金蝶EAS_V7.5_单点登录实施指南
5.1.8 模式(Schema)
模式是控制数据能够存储在目录中的方式的一组规则。模式定义允许的条目类型、它们的属性结构和属性的语法。
5.1.9 对象类(objectClass)
对象类指定用于描述对象的一组属性。例如,如果您创建对象类 tempEmployee,则它可能包含与临时雇员关联的属性,如 idNumber、dateOfHire 或
assignmentLength。您可以添加定制对象类以适合您的机构的需求。IBM Tivoli Directory Server 模式提供某些基本类型的对象类,包括:
? ? ? ?
组 位置 组织 人员
5.1.9.1对象类类型
对象类可以是下列三种类型之一:
?
结构(Structural):
第46页,总53页
金蝶EAS_V7.5_单点登录实施指南
每个条目都必须属于且只能属于一个结构对象类,这就定义了条目的基本内容。此对象类表示一个实际的对象。由于所有条目都必须属于结构对象类,所以这是最常用的对象类类型。
?
抽象(abstract):
此类型用作其它(结构)对象类的超类或模板。它定义一组结构对象类共有的一组属性。这些对象类(如果定义为抽象类的子类的话)继承已定义属性。不需要对每个下级对象类定义这些属性。
?
辅助(Auxiliary):
此类型指示可与属于特定结构对象类的条目相关联的附加属性。虽然一个条目只能属于一个结构对象类,但它可以属于多个辅助对象类。
5.1.9.2对象类继承
IBM Tivoli Directory Server 5.2+支持对对象类和属性定义的对象继承。新的对象类可以用父类(多重继承)以及附加或更改的属性进行定义。
每个条目指定给一个结构对象类。所有对象类都继承自抽象对象类顶层(top)。它们还可以继承自其它对象类。对象类结构确定特定条目的必需的和允许的属性列表。对象类继承取决于一系列对象类定义。对象类只能继承在它之前的对象类。例如,在 LDIF 文件中,人员(person)条目的对象类结构可能定义为: objectClass: top objectClass: person
objectClass: organizationalPerson
在此结构中,organizationalPerson 继承自人员(person)和顶层(top)对象类,而人员(person)对象类仅继承自顶层(top)对象类。因此,当您将 organizationalPerson 对象类指定给条目时,它自动继承上级对象类的必需的和允许的属性。在本例中为人员(person)对象类。
在处理和提交之前,将根据模式类层次结构来检查模式更新操作,以确保一致性。
第47页,总53页
金蝶EAS_V7.5_单点登录实施指南
5.1.9.3属性
每个对象类都包括一组必需的属性和可选的属性。必需的属性是必须存在于使用该对象类的条目中的属性。可选属性是可能存在于使用该对象类的条目中的属性。
第48页,总53页
金蝶EAS_V7.5_单点登录实施指南
6 FAQ
6.1 如何收集单点登录出问题时的诊断信息
若功能及业务没有明确的提示信息时,我们可以通过收集日志和浏览器的请求信息来诊断定位问题。
EAS服务器端日志:路径在{EAS_HOME}\\server\\profiles\\server1\\logs\\下,{EAS_HOME}指EAS安装时所指定的路径。以apusic应用服务器为例,日志文件是\\server\\profiles\\server1\\logs\\apusic.log.0,日志文件会滚动记录,文件从新到旧为apusic.log.0、apusic.log.1、apusic.log.2…以此类推。
EAS客户端日志路径:若GUI客户端登录有问题,还可以收集客户端的日志,日志路径在{EAS_CLIENT_HOME} \\client\\logs\\client.log中。
浏览器请求信息可以通过HttpWatch-Professional 7.0+ 记录收集。
6.2 CAS独立部署后web框架需要重新登录问题
问题描述:使用独立部署CAS服务器后在打开portal后不能直接打开web框架的页面(例如:协同平台),而跳转到CAS登录页面,需要重新进行登录 解决方法:
(1) 配置CAS服务器支持https的访问,
(2) 修改CAS服务器端配置文件,在cas server的cas-servlet.xml里加入以下配置代码:
class=\ 第49页,总53页 金蝶EAS_V7.5_单点登录实施指南 注:将cookieSecure设置为false则可以支持http访问传送cookie,进而解决不同应用进行单点登录认证需要重新登录的问题 cookieSecure属性的作用为:设置为true则表示创建的 cookie 只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息 cookieMaxAge属性的作用为: 表示cookie在客户端存在的最长时间。如果该值是-1,这个cookie只被保留在内存中,当客户关闭浏览器时,这个cookie就不存在了。 cookiePath属性的作用为:将cookie的作用限制在特定目录,即:生成的cookie只会在含有该路径的url中有效 6.3 iframe中嵌入CAS SSO 应用无法自动登录的问题 问题描述:在iframe中嵌入CAS SSO 应用,则该应用无法应用单点登录 解决方法:在单点登录集成页面中加入response.setHeader(\OUR\这句代码。 6.4 微软AD域用户无法同步用户数据问题 问题描述:微软AD域用户导入EAS时在LDAP同步配置界面能够正常连接域服务器并且选择导入用户,但保存后点“同步数据”后同步用户为0 解决方法:LDAP同步配置界面中“搜索返回值”一项的值必须为“displayName,sAMAccountName”才能同步成功。 6.5 EAS服务器与AD域服务器时间不致问题 问题描述:服务端日志报[Krb5LoginModule] authentication failed Clock skew too great 第50页,总53页