|
| |
| Sun Java System Portal Server 6 Secure Remote Access 管理指南 2004Q2 | |
第 9 章
配置閘道本章會介紹如何透過 Sun Java™ System Identity Server 管理主控台來配置「閘道」屬性。
注意
按一下 Identity Server 管理主控台右上角的「說明」,然後按一下 SRA 說明以快速取得有關所有 Sun Java System Portal Server Secure Remote Access (SRA) 屬性的參考。
若要設定閘道,請參閱建立閘道設定檔。
在建立閘道設定檔之後,您必須配置閘道屬性。
配置閘道屬性
可以在每個標籤之下配置的標籤與屬性如下所列。
「核心」標籤使用「閘道」服務中的「核心」標籤,您將可以執行下列工作:
啟用 HTTP 與 HTTPS 連線
若您在安裝期間選擇以 HTTPS 模式執行閘道,則在安裝後閘道會以 HTTPS 模式執行。在 HTTPS 模式中,閘道會接受來自瀏覽器的 SSL 連線並拒絕非 SSL 連線。
然而,您也可以配置以 HTTP 模式執行閘道。如此將可加速閘道的效能,因為它與管理 SSL 階段作業、加密與解密 SSL 通訊流量的耗用時間並無關。
若要配置閘道以於 HTTP 或 HTTPS 模式中執行
啟用並建立 Rewriter 代理伺服器清單
Rewriter 代理伺服器會在「閘道」與內部網路電腦之間實現安全的 HTTP 通訊流量。如果您沒有指定 Rewriter 代理伺服器,當使用者嘗試存取企業內部網路的其中一台電腦,閘道元件會直接連線至企業內部網路的電腦。
在安裝之後不會自動執行 Rewriter 代理伺服器。您必須依下列所述啟用 Rewriter 代理伺服器。
若要啟用 Rewriter 代理伺服器並建立 Rewriter 代理伺服器清單
便會顯示「編輯閘道設定檔」頁面。
- 按一下「核心」標籤。
- 選取「啟用 Rewriter 代理伺服器」核取方塊以啟用 Rewriter 代理伺服器。
- 在 Rewriter 代理伺服器編輯方塊中以 hostname:port 格式輸入想要的主機與連接埠。
- 按一下「加入」。
- 按一下「編輯閘道設定檔」頁面頂端或底部的「儲存」以記錄變更。
- 在伺服器上執行 portal-server-install-root/SUNWps/bin/certadmin 以建立 Rewriter 代理伺服器的認證。
若您在安裝 Rewriter 代理伺服器時未選擇建立認證,則必須執行這個步驟。
- 以根使用者身份登入安裝 Rewriter 代理伺服器的機器並啟動 Rewriter 代理伺服器:
rewriter-proxy-install-root/SUNWps/bin/rwproxyd -n gateway-profile-name start
- 以根使用者身份登入安裝閘道的機器並重新啟動閘道:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
啟用 Netlet
Netlet 會讓使用者在不安全的網路上 (如網際網路) 安全執行共用 TCP/IP 服務。您可以執行 TCP/IP 應用程式 (例如 Telnet 和 SMTP)、HTTP 應用程式以及任何固定的連接埠應用程式。
若已啟用 Netlet,閘道需要確定外來的通訊是 Portal Server 通訊還是 Netlet 通訊。停用 Netlet 則會減少這種耗用時間,因為閘道會假設所有外來的通訊是 HTTP 或 HTTPS 通訊。只有在確定不希望透過 Portal Server 使用任何應用程式時,才停用 Netlet。
若要啟用 Netlet
- 以管理員的身份登入 Identity Server 管理主控台。
- 選取「服務配置」標籤。
- 按一下「SRA 配置」下「閘道」旁的箭頭。
將顯示「閘道」頁。
- 按一下您想要設定其屬性之「閘道設定檔」旁邊的「編輯…」。
便會顯示「編輯閘道設定檔」頁面。
- 按一下「核心」標籤。
- 選取「啟用 Netlet」核取方塊。此核取方塊的預設為已選。移除此選項將停用 Netlet。
- 選取「啟用 Netlet 代理伺服器」核取方塊以啟用 Netlet 代理伺服器。
- 在 Netlet 代理伺服器清單編輯方塊中以 hostname:port 格式鍵入想要的主機與連接埠。
- 按一下「編輯閘道設定檔」頁面頂端或底部的「儲存」以記錄變更。
- 從終端機視窗重新啟動「閘道」:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
啟用並建立 Netlet 代理伺服器清單
藉由延伸用戶端透過閘道到存在於企業內部網路的 Netlet 代理伺服器的安全通道,Netlet 代理伺服器會強化閘道和企業內部網路之間 Netlet 通訊流量的安全性。
若已啟用 Netlet 代理伺服器,則 Netlet 封包會由代理 Netlet 伺服器解密,之後會傳送至目標伺服器。這將減少需要在防火牆中開啟的連接埠數目。
若要啟用 Netlet 代理伺服器並建立 Netlet 代理伺服器清單
- 以管理員的身份登入 Identity Server 管理主控台。
- 選取「服務配置」標籤。
- 按一下左框架中「SRA 配置」中「閘道」旁的右箭頭。
「閘道」頁面會顯示在右窗格中。
- 按一下想要更改設定檔旁的「編輯」。
「編輯閘道設定檔」頁面隨即顯示於右窗格上。
- 選取「啟用 Netlet 代理伺服器」核取方塊以啟用 Netlet 代理伺服器。
- 在「Netlet 代理伺服器主機」欄位中以 host hostname:port 格式鍵入想要的 Netlet 代理伺服器主機與連接埠。
- 按一下「加入」。
- 按一下頁面底部的「儲存」以儲存變更。
- 從終端機視窗重新啟動「閘道」:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
啟用 Proxylet
若要啟用 Proxylet
啟用 Cookie 管理
許多網頁使用 Cookie 追蹤與管理使用者階段作業。閘道路由請求至在 HTTP 標題設定 Cookie 的網站時,閘道會以下列方法捨棄或傳遞那些 Cookie:
這個設定不適用於 Portal Server 追蹤 Portal Server 使用者階段作業所用的 Cookie。此由「轉寄使用者階段作業 Cookie 到的使用者階段作業」的 URL 選項配置所控制。請參閱建立轉寄使用者階段作業 Cookie 到 URL 清單。
這個設定適用於所有允許使用者存取的網站 (也就是,您不可以選擇捨棄某些站台的 Cookie,而保留其他站台的 Cookie)。
若要啟用 Cookie 管理
啟用 HTTP 基本驗證
HTTP 基本驗證可以設定於閘道服務中。
可以使用 HTTP 基本驗證保護網頁,造訪者需要在檢視站台前輸入使用者名稱與密碼 (HTTP 回應代碼為 401 與 WWW-authenticate:BASIC)。Portal Server 可以儲存使用者名稱與密碼,所以使用者在重新造訪 BASIC 保護的網站時不需要重新輸入憑證。這些憑證儲存於目錄伺服器的使用者設定檔中。
此設定不會確定使用者是否可造訪 BASIC- 保護的站台,但只會確定是否將使用者輸入的憑證儲存於使用者設定檔。
這個設定適用於所有允許使用者存取的網站 (也就是,不可以某些站台啟用 HTTP 基本授權快取而其他站台停用)。
注意
瀏覽至由 Microsoft Internet Information Server (IIS) 服務且由 Windows NT 挑戰/回應 (HTTP 回應代碼 401,WWW-Authenticate: NTLM),非基本驗證,保護的 URL 不受支援。
您也可以使用管理主控台中的「存取清單」服務啟用單次登入。有關啟用單次登入的資訊,請參閱管理單次登入。
若要啟用 HTTP 基本驗證
啟用持續 HTTP 連線
您可以在閘道啟用 HTTP 持續連線,避免為網頁的每個物件 (例如影像與樣式表) 開啟通訊端。
若要啟用持續 HTTP 連線
指定每一持續連線的最大要求數
指定每一持續連線的最大要求數
指定持續通訊端連線的逾時
若要指定持續通訊端連線的逾時
指定帳戶往返時間的寬限逾時
往返時間的寬限逾時為以下兩項之和:
這將根據網路情況與用戶端連線速度等因素而有不同。
若要指定帳戶往返時間的逾時
這是用戶端 (瀏覽器) 與閘道之間的網路通訊往返時間。
建立轉寄使用者階段作業 Cookie 到 URL 清單
Portal Server 利用 Cookie 追蹤使用者階段作業。當閘道發出 HTTP 請求至伺服器時
(例如,當呼叫桌面 servlet 以產生使用者桌面頁面時),將轉寄此 cookie 至伺服器。伺服器上的應用程式會使用 cookie 以認證並識別使用者。Portal Server 的 cookie 不會轉寄至發給伺服器之外其他電腦的 HTTP 請求中,除非那些機器上的 URL 已指定於「轉寄使用者階段作業 Cookie 到的使用者階段作業」清單中。將 URL 新增至此清單,因此啟用 servlet 與 CGI 以接收 Portal Server 的 cookie 並使用 API 以識別此使用者。
使用隱式尾隨萬用字元可匹配 URL。例如,清單中的預設輸入值為:
http://server:8080
將導致欲轉寄 Cookie 至所有以 http://server:8080 開頭的 URL。
新增:
http://newmachine.eng.siroe.com/subdir
將導致欲轉寄 Cookie 至所有以該實際字串開始的 URL。
例如,該 Cookie 不會轉寄至任何以 "http://newmachine.eng/subdir" 開始的 URL,因為這個字串不是以轉寄清單中的實際字串開頭。若要使 Cookie 轉寄至以這個機器名稱開始的 URL,必須將其新增至轉寄清單。
同樣的,Cookie 也不會轉寄至以 "https://newmachine.eng.siroe.com/subdir" 開始的 URL,除非已將其新增至清單中。
若要新增一個轉寄 Cookie URL
- 以管理員的身份登入 Identity Server 管理主控台。
- 選取「服務配置」標籤。
- 按一下「SRA 配置」下「閘道」旁的箭頭。
將顯示「閘道」頁。
- 按一下您想要設定其屬性之「閘道設定檔」旁邊的「編輯…」。
便會顯示「編輯閘道設定檔」頁面。
- 按一下「核心」標籤。
- 捲動至「轉寄使用者階段作業 Cookie 到的使用者階段作業」編輯方塊並輸入想要的 URL。
- 按一下「新增」以新增此項目至「轉寄使用者階段作業 Cookie 到的使用者階段作業」清單中。
- 按一下「編輯閘道設定檔」頁面頂端或底部的「儲存」以記錄變更。
- 從終端機視窗重新啟動「閘道」:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
指定最長連線佇列長度
您可以指定閘道需要接受的最大並行運作連線。閘道不會接受任何超出此數字的連線嘗試。
若要指定最長連線佇列長度
指定閘道逾時
您可以指定閘道與瀏覽器的連線逾時時間,以毫秒為單位。
若要指定閘道逾時
指定執行緒儲存區大小
您可以指定可以在閘道執行緒儲存區內預先建立的最大執行緒數目。
若要指定執行緒儲存區大小
指定快取的通訊端逾時
您可以指定在閘道與入口網站伺服器的連線逾時時間,以毫秒為單位。
若要指定快取的通訊端逾時
建立 Portal Server 清單
你可以為閘道配置多個 Portal Server 以服務請求。安裝閘道時,您應該已經指定與閘道合作的 Portal Server。依預設,這個 Portal Server 會列示在 Portal Server 欄位中。您可以將更多 Portal Server 以 http://portal server name:port number 格式新增至清單中。閘道會以循環方式嘗試聯絡每個列出的 Portal Server 以服務請求。
若要指定 Portal Server
- 以管理員的身份登入 Identity Server 管理主控台。
- 選取「服務配置」標籤。
- 按一下「SRA 配置」下「閘道」旁的箭頭。
將顯示「閘道」頁。
- 按一下您想要設定其屬性之「閘道設定檔」旁邊的「編輯…」。
便會顯示「編輯閘道設定檔」頁面。
- 按一下「核心」標籤。
- 捲動至 Portal Server 欄位並指定 Portal Server。
在編輯欄位以 http://portal server name:port number 格式指定 Portal Server,並按一下「新增」。
- 按一下「編輯閘道設定檔」頁面頂端或底部的「儲存」以記錄變更。
- 從終端機視窗重新啟動「閘道」:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
指定伺服器重試間隔
這個屬性會指定若 Portal Server、Rewriter 代理伺服器或 Netlet 代理伺服器變得無法存取 (例如當機或關機) 時,嘗試啟動它們之請求的時間間隔。
若要指定 Portal Server 重試間隔
啟用儲存外部伺服器 Cookie
當啟用「儲存外部伺服器 Cookie」選項時,閘道會儲存與管理任何經由閘道存取的協力廠商應用程式或伺服器的 cookie。即使應用程式或伺服器無法服務非 cookie 裝置或根據狀態管理的 cookie (因為老舊原因),其會透明遮罩應用程式或伺服器以防了解其正在服務非 cookie 裝置。有關無 Cookie 裝置與用戶端偵測的資訊,請參閱「Identity Server Customization and API Guide」。
若要儲存外部伺服器 Cookie
從 URL 取得階段作業
選取「從 URL 取得階段作業」選項時,階段作業資訊會編碼為 URL 的部分,不論支援 Cookie 與否。這表示閘道會驗證在 URL 中找到的階段作業資訊,而非從用戶端瀏覽器傳送的階段作業 Cookie。
若要從 URL 取得階段作業
啟用將 Cookie 標示為安全
當 cookie 標示為安全時,瀏覽器會以更加的安全小心處理此 cookie。安全性的實施會根據瀏覽器而有所不同。必須啟用「啟用 Cookie 管理」屬性才可實現此功能。
將 Cookie 標示為安全
- 以管理員的身份登入 Identity Server 管理主控台。
- 選取「服務配置」標籤。
- 按一下「SRA 配置」下「閘道」旁的箭頭。
將顯示「閘道」頁。
- 按一下您想要設定其屬性之「閘道設定檔」旁邊的「編輯…」。
便會顯示「編輯閘道設定檔」頁面。
- 按一下「核心」標籤。
- 選取「將 Cookie 標示為安全」核取方塊以將 cookie 標示為安全。
確定「啟用 Cookie 管理」屬性為啟用。
- 按一下「編輯閘道設定檔」頁面頂端或底部的「儲存」以記錄變更。
- 從終端機視窗重新啟動「閘道」:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
「代理程式」標籤在閘道服務中,使用「代理程式」標籤,您可以執行下列工作:
啟用 Web 代理伺服器的使用
若要啟用 Web 代理伺服器的使用
建立 Web 代理伺服器的 URL 清單
您可以指定閘道僅能透過列於「網域與子網域的代理伺服器清單」中的 Web 代理伺服器聯絡特定 URL,即使已停用「使用代理伺服器」選項。您需要在「使用 Web 代理伺服器 URL」欄位中指定這些 URL。有關此值如何影響代理伺服器使用情形的詳細資訊,請參閱指定代理伺服器以聯絡 Identity Server。
若要指定 Web 代理伺服器的 URL
- 以管理員的身份登入 Identity Server 管理主控台。
- 選取「服務配置」標籤。
- 按一下「SRA 配置」下「閘道」旁的箭頭。
將顯示「閘道」頁。
- 按一下您想要設定其屬性之「閘道設定檔」旁邊的「編輯…」。
便會顯示「編輯閘道設定檔」頁面。
- 按一下「代理程式」標籤。
- 在「使用網路伺服器 URL」編輯方塊中以 http://host name.subdomain.com 格式輸入想要的 URL。按一下「加入」。
URL 會新增至「使用網路伺服器 URL」清單。
- 按一下「編輯閘道設定檔」頁面頂端或底部的「儲存」以記錄變更。
- 從終端機視窗重新啟動「閘道」:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
建立不使用的代理伺服器 URL 清單
閘道嘗試直接連接列於「不要使用 Web 代理伺服器 URL」清單的 URL。Web 代理伺服器並不會用於連接這些 URL。
若要指定不使用的 URL
- 以管理員的身份登入 Identity Server 管理主控台。
- 選取「服務配置」標籤。
- 按一下「SRA 配置」下「閘道」旁的箭頭。
將顯示「閘道」頁。
- 按一下您想要設定其屬性之「閘道設定檔」旁邊的「編輯…」。
便會顯示「編輯閘道設定檔」頁面。
- 按一下「代理程式」標籤。
- 在「不要使用網路伺服器 URL」編輯方塊中鍵入想要的 URL 並按一下「新增」。
URL 會新增至「不要使用網路伺服器 URL」清單。
- 按一下「編輯閘道設定檔」頁面頂端或底部的「儲存」以記錄變更。
- 從終端機視窗重新啟動「閘道」:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
建立網域與子網域的代理伺服器清單
若要指定網域與子網域的代理伺服器
有關如何將代理伺服器資訊套用至不同主機的資訊,請參閱指定代理伺服器以聯絡 Identity Server。
- 以管理員的身份登入 Identity Server 管理主控台。
- 選取「服務配置」標籤。
- 按一下「SRA 配置」下「閘道」旁的右箭頭。
將顯示「閘道設定檔」頁。
- 按一下您要設定其屬性之閘道設定檔的「編輯」。
便會顯示「編輯閘道設定檔」頁面。
- 按一下「代理程式」標籤。
- 捲動至「網域與子網域的代理伺服器」編輯方塊,並鍵入想要的資訊與按一下「新增」。項目會新增至「網域與子網域的代理伺服器清單」方塊。
輸入代理伺服器資訊的格式如下:
domainname proxy1:port1|subdomain1 proxy2:port2|subdomain2 proxy3:port3|* proxy4:port4
* 表示 * 之後定義的代理伺服器會用於所有網域與子網域 (如果沒有特別說明)。
若您沒有指定代理伺服器連接埠,將依預設使用連接埠 8080。
- 按一下「編輯閘道設定檔」頁面頂端或底部的「儲存」以記錄變更。
- 從終端機視窗重新啟動「閘道」:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
建立代理伺服器密碼清單
如果代理伺服器需要認證以存取某些或全部網站,您必須設定需要的使用者名稱與密碼,以使閘道認證至指定的代理伺服器。
若要指定代理伺服器密碼
- 以管理員的身份登入 Identity Server 管理主控台。
- 選取「服務配置」標籤。
- 按一下「SRA 配置」下「閘道」旁的箭頭。
將顯示「閘道」頁。
- 按一下您想要設定其屬性之「閘道設定檔」旁邊的「編輯…」。
便會顯示「編輯閘道設定檔」頁面。
- 按一下「代理程式」標籤。
- 捲動至「代理伺服器密碼清單」欄位,並鍵入每個代理伺服器的資訊與按一下「新增」。
輸入代理伺服器資訊的格式如下:
proxyserver|username|password
proxyserver 對應至定義於「網域與子網域代理伺服器清單」的代理伺服器。
- 為所有需要認證的代理伺服器重複步驟 6。
- 按一下頁面頂端或底部的「儲存」記錄變更。
- 從終端機視窗重新啟動「閘道」:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
啟用自動代理伺服器配置支援
若您選取「啟用自動代理伺服器配置」選項,則會忽略在「網域與子網域代理伺服器」欄位中提供的資訊。閘道只會將「自動代理伺服器配置 (PAC)」檔案用於內部網路配置。有關 PAC 檔案的資訊,請參閱使用自動代理伺服器配置。
啟用自動代理伺服器配置支援
指定自動代理伺服器配置檔案位置
若要指定自動代理伺服器配置檔案位置
啟用透過 Web 代理伺服器的 Netlet 通道
若要啟用透過 Web 代理伺服器的通道 Netlet
「安全性」標籤使用「閘道」服務中的「安全性」標籤,您將可以執行下列工作:
建立未驗證的 URL 清單
您可以指定某些 URL 不需要任何驗證。這些一般是包括影像的目錄與資料夾。
若要指定未驗證的 URL 路徑
- 以管理員的身份登入 Identity Server 管理主控台。
- 選取「服務配置」標籤。
- 按一下「SRA 配置」下「閘道」旁的箭頭。
將顯示「閘道」頁。
- 按一下您想要設定其屬性之「閘道設定檔」旁邊的「編輯…」。
便會顯示「編輯閘道設定檔」頁面。
- 捲動至「未驗證的 URL」欄位並以 folder/subfolder 格式輸入想要的資料夾路徑。
鍵入的非完全合格的 URL (例如,/images) 會視為入口網站 URL。
若要新增非入口網站 URL,請鍵入完全合格的 URL。
- 按一下「新增」以新增此項目至「未驗證的 URL」清單。
- 按一下「編輯閘道設定檔」頁面頂端或底部的「儲存」以記錄變更。
- 從終端機視窗重新啟動「閘道」:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
建立啟用證書的閘道主機清單
若要新增閘道至啟用證書的閘道主機清單
允許 40 位元加密連線
若想要允許 40 位元 (弱) 安全插槽層 (SSL) 連線,則選取這個選項。若沒有選取這個選項,就只支援 128 位元連線。
若您停用這個選項,則使用者必須確定瀏覽器的配置支援必要的連線類型。
若要允許 40 位元的加密連線
啟用 SSL 2.0 版
您可以啟用或停用 SSL 2.0 版。停用 SSL 2.0 表示只支援舊版 SSL 2.0 的瀏覽器將不能得到認證至 SRA。這可確保較大的安全層級。
若要啟用 SSL 2.0 版
啟用 SSL 加密選項
SRA 支援一定數量的標準密碼。您可以選擇支援所有預先封裝的密碼,或單獨選擇想要的密碼。您可以為每個閘道實例選擇特定的 SSL 密碼。若用戶端站台存在任何已選取的密碼,則會成功進入 SSL 訊號交換模式。
若要啟用個別加密選擇
- 以管理員的身份登入 Identity Server 管理主控台。
- 選取「服務配置」標籤。
- 按一下「SRA 配置」下「閘道」旁的箭頭。
將顯示「閘道」頁。
- 按一下您想要設定其屬性之「閘道設定檔」旁邊的「編輯…」。
便會顯示「編輯閘道設定檔」頁面。
- 捲動至「啟用 SSL 加密選項」欄位並選取此選項。
這個選項允許您在 SSL2、SSL3 與 TLS 密碼清單中選取想要的密碼。
- 按一下「編輯閘道設定檔」頁面頂端或底部的「儲存」以記錄變更。
- 從終端機視窗重新啟動「閘道」:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
啟用 SSL 3.0 版
您可以啟用或停用 SSL 3.0 版。停用 SSL 3.0 表示只支援舊版 SSL 3.0 的瀏覽器將不能取得認證以存取 SRA。這可確保較大的安全層級。
若要啟用 SSL 3.0 版
啟用空加密
若要啟用空加密
建立「信任的 SSL 網域清單」
若要建立「信任的 SSL 網域清單」
配置個人數位證書 (PDC) 認證
PDC 會由「認證機構 (CA)」核發且使用 CA 的私人金鑰簽署。CA 會在核發認證之前驗證請求者的身份。因此 PDC 的出現是一個非常具有權威的認證機制。
PDC 包含所有者的公開金鑰、所有者名稱、過期日期、核發數位證書的「認證機構」名稱、序號與一些其他資訊。
使用者可以使用 PDC 與已編碼的裝置,例如 Portal Server 中用於認證的智慧卡、與 Java 卡。已編碼裝置會包含一個等同於卡中 PDC 的電子文件。使用者使用其中一個機制登入,不會顯示登入畫面且不會顯示認證畫面。
PDC 認證會處理相關的數個步驟:
若要配置 PDC 與編碼裝置
配置 PDC 與已編碼裝置會包括下列步驟:
- 在 Portal Server 機器上的 portal-server-install-root/SUNWam/config/AMConfig-instance-name.properties 檔案中新增以下指令行:
com.iplanet.authentication.modules.cert.gwAuthEnable=yes
(新增至檔案中的任何位置)
- 將必要的證書匯入要啟用 PDC 的閘道的證書資料庫。
請參閱第 7 章,「證書」,以取得更多資訊。
- 註冊證書:
- 建立信任的遠端主機清單。
- 建立新實例。
- 按一下「身份管理」標籤。
- 從「檢視」下拉功能表中選取「服務」。
- 按一下「認證配置」旁邊的箭頭。
- 顯示「服務實例清單」。
- 按一下「新建」。
- 顯示「服務實例清單」。
- 輸入服務實例名稱 gatewaypdc。
- 備註:您必須使用這個名稱。
- 按一下「提交」。
- 會顯示「gatewaypdc 服務實例清單」。
- 按一下 gatewaypdc 以編輯服務。
- 會顯示 gatewaypdc 特性頁面。
- 按一下「認證配置」旁邊的「編輯」連結。
- 出現快顯視窗。
- 按一下「加入」。
會顯示「配置您的組織認證」頁面。
- 按一下「加入」。
- 顯示「新增認證模組」頁面。
- 在「模組名稱」欄位選擇「證書」,而在「實施條件」欄位中選擇「REQUIRED」。
- 按一下「確定」。
- 再按一下「確定」以關閉快顯視窗。
- 將認證與閘道主機進行關聯。
- 將 CA 所發出的用戶端認證安裝在瀏覽器中,使用者會透過此瀏覽器存取啟用 PDC 的閘道。
- 存取您的閘道設定檔和組織:
https://gateway:instance-port/YourOrganization
您應該能夠登入而不會出現任何提示要求您輸入認證名稱的使用者名稱和密碼。
「Rewriter」標籤使用「閘道」服務中的「Rewriter」標籤,您將可以執行下列工作:
啟用所有 URL 的重寫
若您啟用閘道服務中「啟用所有 URL 的改寫」選項,則 Rewriter 會改寫所有 URL 而不會將其於「網域與子網域代理伺服器清單」中的項目進行核對。忽略網域與子網域清單的代理伺服器項目。
若要啟用閘道以改寫所有 URL
- 以管理員的身份登入 Sun Java™ System Identity Server 管理主控台。
- 選取「服務配置」標籤。
- 按一下「SRA 配置」下「閘道」旁的箭頭。
將顯示「閘道設定檔」頁。
- 按一下您要設定其屬性之閘道設定檔的「編輯...」。
便會顯示「編輯閘道設定檔」頁面。
- 按一下「Rewriter」標籤,「基礎」子區段。
- 選取「啟用所有 URI 的改寫」核取方塊,啟用「閘道」以改寫所有 URL。
- 按一下頁面頂端或底部的「儲存」記錄變更。
- 從終端機視窗重新啟動「閘道」:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
建立 URI 與規則集對映的清單
規則集會建立於 Identity Server 管理主控台中 Portal Server 配置之下的 Rewriter 服務中。有關詳細資料,請參閱「Portal Server 管理指南」 。
建立規則集之後,您可以使用「對映 URI 至規則集」欄位將網域與規則集進行關聯。下列兩個項目會依預設新增至「對映 URI 至規則集」欄位:
這表示對於預設網域的所有頁面,將套用預設閘道規則集。對於其他頁面,則套用常規規則集。預設閘道規則集與常規規則集為預先封裝的規則集。
注意
對於所有顯示於桌面的內容,將使用預設網域的規則集,無論內容來自何處。
例如,假設桌面被配置為移除 URL yahoo.com 的內容。但該 Portal Server 位於 sesta.com。將套用 sesta.com 規則至取得的內容。
若要將 URI 對應至規則集
- 以管理員的身份登入 Identity Server 管理主控台。
- 選取「服務配置」標籤。
- 按一下「SRA 配置」下「閘道」旁的箭頭。
將顯示「閘道設定檔」頁。
- 按一下您要設定其屬性的閘道設定檔。
顯示閘道 gateway-profile-name 頁面。
- 按一下「Rewriter」標籤,「基礎」子區段。
- 捲動至「對映 URI 至規則集」欄位。
- 在「對映 URI 至規則集」欄位中鍵入需要的網域或主機名稱以及規則集,然後按一下「新增」。
此項目會新增至「對映 URI 至規則集」欄位中。
指定網域或主機名稱以及規則集的格式如下所示:
domain name|ruleset name
例如:
eng.sesta.com|default
- 按一下頁面頂端或底部的「儲存」記錄變更。
- 從終端機視窗重新啟動「閘道」:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
Outlook Web Access 的規則集
SRA 軟體支援 MS Exchange 2000 SP3 安裝以及 Outlook Web Access (OWA) 的 MS Exchange 2003。
若要配置 OWA 規則集
建立要剖析的 MIME 類型清單
Rewriter 有四個不同的剖析器以根據內容類型 - HTML、JAVASCRIPT、XML 與 CSS - 剖析網頁。依預設共用 MIME 類型會與這些剖析器相關。您可以在「閘道」服務中的「對映剖析器至 MIME 類型」欄位中將新 MIME 類型與這些剖析器相關聯。此將 Rewriter 功能延伸至其他 MIME 類型。
使用分號或逗號 (";" 或 ",") 分隔多個項目:
例如:
HTML=text/html;text/htm;text/x-component;text/wml; text/vnl/wap.wml
意味任何含有這些 MIME 的內容會被傳送到 HTML Rewriter 而 HTML 規則將被套用以改寫 URL。
若要指定 MIME 對映
- 以管理員的身份登入 Identity Server 管理主控台。
- 選取「服務配置」標籤。
- 按一下「SRA 配置」下「閘道」旁的箭頭。
將顯示「閘道設定檔」頁。
- 按一下您要設定其屬性的閘道設定檔。
顯示閘道 -gateway-profile-name 頁面。
- 按一下「Rewriter」標籤,「基礎」子區段。
- 捲動至「對映剖析器至 MIME 類型」欄位,並在編輯方塊中新增需要的 MIME 類型。使用分號或逗號以分隔多個項目。
以 HTML=text/html;text/htm 格式指定項目
- 按一下「新增」以新增需要的項目至清單中。
- 按一下頁面頂端或底部的「儲存」記錄變更。
- 從終端機視窗重新啟動「閘道」:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
指定預設網域與子網域
當 URL 僅包括主機名稱而沒有網域與子網域時,預設網域與子網域將特別有用。在此情況下,「閘道」將假設主機名稱位於預設網域與子網域中,並繼續執行相應的操作。
例如,若 URL 中的主機名稱為 host1,且預設網域與子網域被指定為 red.sesta.com,則主機名稱會被解析為 host1.red.sesta.com。
若要指定預設網域與子網域
- 以管理員的身份登入 Identity Server 管理主控台。
- 按一下「服務配置」標籤。
- 按一下「SRA 配置」下「閘道」旁的右箭頭。
將顯示「閘道設定檔」頁。
- 按一下您要設定其屬性之閘道設定檔的「編輯...」。
便會顯示「編輯閘道設定檔」頁面。
- 按一下「Rewriter」標籤,「基礎」子區段。
- 捲動至「預設網域」欄位並以 subdomain.domain name 格式鍵入需要的預設值。
- 按一下「編輯閘道設定檔」頁面頂端或底部的「儲存」以記錄變更。
- 從終端機視窗重新啟動「閘道」:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
建立不要改寫 URI 的清單
若要指定預設網域與子網域
- 以管理員的身份登入 Identity Server 管理主控台。
- 選取「服務配置」標籤。
- 按一下「SRA 配置」下「閘道」旁的箭頭。
將顯示「閘道設定檔」頁。
- 按一下您要設定其屬性的閘道設定檔。
顯示閘道 gateway-profile-name 頁面。
- 按一下「Rewriter」標籤,「進階」子區段。
- 捲動至「不要改寫 URI」欄位,並在編輯方塊中新增 URI。
備註:即使 href 規則是規則集的一部分,新增 #* 至這個清單會允許改寫 URI。
- 按一下頁面頂端或底部的「儲存」記錄變更。
- 從終端機視窗重新啟動「閘道」:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
啟用 MIME 推測
Rewriter 會根據網頁的 MIME 類型選擇剖析器。有些網路伺服器,如 WebLogic 和 Oracle,並不會傳送 MIME 類型。若要解決這個問題,可以啟用 MIME 推測,方法是新增資料至「對映剖析器至 URI」清單方塊。
若要啟用 MIME 推測
建立要剖析的 URI 對映清單
若已啟用 MIME 推測核取方塊,且伺服器沒有傳送 MIME 類型,可使用這個清單方塊以對映剖析器至 URI。
由分號分隔多個 URI。
例如 HTML=*.html; *.htm;*Servlet
表示 HTML Rewriter 會用於改寫任何含有 html、htm,或 Servlet 副檔名的頁面內容。
若要剖析 URI 對映
啟用遮罩
遮罩允許 Rewriter 改寫 URI,如此便看不見頁面的「內部網路 URL」。
若要啟用遮罩
指定遮罩種子字串
種子字串會用於遮罩 URI。其為一個由遮罩演算法產生的隨機字串。
若要指定遮罩種子字串
建立不要遮罩的 URI 清單
某些應用程式 (例如 applet) 需要網際網路 URI 且無法被遮罩。若要指定那些應用程式,請新增 URI 至清單方塊。
例如您新增
*/Applet/Param*
至清單方塊,如果內容 URI http://abc.com/Applet/Param1.html 與規則集匹配,則 URL 不會被遮罩。
指定不要遮罩的 URI
讓閘道通訊協定與原始 URI 通訊協定相同
當閘道以 http 與 https 兩種模式執行時,可以啟用 Rewriter 以使用一致的通訊協定存取 HTML 內容的參照資源。
例如,若原始 URL 為 http://intranet.com/Public.html 則會新增 http 閘道。若原始 URL 為 https://intranet.com/Public.html,則會新增 https 閘道。
若要讓閘道通協定與原始 URI 通訊協定相同
「記錄」標籤使用「閘道」服務中的「記錄」標籤,您將可以執行下列工作:
啟用記錄
您可以指定閘道日誌檔以擷取每個階段作業的最少資訊或詳細資訊。Identity Server 配置屬性記錄區段的「記錄位置」屬性中指定有目錄,系統將在其中儲存日誌資訊。此日誌位於 Portal Server 機器上。
此日誌名稱使用下列慣例:
srapGateway_gatewayhostname_gateway-profile-name
日誌資訊可根據 Identity Server 配置中的指定值被儲存為檔案或資料庫。日誌中的欄位為以逗號分隔的 ASCII 值,且可匯出至其他資料分析工具。
若要啟用閘道記錄
- 以管理員的身份登入 Identity Server 管理主控台。
- 選取「服務配置」標籤。
- 按一下「SRA 配置」下「閘道」旁的箭頭。
將顯示「閘道」頁。
- 按一下您想要設定其屬性之「閘道設定檔」旁邊的「編輯…」。
便會顯示「編輯閘道設定檔」頁面。
- 選取「啟用記錄」核取方塊以啟用閘道記錄。
- 選取「啟用按階段作業記錄」核取方塊以擷取日誌資訊,例如「用戶端位址」、「要求類型」與「目標主機」。
- 選取閘道的「啟用按階段作業記錄」以擷取詳細的日誌資訊,例如「用戶端」、「要求類型」、「目標主機」、「要求類型」、「用戶端要求的 URL」、「用戶端 Post Data 大小」、「階段作業 ID」、「回應結果代碼」與「完成回應大小」。
- 按一下頁面頂端或底部的「儲存」記錄變更。
- 從終端機視窗重新啟動「閘道」:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
啟用 Netlet 記錄
選取此選項之後,您就可以啟用 Netlet 相關活動的記錄。Netlet 日誌將包含下列關於 Netlet 階段作業的詳細資訊:
若要啟用 Netlet 記錄