Sun Java System Web Proxy Server 4.0.1 管理指南 |
第 7 章
配置伺服器喜好設定本章描述了 Proxy Server 的系統設定及其配置方法。系統設定會影響整個 Proxy Server。這些設定包括代理伺服器使用的使用者帳號和所偵聽的連接埠等選項。
本章包含下列小節:
啟動 Proxy Server本節描述如何在不同的平台上啟動 Proxy Server。一旦安裝了伺服器,它便會執行、偵聽並接受請求。
從管理介面啟動 Proxy Server
伺服器的狀態將顯示在 [Start/Stop Server] 頁面上。
在 UNIX 或 Linux 上啟動 Proxy Server
在 Windows 上啟動 Proxy Server
啟動已啟用 SSL 的伺服器
若要啟動已啟用 SSL 的伺服器,需要提供密碼。儘管可以透過將密碼以一般文字格式儲存在某個檔案中來自動啟動已啟用 SSL 的伺服器,但建議不要使用這種方法。
注意
若將已啟用 SSL 的伺服器密碼以一般文字格式儲存在伺服器的 start 程序檔中,會帶來很大的安全性風險。可以存取此檔案的任何使用者均可存取已啟用 SSL 的伺服器之密碼。在以一般文字格式儲存已啟用 SSL 的伺服器之密碼前,請考量安全性風險。
伺服器的 start 程序檔、密鑰對檔案以及密鑰密碼應該為超級使用者所擁有 (或者,為安裝了伺服器的非超級使用者的使用者帳號所擁有),只有擁有者才擁有對它們的讀取和寫入權限。
在 UNIX 或 Linux 上自動啟動已啟用 SSL 的伺服器
停止 Proxy Server本節描述在不同平台上停止 Proxy Server 的各種方法。
從管理介面停止 Proxy Server
伺服器的狀態將顯示在 [Start/Stop Server] 頁面上。
在 UNIX 或 Linux 上停止 Proxy Server
關閉伺服器後,伺服器可能需要幾秒鐘的時間來完成關閉程序並將狀態變更為「Off」。
如果系統當機或離線,伺服器將會停止,其正在處理的任何請求均可能會遺失。
在 Windows 上停止 Proxy Server
重新啟動 Proxy Server本節描述在不同平台上重新啟動 Proxy Server 的各種方法。
重新啟動伺服器 (UNIX 或 Linux)
您可以使用下列方法之一啟動伺服器:
由於安裝程序檔無法編輯 /etc/rc.local 或 /etc/inittab 檔案,因而必須使用文字編輯器編輯這些檔案。如果您不瞭解如何編輯這些檔案,請洽詢您的系統管理員或參考系統文件。
從指令行重新啟動 Proxy Server
使用 inittab 重新啟動伺服器
在 /etc/inittab 檔案的一個行中增加下列文字:
prxy:23:respawn:server_root/proxy-serverid/start -start -i
其中,server_root 為伺服器的安裝目錄,proxy-serverid 為伺服器的目錄。
-i 選項可防止伺服器將其自身放置在背景程序中。
在停止伺服器之前,您必須移除此行。
使用系統 RC 程序檔重新啟動伺服器
如果您使用 /etc/rc.local 或系統中的對等檔案,請將下列行放入 /etc/rc.local 中︰
server_root/proxy-serverid/start
以伺服器的安裝目錄替代 server_root 。
重新啟動伺服器 (Windows)
重新啟動伺服器的方式如下
在 Windows 上重新啟動伺服器
設定終止逾時
當伺服器停止時,它會停止接受新連線。而是等待所有未完成的連線完成。伺服器在逾時前的等待時間可在 magnus.conf 檔案中配置。此值的預設設定為 30 秒。若要變更此值,請將以下行增加至 magnus.conf 檔案︰
TerminateTimeout seconds
其中,seconds 表示伺服器在逾時前將等待的秒數。
配置此值的優點是伺服器將等待更長的時間讓連線完成。不過,由於伺服器有從非回應用戶端開啟的連線,因此,延長終止逾時可能會使伺服器關機時所花費的時間延長。
檢視伺服器設定在安裝期間,會為 Proxy Server 配置一些設定。可以從 Server Manager 檢視這些及其他系統設定。[View Server Settings] 頁面列出 Proxy Server 的所有設定。若有未儲存和未套用的變更,此頁面也會告知於您,在這種情況下,您應儲存變更並重新啟動 Proxy Server,使其開始使用新的配置。
設定有兩種類型:技術設定和內容設定。伺服器的內容設定視伺服器的配置而定。一般而言,代理伺服器會列示所有範本、URL 對映和存取控制。對於各個範本,此頁面還會列示範本名稱、其常規表示式和範本設定 (如快取設定)。
代理伺服器的技術設定來自 magnus.conf 檔案和 server.xml 檔案,而內容設定則來自 obj.conf 檔案。這些檔案位於伺服器根目錄的 proxy-id/config 子目錄下。
檢視 Proxy Server 的設定
檢視及復原配置檔案的備份您可以檢視或復原配置檔案的備份副本 (server.xml、magnus.conf、obj.conf、mime types、server.xml.clfilter、magnus.conf.clfilter、obj.conf.clfilter、socks5.conf、bu.conf、icp.conf、parray.pat、parent.pat、proxy-id.acl)。當目前的配置發生問題時,可利用此功能復原先前的配置。例如,如果您對代理伺服器的配置做了一些變更,而代理伺服器並未像預期的那樣執行 (例如,您拒絕存取 URL,但代理伺服器卻滿足了這樣的請求),您可復原先前的配置,然後再重新變更配置。
檢視先前的配置
復原配置檔案的備份副本
也可以設定 [Restore Configuration] 頁面上顯示的備份數目。
設定顯示的備份數目
配置系統喜好設定[Configure System Preferences] 頁面可用來設定或變更伺服器的基本狀況。可使用此頁面變更伺服器使用者、程序數目、偵聽佇列大小、代理逾時,以及 Proxy Server 中斷之後的逾時。它還可以讓您啟用 DNS、ICP、代理伺服器陣列和父陣列。
修改系統喜好設定
後面的小節將描述這些選項。
Server User
[Server User] 是代理伺服器使用的使用者帳號。您輸入的代理伺服器使用者名稱應已經做為普通使用者帳號而存在。伺服器啟動時,它的執行方式就好像它是由此使用者身份啟動的一樣。
如果您不想建立新的使用者帳號,可選擇在同一主機上執行之另一台伺服器所用的帳號,或者如果在執行 UNIX 代理伺服器,可選擇使用者 nobody。不過在某些系統上,使用者 nobody 可以擁有檔案但不能執行程式,因此它不適合用作代理伺服器使用者名稱。
在 UNIX 系統上,所有由代理伺服器產生的程序都被指定給伺服器使用者帳號。
Processes
[Processes] 欄位顯示可用於處理請求的程序數目。依預設,此值為 1。除非另有要求,否則請勿修改此設定。
Listen Queue Size
[Listen Queue Size] 欄位指定偵聽通訊端上的最大擱置連線數目。
DNS
網域名稱服務 (DNS) 會將 IP 位址復原為主機名稱。當 Web 瀏覽器連線到伺服器時,伺服器只取得用戶端的 IP 位址,例如 198.18.251.30。它不會取得主機名稱資訊,例如 www.example.com.。為進行存取記錄和存取控制,伺服器可以將 IP 位址解析為主機名稱。在 [Configure System Preferences] 頁面上,可以指示伺服器是否將 IP 位址解析為主機名稱。
ICP
網際網路快取傳輸協定 (ICP) 是一種訊息傳送協定,可讓快取記憶體彼此進行通訊。快取記憶體可使用 ICP 來傳送有關快取 URL 是否存在,以及有關擷取這些 URL 的最佳位置的查詢和回覆。可以在 [Configure System Preferences] 頁面上啟用 ICP。如需有關 ICP 的更多資訊,請參閱透過 ICP 鄰近區域路由。
Proxy Array
代理伺服器陣列是由代理伺服器組成的陣列,充當用於分散式快取的快取記憶體。如果啟用 [Configure System Preferences] 頁面上的代理伺服器陣列選項,就意味著您要配置的代理伺服器是代理伺服器陣列的一個成員,陣列中的所有其他成員都是它的同層級代理伺服器。如需有關使用代理伺服器陣列的更多資訊,請參閱透過代理伺服器陣列進行路由。
Parent Array
父陣列是代理伺服器或代理伺服器陣列的路由要經過的代理伺服器陣列。因此,如果代理伺服器在存取遠端伺服器之前要經過一個上游的代理伺服器陣列,則上游的代理伺服器陣列會被視為父陣列。如需有關對代理伺服器使用父陣列的更多資訊,請參閱透過父系代理伺服器陣列進行路由。
Proxy Timeout
代理逾時是指在代理伺服器判定請求逾時之前,來自遠端伺服器的連續網路資料封包之間相隔的最長時間。代理逾時的預設值為 5 分鐘。
調校 Proxy Server使用 [Tune Proxy] 頁面可以變更預設參數,來調校代理伺服器的效能。
變更預設調校參數
增加與編輯偵聽通訊端在伺服器處理請求之前,必須經由偵聽通訊端接受請求,然後將其導向至正確的伺服器。安裝 Proxy Server 時,將自動建立一個偵聽通訊端 ls1。此偵聽通訊端使用 IP 位址 0.0.0.0 以及在安裝期間指定的代理伺服器連接埠號。不能刪除預設的偵聽通訊端。
可使用 Server Manager 的 [Add Listen Socket] 及 [Edit Listen Sockets] 頁面來增加、編輯和刪除偵聽通訊端。
本節包含以下主題:
增加偵聽通訊端
增加偵聽通訊端
- 存取 Server Manager,然後按一下 [Preferences] 標籤。
- 按一下 [Add Listen Socket] 連結。將顯示 [Add Listen Socket] 頁面。
- 指定偵聽通訊端的內部名稱。您無法在建立偵聽通訊端之後變更此名稱。
- 指定偵聽通訊端的 IP 位址。可用點對或 IPv6 表示法來表示。也可以是 0.0.0.0、any、ANY 或 INADDR_ANY (所有 IP 位址)。
- 指定要建立偵聽通訊端的連接埠號。有效值為 1 - 65535。在 UNIX 上,若要建立在連接埠 1 - 1024 上偵聽的通訊端時,必須擁有超級使用者權限。配置 SSL 偵聽通訊端可在連接埠 443 上偵聽。
- 指定在伺服器傳送至用戶端的所有 URL 之主機名稱區段中使用的伺服器名稱。這會影響伺服器自動產生的 URL,但不會影響儲存在伺服器中的目錄和檔案的 URL。如果伺服器使用別名,則此名稱應為伺服器別名。
- 在下拉式清單中,指定要為偵聽通訊端啟用還是停用安全性。
- 按一下 [OK]。
- 按一下 [Restart Required]。將顯示 [Apply Changes] 頁面。
- 按一下 [Restart Proxy Server] 按鈕以套用變更。
編輯偵聽通訊端
編輯偵聽通訊端
如果已停用安全性,則僅顯示以下參數:
如果啟用了安全性,則會顯示以下參數:
- Security。啟用或停用選取的偵聽通訊端的安全性。
- Server Certificate Name。從下拉式清單中選取已安裝的憑證,以用於此偵聽通訊端。
- Client Authentication。指定此偵聽通訊端上是否需要用戶端認證。依預設,此項為 [Optional]。
- SSL Version 2。啟用或停用 SSL 第 2 版。依預設會停用此項。
- SSL Version 2 Ciphers。列示此密碼組內的所有密碼。透過核取或取消核取方塊可為正在編輯的偵聽通訊端選取您希望啟用的密碼。將取消核取預設的版本。
- SSL Version 3。啟用或停用 SSL 第 3 版。依預設會啟用此項。
- TLS。啟用或停用 TLS (用於加密通訊的傳輸層安全協定)。依預設會啟用此項。
- TLS Rollback。啟用或停用 TLS 回復。請注意,停用 TLS 回復將導致連線易遭受版本回復攻擊。依預設會啟用此項。
- SSL Version 3 and TLS Ciphers。列示此密碼組內的所有密碼。透過核取或取消核取方塊可為正在編輯的偵聽通訊端選取您希望啟用的密碼。將核取預設的版本。
- Advanced
- 按一下 [OK]。
- 按一下 [Restart Required]。將顯示 [Apply Changes] 頁面。
- 按一下 [Restart Proxy Server] 按鈕以套用變更。
刪除偵聽通訊端
刪除偵聽通訊端
MIME 類型多用途網際網路郵件延伸 (MIME) 類型是多媒體電子郵件和訊息傳送的標準。為了您能夠依 MIME 類型篩選檔案,代理伺服器會提供一個頁面,讓您建立用於伺服器的新 MIME 類型。代理伺服器會將新類型增加到 mime.types 檔案中。如需有關依 MIME 類型封鎖檔案的更多資訊,請參閱依 MIME 類型篩選。
本節包含以下主題:
建立新的 MIME 類型
建立 MIME 類型
- 存取 Server Manager,然後按一下 [Preferences] 標籤。
- 按一下 [Create/Edit MIME Types] 連結。將出現 [Create/Edit MIME Types] 頁面,顯示代理伺服器的 mime.types 檔案中列出的所有 MIME 類型。
- 從下拉式清單中指定 MIME 類型的種類。可以是 type、enc 或 lang,其中 type 為檔案或應用程式類型,enc 為用於壓縮的編碼,lang 則為語言編碼。如需有關種類的更多資訊,請參閱線上說明。
- 指定將出現在 HTTP 標頭中的內容類型。
- 指定檔案字尾。「檔案字尾」是指與 MIME 類型對應的副檔名。若要指定一個以上的副檔名,請以逗號分隔各項目。副檔名必須是唯一的。也就是說,不要將一個副檔名對映至兩個 MIME 類型。
- 按一下 [New] 按鈕增加 MIME 類型。
編輯 MIME 類型
編輯 MIME 類型
移除 MIME 類型
移除 MIME 類型
管理存取控制[Administer Access Control] 頁面可讓您管理存取控制清單 (ACL)。ACL 用於控制哪些用戶端可以存取您的伺服器。ACL 可以篩選出特定的使用者、群組或主機,以允許或拒絕對部分伺服器的存取,並且可以設定認證,以只允許有效的使用者和群組存取部分伺服器。如需有關存取控制的更多資訊,請參閱控制對伺服器的存取。
管理存取控制清單
- 存取 Server Manager,然後按一下 [Preferences] 標籤。
- 按一下 [Administer Access Control] 連結。將顯示 [Administer Access Control] 頁面。
- 挑選一個資源 (現有 ACL) 或是鍵入 ACL 名稱,然後按一下 [Edit] 按鈕。將顯示 [Access Control Rules for] 頁面。
- 依需要進行變更,然後按一下 [Submit]。如需有關存取控制的更多資訊,請參閱「設定伺服器實例的存取控制」,它位於控制對伺服器的存取。
配置 ACL 快取記憶體[Configure ACL Cache] 頁面可用來啟用或停用代理伺服器認證快取、設定代理伺服器認證快取目錄、配置快取表格大小,以及設定項目到期時間。
配置 ACL 快取
- 存取 Server Manager,然後按一下 [Preferences] 標籤。
- 按一下 [Configure ACL Cache] 連結。將顯示 [Configure ACL Cache] 頁面。
- 可以啟用或停用代理伺服器認證快取。
- 從 [Proxy Auth User Cache Size] 下拉式清單中選取使用者快取中的使用者數目。預設大小為 200。
- 從 [Proxy Auth Group Cache Size] 下拉式清單中選取可為單個 UID/快取項目快取的群組 ID 數目。預設大小為 4。
- 選取快取項目到期之前經過的秒數。每次參照快取記憶體中的某個項目時,都將根據此值計算並檢查其存在時間。如果此項目的生命週期大於或等於 [Proxy Auth Cache Expiration] 的值,則不會使用此項目。如果將此值設定為 0,則會關閉快取記憶體。
如果將其設定為一個較大的值,則對 LDAP 項目進行變更後需要重新啟動 Proxy Server。例如,如果將此值設定為 120 秒,則在長達兩分鐘的時間內,Proxy Server 可能會與 LDAP 伺服器不同步。如果您的 LDAP 項目不太可能經常變更,則可使用較大的數值。預設到期時間值為 2 分鐘。
- 按一下 [OK]。
- 按一下 [Restart Required]。將顯示 [Apply Changes] 頁面。
- 按一下 [Restart Proxy Server] 按鈕以套用變更。
瞭解 DNS 快取Proxy Server 支援 DNS 快取,以降低代理伺服器在將 DNS 主機名稱解析為 IP 位址時執行 DNS 查找的次數。
配置 DNS 快取
[Configure DNS Cache] 頁面可用來啟用或停用 DNS 快取、設定 DNS 快取大小、設定 DNS 快取項目到期時間,以及啟用或停用負向 DNS 快取。
配置 DNS 快取
- 存取 Server Manager,然後按一下 [Preferences] 標籤。
- 按一下 [Configure DNS Cache] 連結。將顯示 [Configure DNS Cache] 頁面。
- 可啟用或停用 DNS 快取。
- 從 [DNS Cache Size] 下拉式清單中選取可儲存在 DNS 快取記憶體內的項目數。預設大小為 1024。
- 可以設定 DNS 快取到期時間。Proxy Server 會在達到預定的到期時間時,清除快取記憶體中的 DNS 快取項目。預設 DNS 到期時間為 120 分鐘。
- 可以啟用或停用在找不到主機名稱時對錯誤的快取。
- 按一下 [OK]。
- 按一下 [Restart Required]。將顯示 [Apply Changes] 頁面。
- 按一下 [Restart Proxy Server] 按鈕以套用變更。
配置 DNS 子網域某些 URL 包含附帶許多子網域層級的主機名稱。如果第一個 DNS 伺服器無法解析主機名稱,Proxy Server 可能要花很長時間來進行 DNS 檢查。可以設定 Proxy Server 在將 [host not found] 訊息傳回用戶端之前要檢查的層級數。
例如,如果用戶端請求 http://www.sj.ca.example.com/index.html,代理伺服器可能需要花很長的時間將此主機解析成 IP 位址,因為它必須經過四台 DNS 伺服器才能取得主機電腦的 IP 位址。因為這些查找可能要花費很長的時間,所以您可以適當配置代理伺服器,使其在必須使用的 DNS 伺服器超過一定數量時放棄查找 IP 位址。
設定代理伺服器遍歷的子網域層級數
配置 HTTP 持續作用功能[Configure HTTP Client] 頁面可用來在 Proxy Server 上啟用持續作用功能。
代理伺服器支援 HTTP 持續作用資料封包。依預設,代理伺服器不會使用持續作用連線,但對某些系統而言,使用持續作用功能可提高代理伺服器的效能。持續作用是一項 TCP/IP 功能,可在請求完成後使連線保持可用狀態,以便用戶端可以很快地重複使用可用的連線。
在 Web 上的一般主從式作業事件中,請求多份文件的用戶端可能會多次連線至伺服器。例如,如果用戶端請求含有幾個圖形影像的網頁,則用戶端需要針對每個圖形檔案分別發出請求。重新建立連線是很耗時的。
配置 HTTP 持續作用功能
- 存取 Server Manager,然後按一下 [Preferences] 標籤。
- 按一下 [Configure HTTP Client] 連結。將顯示 [Configure HTTP Client] 頁面。
- 從下拉式清單中選取一個資源。選取 HTTP 或 HTTPS 資源以在 Proxy Server 上配置持續作用,或指定常規表示式。
- 按一下對應的「持續作用」選項,以指定 HTTP 用戶端是否應使用永久性連線。
- 在 [Keep Alive Timeout] 欄位中指定使永久性連線保持可用狀態的最大秒數。預設值為 29。
- 選取對應的 [Persistent Connection Reuse] 選項,以指定 HTTP 用戶端是否可對所有類型的請求重複使用現有的永久性連線。預設值為 [off],既不允許對非 GET 請求或帶有內文的請求重複使用永久性連線。
- 在 [HTTP Version String] 欄位中指定 HTTP 通訊協定版本字串。除非遇到特定的通訊協定互通性問題,否則不應指定此參數。
- 在 [Proxy Agent Header] 欄位中指定 Proxy Server 產品名稱和版本。
- 在 [SSL Client Certificate Nickname] 欄位中指定要向遠端伺服器出示的用戶端憑證暱稱。
- 選取對應的 [SSL Server Certificate Validation] 選項,以指定 Proxy Server 是否必須驗證由遠端伺服器出示的憑證。
- 按一下 [OK]。
- 按一下 [Restart Required]。將顯示 [Apply Changes] 頁面。
- 按一下 [Restart Proxy Server] 按鈕以套用變更。