/siebel/web/ohs/htdocs

5. 备份/u01/app/siebel/eappweb/bin/eapps.cfg

6. 修改/u01/app/siebel/eappweb/bin/eapps.cfg HTTPPort = 7780 – 7777

7. 重启Siebel 的APP,现在就可以正常访问了

注意:必须保证单点登录的端口与Sibel的端口一致。

8.重启siebel

 

停止siebel server

. /app/siebel/siebsrvr/siebenv.sh

stop_server all

停止gateway

. /app/siebel/gtwysrvr/siebenv.sh

stop_ns

停止Oracle http Server(OHS)

. ~/.ohs.env

opmnctl stopall

启动Oracle http Server(OHS)

. ~/.ohs.env

opmnctl startall

启动gateway

. /app/siebel/gtwysrvr/siebenv.sh

start_ns

启动siebel server

. /app/siebel/siebsrvr/siebenv.sh

start_server all

 

9. 部署Webtier

运行配置脚本

在安装完成Webtier 11.1.1.5.0后,执行以下脚本:

cd /u01/app/Oracle/Middleware/Oracle_WT1/bin/

./config.sh

配置过程

1. Specify Weblogic Domain:该domain需要填安装webtier所在的domain

上述步骤配置完成以后,可以通过http://idmdev.xxxxx.com.cn:7777/进行访问。

修改mod_wl_ohs.conf文件,设置其为Siebel proxy

添加以下内容到该文件:

<Location /sales_chs>

SetHandler weblogic-handler

WebLogicHost 172.31.2.32

WebLogicPort 7777

</Location>

重启OHS

运行以下命令进行重启

cd /u01/app/Oracle/Middleware/Oracle_WT1/instances/instance1/bin

./opmnctl stopall

./opmnctl startall

10.部署Webgate

准备部署

运行如下脚本(【】中的不运行),准备部署OAM11g Webgate :

1. cd /u01/app/Oracle/Middleware/Oracle_OAMWebGate1/webgate/ohs/tools/deployWebGate/

2. ./deployWebGateInstance.sh -w /u01/app/Oracle/Middleware/Oracle_WT1/instances/instance/config/OHS/ohs -oh /u01/app/Oracle/Middleware/Oracle_OAMWebGate1

【./deployWebgateInstance.sh -w <Webgate_Instance_Directory>

-oh <Webgate_Oracle_Home>】

3. export LD_LIBRARY_PATH= /home/oracle/Oracle/Middleware/Oracle_WT1/lib

4. cd /u01/app/Oracle/Middleware/Oracle_OAMWebGate1/webgate/ohs/tools/setup/InstallTools

5. ./EditHttpConf -w /u01/app/Oracle/Middleware/Oracle_WT1/instances/instance1/config/OHS/ohs1 -oh /u01/app/Oracle/Middleware/Oracle_OAMWebGate1 -o webgate.conf

【./EditHttpConf -w <Webgate_Instance_Directory> [-oh <Webgate_Oracle_Home>] [-o <output_file>]】

注册Webgate Agent

1. 登录到oamconsole,选择首页的SSO代理中的新建 OAM 11g Webgate

clip_image002新建 OAM 11g Webgate

2. 新建OAM 11g Webgate

1. 新建OAM 11g Webgate

image

2. 添加资源

资源列表:

受保护资源列表:

protectedResourcesList

/sales_chs/

公共资源列表

publicResourcesList

 

3. 点击应用按钮

clip_image002[5]

image

4. 拷贝文件

根据上面创建成功的提醒,进入到所提示创建文件的目录下将

cwallet.sso

ObAccessClient.xml

两个文件拷贝到

/u01/app/Oracle/Middleware/

/Oracle_WT1/instances/instance1/config/OHS/ohs1/webgate/config

5. 在注册完毕以后注销oamconsole,然后重新登录,选择以下功能

clip_image002[7]

1. 进行响应的编辑

添加以下值:

l SSO_SIEBEL_USER

名称:SSO_SIEBEL_USER

类型:标头

值:$user.attr.uid

l REMOTE_USER

名称:REMOTE_USER

类型:标头

值:$user.attr.uid

l OAM_REMOTE_USER

名称:OAM_REMOTE_USER

类型:标头

值:$user.attr.uid

clip_image002[9]

至此,部署webgate完毕。

至此,配置完毕,可以进行登录测试