Sun Java logo     上一页      目录      索引      下一页     

Sun logo
Sun Java System Portal Server 6 Secure Remote Access 管理指南 2004Q2 

第 2 章
网关

本章介绍顺利运行网关所需的网关相关概念及信息。有关配置网关的信息,请参阅第 9 章,“配置网关”

本章包括以下主题:

网关概述

网关在源自 Internet 与公司内联网的远程用户会话之间提供界面和安全屏障。网关可通过单个接口将来自内联网服务器和应用程序服务器的内容安全地呈现给远程用户。

创建网关配置文件

网关配置文件含有与网关配置相关的所有信息,诸如网关侦听所在端口、SSL 选项及代理选项。

安装网关时,如果选择缺省值,就会创建一个名为“default”的缺省网关配置文件。与缺省配置文件相对应的配置文件位于:

/etc/opt/SUNWps/platform.conf.default

其中 /etc/opt/SUNWps 是所有 platform.conf.* 文件的缺省位置。

有关 platform.conf 文件内容的详细信息,请参阅了解 platform.conf 文件

您可以:

    创建网关配置文件
  1. 以管理员身份登录到 Sun Java™ System Identity Server 管理控制台。
  2. 选择“服务配置”选项卡。
  3. 单击“SRA 配置”下网关旁边的箭头。

    4. 网关页出现在右侧窗格中。

  4. 单击“新建”。

    5. 显示“创建新网关配置文件”页。

  5. 输入新网关配置文件的名称。
  6. 从下拉列表中选择用于创建新配置文件的配置文件。

    7. 缺省情况下,您创建的任何新配置文件都基于预封装的缺省配置文件。如果已创建一个自定义配置文件,则可以从下拉列表中选择该配置文件。新配置文件会继承所选配置文件的全部属性。

  7. 单击“创建”。

    8. 新配置文件创建完成并返回到网关页,该页将列出新配置文件。

  8. 如果要使更改生效,请重新启动使用此网关配置文件名的网关:

    9. gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start

要配置网关,请参阅第 9 章,“配置网关”

了解 platform.conf 文件

缺省情况下,platform.conf 文件位于:

/etc/opt/SUNWps

platform.conf 文件包含网关所需要的详细信息。本部分提供了一个 platform.conf 文件示例,并且描述了所有条目。

在配置文件中包含所有机器特定细节的优势在于:一个通用的配置文件可以被多个机器上运行的各个网关共享。

示例如下:

#

# Copyright 11/28/00 Sun Microsystems, Inc. All Rights Reserved.

# "@(#)platform.conf  1.38 00/11/28 Sun Microsystems"

#

gateway.user=noaccess

gateway.jdk.dir=/usr/java_1.3.1_06

gateway.dsame.agent=http://pserv2.iportal.com:8080/sunportal/RemoteConfigServlet

portal.server.protocol=http

portal.server.host=pserv2.iportal.com

portal.server.port=8080

gateway.protocol=https

gateway.host=siroe.india.sun.com

gateway.port=333

gateway.trust_all_server_certs=true

gateway.trust_all_server_cert_domains=false

gateway.virtualhost=siroe1.india.sun.com 10.13.147.81

gateway.virtualhost.defaultOrg=o=root,dc=test,dc=com

gateway.notification.url=/notification

gateway.retries=6

gateway.debug=error

gateway.debug.dir=/var/opt/SUNWps/debug

gateway.logdelimiter=&&

gateway.external.ip=10.12.147.71

gateway.certdir=/etc/opt/SUNWps/cert/portal

gateway.allow.client.caching=true

gateway.userProfile.cacheSize=1024

gateway.userProfile.cacheSleepTime=60000

gateway.userProfile.cacheCleanupTime=300000

gateway.bindipaddress=10.12.147.71

gateway.sockretries=3

gateway.enable.accelerator=false

gateway.enable.customurl=false

gateway.httpurl=http://siroe.india.sun.com

gateway.httpsurl=https://siroe.india.sun.com

gateway.favicon=https://siroe.india.sun.com

gateway.logging.password=ALKJDF123SFLKJJSDFU

portal.server.instance=

gateway.cdm.cacheSleepTime

gateway.cdm.cacheCleanUpTime

表 2-1 列出并介绍了 platform.conf 文件中的所有字段。

表 2-1  platform.conf 文件属性

表项

缺省值

说明

gateway.user

noaccess

以该用户身份运行网关。

必须以 root 用户身份启动网关,在初始化之后将丧失 root 用户权限而成为该用户。

gateway.jdk.dir

 

这是网关使用的 JDK 目录的位置。

gateway.dsame.agent

 

这是 Identity Server 的 URL,该服务器是网关启动时为获取其配置文件所联系的服务器。

portal.server.
protocol

portal.server.host

portal.server.port

 

这是 Portal Server 缺省安装正在使用的协议、主机和端口。

gateway.protocol
gateway.host
gateway.port

 

这是网关的协议、主机和端口。这些值与您在安装期间所指定的模式和端口相同。这些值用于构造通知用的 URL。

gateway.trust_all_
server_certs

true

该项指示网关是否必须信任所有服务器证书,或者仅信任那些位于网关证书数据库中的证书。

gateway.trust_all_
server_cert_domains

false

只要在网关和服务器间有 SSL 通讯,服务器证书就会被提交至网关。缺省情况下,网关检查服务器主机名是否与服务器证书 CN 相同。

如果该属性值被设为 true,则网关将禁止对所接收的服务器证书进行域检查。

gateway.virtualhost

 

如果网关机器具有多个已配置的主机名,则可以在此字段中指定一个不同的名称和身份提供者地址。

gateway.virtualhost.defaultOrg=org

 

该项指定用户将登录的缺省 Org。

例如,假设虚拟主机字段条目如下所示:

gateway.virtualhost=test.com employee.test.com

Managers.test.com

而缺省 Org 条目为:

test.com.defaultOrg = o=root,dc=test,dc=com

employee.test.com.defaultOrg = o=employee,dc=test,dc=com

Manager.test.com.defaultOrg = o=Manager,dc=test,dc=com

用户可以使用 https://manager.test.com 登录到管理人员的 Org,而不是 https://test.com/o=Manager,dc=test,dc=com

注意:virtualhost 和 defaultOrg 在 platform.conf 文件中区分大小写,但是在 URL 中使用时却不用区分大小写。

gateway.
notification.url

 

网关主机、协议和端口的组合用于构造通知用的 URL。这用于从 Identity Server 接收会话通知。

请确保通知用的 URL 与任何组织名称都不相同。如果通知用的 URL 与组织名匹配,则试图连接至该组织的用户就会得到一个空白页,而不是登录页。

gateway.retries

 

这是启动时网关试图联系 Portal Server 的次数。

gateway.debug

error

该项可设置网关的调试级别。调试日志文件位于 debug-directory/files。调试文件的位置在 gateway.debug.dir 条目中指定。

调试级别为:

error - 只有严重的错误才会记录到调试文件中。当出现此类错误时,网关通常停止运行。

warning - 记录警告消息。

message - 记录所有调试消息。

on - 在控制台上显示所有调试信息。

调试文件为:

srapGateway.gateway-profile-name - 包含网关调试消息。

Gateway_to_from_server.gateway-profile-name - 在消息模式中,该文件包含网关和内部服务器间的所有请求和响应报头。

要生成该文件,请更改 /var/opt/SUNWps/debug 目录的写权限。

Gateway_to_from_browser.gateway-profile-name - 在消息模式中,该文件包含网关和客户机浏览器间的所有请求和响应报头。

要生成该文件,请更改 /var/opt/SUNWps/debug 目录的写权限。

gateway.debug.dir

 

这是生成所有调试文件的目录。

gateway.user 中所提及的用户应当具有足够的权限以便对目录中的文件进行写入操作。

gateway.
logdelimiter

 

当前未使用。

gateway.external.ip

 

对于多宿主网关机器(一部机器具有多个 IP 地址),需要在此指定外部 IP 地址。Netlet 使用该 IP 用于运行 FTP。

gateway.certdir

 

该项指定证书数据库的位置。

gateway.allow.
client.caching

true

允许或禁止客户机高速缓存。

如果允许,则客户机浏览器就可以为实现更好的性能而高速缓存静态页和图像(通过已缩减的网络通信量)。

如果禁止,由于在客户机端没有高速缓存任何内容,因此安全性会更高,但是性能会下降,网络负载会更大。

gateway.userProfile.cacheSize

 

这是在网关获取高速缓存的用户配置文件条目数。如果条目数超过了该值,则会出现频繁重试以便清除高速缓存。

gateway.userProfile.cacheSleepTime

 

设置清除高速缓存的睡眠时间(以秒为单位)。

gateway.userProfile.cacheCleanupTime

 

以秒为单位的最大时间,超过该时间后就可以删除一个配置文件条目。

gateway.
bindipaddress

 

在多宿主机器上,这是 IP 地址,网关将其 serversocket 绑定到该地址。要配置网关以侦听所有接口,请替换该 IP 地址使 gateway.bindipaddress=0.0.0.0

gateway.sockretries

3

当前未使用。

gateway.enable.accelerator

false

如果设置为 true,则允许支持外部加速器。

gateway.enable.customurl

false

如果设置为 true,则允许管理员为网关指定一个自定义的 URL 以便将页重写至该 URL。

gateway.httpurl

 

输入 HTTP 反向代理 URL,为网关设置一个自定义的 URL,以便将页重写至该 URL。

gateway.httpsurl

 

输入 HTTPS 反向代理 URL,为网关设置一个自定义的 URL,以便将页重写至该 URL。

gateway.favicon

 

该项指定一个 URL,网关将对 favicon.ico 文件的请求重定向至该 URL。

这用于 Internet Explore 和 Netscape 7.0 中及更高版本中首选项和收藏的“收藏图标”。

如果留为空白,网关会将一条 404 未找到的消息发送回浏览器。

gateway.logging.password

 

该字段包含用户“amService-srapGateway”的 LDAP 口令(网关使用它创建应用程序会话)。

该字段既可以是加密文本,也可以是明文。

http.proxyHost

 

此代理主机用于联系 Portal Server。

http.proxyPort

 

这是主机用于联系 Portal Server 的端口。

http.proxySet

 

如果需要代理主机,将此属性设置为 true。如果将该属性设置为 false,则忽略 http.proxyHost 和 http.proxyPort。

portal.server.instance

 

此特性值是相应的 /etc/opt/SUNWam/config/AMConfig-instance-name.properties 文件。如果此值为缺省值,则它指向 AMConfig-default.properties。

gateway.cdm.cacheSleepTime

 

Identity Server 将高速缓存的“客户机检测模块”回应发送到网关的超时值。

gateway.cdm.cacheCleanupTime

 

Identity Server 将高速缓存的“客户机检测模块”回应发送到网关的超时值。

运行 chroot 环境中的网关

要在 chroot 环境中提供高安全性,必须使 chroot 目录内容尽可能小。例如,如果存在任何允许用户修改 chroot 目录下文件的程序,则 chroot 将不会阻止攻击者修改服务器 chroot 目录树下的文件。不应当用解释性语言(如 bourne shell、c-shell、korn shell 或 perl 等)编写 CGI 程序,而应使用编译的二进制代码,这样就不需要将解释程序放在 chroot 目录树下。

注意

chroot 环境不支持监视器功能。

    安装 chroot
  1. 在终端窗口中,以 root 用户身份将下列文件复制到外部源中,例如网络中的计算机、备份磁带或软盘。

    2. cp /etc/vfstab external-device

    cp /etc/nsswitch.conf external-device

    cp /etc/hosts external-device

  2. 在以下目录中运行 mkchroot 脚本:

    3. portal-server-install-root/SUNWps/bin/chroot

    注意

    执行开始后,不能通过按 Ctrl-C 来中断 mkchroot 脚本的执行。

    如果执行 mkchroot 脚本期间出现错误事件,请参阅 mkchroot 脚本执行失败

系统会提示您使用不同的根目录 (new_root_directory)。该脚本将创建新目录。

在下面的示例中,/safedir/chroot 就是 new_root_directory。

mkchroot version 6.0

Enter the full path name of the directory which will be the chrooted tree:/safedir/chroot

Using /safedir/chroot as root.

Checking available disk space...done

/safedir/chroot is on a setuid mounted partition.

Creating filesystem structure...dev etc sbin usr var proc opt bin lib tmp etc/lib usr/platform usr/bin usr/sbin usr/lib usr/openwin/lib var/opt var/tmp dev/fd done

Creating devices...null tcp ticots ticlts ticotsord tty udp zero conslog done

Copying/creating etc files...group passwd shadow hosts resolv.conf netconfig nsswitch.conf

done

Copying binaries...................................done

Copying libraries.....................................done

Copying zoneinfo (about 1 MB)..done

Copying locale info (about 5 MB)..........done

Adding comments to /etc/nsswitch.conf ...done

Creating loopback mount for/safedir/chroot/usr/java1.2...done

Creating loopback mount for/safedir/chroot/proc...done

Creating loopback mount for/safedir/chroot/dev/random...done

Do you need /dev/fd (if you do not know what it means, press return)[n]:

Updating /etc/vfstab...done

Creating a /safedir/chroot/etc/mnttab file, based on these loopback mounts.

Copying SRAP related data ...

Using /safedir/chroot as root.

Creating filesystem structure...........done

mkchroot successfully done.

  1. 使用以下命令将在 platform.conf 文件中提及的 Java 目录手动安装到 chroot 目录:

    2. mkdir -p /safedir/chroot/java-dir

    mount -F lofs java-dir /safedir/chroot/java-dir

    对于 Solaris 9,请执行以下命令:

    mkdir -p /safedir/chroot/usr/lib/32

    mount -F lofs /usr/lib/32 /safedir/chroot/usr/lib/32

    mkdir -p /safedir/chroot/usr/lib/64

    mount -F lofs /usr/lib/64 /safedir/chroot/usr/lib/64

    要在系统启动时安装该目录,请在 /etc/vfstab 文件中添加相应的条目:

    java-dir - /safedir/chroot/java-dir lofs - no -

    对于 Solaris 9:

    /usr/lib/32 - /safedir/chroot/usr/lib/32 lofs - no -

    /usr/lib/64 - /safedir/chroot/usr/lib/64 lofs - no -

  2. 键入下面的命令以重新启动网关:

    3. chroot /safedir/chroot ./gateway-install-root/SUNWps/bin/gateway start

    stopping gateway ... done.

    starting gateway ...

    done.

mkchroot 脚本执行失败

如果执行 mkchroot 脚本期间出现错误事件,该脚本会将文件恢复至其初始状态。

在以下示例中,/safedir/chroot 就是 chroot 目录。

如果收到以下错误消息:

不是一次干净的退出

  1. 请将在安装 chroot 过程的步骤 1 中所备份的文件复制到其原始位置,并执行以下命令:

    2. umount /safedir/chroot/usr/java1.2

    umount /safedir/chroot/proc

    umount /safedir/chroot/dev/random

  2. 删除 /safedir/chroot 目录。

在 chroot 环境重新启动网关

只要重新启动网关机器,就请按照以下步骤在 chroot 环境中启动网关。

    在 chroot 环境中重新启动网关
  1. 停止 ’/’ 目录中运行的网关。

    2. gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name stop

  2. 启动要从 chroot 目录运行的网关:

    3. chroot /safedir/chroot ./portal-server-install-root/SUNWps/bin/gateway -n gateway-profile-name start

    注意   

    需要对 /safedir/chroot/etc 文件(例如 passwdhosts)进行管理(就像管理 /etc 文件那样),但是仅包括正在 chroot 树中运行的程序所需的主机和帐户信息。

    例如,如果更改了系统的身份提供者地址,也要更改文件 /safedir/chroot/etc/hosts

创建网关的多个实例

使用 gwmultiinstance 脚本创建网关的新实例。最好在创建网关配置文件之后再运行该脚本。

  1. 以 root 用户身份登录并导航到以下目录:

    2. gateway-install-root/SUNWps/bin/

  2. 运行多实例脚本:

    3. ./gwmultiinstance

  3. 选择以下一个安装选项:

    4. 1)创建新网关实例

    2)删除网关实例

    3)删除所有网关实例

    4)退出

    如果选择 1,请回答以下问题:

    新网关实例的名称是什么?

    新网关实例将使用什么协议?[https]

    新网关实例将监听哪个端口?

    Portal Server 的全限定主机名是什么?

    应当使用哪个端口访问 Portal Server?

    应当使用哪个协议访问 Portal Server?[http]

    Portal Server 部署 URI 是什么?

    组织 DN 是什么?[dc=iportal,dc=com]

    Identity Server URI 是什么?[/amserver]

    Identity Server 口令加密密钥是什么?

    请提供下列创建自签名证书所需的信息:

    您的组织名是什么?

    您的部门名是什么?

    您所在的城市名或地区名是什么?

    您所在州名或省名是什么?

    两字母国家代码是什么?

    “证书数据库”的口令是什么?重试吗?

    登录用户的口令是什么?重试吗?

    是否已在管理控制台创建新的网关配置文件?[y]/n

    安装后启动网关吗?[y]/n

  4. 启动使用新网关配置文件名的新网关实例。

    5. gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start

    其中,gateway-profile-name 是新的网关实例。

除创建网关配置文件之外,还应在 /etc/opt/SUNWam/config 目录中创建 AMConfig-.instance-name.properties 文件。

如果 platform.conf 文件中存在 portal.server.instance 属性,则网关会读取相应的 AMConfig-instance-name.properties 文件。如果 platform.conf 文件中不存在 portal.server.instance 属性,则网关会读取缺省 AMConfig 文件 (AMConfig.properties)。

创建多宿主网关实例

如果您要创建多宿主网关实例(即一个 Portal Server 上多个网关),则必须按以下方式修改 platform.conf 文件:

gatewaybindipaddress = 0.0.0.0

使用同一 LDAP 创建网关实例

如果您要创建使用同一 LDAP 的多个网关实例,请在创建第一个网关之后,在所有后续网关上执行以下操作:

在 /etc/opt/SUNWam/config/ 中,修改 AMConfig-instance-name.properties 中的以下内容,以便与安装的第一个网关实例同步:

  1. 使用与第一个网关相同的字符串替换用于加密和解密口令的密钥。

    2. am.encryption.pwd= string_key_specified_in gateway-install

  2. 替换应用程序验证模块的共享密钥

    3. com.iplanet.am.service.secret= string_key_specified_in gateway-install

  3. /etc/opt/SUNWam/config/ums 中,修改 serverconfig.xml 文件中的以下内容,以便与安装的第一个 Portal-Identity Server 实例同步:

    4. <DirDN> cn=puser,ou=DSAME Users,dc=sun,dc=net</DirDN>

    <DirPassword>string_key_specified_in gateway-install</DirPassword>

    <DirDN>cn=dsameuser,ou=DSAME Users,dc=sun,dc=net</DirDN>

    <DirPassword>string_key_specified_in gateway-install </DirPassword>

  4. 重新启动 amserver 服务。

启动和停止网关

缺省情况下,网关以用户 noaccess 启动。

    启动网关
  1. 安装网关并创建所需的配置文件之后,请运行下面的命令启动网关:

    2. gateway-install-root/SUNWps/bin/gateway -n default start

    default 为安装期间所创建的缺省网关配置文件。可在以后创建自己的配置文件,然后用新的配置文件重新启动网关。请参阅创建网关配置文件

    如果有多个网关实例,请使用:

    gateway-install-root/SUNWps/bin/gateway start

此命令可启动在该特定机器上配置的所有网关实例。

注意

重新启动服务器(已配置网关实例的机器)将重新启动所有已配置的网关实例。

请确保在 /etc/opt/SUNWps 目录中没有旧的或者备份的配置文件。

  1. 运行以下命令,检查网关是否在指定的端口上运行:

    2. netstat -a | grep port-number

    缺省网关端口为 443。

    停止网关
  1. 请使用以下命令停止网关:
  1. 运行以下命令,检查网关进程是否已停止:

    2. /usr/bin/ps -ef | entsys

重新启动网关

通常,您无需重新启动网关。仅当发生以下任何事件时,才需要重新启动网关:

    用不同的配置文件重新启动网关

重新启动网关:

gateway-install-root/SUNWps/bin/gateway -n new-gateway-profile-name start

    重新启动网关

在终端窗口中,以超级用户 (root) 身份连接并执行以下步骤之一:

    配置网关监视器

可以配置监视器监控网关状态的时间间隔。该时间间隔缺省设置为 60 秒。要更改时间间隔,请在 crontab 中编辑以下行:

0-59 * * * * gateway-install-root/SUNWps/bin/

/var/opt/SUNWps/.gw.5 > /dev/null 2>&1

请参阅 crontab 的手册页以便配置 crontab 条目。

指定虚拟主机

虚拟主机是一个指向同一机器 IP 和主机名的附加主机名。例如,如果某一主机名 a.b.c 指向主机 IP 地址 192.155.205.133,则您可以添加指向同一 IP 地址的另一主机名 c.d.e。

    指定虚拟主机
  1. 以 root 用户身份登录并编辑所需网关实例的 platform.conf 文件:

    2. /etc/opt/SUNWps/platform.conf.gateway-profile-name

  2. 添加下列条目:

    3. gateway.virtualhost=fully-qualified-gateway-host gateway-ip-address fully- qualified-reverse-proxyhost

    gateway.enable.customurl=true (该值缺省设置为 false。)

  3. 重新启动网关:

    4. gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start

如果未指定这些值,则网关将设置为缺省值。

指定联系 Identity Server 的代理

您可以指定一个主机代理,网关将使用它联系 Portal Server 上部署的“SRA 核心”(RemoteConfigServlet)。网关使用此代理联系 Portal Server 和 Identity Server。

    指定代理
  1. 在命令行中编辑以下文件:

    2. /etc/opt/SUNWps/platform.conf.gateway-profile-name

  2. 添加下列条目:

    3. http.proxyHost=proxy-host

    http.proxyPort=proxy-port

    http.proxySet=true

  3. 重新启动网关以使用指定的代理处理发往服务器的请求:

    4. gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start

使用网络代理

使用第三方的网络代理,可配置用于联系 HTTP 资源的网关。网络代理位于客户机和 Internet 之间。

网络代理配置

不同的代理可能用于不同的域和子域。这些条目告诉网关使用哪个代理去联系特定域中的特定子域。在网关中指定的代理配置具有如下功能:

要配置“使用代理”选项,请参阅启用“使用网络代理”

图 2-1 显示基于网关服务中的代理配置来分析网络代理信息的方法。

图 2-1  网络代理管理

代理管理图 - 请参阅文本解释

图 2-1 中,如果启用“使用代理”,并且请求的 URL 在“不可使用 Webproxy URL”列表中列出,则网关直接连接到目标主机。

如果启用“使用代理”,并且请求的 URL 未在“不可使用 Webproxy URL”列表中列出,则网关通过指定的代理连接到目标主机。如果已经指定代理,则可以在“域和子域代理”列表中查寻。

如果禁用“使用代理”,并且请求的 URL 在“使用 Webproxy URL”列表中列出,则网关使用在“域和子域代理”列表中的代理信息连接到目标主机。

如果禁用“使用代理”,并且请求的 URL 未在“使用 Webproxy URL”列表中列出,则网关直接连接到目标主机。

如果上述条件都无法满足,则不可能进行直接连接,网关显示一条错误信息,说明不可能进行连接。

注意  

如果您正通过标准“门户桌面”的“书签”频道访问 URL,但未满足上述任一条件,则网关将向浏览器发送一条重定向指令。浏览器使用它自己的代理设置访问 URL。

语法

domainname [web_proxy1:port1]|subdomain1 [web_proxy2:port2]|......

示例

sesta.com wp1:8080|red wp2:8080|yellow|* wp3:8080

* 是一个匹配任何内容的通配符

其中:

sesta.com 是域名而 wp1 是在端口 8080 上用于联系的代理。

red 是子域而 wp2 是在端口 8080 上用于联系的代理。

yellow 是子域。由于没有指定代理,因此使用为域指定的代理,即端口 8080 上的 wp1

* 指示对于所有其他子域端口 8080 上都需要使用 wp3

注意

如果未指定端口,则缺省使用 8080 端口。

处理网络代理信息

当客户机试图访问一个特定 URL 时,系统使用“域和子域代理”列表中的条目匹配 URL 中的主机名。要考虑与所请求主机名的最长后缀相匹配的条目。例如,考虑所请求的主机名是 host1.sesta.com

考虑以下“域和子域代理”列表中的条目:

com p1| host1 p2 | host2 | * p3

sesta.com p4 | host5 p5 | * p6

florizon.com | host6

abc.sesta.com p8 | host7 p7 | host8 p8 | * p9

host6.florizon.com p10

host9.sesta.com p11

siroe.com | host12 p12 | host13 p13 | host14 | * p14

siroe.com | host15 p15 | host16 | * p16

* p17

网关在内部将这些条目映射到如表 2-2 所显示的表中。

表 2-2  域和子域代理列表中条目的映射

数量

域和子域代理列表中的条目

代理

说明

1

com

p1

如列表中指定。

2

host1.com

p2

如列表中指定。

3

host2.com

p1

由于没有为 host2 指定代理,因此使用域的代理。

4

*.com

p3

如列表中指定。

5

sesta.com

p4

如列表中指定。

6

host5.sesta.com

p5

如列表中指定。

7

*.sesta.com

p6

如列表中指定。

8

florizon.com

直接

有关详细信息,请参阅条目 14 的说明。

9

host6.florizon.com

-

有关详细信息,请参阅条目 14 的说明。

10

abc.sesta.com

p8

如列表中指定。

11

host7.abc.sesta.com

p7

如列表中指定。

12

host8.abc.sesta.com

p8

如列表中指定。

13

*.abc.sesta.com

p9

如列表中指定。对于所有主机(在 abc.sesta.com 域下面的 host7host8 除外),使用 p9 作为代理。

14

host6.florizon.com

p10

此条目与条目 9 相同。条目 9 指示直接连接,但是此条目指示应当使用代理 p10。在有两种条目的情况下(例如此项),具有代理信息的条目被认为是有效的条目。另一个条目将被忽略。

15

host9.sesta.com

p11

如列表中指定。

16

siroe.com

直接

由于没有为 siroe.com 指定代理,因此尝试执行直接连接。

17

host12.siroe.com

p12

如列表中指定。

18

host13.siroe.com

p13

如列表中指定。

19

host14.siroe.com

直接

由于没有为 host14siroe.com 指定代理,因此尝试执行直接连接。

20

*.siroe.com

p14

请参阅表项 23 的说明。

21

host15.siroe.com

p15

如列表中指定。

22

host16.siroe.com

直接

由于没有为 host16siroe.com 指定代理,因此尝试执行直接连接。

23

*.siroe.com

p16

这类似于表项 20。但是指定的代理却不同。在此情况下,无法知道网关的确切行为。可使用两个代理中的任意一个。

24

*

p17

如果没有其他条目与所请求的 URL 匹配,则使用 p17 作为代理。

注意  

与其使用符号 | 分开“域和子域代理”列表中的代理条目,在列表中拥有单独的条目也许更简单一些。例如,不使用一个条目:

sesta.com p1 | red p2 | * p3

可以将其指定为:

sesta.com p1

red.sesta.com p2

*.sesta.com p3

这更容易捕获重复的条目和任何其他多义条目。

基于域和子域代理列表进行重写

“重写器”也使用“域和子域代理”列表中的条目。重写器重写所有 URL(它们的域与“域和子域代理”列表中列出的域相匹配)。

警告  

不会考虑重写“域和子域代理”列表中的 * 条目。例如,在表 2-2 所提供的示例中,条目 24 就不会被考虑。

有关重写器的信息,请参阅第 3 章,“Proxylet 和重写器”

默认域和子域

当 URL 中的目标主机不是全限定主机名时,缺省的域和子域将用于到达全限定名。

假设管理控制台的“缺省域”字段中的值是:

red.sesta.com

注意

需要在“域和子域代理”列表中具有相应的条目。

在上面的示例中,sesta.com 是缺省域而缺省子域是 red

如果请求的 URL 是 host1,则使用缺省的域和子域将该 URL 解析至 host1.red.sesta.com。随后在“域和子域代理”列表中查寻 host1.red.sesta.com

使用自动代理配置

要忽略“域和子域代理”列表中的信息,请启用“自动代理配置”功能。要配置该功能,请参阅启用自动代理配置支持

当使用“代理自动配置”(PAC) 文件时,请注意以下各项:

PAC 文件用法示例

以下示例显示在“域和子域代理”列表中列出的 URL 及相应的 PAC 文件。

返回 DIRECT 或 NULL 的示例

使用这些域和子域代理:

*intranet1.com proxy.intranet.com:8080

intranet2.com proxy.intranet1.com:8080

相应的 PAC 文件是:

// Start of the PAC File

function FindProxyForURL(url, host) {

if (dnsDomainIs(host, ".intranet1.com")) {

return "DIRECT";

}

if (dnsDomainIs(host, ".intranet2.com")) {

return "PROXY proxy.intranet1.com:8080";

}

return "NULL";

}

//End of the PAC File

返回 STARPROXY 的示例

使用这些域和子域代理:

相应的 PAC 文件是:

// Start of the PAC File

function FindProxyForURL(url, host) {

if (dnsDomainIs(host, ".intranet1.com")) {

return "DIRECT";

}

if (dnsDomainIs(host, ".intranet2.com")) {

return "PROXY proxy.intranet1.com:8080;" +

"PROXY proxy1.intranet1.com:8080";

}

return "STARPROXY internetproxy.intranet1.com:80";

}

//End of the PAC File

在此情况中,如果请求用于 .intranet2.com 域中的主机,则网关将联系 proxy.intranet1.com:8080。如果 proxy.intranet1.com:8080 关机,则请求将失败。网关将不会执行故障切换并联系 proxy1.intranet1.com:8080

使用 Netlet 代理

Netlet 信息包在网关处解码并被发送至目标服务器。然而,网关需要通过隔离区 (DMZ) 和内联网之间的防火墙,才能访问所有的 Netlet 目标主机。这需要在防火墙处打开许多端口。Netlet 代理可于将防火墙中打开的端口数量降至最低。

Netlet 代理通过延展客户机至网关最终至内联网中的 Netlet 代理之间的安全通道,从而增强了网关和内联网之间的安全性。通过使用代理,Netlet 信息包将被代理解码然后发送到目标服务器地。

由于以下原因,Netlet 代理非常有用:

您可以:

图 2-2 显示三个实现示例:网关以及安装和未安装 Netlet 代理的 Portal Server。组件包括一台客户机、两个防火墙、驻留在两个防火墙之间的网关、Portal Server 和 Netlet 目标服务器。

第一种方案显示网关和未安装 Netlet 代理的 Portal Server。在此方案中,数据加密仅从客户机扩展至网关。对于每个 Netlet 连接请求,都会在第二个防火墙中打开一个端口。

第二种方案显示网关和 Portal Server,此时在 Portal Server 上安装了 Netlet 代理。在此情况下,数据加密从客户机一直扩展到 Portal Server。由于所有 Netlet 连接都通过 Netlet 代理路由,因此在第二个防火墙中仅需为 Netlet 请求打开一个端口。

第三种方案显示网关和 Portal Server,以及在单独节点上安装的 Netlet 代理。在单独节点上安装 Netlet 代理将减少 Portal Server 节点上的负载。在此方案中,仅需在第二个防火墙中打开两个端口。一个端口将请求送至 Portal Server,另一个端口将 Netlet 请求发送至 Netlet 代理服务器。

图 2-2  Netlet 代理的实现

此图显示涉及“Netlet 代理”的可能配置,并介绍了具有“Netlet 代理”优点。有关详细信息,请参阅图形前的说明。

创建 Netlet 代理的实例

使用 nlpmultiinstance 脚本在 Portal Server 节点或单独节点上创建新的 Netlet 代理实例。最好在创建网关配置文件之后再运行该脚本:

  1. 以 root 用户身份登录并导航到以下目录:

    2. netlet-install-dir/SUNWps/bin

  2. 运行多实例脚本:

    3. ./nlpmultiinstance

  3. 回答由 nlpmultiinstance 脚本提出的问题:
    • 新 netlet 代理实例的名称是什么?
    • 如果此节点上已配置一个同名的实例,脚本将会询问您是否要为该 Netlet 代理实例使用相同的配置。
    • 如果回答是肯定的,请回答以下两个问题:
      • 新 netlet 代理实例将监听哪个端口?
      • 安装后启动 netlet 代理吗?
    • 如果回答是否定的,请回答以下问题:
      • 新 netlet 代理实例将使用什么协议?
      • 新 netlet 代理实例将监听哪个端口?
      • 您的组织名是什么?
      • 您的部门名是什么?
      • 您所在的城市名或地区名是什么?
      • 您所在州名或省名是什么?
      • 两字母国家代码是什么?
      • 证书数据库的口令是什么?
      • 登录用户的口令是什么?
      • 是否已在管理控制台创建新的网关配置文件?
      • 如果回答是肯定的,要在安装之后启动 netlet 代理吗?
  4. 启动使用所需网关配置文件名的新 netlet 代理实例:

    5. netlet-proxy-install-root/SUNWps/bin/netletd -n gateway-profile-name start

    其中,gateway-profile-name 是与所需网关实例相对应的配置文件名。

启用 Netlet 代理

通过 Identity Server 管理控制台中“SRA 配置”下的网关服务可启用 Netlet 代理。请参阅启用和创建Netlet 代理列表

重新启动 Netlet 代理

可将 Netlet 代理配置为只要代理被意外终止就重新启动。可以计划一个监视器进程时间表来监控 Netlet 代理,只要它停止运行就重新启动。

也可以手动重新启动 Netlet 代理。

    重新启动 Netlet 代理

在终端窗口中,以 root 用户身份连接并执行以下步骤之一:

    配置 Netlet 代理监视器

可以配置监视器监控 Netlet 代理状态的时间间隔。该时间间隔缺省设置为 60 秒。要执行此配置,请在 crontab 中编辑下列行:

0-59 * * * * netlet-install-dir/bin/checkgw /var/opt/SUNWps/.gw 5 > /dev/null 2>&1

使用重写器代理

重写器代理安装于内联网中。网关会将所有请求转发至网关,“重写器”代理将获取内并将内容返回至网关,网关不会直接尝试检索内容。

使用“重写器”代理有两个优点:

如果未指定“重写器”代理,那么当用户试图访问内联网中一台计算机时,网关组件将会直接连接到内联网计算机。

如果您将“重写器”代理用作负载平衡器,请确保“重写器”的 platform.conf.instance_name 指向负载平衡器的 URL。同时要确保 Portal Server 列表中已指定负载平衡器主机。

如果您的每个网关实例有多个“重写器”代理实例(无需在门户节点上)。在 platform.conf 中,无需为“重写器”代理设置单个端口条目,而是采用 host-name:port 的形式输入每个“重写器”代理的详细信息。

创建重写器代理的实例

使用 rwpmultiinstance 脚本在 Portal Server 节点上创建新的“重写器”代理实例。最好在创建网关配置文件之后再运行该脚本。

  1. 以 root 用户身份登录并导航到以下目录:

    2. rewriter-proxy-install-root/SUNWps/bin

  2. 运行多实例脚本:

    3. ./rwpmultiinstance

  3. 回答由脚本提出的问题:
    • 新重写器代理实例的名称是什么?
    • 如果已在此节点上配置一个同名的重写器代理实例,脚本将会询问您是否要为该重写器代理实例使用相同的配置。
    • 如果回答是肯定的,请回答以下两个问题:
      • 新重写器代理实例将监听哪个端口?
      • 安装后启动重写器代理吗?
    • 如果回答是否定的,请回答以下问题:
      • 新重写器代理实例将使用什么协议?
      • 新重写器代理实例将监听哪个端口?
      • 您的组织名是什么?
      • 您的部门名是什么?
      • 您所在的城市名或地区名是什么?
      • 您所在州名或省名是什么?
      • 两字母国家代码是什么?
      • 证书数据库的口令是什么?
      • 登录用户的口令是什么?
      • 是否已在管理控制台创建新的网关配置文件?
      • 如果回答是肯定的,要在安装之后启动重写器代理吗?
  4. 启动使用所需网关配置文件名的新重写器代理实例:

    5. rewriter-proxy-install-root/SUNWps/bin/rwproxyd -n gateway-profile-name start

    其中,gateway-profile-name 是与所需网关实例相对应的配置文件名。

启用重写器代理

在 Identity Server 管理控制台中,通过“SRA 配置”下的网关服务启用“重写器”代理。请参阅启用和创建重写器代理列表

重新启动重写器代理

可以将“重写器”代理配置为只要代理被意外终止就重新启动。可以计划一个监视器进程时间表来监控“重写器”代理,只要它停止运行就重新启动。

也可以手动重新启动“重写器”代理。

    重新启动重写器代理

在终端窗口中,以 root 用户身份连接并执行以下步骤之一:

    配置重写器代理监视器

可以配置监视器监控“重写器”代理状态的时间间隔。该时间间隔缺省设置为 60 秒。要执行此配置,请在 crontab 中编辑下列行:

0-59 * * * * rewriter-proxy-install-root/bin/checkgw /var/opt/SUNWps/.gw 5 > /dev/null 2>&1

与网关一起使用反向代理

代理服务器将 Internet 内容传送至内联网,而反向代理将内联网内容传送至 Internet。可将反向代理的部署配置为传送 Internet 内容,以实现负载平衡和高速缓存。

    启用反向代理
  1. 以 root 用户身份登录并编辑所需网关实例的 platform.conf 文件:

    2. /etc/opt/SUNWps/platform.conf.gateway-profile-name

  2. 添加下列条目:

    3. gateway.virtualhost=fully-qualified-gateway-host gateway-ip-address fully- qualified-reverse-proxyhost

    gateway.enable.customurl=true (该值缺省设置为 false。)

    gateway.httpurl=http reverse-proxy-URL

    gateway.httpsurl=https reverse-proxy-URL

    gateway.httpurl 将用于重写对在某端口所接收请求的响应,该端口在网关配置文件中列为 HTTP 端口。

    gateway.httpsurl 将用于重写对在某端口所接收请求的响应,该端口在网关配置文件中列为 HTTPS 端口。

  3. 重新启动网关:

    4. gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start

如果未指定这些值,则网关将设置为缺省值。

获取客户机信息

当网关将客户机请求转发至任何内部服务器时,它将 HTTP 报头添加到 HTTP 请求中。可以使用这些报头来获取额外的客户机信息并检测网关是否存在。

要查看 HTTP 请求报头,请将 platform.conf 文件中的条目设置为 gateway.error=message,然后使用来自 servlet API 的 request.getHeader()。下表列出了 HTTP 报头中的信息

表 2-3  HTTP 报头中的信息

报头

语法

说明

PS-GW-PDC

X-PS-GW- PDC:true/false

指示是否已在网关启用 PDC。

PS-Netlet

X-PS-Netlet:enabled=true/false

指示网关是否已启用或禁用 Netlet。

如果已启用,则加密选项被填充,指示网关是以 HTTPS (encryption=ssl) 模式运行还是以 HTTP 模式 (encryption=plain) 运行

例如:

PS-Netlet:enabled=false

Netlet 已禁用。

PS-Netlet:enabled=true; encryption=ssl

Netlet 已启用,网关以 SSL 模式运行。

当未启用 Netlet 时,encryption=ssl/plain 不会被填充。

PS-GW-URL

X-PS-GW-URL:http(s)://gatewayURL(:port)

指示客户机连接的 URL。

如果它是非标准端口(即网关处于 HTTP/HTTPS 模式而端口不是 80/443),则 ":port" 也被填充。

PS-GW-Rewriting-URL

X-PS-GW-URL:http(s)://gatewayURL(:port)/[SessionInfo]

 

指示网关将全部页重写至的 URL。

1.当浏览器支持 cookie 时,该报头的值与 PS-GW-URL 报头相同。

2.当浏览器不支持 cookie 时:

  • 如果目标主机列于“用户会话 Cookie 被转发到的用户会话”字段中,则该值是网关将要重写页的实际 URL(其中包括已编码的 SessionID 信息)。
  • 如果目标主机未列于“用户会话 Cookie 被转发到的用户会话”字段中,则 SessionInfo 字符串将为“$SessionID”

注意:作为响应的一部分,如果用户的 Identity Server 的 sessionId 发生变化(就像来自验证页的响应一样),则使用该值重新写入页(而不是先前在报头中所指示的值)。

例如:

  • 如果浏览器支持 cookie:

PS-GW-Rewriting-URL:https://siroe.india.sun.com:10443/

  • 如果浏览器不支持 cookie,但是端服务器列于“用户会话 Cookie 被转发到的用户会话”字段中。

PS-GW-Rewriting-URL:https://siroe.india.sun.com:10443/SessIDValCustomEncodedValue/

  • 如果浏览器不支持 cookie 且端服务器未列于“用户会话 Cookie 被转发到的用户会话”字段中。

PS-GW-Rewriting-URL:https://siroe.india.sun.com:10443/$SessionID

PS-GW-CLientIP

 

X-PS-GW-CLientIP:IP

这是网关从 recievedSocket.getInetAddress().getHostAddress() 获取的 IP。

如果客户机直接连接至网关,这可提供客户机的 IP。

注意:由于 JSS/NSS 的错误,该功能目前尚不可用。

使用验证链

验证链在整个常规验证机制中提供了高级别安全。可用多个验证机制验证用户。

这里所描述的过程仅用于在网关同时启用验证链和“个人数字证书”(PDC) 验证。有关在网关启用验证链(但不启用 PDC 验证)的信息,请参阅《Identity Server 管理指南》

例如,如果您将 PDC、Unix 和 Radius 验证模块链接在一起,用户则将不得不通过全部三个模块的验证以便访问标准“门户桌面”。

注意

如果启用 PDC,则它总是为用户验证的第一个验证模块。

    向现有 PDC 实例添加验证模块
  1. 以管理员身份登录到 Identity Server 管理控制台。
  2. 选择所需的组织。
  3. 在“查看”下拉菜单中选择“服务”。

    4. 服务显示在左侧窗格中。

  4. 单击“验证配置”旁的箭头。

    5. 显示“服务实例列表”。

  5. 单击 gatewaypdc。

    6. 显示 Gatewaypdc 特性页。

  6. 单击“验证配置”前的“编辑”。

    7. 显示“添加模块”。

  7. 选择“模块名称”并将“标志”设置为“必填”。选项可以为空。
  8. 单击“确定”。
  9. 添加一个或多个模块之后,单击“保存”。
  10. 单击 gatewaypdc 特性页中的“保存”。
  11. 要使更改生效,需要重新启动网关:

    12. gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start

使用通配符证书

通配符证书接受具有主机的全限定 DNS 名中通配符的单个证书。

这允许证书保护相同域内的多个主机。例如,*.domain.com 的证书可用于 abc.domain.comabc1.domain.com。事实上,该证书对于 domain.com 域中的任何主机都有效。

您需要在全限定主机名中指定一个 *。例如,如果全限定主机名是 abc.florizon.com,则将其指定为 *.florizon.com。现在,生成的证书对 florizon.com 域中的所有主机名都有效。

禁用浏览器高速缓存

由于网关组件为来自任何位置且仅使用网络浏览器的用户提供对后端公司数据的安全访问,因此可能必须禁止客户机在本地对信息进行高速缓存。

通过修改特定网关的 platform.conf 文件中的属性,可以禁止通过网关将重定向页存入高速缓存。

禁用该选项会影响网关性能。每当标准“门户桌面”被刷新,网关就必须检索该页所引用的所有内容,例如可能先前已经被浏览器高速缓存的图像。然而,通过启用该功能,远程访问安全内容将不会在客户端留下高速缓存的痕迹。如果从不受公司 IT 控制的网吧或类似的远程位置访问公司网络,这样做的价值有可能超过性能方面的蕴义。

    禁用浏览器高速缓存
  1. 以 root 用户身份登录并编辑所需网关实例的 platform.conf 文件:

    2. /etc/opt/SUNWps/platform.conf.gateway-profile-name

  2. 编辑以下行:

    3. gateway.allow.client.caching=true

    该值缺省设置为 true。将该值更改为 false 可禁用客户端的浏览器高速缓存。

  3. 重新启动网关:

    4. gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start

自定义网关服务用户界面

本部分讨论可以编辑的各种属性文件。

srapGateway.properties 文件

您可以编辑该文件用于以下目的:

srapgwadminmsg.properties 文件

您可以出于以下目的编辑该文件:

使用联合管理

“联合管理”允许用户汇总其本地标识以便他们能够拥有统一的网络标识。“联合管理”使用网络标识以允许用户在一个服务提供者的站点上登录,并访问其他服务提供者的站点而不必重新认证其标识。这称为单点登录。

在 Portal Server 上,可在开放模式和安全模式中配置联合管理。Portal Server 管理指南描述了如何在开放模式中配置联合管理。在用“安全远程访问”配置安全模式中的“联合”管理之前,请确保它工作于开放模式。如果要使用户既在开放模式中、又在安全模式中使用来自同一浏览器的“联合管理”,则他们必须清除 cookie 并从浏览器进行高速缓存。

有关“联合管理”的详细信息,请参阅 Identity Server Customization and API Guide

联合管理方案

初始服务提供者对用户进行验证。服务提供者是提供网络服务的商业性或非盈利性组织。这一广泛的范畴可以包括网络门户、零售商、运输供应商、金融机构、娱乐公司、图书馆、高等院校和政府机构。

服务提供者使用 cookie 存储客户机浏览器中用户的会话信息。cookie 也包括用户的身份提供者。

身份提供者是专门提供验证服务的服务提供者。在管理验证服务的同时,他们也维护和管理标识信息。由身份提供者完成的验证将获得所有服务提供者的认可,而不管它属于哪个机构。

当用户试图访问不属于该身份提供者的服务时,身份提供者将 cookie 发往相应的服务提供者。该服务提供者随后可以访问在 cookie 中调用的身份提供者。

然而,不能跨越不同的 DNS 域读取 cookie。因此“通用域 Cookie 服务”被用于将服务提供者重定向到正确的身份提供者,从而启用用户的单点登录。

配置联合管理资源

可基于要配置内容所在的位置,在网关配置文件中配置联合资源、服务提供者、身份提供者和通用域 Cookie 服务(CDCS)。本部分介绍如何配置以下三种方案:

  1. 全部资源都在公司内联网内
  2. 全部资源都不在公司内联网内或者身份提供者驻留在 Internet 上
  3. 全部资源都不在公司内联网内,或者身份提供者被网关保护而服务提供者又是驻留在 Internet 上的第三方。

配置 1

在此配置中,服务提供者、身份提供者和“通用域 Cookie 服务”被部署在同一个公司内联网中并且不在 Internet“域名服务器”(DNS) 中发布身份提供者。CDCS 是可选的。

在此配置中,网关指向服务提供者 Portal Server。此配置对于多个 Portal Server 实例有效。

  1. 以管理员身份登录到 Identity Server 管理控制台。
  2. 在管理控制台中,选择“服务配置”选项卡。
  3. 单击“SRA 配置”下网关旁边的箭头。

    4. 显示网关页面。

  4. 单击需要设置属性的网关配置文件旁的“编辑...”。

    5. 会显示“编辑网关配置文件”页。

  5. 单击“核心”选项卡。
  6. 选中“启用 Cookie 管理”复选框以启用 cookie 管理。
  7. 滚动至 Portal Server 字段并输入 Portal Server 名,以便能够使用相对 URL,如在“非验证 URL”列表中列出的 /amserver 或 /portal/dt。例如:

    8. http://idp-host:port/amserver/js

    http://idp-host:port/amserver/UI/Login

    http://idp-host:port/amserver/css

    http://idp-host:port/amserver/SingleSignOnService

    http://idp-host:port/amserver/UI/blank

    http://idp-host:port/amserver/postLogin

    http://idp-host:port/amserver/login_images

  8. 滚动到 Portal Server 字段,然后输入 Portal Server 名。例如 /amserver。
  9. 单击“保存”。
  10. 单击“安全”选项卡。
  11. 滚动至“非验证 URL”列表并添加“联合”资源。例如:

    12. /amserver/config/federation

    /amserver/IntersiteTransferService

    /amserver/AssertionConsumerservice

    /amserver/fed_images

    /amserver/preLogin

    /portal/dt

  12. 单击“添加”。
  13. 单击“保存”。
  14. 如果到达“非验证 URL”列表中列出的 URL 需要使用网络代理,请单击“代理”选项卡。
  15. 滚动至“域和子域代理”字段并输入所需的网络代理。
  16. 单击“添加”。
  17. 单击“保存”。
  18. 从终端窗口重新启动网关:

    19. gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start

配置 2

在此配置中,服务提供者、身份提供者和“通用域 Cookie 提供者”(CDCP) 部署在公司内联网中,或者身份提供者是驻留在 Internet 上的第三方提供者。

在此配置中,网关指向服务提供者 Portal Server。此配置对于多个 Portal Server 实例有效。

  1. 以管理员身份登录到 Identity Server 管理控制台。
  2. 在管理控制台中,选择“服务配置”选项卡。
  3. 单击“SRA 配置”下网关旁边的箭头。

    4. 显示网关页面。

  4. 单击需要设置属性的网关配置文件旁的“编辑...”。

    5. 会显示“编辑网关配置文件”页。

  5. 单击“核心”选项卡。
  6. 选中“启用 Cookie 管理”复选框以启用 cookie 管理。
  7. 滚动至 Portal Server 字段并输入服务提供者的 Portal Server 名,以便能够使用相对 URL,如在“非验证 URL”列表中列出的 /amserver 或 /portal/dt。

    8. http://idp-host:port/amserver/js

    http://idp-host:port/amserver/UI/Login

    http://idp-host:port/amserver/css

    http://idp-host:port/amserver/SingleSignOnService

    http://idp-host:port/amserver/UI/blank

    http://idp-host:port/amserver/postLogin

    http://idp-host:port/amserver/login_images

  8. 单击“保存”。
  9. 单击“安全”选项卡。
  10. 滚动至“非验证 URL”列表并添加“联合”资源。例如:

    11. /amserver/config/federation

    /amserver/IntersiteTransferService

    /amserver/AssertionConsumerservice

    /amserver/fed_images

    /amserver/preLogin

    /portal/dt

  11. 单击“添加”。
  12. 单击“保存”。
  13. 如果到达“非验证 URL”列表中列出的 URL 需要使用网络代理,请单击“代理”选项卡。
  14. 滚动至“域和子域代理”字段并输入所需的网络代理。
  15. 单击“添加”。
  16. 单击“保存”。
  17. 从终端窗口重新启动网关:

    18. gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start

配置 3

在此配置中,服务提供者、身份提供者和“通用域 Cookie 提供者”(CDCP) 部署在公司内联网中,或者服务提供者是驻留在 Internet 上的第三方提供者并且身份提供者受网关保护。

在此配置中,网关指向身份提供者 Portal Server。

此配置对于多个 Portal Server 实例有效。这种配置不可能在 Internet 上,然而,一些公司网络可能在其内联网具有这种配置,即身份提供者驻留在被防火墙保护的子网中,并且可以从公司网络内部直接访问服务提供者。

  1. 以管理员身份登录到 Identity Server 管理控制台。
  2. 在管理控制台中,选择“服务配置”选项卡。
  3. 单击“SRA 配置”下网关旁边的箭头。

    4. 显示网关页面。

  4. 单击需要设置属性的网关配置文件旁的“编辑...”。

    5. 会显示“编辑网关配置文件”页。

  5. 单击“核心”选项卡。
  6. 选中“启用 Cookie 管理”复选框以启用 cookie 管理。
  7. 滚动至 Portal Server 字段并输入身份提供者的 Portal Server 名,以便能够使用相对 URL,如在“非验证 URL”列表中列出的 /amserver 或 /portal/dt。

    8. http://idp-host:port/amserver/js

    http://idp-host:port/amserver/UI/Login

    http://idp-host:port/amserver/css

    http://idp-host:port/amserver/SingleSignOnService

    http://idp-host:port/amserver/UI/blank

    http://idp-host:port/amserver/postLogin

    http://idp-host:port/amserver/login_images

  8. 单击“保存”。
  9. 单击“安全”选项卡。
  10. 滚动至“非验证 URL”列表并添加“联合”资源。例如:

    11. /amserver/config/federation

    /amserver/IntersiteTransferService

    /amserver/AssertionConsumerservice

    /amserver/fed_images

    /amserver/preLogin

    /portal/dt

  11. 单击“添加”。
  12. 单击“保存”。
  13. 如果到达“非验证 URL”列表中列出的 URL 需要使用网络代理,请单击“代理”选项卡。
  14. 滚动至“域和子域代理”字段并输入所需的网络代理。
  15. 单击“添加”。
  16. 单击“保存”。
  17. 从终端窗口重新启动网关:

    18. gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start



上一页      目录      索引      下一页     

版权所有 2004 Sun Microsystems, Inc. 保留所有权利。