附錄 B
配置屬性
此附錄描述您可以為 Portal Server Secure Remote Access 配置的屬性 (透過每個 Secure Remote Access 元件的服務配置 Identity Server 管理主控台):
存取清單服務
表 B-1 列出了存取清單服務屬性。
表 B-1 存取清單服務屬性
|
屬性
|
預設值
|
描述
|
|
拒絕的 URL
|
|
一般使用者無法透過閘道存取的 URL 清單。
|
|
允許的 URL
|
*
|
一般使用者可以透過閘道存取的 URL 清單。
|
|
單次登入停用主機
|
|
停用清單中主機的單次登入功能。
|
|
啟用按階段作業單次登入
|
|
啟用階段作業的單次登入功能。
|
|
允許的驗證等級
|
*
|
表示信任驗證的程度。使用星號可允許所有驗證等級。有關驗證等級的資訊,請參閱「Identity Server 管理指南」。
|
閘道服務
當您按一下「閘道」服務時,右邊的窗格會顯示一個可用來建立新設定檔的按鈕,以及顯示已經建立之所有閘道設定檔的清單。
如果您按一下「新增」,則下一個窗格將會要求您輸入新的閘道設定檔名稱。您可以選擇使用預設範本或是選擇先前建立的閘道設定檔作為範本。
如果您在其中一個列出的閘道設定檔名稱上按一下,將會出現一個標籤清單。他們是:
核心
表 B-2 列出了閘道服務核心屬性。
表 B-2 閘道服務核心屬性
|
屬性
|
預設值
|
描述
|
|
啟用 HTTPS 連線
|
|
啟用 HTTPS 連線。
|
|
HTTPS 連接埠
|
443
|
指定 HTTPS 連接埠。
|
|
啟用 HTTP 連線
|
*
|
啟用 HTTP 連線。
|
|
HTTP 連接埠
|
80
|
指定 HTTP 連接埠。
|
|
啟用 Rewriter 代理伺服器
|
*
|
在閘道和企業內部網路之間實現安全的 HTTP 通訊。Rewriter 代理伺服器和閘道使用相同的閘道設定檔。
|
|
Rewriter 代理伺服器清單
|
|
Rewriter 代理伺服器的清單。在 Rewriter 代理伺服器的多重實例上以 host-name:port 形式輸入每一個的細節
|
|
啟用 Netlet
|
已核取
|
啟用 TCP/IP (例如 Telnet 和 SMTP)、HTTP 應用程式和固定連接埠應用程式的安全性。
|
|
啟用 Proxylet
|
已核取
|
啟用在用戶端機器上 Proxylet 的下載。
|
|
啟用 Netlet 代理伺服器
|
|
藉由透過閘道將安全通道從用戶端延伸到位於企業內部網路的 Netlet 代理伺服器,以強化閘道和企業內部網路之間的 Netlet 通訊流量的安全性。如果您不想要在 Portal Server 中使用應用程式,請停用此屬性。
|
|
Netlet 代理伺服器主機
|
|
列出 Netlet 代理伺服器主機,格式如下:host hostname:port
|
|
啟用 Cookie 管理
|
|
為允許使用者存取的所有網站追蹤與管理使用者階段作業。(不適用於 Portal Server 用來追蹤 Portal Server 使用者階段作業的 cookie)。
|
|
啟用 HTTP 基本驗證
|
已核取
|
儲存使用者名稱和密碼,如此當使用者重新造訪有 BASIC 保護的網站時,將不需要重新輸入其憑證。
|
|
啟用持續 HTTP 連線
|
已核取
|
在閘道啟用 HTTP 持續連線,可避免為網頁的每個物件 (例如影像與樣式表) 開啟插槽。
|
|
每一持續連線的最大要求數
|
10
|
指定每一持續連線的要求數。
|
|
持續通訊端連線的逾時
|
50
|
指定在關閉插槽前需要經過的時間量。
|
|
帳戶往返時間的寬限逾時
|
20
|
指定在瀏覽器傳送請求後,請求到閘道的寬限時間量,和閘道傳送回應以及瀏覽器實際收到之間的間隔時間。
|
|
轉寄使用者階段作業 Cookie 到的 URL
|
|
讓 servlet 和 CGI 可以收到 Portal Server 的 cookie 並使用 API 來識別使用者。
|
|
最長連線佇列長度
|
50
|
指定閘道可以接受的最大並行運作連線。
|
|
閘道逾時 (毫秒)
|
120000
|
指定「閘道」與瀏覽器的連線逾時前的時間間隔
(單位:毫秒)。
|
|
最大執行緒儲存區大小
|
200
|
指定可以在閘道執行緒儲存區預先建立的最大執行緒數目。
|
|
快取的通訊端逾時
|
200000
|
指定「閘道」與 Portal Server 的連線逾時前的時間間隔 (單位:毫秒)。
|
|
Portal Server
|
|
以下列格式指定 Portal Server:http://portal server name:port -number°C閘道會以循環方式嘗試聯絡每個列出的 Portal Server 以服務請求。
|
|
伺服器重試間隔 (分鐘)
|
2
|
指定當 Portal Server、Rewriter 代理伺服器或 Netlet 代理伺服器變得無法存取 (例如當機或關機) 之後,嘗試啟動它們之請求之間的時間間隔。
|
|
儲存外部伺服器 Cookie
|
|
允許閘道儲存與管理可透過閘道存取之任何第三方應用程式或是伺服器的 cookie。
|
|
從 URL 取得階段作業資訊
|
|
將階段作業資訊編碼為 URL 的一部分,不論是否支援 cookie。閘道會使用 URL 中找到的階段作業資訊進行驗證,而不是使用用戶端瀏覽器傳送的階段作業 cookie。
|
|
將 Cookie 標示為安全
|
|
將 Cookie 標示為安全。必須啟用「啟用 Cookie 管理」選項。
|
代理伺服器
表 B-3 列出了閘道服務代理伺服器屬性。
表 B-3 閘道服務代理伺服器屬性
|
屬性
|
預設值
|
描述
|
|
使用代理伺服器
|
|
使得可以使用Web 代理伺服器。
|
|
使用Web 代理伺服器 URL
|
|
列出閘道需要聯絡的 URL,而聯絡僅能透過「網域和子網域的代理伺服器清單」中列出的Web 代理伺服器進行 (即使「使用代理伺服器」選項已經停用)。
|
|
不要使用Web 代理伺服器 URL
|
|
列出閘道可以直接連接的 URL。
|
|
網域與子網域的代理伺服器
|
iportal.com
sun.com
|
指定應該使用哪個代理伺服器以聯絡特定網域中的特定子網域。
|
|
代理伺服器密碼清單
|
|
如果代理伺服器需要認證以存取某些或全部網站,則指定閘道需要的使用者名稱與密碼,以使閘道認證至指定的代理伺服器。
|
|
啟用自動代理伺服器配置支援
|
|
指定將忽略在「網域與子網域的代理伺服器」欄位中提供的資訊。
|
|
自動代理伺服器配置檔案位置
|
|
指定用於 PAC 支援的檔案位置。
|
|
啟用透過Web 代理伺服器的 Netlet 通道
|
|
透過閘道將安全通道從用戶端延伸至存在於企業內部網路的Web 代理伺服器。
|
安全性
表 B-4 列出了閘道服務安全性屬性。
表 B-4 閘道服務安全性屬性
|
屬性
|
預設值
|
描述
|
|
未驗證的 URL
|
/portal/desktop/images
/amserver/login_images
/portal/desktop/css
/amserver/jss
/amconsole/console/css
/portal/searchadmin/console/js
/amconsole/console/js
/amserver/css
|
指定不需要任何認證的 URL,例如包含影像的目錄。
|
|
啟用證書的閘道主機
|
|
列出已啟用證書的閘道主機。
|
|
允許 40 位元加密
|
|
允許 40 位元 (弱) 安全套接層 (SSL) 連線。若沒有選取這個選項,就只支援 128 位元連線。
|
|
啟用 SSL 2.0 版
|
已核取
|
啟用 SSL 2.0 版本。
停用 SSL 2.0 表示只支援舊版 SSL 2.0 的瀏覽器將不能認證以存取 SRA。這可確保較大的安全層級。
|
|
啟用 SSL 加密選項
|
|
啟用 SSL 加密選項。您可以選擇支援所有預先封裝的密碼,或者您可以單獨選擇需要的密碼。您可以為每個閘道實例選擇特定的 SSL 密碼。
|
|
SSL2 加密
|
|
列出您可以選擇的 SSL 版本 2 密碼。
|
|
SSL3 加密
|
|
列出您可以選擇的 SSL 版本 3 密碼。
|
|
TLS 加密
|
|
列出 TLS 密碼。
|
|
啟用 SSL 3.0 版
|
已核取
|
啟用 SSL 3.0 版本。
停用 SSL 3.0 表示只支援舊版 SSL 3.0 的瀏覽器將不能取得認證以存取 SRA。這可確保較大的安全層級。
|
|
啟用空加密
|
|
啟用空加密。
|
|
信任的 SSL 網域
|
|
列出信任的 SSL 網域。
|
Rewriter
Rewriter 標籤有兩個子區段:
基本
表 B-5 列出了閘道服務 Rewriter 基本屬性。
表 B-5 閘道服務 Rewriter 屬性 - 基本
|
屬性
|
預設值
|
描述
|
|
啟用所有 URL 的重寫
|
|
指定將重寫所有 URL而不會將其與「網域與子網域的代理伺服器」清單中的項目進行核對。
|
|
對映 URI 至規則集
|
*://*.iportal.com*/portal/*|default_gateway_ruleset
*/portal/NetFileOpenFileServlet*|null_ruleset
*|generic_ruleset
REPLACE_WITH_IPLANET_MAIL_SERVER_NAME|iplanet_mail_ruleset
REPLACE_WITH_EXCHANGE_SERVER_NAMEexchange_2000sp3_owa_ruleset
*://*.iportal.com*/amconsole/*|default_gateway_ruleset
REPLACE_WITH_INOTES_SERVER_NAME|inotes_ruleset
http*://*/portal/NetFileController*|null_ruleset
|
使用「對映 URI 至規則集」清單將網域與規則集進行關聯。規則集是在 Identity Server 管理主控台中的 Portal Server 配置底下建立的。
|
|
對映剖析器至 MIME 類型
|
JAVASCRIPT=application/x-java
XML=text/xml
HTML=text/html;text/htm;text/x-component;text/wml;text/vnd.wap.wml
CSS=text/css
|
將新的 MIME 類型與 HTML、JAVASCRIPT、CSS 或 XML 進行關聯。使用分號或逗號分隔多個項目。
|
|
不要重寫的 URI
|
|
列出不要重寫的 URI。備註:即使 href 規則是規則集的一部分,新增 #* 至這個清單會允許改寫 URI。
|
|
預設網域
|
|
將主機名稱解析為預設網域與子網域。在安裝期間會指定這個選項
|
進階
表 B-6 列出了閘道服務 Rewriter 進階屬性。
表 B-6 閘道服務 Rewriter 屬性 - 進階
|
屬性
|
預設值
|
描述
|
|
啟用 MIME 推測
|
|
當未傳送 MIME 時,啟用 MIME 推測。您必須將資料新增至「對映剖析器至 URI」清單方塊。
|
|
對映剖析器至 URI 對映
|
|
將剖析器對映至 URI。由分號分隔多個 URI。
例如 HTML=*.html; *.htm;*Servlet
表示 Rewriter 會用於改寫任何含有 html、htm,或 Servlet 副檔名的頁面內容。
|
|
啟用遮罩
|
|
允許 Rewriter 重寫 URI,如此即可隱藏網頁的內部網路 URL。
|
|
遮罩的種子字串
|
|
指定可用於遮罩 URI 的種子字串。其為一個由遮罩演算法產生的隨機字串。
|
|
不要遮罩的 URI
|
|
指定不要遮罩的網際網路 URI。當應用程式 (例如 applet) 需要網際網路 URI 時便可使用此選項。
例如您新增
*/Applet/Param*
至清單方塊,如果內容 URI http://abc.com/Applet/Param1.html 與規則集匹配,則 URL 不會被遮罩。
|
|
讓閘道通訊協定與原始 URI 通訊協定相同
|
|
讓 Rewriter 使用一致的通訊協定存取 HTML 內容中參照的資源。
這將僅套用至靜態 URI,而非產生於 Javascript 的動態 URI。
|
記錄
表 B-7 列出了閘道服務記錄屬性。
表 B-7 閘道服務記錄屬性
|
屬性
|
預設值
|
描述
|
|
啟用記錄
|
|
啟用記錄。
|
|
啟用按階段作業記錄
|
|
啟用擷取最小記錄資訊,例如「用戶端位址」、「要求類型」與「目標主機」。
|
|
啟用按階段作業記錄詳細資訊
|
|
使得可以擷取詳細的記錄資訊,例如「用戶端」、「要求類型」、「目標主機」、「用戶端要求的 URL」、「用戶端 Post Data 大小」、「階段作業 ID」、「回應結果代碼」與「完成回應大小」。
備註:必須啟用「啟用按階段作業記錄」。
|
|
啟用 Netlet 記錄
|
|
指定是否啟用記錄。如果已啟用則擷取下列資訊:啟動時間、來源、位址、源連接埠、伺服器位址、伺服器連接埠、停止時間、狀態 (啟動或停止)
|
NetFile 服務
當您按一下 NetFile 服務,右邊的窗格將會顯示標籤。他們是:
主機
「主機」標籤有兩個子區段:
配置
表 B-8 列出了 Netfile 主機配置屬性。
表 B-8 NetFile 服務主機配置屬性
|
屬性
|
預設值
|
描述
|
|
OS 字元集
|
Unicode(UTF-8)
|
指定在與主機通訊時用來作為預設編碼的字元集。
|
|
主機偵測順序
|
WIN、NETWARE、FTP、NFS
|
指定主機偵測順序。
|
|
共用主機
|
|
指定所有遠端 NetFile 使用者都可以透過 NetFile 使用的主機。
|
|
預設網域
|
|
指定 NetFile 用於聯絡允許主機所需要的預設網域。
|
|
預設 Windows 網域/工作群組
|
|
指定使用者選擇存取 Windows 主機的預設 Windows 網域或工作群組。
|
|
預設 WINS/DNS 伺服器
|
|
指定 NetFile 用於存取 Windows 主機的 WINS/DNS 伺服器。
|
存取
表 B-9 列出了 NetFile 服務主機存取屬性。
表 B-9 NetFile 服務主機存取屬性
|
屬性
|
預設值
|
描述
|
|
允許存取 Windows 主機
|
已核取
|
允許存取 Windows 主機。
|
|
允許存取 FTP 主機
|
已核取
|
允許存取 FTP 主機。
|
|
允許存取 NFS 主機
|
已核取
|
允許存取 NFS 主機。
|
|
允許存取 Netware 主機
|
已核取
|
允許存取 Netware 主機。
|
|
允許的主機
|
*
|
指定使用者能夠透過 NetFile 存取的主機。
|
|
拒絕的主機
|
|
指定使用者不能夠透過 NetFile 存取的主機。
|
許可權
若您在使用者開始使用 NetFile 之後停用這些選項,則只有在使用者登出 NetFile 並重新登入後,此項變更才會生效。
表 B-10 列出了 Netfile 服務許可權屬性
表 B-10 NetFile 服務許可權屬性
|
屬性
|
預設值
|
描述
|
|
允許檔案重新命名
|
已核取
|
允許使用者重新更名檔案。
|
|
允許檔案/資料夾刪除
|
已核取
|
允許使用者刪除檔案及資料夾。
|
|
允許檔案上載
|
已核取
|
允許使用者上傳檔案。
|
|
允許檔案/資料夾下載
|
已核取
|
允許使用者下載檔案及資料夾。
|
|
允許檔案搜尋
|
已核取
|
允許使用者搜尋。
|
|
允許檔案郵寄
|
已核取
|
允許郵寄檔案。
|
|
允許檔案壓縮
|
已核取
|
允許壓縮檔案。
|
|
允許變更使用者 ID
|
已核取
|
允許使用者使用不同的 ID。
|
|
允許變更 Windows 網域
|
已核取
|
允許使用者變更 Windows 網域。
|
檢視
表 B-11 列出了 Netfile 服務檢視屬性。
表 B-11 NetFle 服務檢視屬性
|
屬性
|
預設值
|
描述
|
|
視窗大小
|
700|400
|
以像素為單位指定 NetFile 視窗在使用者桌面上的大小。若您輸入的值無效,NetFile 會使用此預設值。
|
|
視窗位置
|
100|50
|
指定 NetFile 視窗顯示在使用者桌面上的位置。若您輸入的值無效,NetFile 會使用此預設值。
|
作業
「作業」標籤的子區段如下:
流量
表 B-12 列出了 NetFile 服務作業流量屬性。
表 B-12 NetFile 服務作業 - 流量屬性
|
屬性
|
預設值
|
描述
|
|
暫存目錄位置
|
/tmp
|
為不同 NetFile 檔案作業指定暫存目錄。
確保正在執行網路伺服器的 ID (例如 nobody 或 noaccess) 擁有指定目錄的 rwx 許可權。也確定 ID 對於需要的暫時目錄的完整路徑擁有 rx 許可權。
您可以為 NetFile 建立單獨的暫存目錄。如果您為 Portal Server 所有模組指定了共用的暫存目錄,磁碟空間可能很快就會用完。如果暫存目錄已無空間,則 NetFile 將無法運作。
|
|
檔案上載限制 (MB)
|
5
|
指定檔案可以上傳的最大大小。若您輸入一個無效的值,NetFile 會將此值重新設定為預設值。請輸入整數值。
您可以為不同的使用者指定不同的檔案上傳大小限制。
|
搜尋
表 B-13 列出了 NetFile 服務作業搜尋屬性。
表 B-13 NetFile 服務作業 - 搜尋屬性
|
屬性
|
預設值
|
描述
|
|
搜尋目錄限制
|
100
|
指定在單一搜尋作業中,可搜尋目錄的最大數目。
|
壓縮
表 B-14 列出了 NetFile 服務作業壓縮屬性。
表 B-14 NetFile 服務作業 - 壓縮屬性
|
屬性
|
預設值
|
描述
|
|
預設壓縮類型
|
Zip
|
指定使用 Zip 或 Gzip 壓縮類型。
|
|
預設壓縮層級
|
6
|
指定壓縮層級,有效值從 1 到 9。
|
一般
表 B-15 列出了 Netfile 服務一般屬性。
表 B-15 NetFile 服務 - 一般屬性
|
屬性
|
預設值
|
描述
|
|
MIME 類型配置檔案位置
|
/opt/S1PS62/SUNWps/samples/config/netfile
|
指定傳送至用戶端瀏覽器的回應內容類型。
|
Netlet 服務
表 B-16 列出了 Netlet 服務屬性。
表 B-16 Netlet 服務屬性
|
屬性
|
預設值
|
描述
|
|
Netlet 規則
|
|
選擇新增或刪除規則。
|
|
如果您新增一個規則,將會需要下列九個屬性:
|
|
--規則名稱
|
|
為規則指定唯一的名稱。
|
|
--加密密碼
|
|
指定需要的密碼。
|
|
--URL
|
|
指定要啟動之應用程式的 URL。
|
|
--下載 Applet
|
|
指定是否需要下載 Applet。如果已經使用 Applet,則相關編輯方塊中的語法為:
local-port:server-host:server-port
|
|
--延伸式階段作業
|
|
確保當與此規則相對映的 Netlet 階段作業在執行時,Portal Server 階段作業時間將會延長。
|
|
--對映本機連接埠至目標伺服器連接埠
|
|
指定本機連接埠、目標主機以及目標連接埠。在輸入那些數值之後 (在此表中的下三行),請按一下「新增」以便讓此規則出現在清單中。
|
|
--本機連接埠
|
|
指定 Netlet 偵聽的本機連接埠。對於 FTP 規則,本機連接埠值必須為 30021。
|
|
--目標主機
|
|
靜態規則包含用於 Netlet 連線的目標機器之主機名稱。
動態規則包含 "TARGET" 這個字。
|
|
--目標連接埠
|
|
指定目標主機上的連接埠。
|
|
預設的原生 VM 密碼
|
|
為 Netlet 規則指定預設密碼。如果現有規則未將密碼包括成為規則一部分,當您在使用現有規則時,這個選項就非常有用。
|
|
預設 Java Plugin 密碼
|
|
為 Netlet 規則指定預設密碼。如果現有規則未將密碼包括成為規則一部分,當您在使用現有規則時,這個選項就非常有用。
|
|
預設回送連接埠
|
58000
|
當透過 Netlet 下載 applet 時,指定用戶端上使用的連接埠。可以在 Netlet 規則中忽略此預設值。
|
|
重新認證連線
|
|
確保使用者每次重新建立 Netlet 連線,都必須輸入 Netlet 密碼。
|
|
顯示連線的警告快顯視窗
|
已核取
|
當使用者在 Netlet 執行應用程式且當入侵者嘗試透過偵聽連接埠存取桌面時會顯示一則訊息。
|
|
在連接埠警告對話方塊中顯示核取方塊
|
已核取
|
當 Netlet 嘗試在使用者的標準 Portal Desktop 上連線到目標主機時,提供使用者抑制警告對話方塊快顯的選擇。
|
|
保持現有的間隔 (分鐘)
|
0
|
如果用戶端透過Web 代理伺服器連線到閘道,閒置的 Netlet 連線會因為代理伺服器逾時而中斷。為了避免這種情形,請賦予此參數小於代理伺服器逾時的數值。
|
|
在入口網站登出時終止 Netlet
|
已核取
|
確保在使用者登出 Portal Server 時,所有連線都已終止。
|
|
存取 Netlet 規則
|
*
|
定義存取某些組織、角色或使用者的特定的 Netlet 規則。
|
|
拒絕 Netlet 規則
|
|
拒絕存取某些組織、角色或使用者的特定的 Netlet 規則。
|
|
允許的主機
|
*
|
為某些組織、角色或使用者定義存取特定的主機。
|
|
拒絕的主機
|
|
拒絕存取組織中特定的主機。
|
Proxylet 服務
表 B-17 列出了 Proxylet 服務屬性。
表 B-17 Proxylet 服務屬性
|
屬性
|
預設值
|
描述
|
|
自動下載 Proxylet Applet
|
127.0.0.1
|
如果核取了該核取方塊,會在使用者登入時下載 Proxylet 到用戶端機器。
|
|
預設 Proxylet Applet 連結 IP
|
127.0.0.1
|
Proxylet Applet 常駐的 IP 位址。
|
|
預設 Proxylet Applet 連接埠
|
58080
|
此為 Proxylet 偵聽的連接埠。
|
