Sun Java System Portal Server 6 Secure Remote Access 管理指南 2004Q2 |
第 2 章
网关本章介绍顺利运行网关所需的网关相关概念及信息。有关配置网关的信息,请参阅第 9 章,“配置网关”。
本章包括以下主题:
网关概述网关在源自 Internet 与公司内联网的远程用户会话之间提供界面和安全屏障。网关可通过单个接口将来自内联网服务器和应用程序服务器的内容安全地呈现给远程用户。
创建网关配置文件网关配置文件含有与网关配置相关的所有信息,诸如网关侦听所在端口、SSL 选项及代理选项。
安装网关时,如果选择缺省值,就会创建一个名为“default”的缺省网关配置文件。与缺省配置文件相对应的配置文件位于:
/etc/opt/SUNWps/platform.conf.default
其中 /etc/opt/SUNWps 是所有 platform.conf.* 文件的缺省位置。
有关 platform.conf 文件内容的详细信息,请参阅了解 platform.conf 文件。
您可以:
创建网关配置文件
- 以管理员身份登录到 Sun Java System Identity Server 管理控制台。
- 选择“服务配置”选项卡。
- 单击“SRA 配置”下网关旁边的箭头。
网关页出现在右侧窗格中。
- 单击“新建”。
显示“创建新网关配置文件”页。
- 输入新网关配置文件的名称。
- 从下拉列表中选择用于创建新配置文件的配置文件。
缺省情况下,您创建的任何新配置文件都基于预封装的缺省配置文件。如果已创建一个自定义配置文件,则可以从下拉列表中选择该配置文件。新配置文件会继承所选配置文件的全部属性。
- 单击“创建”。
新配置文件创建完成并返回到网关页,该页将列出新配置文件。
- 如果要使更改生效,请重新启动使用此网关配置文件名的网关:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
要配置网关,请参阅第 9 章,“配置网关”。
了解 platform.conf 文件缺省情况下,platform.conf 文件位于:
/etc/opt/SUNWps
platform.conf 文件包含网关所需要的详细信息。本部分提供了一个 platform.conf 文件示例,并且描述了所有条目。
在配置文件中包含所有机器特定细节的优势在于:一个通用的配置文件可以被多个机器上运行的各个网关共享。
示例如下:
#
# Copyright 11/28/00 Sun Microsystems, Inc. All Rights Reserved.
# "@(#)platform.conf 1.38 00/11/28 Sun Microsystems"
#
gateway.user=noaccess
gateway.jdk.dir=/usr/java_1.3.1_06
gateway.dsame.agent=http://pserv2.iportal.com:8080/sunportal/RemoteConfigServlet
portal.server.protocol=http
portal.server.host=pserv2.iportal.com
portal.server.port=8080
gateway.protocol=https
gateway.host=siroe.india.sun.com
gateway.port=333
gateway.trust_all_server_certs=true
gateway.trust_all_server_cert_domains=false
gateway.virtualhost=siroe1.india.sun.com 10.13.147.81
gateway.virtualhost.defaultOrg=o=root,dc=test,dc=com
gateway.notification.url=/notification
gateway.retries=6
gateway.debug=error
gateway.debug.dir=/var/opt/SUNWps/debug
gateway.logdelimiter=&&
gateway.external.ip=10.12.147.71
gateway.certdir=/etc/opt/SUNWps/cert/portal
gateway.allow.client.caching=true
gateway.userProfile.cacheSize=1024
gateway.userProfile.cacheSleepTime=60000
gateway.userProfile.cacheCleanupTime=300000
gateway.bindipaddress=10.12.147.71
gateway.sockretries=3
gateway.enable.accelerator=false
gateway.enable.customurl=false
gateway.httpurl=http://siroe.india.sun.com
gateway.httpsurl=https://siroe.india.sun.com
gateway.favicon=https://siroe.india.sun.com
gateway.logging.password=ALKJDF123SFLKJJSDFU
portal.server.instance=
gateway.cdm.cacheSleepTime
gateway.cdm.cacheCleanUpTime
表 2-1 列出并介绍了 platform.conf 文件中的所有字段。
运行 chroot 环境中的网关要在 chroot 环境中提供高安全性,必须使 chroot 目录内容尽可能小。例如,如果存在任何允许用户修改 chroot 目录下文件的程序,则 chroot 将不会阻止攻击者修改服务器 chroot 目录树下的文件。不应当用解释性语言(如 bourne shell、c-shell、korn shell 或 perl 等)编写 CGI 程序,而应使用编译的二进制代码,这样就不需要将解释程序放在 chroot 目录树下。
安装 chroot
- 在终端窗口中,以 root 用户身份将下列文件复制到外部源中,例如网络中的计算机、备份磁带或软盘。
cp /etc/vfstab external-device
cp /etc/nsswitch.conf external-device
cp /etc/hosts external-device
- 在以下目录中运行 mkchroot 脚本:
portal-server-install-root/SUNWps/bin/chroot
注意
执行开始后,不能通过按 Ctrl-C 来中断 mkchroot 脚本的执行。
如果执行 mkchroot 脚本期间出现错误事件,请参阅 mkchroot 脚本执行失败。
系统会提示您使用不同的根目录 (new_root_directory)。该脚本将创建新目录。
在下面的示例中,/safedir/chroot 就是 new_root_directory。
- 使用以下命令将在 platform.conf 文件中提及的 Java 目录手动安装到 chroot 目录:
mkdir -p /safedir/chroot/java-dir
mount -F lofs java-dir /safedir/chroot/java-dir
对于 Solaris 9,请执行以下命令:
mkdir -p /safedir/chroot/usr/lib/32
mount -F lofs /usr/lib/32 /safedir/chroot/usr/lib/32
mkdir -p /safedir/chroot/usr/lib/64
mount -F lofs /usr/lib/64 /safedir/chroot/usr/lib/64
要在系统启动时安装该目录,请在 /etc/vfstab 文件中添加相应的条目:
java-dir - /safedir/chroot/java-dir lofs - no -
对于 Solaris 9:
/usr/lib/32 - /safedir/chroot/usr/lib/32 lofs - no -
/usr/lib/64 - /safedir/chroot/usr/lib/64 lofs - no -
- 键入下面的命令以重新启动网关:
mkchroot 脚本执行失败
如果执行 mkchroot 脚本期间出现错误事件,该脚本会将文件恢复至其初始状态。
在以下示例中,/safedir/chroot 就是 chroot 目录。
如果收到以下错误消息:
不是一次干净的退出
- 请将在安装 chroot 过程的步骤 1 中所备份的文件复制到其原始位置,并执行以下命令:
umount /safedir/chroot/usr/java1.2
umount /safedir/chroot/proc
umount /safedir/chroot/dev/random
- 删除 /safedir/chroot 目录。
在 chroot 环境重新启动网关只要重新启动网关机器,就请按照以下步骤在 chroot 环境中启动网关。
在 chroot 环境中重新启动网关
创建网关的多个实例使用 gwmultiinstance 脚本创建网关的新实例。最好在创建网关配置文件之后再运行该脚本。
- 以 root 用户身份登录并导航到以下目录:
gateway-install-root/SUNWps/bin/
- 运行多实例脚本:
./gwmultiinstance
- 选择以下一个安装选项:
1)创建新网关实例
2)删除网关实例
3)删除所有网关实例
4)退出
如果选择 1,请回答以下问题:
新网关实例的名称是什么?
新网关实例将使用什么协议?[https]
新网关实例将监听哪个端口?
Portal Server 的全限定主机名是什么?
应当使用哪个端口访问 Portal Server?
应当使用哪个协议访问 Portal Server?[http]
Portal Server 部署 URI 是什么?
组织 DN 是什么?[dc=iportal,dc=com]
Identity Server URI 是什么?[/amserver]
Identity Server 口令加密密钥是什么?
请提供下列创建自签名证书所需的信息:
您的组织名是什么?
您的部门名是什么?
您所在的城市名或地区名是什么?
您所在州名或省名是什么?
两字母国家代码是什么?
“证书数据库”的口令是什么?重试吗?
登录用户的口令是什么?重试吗?
是否已在管理控制台创建新的网关配置文件?[y]/n
安装后启动网关吗?[y]/n
- 启动使用新网关配置文件名的新网关实例。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
其中,gateway-profile-name 是新的网关实例。
除创建网关配置文件之外,还应在 /etc/opt/SUNWam/config 目录中创建 AMConfig-.instance-name.properties 文件。
如果 platform.conf 文件中存在 portal.server.instance 属性,则网关会读取相应的 AMConfig-instance-name.properties 文件。如果 platform.conf 文件中不存在 portal.server.instance 属性,则网关会读取缺省 AMConfig 文件 (AMConfig.properties)。
创建多宿主网关实例
如果您要创建多宿主网关实例(即一个 Portal Server 上多个网关),则必须按以下方式修改 platform.conf 文件:
gatewaybindipaddress = 0.0.0.0
使用同一 LDAP 创建网关实例
如果您要创建使用同一 LDAP 的多个网关实例,请在创建第一个网关之后,在所有后续网关上执行以下操作:
在 /etc/opt/SUNWam/config/ 中,修改 AMConfig-instance-name.properties 中的以下内容,以便与安装的第一个网关实例同步:
- 使用与第一个网关相同的字符串替换用于加密和解密口令的密钥。
am.encryption.pwd= string_key_specified_in gateway-install
- 替换应用程序验证模块的共享密钥
com.iplanet.am.service.secret= string_key_specified_in gateway-install
- 在 /etc/opt/SUNWam/config/ums 中,修改 serverconfig.xml 文件中的以下内容,以便与安装的第一个 Portal-Identity Server 实例同步:
<DirDN> cn=puser,ou=DSAME Users,dc=sun,dc=net</DirDN>
<DirPassword>string_key_specified_in gateway-install</DirPassword>
<DirDN>cn=dsameuser,ou=DSAME Users,dc=sun,dc=net</DirDN>
<DirPassword>string_key_specified_in gateway-install </DirPassword>
- 重新启动 amserver 服务。
启动和停止网关缺省情况下,网关以用户 noaccess 启动。
启动网关
- 安装网关并创建所需的配置文件之后,请运行下面的命令启动网关:
gateway-install-root/SUNWps/bin/gateway -n default start
default 为安装期间所创建的缺省网关配置文件。可在以后创建自己的配置文件,然后用新的配置文件重新启动网关。请参阅创建网关配置文件。
如果有多个网关实例,请使用:
gateway-install-root/SUNWps/bin/gateway start
此命令可启动在该特定机器上配置的所有网关实例。
停止网关
重新启动网关通常,您无需重新启动网关。仅当发生以下任何事件时,才需要重新启动网关:
用不同的配置文件重新启动网关
重新启动网关:
gateway-install-root/SUNWps/bin/gateway -n new-gateway-profile-name start
重新启动网关
在终端窗口中,以超级用户 (root) 身份连接并执行以下步骤之一:
配置网关监视器
可以配置监视器监控网关状态的时间间隔。该时间间隔缺省设置为 60 秒。要更改时间间隔,请在 crontab 中编辑以下行:
0-59 * * * * gateway-install-root/SUNWps/bin/
/var/opt/SUNWps/.gw.5 > /dev/null 2>&1
请参阅 crontab 的手册页以便配置 crontab 条目。
指定虚拟主机虚拟主机是一个指向同一机器 IP 和主机名的附加主机名。例如,如果某一主机名 a.b.c 指向主机 IP 地址 192.155.205.133,则您可以添加指向同一 IP 地址的另一主机名 c.d.e。
指定虚拟主机
- 以 root 用户身份登录并编辑所需网关实例的 platform.conf 文件:
/etc/opt/SUNWps/platform.conf.gateway-profile-name
- 添加下列条目:
gateway.virtualhost=fully-qualified-gateway-host gateway-ip-address fully- qualified-reverse-proxyhost
gateway.enable.customurl=true (该值缺省设置为 false。)
- 重新启动网关:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
如果未指定这些值,则网关将设置为缺省值。
指定联系 Identity Server 的代理您可以指定一个主机代理,网关将使用它联系 Portal Server 上部署的“SRA 核心”(RemoteConfigServlet)。网关使用此代理联系 Portal Server 和 Identity Server。
指定代理
使用网络代理使用第三方的网络代理,可配置用于联系 HTTP 资源的网关。网络代理位于客户机和 Internet 之间。
网络代理配置
不同的代理可能用于不同的域和子域。这些条目告诉网关使用哪个代理去联系特定域中的特定子域。在网关中指定的代理配置具有如下功能:
有关配置域和子域代理的信息,请参阅创建域和子域代理列表。
要配置“使用代理”选项,请参阅启用“使用网络代理”。
图 2-1 显示基于网关服务中的代理配置来分析网络代理信息的方法。
图 2-1 网络代理管理
在图 2-1 中,如果启用“使用代理”,并且请求的 URL 在“不可使用 Webproxy URL”列表中列出,则网关直接连接到目标主机。
如果启用“使用代理”,并且请求的 URL 未在“不可使用 Webproxy URL”列表中列出,则网关通过指定的代理连接到目标主机。如果已经指定代理,则可以在“域和子域代理”列表中查寻。
如果禁用“使用代理”,并且请求的 URL 在“使用 Webproxy URL”列表中列出,则网关使用在“域和子域代理”列表中的代理信息连接到目标主机。
如果禁用“使用代理”,并且请求的 URL 未在“使用 Webproxy URL”列表中列出,则网关直接连接到目标主机。
如果上述条件都无法满足,则不可能进行直接连接,网关显示一条错误信息,说明不可能进行连接。
语法
domainname [web_proxy1:port1]|subdomain1 [web_proxy2:port2]|......
示例
sesta.com wp1:8080|red wp2:8080|yellow|* wp3:8080
* 是一个匹配任何内容的通配符
其中:
sesta.com 是域名而 wp1 是在端口 8080 上用于联系的代理。
red 是子域而 wp2 是在端口 8080 上用于联系的代理。
yellow 是子域。由于没有指定代理,因此使用为域指定的代理,即端口 8080 上的 wp1。
* 指示对于所有其他子域端口 8080 上都需要使用 wp3。
处理网络代理信息
当客户机试图访问一个特定 URL 时,系统使用“域和子域代理”列表中的条目匹配 URL 中的主机名。要考虑与所请求主机名的最长后缀相匹配的条目。例如,考虑所请求的主机名是 host1.sesta.com
考虑以下“域和子域代理”列表中的条目:
com p1| host1 p2 | host2 | * p3
sesta.com p4 | host5 p5 | * p6
florizon.com | host6
abc.sesta.com p8 | host7 p7 | host8 p8 | * p9
host6.florizon.com p10
host9.sesta.com p11
siroe.com | host12 p12 | host13 p13 | host14 | * p14
siroe.com | host15 p15 | host16 | * p16
* p17
网关在内部将这些条目映射到如表 2-2 所显示的表中。
表 2-2 域和子域代理列表中条目的映射
数量
域和子域代理列表中的条目
代理
说明
1
com
p1
如列表中指定。
2
host1.com
p2
如列表中指定。
3
host2.com
p1
由于没有为 host2 指定代理,因此使用域的代理。
4
*.com
p3
如列表中指定。
5
sesta.com
p4
如列表中指定。
6
host5.sesta.com
p5
如列表中指定。
7
*.sesta.com
p6
如列表中指定。
8
florizon.com
直接
有关详细信息,请参阅条目 14 的说明。
9
host6.florizon.com
-
有关详细信息,请参阅条目 14 的说明。
10
abc.sesta.com
p8
如列表中指定。
11
host7.abc.sesta.com
p7
如列表中指定。
12
host8.abc.sesta.com
p8
如列表中指定。
13
*.abc.sesta.com
p9
如列表中指定。对于所有主机(在 abc.sesta.com 域下面的 host7 和 host8 除外),使用 p9 作为代理。
14
host6.florizon.com
p10
此条目与条目 9 相同。条目 9 指示直接连接,但是此条目指示应当使用代理 p10。在有两种条目的情况下(例如此项),具有代理信息的条目被认为是有效的条目。另一个条目将被忽略。
15
host9.sesta.com
p11
如列表中指定。
16
siroe.com
直接
由于没有为 siroe.com 指定代理,因此尝试执行直接连接。
17
host12.siroe.com
p12
如列表中指定。
18
host13.siroe.com
p13
如列表中指定。
19
host14.siroe.com
直接
由于没有为 host14 或 siroe.com 指定代理,因此尝试执行直接连接。
20
*.siroe.com
p14
请参阅表项 23 的说明。
21
host15.siroe.com
p15
如列表中指定。
22
host16.siroe.com
直接
由于没有为 host16 或 siroe.com 指定代理,因此尝试执行直接连接。
23
*.siroe.com
p16
这类似于表项 20。但是指定的代理却不同。在此情况下,无法知道网关的确切行为。可使用两个代理中的任意一个。
24
*
p17
如果没有其他条目与所请求的 URL 匹配,则使用 p17 作为代理。
注意
与其使用符号 | 分开“域和子域代理”列表中的代理条目,在列表中拥有单独的条目也许更简单一些。例如,不使用一个条目:
sesta.com p1 | red p2 | * p3
可以将其指定为:
sesta.com p1
red.sesta.com p2
*.sesta.com p3
这更容易捕获重复的条目和任何其他多义条目。
基于域和子域代理列表进行重写
“重写器”也使用“域和子域代理”列表中的条目。重写器重写所有 URL(它们的域与“域和子域代理”列表中列出的域相匹配)。
警告
不会考虑重写“域和子域代理”列表中的 * 条目。例如,在表 2-2 所提供的示例中,条目 24 就不会被考虑。
有关重写器的信息,请参阅第 3 章,“Proxylet 和重写器”。
默认域和子域
当 URL 中的目标主机不是全限定主机名时,缺省的域和子域将用于到达全限定名。
假设管理控制台的“缺省域”字段中的值是:
red.sesta.com
在上面的示例中,sesta.com 是缺省域而缺省子域是 red。
如果请求的 URL 是 host1,则使用缺省的域和子域将该 URL 解析至 host1.red.sesta.com。随后在“域和子域代理”列表中查寻 host1.red.sesta.com。
使用自动代理配置要忽略“域和子域代理”列表中的信息,请启用“自动代理配置”功能。要配置该功能,请参阅启用自动代理配置支持。
当使用“代理自动配置”(PAC) 文件时,请注意以下各项:
- js.jar 必须位于网关机器上的 $JRE_HOME/lib/ext 目录中,否则网关将不能分析 PAC 文件。
- 启动时,网关从网关配置文件“自动代理配置文件”位置字段中所指定的位置获取 PAC 文件。要配置位置,请参阅指定自动代理配置文件位置。
- Portal Server、网关、Netlet、Proxylet 和 Jchardet 使用 Rhino 软件分析 PAC 文件。您可以从 SUNWrhino 软件包安装该软件。
如果要网关使用直接到主机的连接,将返回“DIRECT”。请参阅返回 DIRECT 或 NULL 的示例。
- 当指定多个代理时,网关仅使用返回的第一个代理。它不会在为主机指定的各个代理中尝试执行故障切换或负载平衡。
- 网关忽略 SOCKS 代理并且尝试直接连接,并假设主机是内联网的一部分。
- 要指定用于到达任何不属于内联网的主机的代理,请使用代理类型“STARPROXY”。这是 PAC 文件格式的扩展,类似于网关配置文件的“域和子域代理”节中的条目 * proxyHost:port。请参阅返回 STARPROXY 的示例
PAC 文件用法示例
以下示例显示在“域和子域代理”列表中列出的 URL 及相应的 PAC 文件。
返回 DIRECT 或 NULL 的示例
使用这些域和子域代理:
*intranet1.com proxy.intranet.com:8080
intranet2.com proxy.intranet1.com:8080
相应的 PAC 文件是:
// Start of the PAC File
function FindProxyForURL(url, host) {
if (dnsDomainIs(host, ".intranet1.com")) {
return "DIRECT";
}
if (dnsDomainIs(host, ".intranet2.com")) {
return "PROXY proxy.intranet1.com:8080";
}
return "NULL";
}
//End of the PAC File
返回 STARPROXY 的示例
使用这些域和子域代理:
相应的 PAC 文件是:
// Start of the PAC File
function FindProxyForURL(url, host) {
if (dnsDomainIs(host, ".intranet1.com")) {
return "DIRECT";
}
if (dnsDomainIs(host, ".intranet2.com")) {
return "PROXY proxy.intranet1.com:8080;" +
"PROXY proxy1.intranet1.com:8080";
}
return "STARPROXY internetproxy.intranet1.com:80";
}
//End of the PAC File
在此情况中,如果请求用于 .intranet2.com 域中的主机,则网关将联系 proxy.intranet1.com:8080。如果 proxy.intranet1.com:8080 关机,则请求将失败。网关将不会执行故障切换并联系 proxy1.intranet1.com:8080。
使用 Netlet 代理Netlet 信息包在网关处解码并被发送至目标服务器。然而,网关需要通过隔离区 (DMZ) 和内联网之间的防火墙,才能访问所有的 Netlet 目标主机。这需要在防火墙处打开许多端口。Netlet 代理可于将防火墙中打开的端口数量降至最低。
Netlet 代理通过延展客户机至网关最终至内联网中的 Netlet 代理之间的安全通道,从而增强了网关和内联网之间的安全性。通过使用代理,Netlet 信息包将被代理解码然后发送到目标服务器地。
由于以下原因,Netlet 代理非常有用:
- 添加了额外的安全层。
- 在大规模的部署环境中,通过内部防火墙最小化了来自网关的额外 IP 地址和端口的使用。
- 将网关和 Portal Server 之间的打开端口数限制为 1。该端口数可以在安装期间配置。
- 扩展了客户机和网关之间的安全通道,直到如在图 2-2 的“使用配置的 Netlet 代理”部分中所显示的 Portal Server。通过数据加密 Netlet 代理提供的安全性得到改善,但是可能会增加系统资源的使用量。有关安装 Netlet 代理的信息,请参阅《Sun Java Enterprise System 安装指南》。
您可以:
- 选择在 Portal Server 节点或在单独的节点上安装 Netlet 代理。
- 使用管理控制台安装多个 Netlet 代理并且为单个网关配置这些代理。这有利于负载平衡。有关详细信息,请参阅启用和创建Netlet 代理列表。
- 在单个机器上配置 Netlet 代理的多个实例。
- 将多个网关实例指向单个安装的 Netlet 代理。
- 通过网络代理开通 Netlet 通道。要配置该功能,请参阅通过网络代理启用 Netlet 隧穿。
图 2-2 显示三个实现示例:网关以及安装和未安装 Netlet 代理的 Portal Server。组件包括一台客户机、两个防火墙、驻留在两个防火墙之间的网关、Portal Server 和 Netlet 目标服务器。
第一种方案显示网关和未安装 Netlet 代理的 Portal Server。在此方案中,数据加密仅从客户机扩展至网关。对于每个 Netlet 连接请求,都会在第二个防火墙中打开一个端口。
第二种方案显示网关和 Portal Server,此时在 Portal Server 上安装了 Netlet 代理。在此情况下,数据加密从客户机一直扩展到 Portal Server。由于所有 Netlet 连接都通过 Netlet 代理路由,因此在第二个防火墙中仅需为 Netlet 请求打开一个端口。
第三种方案显示网关和 Portal Server,以及在单独节点上安装的 Netlet 代理。在单独节点上安装 Netlet 代理将减少 Portal Server 节点上的负载。在此方案中,仅需在第二个防火墙中打开两个端口。一个端口将请求送至 Portal Server,另一个端口将 Netlet 请求发送至 Netlet 代理服务器。
图 2-2 Netlet 代理的实现
创建 Netlet 代理的实例
使用 nlpmultiinstance 脚本在 Portal Server 节点或单独节点上创建新的 Netlet 代理实例。最好在创建网关配置文件之后再运行该脚本:
启用 Netlet 代理
通过 Identity Server 管理控制台中“SRA 配置”下的网关服务可启用 Netlet 代理。请参阅启用和创建Netlet 代理列表。
重新启动 Netlet 代理
可将 Netlet 代理配置为只要代理被意外终止就重新启动。可以计划一个监视器进程时间表来监控 Netlet 代理,只要它停止运行就重新启动。
也可以手动重新启动 Netlet 代理。
重新启动 Netlet 代理
在终端窗口中,以 root 用户身份连接并执行以下步骤之一:
配置 Netlet 代理监视器
可以配置监视器监控 Netlet 代理状态的时间间隔。该时间间隔缺省设置为 60 秒。要执行此配置,请在 crontab 中编辑下列行:
0-59 * * * * netlet-install-dir/bin/checkgw /var/opt/SUNWps/.gw 5 > /dev/null 2>&1
使用重写器代理重写器代理安装于内联网中。网关会将所有请求转发至网关,“重写器”代理将获取内并将内容返回至网关,网关不会直接尝试检索内容。
使用“重写器”代理有两个优点:
如果未指定“重写器”代理,那么当用户试图访问内联网中一台计算机时,网关组件将会直接连接到内联网计算机。
如果您将“重写器”代理用作负载平衡器,请确保“重写器”的 platform.conf.instance_name 指向负载平衡器的 URL。同时要确保 Portal Server 列表中已指定负载平衡器主机。
如果您的每个网关实例有多个“重写器”代理实例(无需在门户节点上)。在 platform.conf 中,无需为“重写器”代理设置单个端口条目,而是采用 host-name:port 的形式输入每个“重写器”代理的详细信息。
创建重写器代理的实例
使用 rwpmultiinstance 脚本在 Portal Server 节点上创建新的“重写器”代理实例。最好在创建网关配置文件之后再运行该脚本。
启用重写器代理
在 Identity Server 管理控制台中,通过“SRA 配置”下的网关服务启用“重写器”代理。请参阅启用和创建重写器代理列表。
重新启动重写器代理
可以将“重写器”代理配置为只要代理被意外终止就重新启动。可以计划一个监视器进程时间表来监控“重写器”代理,只要它停止运行就重新启动。
也可以手动重新启动“重写器”代理。
重新启动重写器代理
在终端窗口中,以 root 用户身份连接并执行以下步骤之一:
配置重写器代理监视器
可以配置监视器监控“重写器”代理状态的时间间隔。该时间间隔缺省设置为 60 秒。要执行此配置,请在 crontab 中编辑下列行:
0-59 * * * * rewriter-proxy-install-root/bin/checkgw /var/opt/SUNWps/.gw 5 > /dev/null 2>&1
与网关一起使用反向代理代理服务器将 Internet 内容传送至内联网,而反向代理将内联网内容传送至 Internet。可将反向代理的部署配置为传送 Internet 内容,以实现负载平衡和高速缓存。
启用反向代理
- 以 root 用户身份登录并编辑所需网关实例的 platform.conf 文件:
/etc/opt/SUNWps/platform.conf.gateway-profile-name
- 添加下列条目:
gateway.virtualhost=fully-qualified-gateway-host gateway-ip-address fully- qualified-reverse-proxyhost
gateway.enable.customurl=true (该值缺省设置为 false。)
gateway.httpurl=http reverse-proxy-URL
gateway.httpsurl=https reverse-proxy-URL
gateway.httpurl 将用于重写对在某端口所接收请求的响应,该端口在网关配置文件中列为 HTTP 端口。
gateway.httpsurl 将用于重写对在某端口所接收请求的响应,该端口在网关配置文件中列为 HTTPS 端口。
- 重新启动网关:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
如果未指定这些值,则网关将设置为缺省值。
获取客户机信息当网关将客户机请求转发至任何内部服务器时,它将 HTTP 报头添加到 HTTP 请求中。可以使用这些报头来获取额外的客户机信息并检测网关是否存在。
要查看 HTTP 请求报头,请将 platform.conf 文件中的条目设置为 gateway.error=message,然后使用来自 servlet API 的 request.getHeader()。下表列出了 HTTP 报头中的信息
表 2-3 HTTP 报头中的信息
报头
语法
说明
PS-GW-PDC
X-PS-GW- PDC:true/false
指示是否已在网关启用 PDC。
PS-Netlet
X-PS-Netlet:enabled=true/false
指示网关是否已启用或禁用 Netlet。
如果已启用,则加密选项被填充,指示网关是以 HTTPS (encryption=ssl) 模式运行还是以 HTTP 模式 (encryption=plain) 运行
例如:
PS-Netlet:enabled=false
Netlet 已禁用。
PS-Netlet:enabled=true; encryption=ssl
Netlet 已启用,网关以 SSL 模式运行。
当未启用 Netlet 时,encryption=ssl/plain 不会被填充。
PS-GW-URL
X-PS-GW-URL:http(s)://gatewayURL(:port)
指示客户机连接的 URL。
如果它是非标准端口(即网关处于 HTTP/HTTPS 模式而端口不是 80/443),则 ":port" 也被填充。
PS-GW-Rewriting-URL
X-PS-GW-URL:http(s)://gatewayURL(:port)/[SessionInfo]
指示网关将全部页重写至的 URL。
1.当浏览器支持 cookie 时,该报头的值与 PS-GW-URL 报头相同。
2.当浏览器不支持 cookie 时:
注意:作为响应的一部分,如果用户的 Identity Server 的 sessionId 发生变化(就像来自验证页的响应一样),则使用该值重新写入页(而不是先前在报头中所指示的值)。
例如:
PS-GW-Rewriting-URL:https://siroe.india.sun.com:10443/
PS-GW-Rewriting-URL:https://siroe.india.sun.com:10443/SessIDValCustomEncodedValue/
PS-GW-Rewriting-URL:https://siroe.india.sun.com:10443/$SessionID
PS-GW-CLientIP
X-PS-GW-CLientIP:IP
这是网关从 recievedSocket.getInetAddress().getHostAddress() 获取的 IP。
如果客户机直接连接至网关,这可提供客户机的 IP。
注意:由于 JSS/NSS 的错误,该功能目前尚不可用。
使用验证链验证链在整个常规验证机制中提供了高级别安全。可用多个验证机制验证用户。
这里所描述的过程仅用于在网关同时启用验证链和“个人数字证书”(PDC) 验证。有关在网关启用验证链(但不启用 PDC 验证)的信息,请参阅《Identity Server 管理指南》。
例如,如果您将 PDC、Unix 和 Radius 验证模块链接在一起,用户则将不得不通过全部三个模块的验证以便访问标准“门户桌面”。
向现有 PDC 实例添加验证模块
- 以管理员身份登录到 Identity Server 管理控制台。
- 选择所需的组织。
- 在“查看”下拉菜单中选择“服务”。
服务显示在左侧窗格中。
- 单击“验证配置”旁的箭头。
显示“服务实例列表”。
- 单击 gatewaypdc。
显示 Gatewaypdc 特性页。
- 单击“验证配置”前的“编辑”。
显示“添加模块”。
- 选择“模块名称”并将“标志”设置为“必填”。选项可以为空。
- 单击“确定”。
- 添加一个或多个模块之后,单击“保存”。
- 单击 gatewaypdc 特性页中的“保存”。
- 要使更改生效,需要重新启动网关:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
使用通配符证书通配符证书接受具有主机的全限定 DNS 名中通配符的单个证书。
这允许证书保护相同域内的多个主机。例如,*.domain.com 的证书可用于 abc.domain.com 和 abc1.domain.com。事实上,该证书对于 domain.com 域中的任何主机都有效。
您需要在全限定主机名中指定一个 *。例如,如果全限定主机名是 abc.florizon.com,则将其指定为 *.florizon.com。现在,生成的证书对 florizon.com 域中的所有主机名都有效。
禁用浏览器高速缓存由于网关组件为来自任何位置且仅使用网络浏览器的用户提供对后端公司数据的安全访问,因此可能必须禁止客户机在本地对信息进行高速缓存。
通过修改特定网关的 platform.conf 文件中的属性,可以禁止通过网关将重定向页存入高速缓存。
禁用该选项会影响网关性能。每当标准“门户桌面”被刷新,网关就必须检索该页所引用的所有内容,例如可能先前已经被浏览器高速缓存的图像。然而,通过启用该功能,远程访问安全内容将不会在客户端留下高速缓存的痕迹。如果从不受公司 IT 控制的网吧或类似的远程位置访问公司网络,这样做的价值有可能超过性能方面的蕴义。
禁用浏览器高速缓存
自定义网关服务用户界面本部分讨论可以编辑的各种属性文件。
srapGateway.properties 文件
您可以编辑该文件用于以下目的:
srapgwadminmsg.properties 文件
您可以出于以下目的编辑该文件:
使用联合管理“联合管理”允许用户汇总其本地标识以便他们能够拥有统一的网络标识。“联合管理”使用网络标识以允许用户在一个服务提供者的站点上登录,并访问其他服务提供者的站点而不必重新认证其标识。这称为单点登录。
在 Portal Server 上,可在开放模式和安全模式中配置联合管理。Portal Server 管理指南描述了如何在开放模式中配置联合管理。在用“安全远程访问”配置安全模式中的“联合”管理之前,请确保它工作于开放模式。如果要使用户既在开放模式中、又在安全模式中使用来自同一浏览器的“联合管理”,则他们必须清除 cookie 并从浏览器进行高速缓存。
有关“联合管理”的详细信息,请参阅 Identity Server Customization and API Guide。
联合管理方案
初始服务提供者对用户进行验证。服务提供者是提供网络服务的商业性或非盈利性组织。这一广泛的范畴可以包括网络门户、零售商、运输供应商、金融机构、娱乐公司、图书馆、高等院校和政府机构。
服务提供者使用 cookie 存储客户机浏览器中用户的会话信息。cookie 也包括用户的身份提供者。
身份提供者是专门提供验证服务的服务提供者。在管理验证服务的同时,他们也维护和管理标识信息。由身份提供者完成的验证将获得所有服务提供者的认可,而不管它属于哪个机构。
当用户试图访问不属于该身份提供者的服务时,身份提供者将 cookie 发往相应的服务提供者。该服务提供者随后可以访问在 cookie 中调用的身份提供者。
然而,不能跨越不同的 DNS 域读取 cookie。因此“通用域 Cookie 服务”被用于将服务提供者重定向到正确的身份提供者,从而启用用户的单点登录。
配置联合管理资源
可基于要配置内容所在的位置,在网关配置文件中配置联合资源、服务提供者、身份提供者和通用域 Cookie 服务(CDCS)。本部分介绍如何配置以下三种方案:
配置 1
在此配置中,服务提供者、身份提供者和“通用域 Cookie 服务”被部署在同一个公司内联网中并且不在 Internet“域名服务器”(DNS) 中发布身份提供者。CDCS 是可选的。
在此配置中,网关指向服务提供者 Portal Server。此配置对于多个 Portal Server 实例有效。
- 以管理员身份登录到 Identity Server 管理控制台。
- 在管理控制台中,选择“服务配置”选项卡。
- 单击“SRA 配置”下网关旁边的箭头。
显示网关页面。
- 单击需要设置属性的网关配置文件旁的“编辑...”。
会显示“编辑网关配置文件”页。
- 单击“核心”选项卡。
- 选中“启用 Cookie 管理”复选框以启用 cookie 管理。
- 滚动至 Portal Server 字段并输入 Portal Server 名,以便能够使用相对 URL,如在“非验证 URL”列表中列出的 /amserver 或 /portal/dt。例如:
http://idp-host:port/amserver/js
http://idp-host:port/amserver/UI/Login
http://idp-host:port/amserver/css
http://idp-host:port/amserver/SingleSignOnService
http://idp-host:port/amserver/UI/blank
http://idp-host:port/amserver/postLogin
http://idp-host:port/amserver/login_images
- 滚动到 Portal Server 字段,然后输入 Portal Server 名。例如 /amserver。
- 单击“保存”。
- 单击“安全”选项卡。
- 滚动至“非验证 URL”列表并添加“联合”资源。例如:
/amserver/config/federation
/amserver/IntersiteTransferService
/amserver/AssertionConsumerservice
/amserver/fed_images
/amserver/preLogin
/portal/dt
- 单击“添加”。
- 单击“保存”。
- 如果到达“非验证 URL”列表中列出的 URL 需要使用网络代理,请单击“代理”选项卡。
- 滚动至“域和子域代理”字段并输入所需的网络代理。
- 单击“添加”。
- 单击“保存”。
- 从终端窗口重新启动网关:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
配置 2
在此配置中,服务提供者、身份提供者和“通用域 Cookie 提供者”(CDCP) 未部署在公司内联网中,或者身份提供者是驻留在 Internet 上的第三方提供者。
在此配置中,网关指向服务提供者 Portal Server。此配置对于多个 Portal Server 实例有效。
- 以管理员身份登录到 Identity Server 管理控制台。
- 在管理控制台中,选择“服务配置”选项卡。
- 单击“SRA 配置”下网关旁边的箭头。
显示网关页面。
- 单击需要设置属性的网关配置文件旁的“编辑...”。
会显示“编辑网关配置文件”页。
- 单击“核心”选项卡。
- 选中“启用 Cookie 管理”复选框以启用 cookie 管理。
- 滚动至 Portal Server 字段并输入服务提供者的 Portal Server 名,以便能够使用相对 URL,如在“非验证 URL”列表中列出的 /amserver 或 /portal/dt。
http://idp-host:port/amserver/js
http://idp-host:port/amserver/UI/Login
http://idp-host:port/amserver/css
http://idp-host:port/amserver/SingleSignOnService
http://idp-host:port/amserver/UI/blank
http://idp-host:port/amserver/postLogin
http://idp-host:port/amserver/login_images
- 单击“保存”。
- 单击“安全”选项卡。
- 滚动至“非验证 URL”列表并添加“联合”资源。例如:
/amserver/config/federation
/amserver/IntersiteTransferService
/amserver/AssertionConsumerservice
/amserver/fed_images
/amserver/preLogin
/portal/dt
- 单击“添加”。
- 单击“保存”。
- 如果到达“非验证 URL”列表中列出的 URL 需要使用网络代理,请单击“代理”选项卡。
- 滚动至“域和子域代理”字段并输入所需的网络代理。
- 单击“添加”。
- 单击“保存”。
- 从终端窗口重新启动网关:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
配置 3
在此配置中,服务提供者、身份提供者和“通用域 Cookie 提供者”(CDCP) 未部署在公司内联网中,或者服务提供者是驻留在 Internet 上的第三方提供者并且身份提供者受网关保护。
在此配置中,网关指向身份提供者 Portal Server。
此配置对于多个 Portal Server 实例有效。这种配置不可能在 Internet 上,然而,一些公司网络可能在其内联网具有这种配置,即身份提供者驻留在被防火墙保护的子网中,并且可以从公司网络内部直接访问服务提供者。
- 以管理员身份登录到 Identity Server 管理控制台。
- 在管理控制台中,选择“服务配置”选项卡。
- 单击“SRA 配置”下网关旁边的箭头。
显示网关页面。
- 单击需要设置属性的网关配置文件旁的“编辑...”。
会显示“编辑网关配置文件”页。
- 单击“核心”选项卡。
- 选中“启用 Cookie 管理”复选框以启用 cookie 管理。
- 滚动至 Portal Server 字段并输入身份提供者的 Portal Server 名,以便能够使用相对 URL,如在“非验证 URL”列表中列出的 /amserver 或 /portal/dt。
http://idp-host:port/amserver/js
http://idp-host:port/amserver/UI/Login
http://idp-host:port/amserver/css
http://idp-host:port/amserver/SingleSignOnService
http://idp-host:port/amserver/UI/blank
http://idp-host:port/amserver/postLogin
http://idp-host:port/amserver/login_images
- 单击“保存”。
- 单击“安全”选项卡。
- 滚动至“非验证 URL”列表并添加“联合”资源。例如:
/amserver/config/federation
/amserver/IntersiteTransferService
/amserver/AssertionConsumerservice
/amserver/fed_images
/amserver/preLogin
/portal/dt
- 单击“添加”。
- 单击“保存”。
- 如果到达“非验证 URL”列表中列出的 URL 需要使用网络代理,请单击“代理”选项卡。
- 滚动至“域和子域代理”字段并输入所需的网络代理。
- 单击“添加”。
- 单击“保存”。
- 从终端窗口重新启动网关:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start