Identity Manager – zákaz změny hesla pro některé uživatele

Během vytváření živého demo systému jsem narazil na pár věcí, které postupně popíšu. Jednou z nich je zakázání změny hesla v Identity Manageru a to pouze pro některé uživatele. V mém případě se jedná o testovacího administrátora a pár demo uživatelů.

Změnu hesla má na starosti workflow s názvem Change User Password, v tomto workflow provedeme menší úpravu v aktivitě s názvem Start. Je třeba přidat propojení přímo na End s podmínkou, kde se provede kontrola uživatele pro kterého se heslo mění.

<Activity id='0' name='start'>
  <Transition to='end'>
    <contains>
      <list>
        <s>novak</s>
        <s>novotny</s>
        <s>admin</s>
      </list>
      <ref>accountId</ref>
    </contains>
  </Transition>
  <Transition to='Commit'>
    <ref>view</ref>
  </Transition>
  <Transition to='Reprovision'/>
  <WorkflowEditor x='43' y='10'/>
</Activity>

Přiložená ukázka (pouze akce Start z celého workflow) kontroluje login uživatele, pro vybrané uživatele s loginem admin, novak a novotny heslu změna neprovede. Samozřejmě je možné podmínku rozšířit a kontrolovat kdo heslo mění a podobně.

Editace metadat v PDF

Potřebovali jsme změnit metadata v hotovém PDF, postup je následující:

Nejprve získáme stávající metadata z PDF do souboru metadata.txt:

pdftk SOUBOR.pdf dump_data output metadata.txt

Výstup by měl mít následující strukturu. Pokud vám některá položka schází, klidně si ji tam doplňte. Čeština se zapisuje přes html entity.

InfoKey: Creator
InfoValue: Zdenek Burda
InfoKey: Author
InfoValue: Zdenek Burda
InfoKey: Title
InfoValue: Testovaci PDF dokument
InfoKey: Producer
InfoValue: Zdenek Burda
InfoKey: Subject
InfoValue: Testovaci PDF dokument
InfoKey: ModDate
InfoValue: D:20070420110004
InfoKey: CreationDate
InfoValue: D:20070420110004
PdfID0: 28bf4e5e4e758a416404e56fffa18
PdfID1: 28bf4e5e4e758a416404e56fffa18
NumberOfPages: 3

Soubor s metadaty upravte podle potřeby a aktualizujte PDF dokument:

pdftk SOUBOR.pdf update_info metadata.txt output SOUBOR-novy.pdf

Pokud chcete používat češtinu, musíte pracovat s HTML entitama. Převodník mezi znakem a html entitou najdete http://mlha.cz/unicode/utf8.php.

Bash jako webový prohlížeč

Stažení titulní stránky www.abclinuxu.cz v bashi:

(echo -e "GET / HTTP/1.0\r\n\r\n" 1>&3 & cat 0<&3) \
3<>/dev/tcp/www.abclinuxu.cz/80 | \
(read i; while [ "$(echo $i | tr -d '\r')" != "" ]; do read i; done; cat)

případně je možné použít i tento postup:

exec 3<>/dev/tcp/www.abclinuxu.cz/80
echo -e "GET / HTTP/1.0\r\n\r\n">&3
cat < &3

Fedora Core 7 a VMWare Server

O víkendu jsem provedl upgrade distribuce na Fedora Core 7 (beta2), jediné co mi po tomto upgradu přestalo fungovat byl VMWare Server, který používám pro testování různého SW a také pro předváděčky u zákazníků. Nefungoval překlad jaderných modulů při spuštění vmware-config.pl. Řešením je použít poslední vmware-any-any-update k nalezení na http://platan.vc.cvut.cz/ftp/pub/vmware/.
Použil jsem verzi 109 (108 jsem zkoušel, nefungovala). Jádro na kterém zrovna funguji je distribuční, 2.6.20-1.3054.fc7 #1 SMP Mon Apr 9 15:25:58 EDT 2007 i686 i686 i386 GNU/Linux.

Jinak upgrade z Fedora Core 6 na verzi 7 byl velmi jednoduchý, prostě jsem stáhl nový balíček fedora-release (ještě je to verze 6.92, protože beta…), nainstaloval ho. Pozakazoval jsem nepotřebné repositáře pro yum a provedl yum -y update. Na konci jsem provedl reboot a byl hotovo.

Access Manager a integrace s IIS nebo Apache, použití pro SSO

Abyste mohli využívat systém jednotného přihlášení (SSO) poskytovaný Access Managerem spolu s webserverem IIS nebo Apache, je třeba do něj nainstalovat AM Policy Agenta. Policy Agent je ke stažení na webu SUNu.

Policy Agent 2.2 docs – http://docs.sun.com/app/docs/coll/1322.1

V konfiguraci AM PA (AMAgent.properties) pro využívánéí SSO stačí jen:

com.sun.am.policy.agents.config.do_sso_only = true

Pro instalaci agenta na Windows a jeho integraci s IIS je třeba do systému přidat také knihovny

  • msvcp70.dll
  • msvcr70.dll

Pokud je potřeba vypnout Policy Agenta pro některé přistupující počítače, je možné využít volby

com.sun.am.policy.agents.config.notenforced_client_ip_list

Identity Manager – reset zapomenutého hesla

Aby mohl uživatel požít kontrolní otázky pro reset hesla, je třeba to povolit v bezpečností politice “Security→ Default Lighthouse Account Policy”, v sekci “Secondary Authentication Policy Options” je třeba zaškrtnout “Allow User Supplied Questions” případně ponastavit další parametry. Když uživatel využije možnosti příhlašení pomocí kontrolní otázky, automaticky bude požádán o reset hesla.

Pokud chcete reset hesla obejít je třeba v BPE nastavit “Configuration:System Configuration→ui→web→(admin|user)→questionLogin→bypassChangePassword” na true.