|
| |
| Sun Java System Portal Server 6 Secure Remote Access 管理指南 2004Q2 | |
第 9 章
配置网关本章介绍如何通过 Sun Java™ System Identity Server 管理控制台配置网关属性。
注意
单击 Identity Server 管理控制台右上角的“帮助”,然后单击“SRA 帮助”,以获取所有 Sun Java System Portal Server Secure Remote Access (SRA) 属性的快速参考。
要设置网关,请参阅创建网关配置文件。
在创建网关配置文件后,需要配置网关属性。
配置网关属性
下面列出了每个选项卡及其包含的可配置属性。
核心选项卡使用“核心”选项卡,可在网关服务中执行以下任务:
启用 HTTP 和 HTTPS 连接
如果安装时选择在 HTTPS 模式下运行网关,安装完成后,网关将以 HTTPS 模式运行。在 HTTPS 模式中,网关接受来自浏览器的 SSL 连接,而拒绝非 SSL 连接。
不过,您也可以将网关配置为在 HTTP 模式下运行。这样将提高网关性能,因为管理 SSL 会话以及加密、解码 SSL 通信的开销均未涉及到。
将网关配置为在 HTTP 或 HTTPS 模式运行
启用和创建重写器代理列表
“重写器”代理可以使网关与内部网计算机之间安全地进行 HTTP 通信。如果未指定“重写器”代理,那么当用户试图访问其中一台内部网计算机时,网关组件将会直接连接到内部网计算机。
“重写器”代理在安装后不会自动运行。您需要按照以下步骤启用“重定器”代理。
启用“重写器代理”和创建“重写器代理”列表
会显示“编辑网关配置文件”页。
- 单击“核心”选项卡。
- 选中“启用重写器代理”复选框以启用“重写器”代理。
- 在“重写器代理”编辑框中,使用 hostname:port 格式键入所需的主机和端口。
- 单击“添加”。
- 单击“编辑网关配置文件”页顶部或底部的“保存”,保存此项更改。
- 在服务器上运行 portal-server-install-root/SUNWps/bin/certadmin 以创建“重写器”代理证书。
只有当您在安装“重写器”代理过程中未选择创建证书时,才需要执行此步骤。
- 以根用户身份登录至安装“重写器”代理的机器,并启动“重写器”代理:
rewriter-proxy-install-root/SUNWps/bin/rwproxyd -n gateway-profile-name start
- 以根用户的身份登录至安装网关的机器,并重新启动网关:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
启用 Netlet
Netlet 使用户可以在不安全的网络上(如 Internet)安全地运行常用 TCP/IP 服务。您可以运行 TCP/IP 应用程序(如 Telnet 和 SMTP)、HTTP 应用程序及任何固定端口应用程序。
如果启用了 Netlet,网关就需要判断接收的通信是 Netlet 通信还是 Portal Server 通信。由于网关假定所有接收的通信都是 HTTP 通信或 HTTPS 通信,所以禁用 Netlet 可以减少此类开销。只有在确信不需要与 Portal Server 一同使用任何应用程序时,才可以禁用 Netlet。
启用 Netlet
- 以管理员身份登录到 Identity Server 管理控制台。
- 选择“服务配置”选项卡。
- 单击“SRA 配置”下网关旁边的箭头。
显示网关页面。
- 单击需要设置属性的网关配置文件旁的“编辑...”。
会显示“编辑网关配置文件”页。
- 单击“核心”选项卡。
- 选中“启用 Netlet”复选框。默认情况下此复选框已选中。取消选中该选项将禁用 Netlet。
- 选中“启用 Netlet 代理”复选框以启用 Netlet 代理。
- 在“Netlet 代理列表”编辑框中,使用 hostname:port 格式键入所需的主机和端口。
- 单击“编辑网关配置文件”页顶部或底部的“保存”,保存此项更改。
- 从终端窗口中重新启动网关:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
启用和创建Netlet 代理列表
Netlet 代理通过将安全隧道从客户机经网关扩展到内部网中驻留的 Netlet 代理,提高了网关和内部网之间 Netlet 通信的安全性。
如果已启用 Netlet 代理,Netlet 信息包将由 Netlet 代理解码,然后发送到目的服务器。这将减少需要在防火墙中打开的端口数量。
启用“Netlet 代理”和创建“Netlet 代理”列表
- 以管理员身份登录到 Identity Server 管理控制台。
- 选择“服务配置”选项卡。
- 在左框中,单击“SRA 配置”下网关旁边的右箭头。
网关页显示在右侧窗格中。
- 单击所需配置文件旁边的“编辑”。
“编辑网关配置文件”页显示在右侧窗格中。
- 选中“启用 Netlet 代理”复选框以启用 Netlet 代理。
- 在“Netlet 代理主机”字段中,使用 host hostname:port 格式键入所需的 Netlet 代理主机和端口。
- 单击“添加”。
- 单击页面顶部或底部的“保存”,保存更改。
- 从终端窗口中重新启动网关:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
启用 Proxylet
启用 Proxylet
启用 Cookie 管理
许多网站使用 cookie 对用户会话进行跟踪和管理。当网关向网站发送在 HTTP 报头中设置 cookie 的请求时,网关以下述方式丢弃或传送这些 cookie:
此设置不适用于 Portal Server 用来跟踪 Portal Server 用户会话的 cookie。它由“用户会话 Cookie 转发目标用户会话”选项的配置控制。请参阅创建将用户会话 Cookie 转发到 URL 列表。
此设置适用于用户可以访问的所有网站(即不能选择丢弃某些网站的 cookie,而保留其他网站的 cookie)。
启用 Cookie 管理
启用 HTTP 基本验证
HTTP 基本验证可在网关服务中设置。
网站可以使用“HTTP 基本验证”,要求访问者在浏览网站之前输入用户名和口令(HTTP 响应代码为 401 和 WWW 验证:BASIC),从而获得保护。Portal Server 可以保存用户名和口令,这样用户在重新访问受 BASIC 保护的网站时,无需重新输入其身份验证信息。这些身份验证信息保存在 Directory Server 的用户配置文件中。
此设置不决定用户能否访问受 BASIC 保护的网站,它只确定是否将用户输入的验证信息保存到该用户的配置文件中。
此设置适用于用户可以访问的所有网站(即 HTTP 基本验证高速缓冲功能不能对某些网站可用,而对其他网站不可用)。
注意
不支持对由 Microsoft Internet Information Server (IIS) 提供服务、由 Windows NT 质询/响应(HTTP 响应代码为 401,WWW 验证:NTLM)而非 BASIC 验证提供保护的 URL 的浏览。
您也可使用管理控制台中的“访问列表”服务来启用单点登录。有关启用单点登录的详细信息,请参阅管理单点登录。
启用 HTTP 基本验证
启用持久性 HTTP 连接
可在网关启用 HTTP 持久性连接,以防套接字为网页中的每个对象(如图像和样式表)均打开。
启用持久性 HTTP 连接
指定每个持久性连接的最大请求数量
指定每个持久性连接的最大请求数量
指定持久套接字连接超时
指定持久套接字连接超时
指定周转时间的宽限期超时
宽限期超时周转时间是下列时间之和:
这取决于诸多因素,如网络条件和客户机连接速度。
指定周转时间的超时
这是客户机(浏览器)与网关之间的网络通信的往返时间。
创建将用户会话 Cookie 转发到 URL 列表
portal server 利用 cookie 跟踪用户会话。当网关向服务器提出 HTTP 请求时(例如,当调用桌面 servlet 以生成用户桌面页时),此 cookie 将被转发到服务器。服务器上的应用程序使用该 cookie 来确认并标识用户。
Portal Server 的 cookie 不会被转发到针对服务器以外机器的 HTTP 请求,除非那些机器上的 URL 已在“用户会话 Cookie 转发目标用户会话”列表中指定。因此向此列表中添加 URL可使 servlet 和 CGI 接收 Portal Server 的 cookie,并使用 API 来标识用户。
URL 使用隐含的后缀通配符进行匹配。例如,列表的默认条目:
http://server:8080
将 cookie 转发到所有以 http://server:8080 开始的 URL。
添加:
http://newmachine.eng.siroe.com/subdir
将 cookie 转发到所有开头与该字符串完全相同的 URL。
在此例中,cookie 不会转发到任何以"http://newmachine.eng/subdir"开始的 URL,因为该字符串与转发列表中的字符串不完全一致。要将 cookie 转发到以这个改变的机器名开始的 URL,必须向转发列表添加新的条目。
同样,cookie 也不会转发到以"https://newmachine.eng.siroe.com/subdir"开始的 URL,除非向转发列表中添加相应的条目。
添加转发 Cookie URL
- 以管理员身份登录到 Identity Server 管理控制台。
- 选择“服务配置”选项卡。
- 单击“SRA 配置”下网关旁边的箭头。
显示网关页面。
- 单击需要设置属性的网关配置文件旁的“编辑...”。
会显示“编辑网关配置文件”页。
- 单击“核心”选项卡。
- 滚动到“用户会话 Cookie 转发目标用户会话”编辑框,然后键入所需的 URL。
- 单击“添加”,将此条目添加到“用户会话 Cookie 转发目标用户会话”列表中。
- 单击“编辑网关配置文件”页顶部或底部的“保存”,保存此项更改。
- 从终端窗口中重新启动网关:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
指定最大连接队列长度
可以指定网关可接受的最大并发连接数量。网关不接受任何超出此数量的连接。
指定最大连接队列长度
指定网关超时
可以指定网关与浏览器断开连接的超时时间间隔(以毫秒为单位)。
指定网关超时
指定线程池容量最大值
可在网关线程池中指定可以预先创建的最大线程数量。
指定线程池容量最大值
指定高速缓存套接字超时
可指定网关与 Portal Server 断开连接的超时时间间隔(以毫秒为单位)。
指定高速缓存套接字超时
创建 Portal Server 列表
可以为网关配置多个 Portal Server 以为请求提供服务。安装网关时,可能已经指定需要和网关协同工作的 Portal Server。默认情况下,此 Portal Server 会在 Portal Server 字段中列出。可向列表中添加更多的 Portal Server,格式为 http://portal server name:port number。网关试图联系每个以循环方式列出的 Portal Server 来为请求提供服务。
指定 Portal Server
- 以管理员身份登录到 Identity Server 管理控制台。
- 选择“服务配置”选项卡。
- 单击“SRA 配置”下网关旁边的箭头。
显示网关页面。
- 单击需要设置属性的网关配置文件旁的“编辑...”。
会显示“编辑网关配置文件”页。
- 单击“核心”选项卡。
- 滚动到 Portal Server 字段,然后指定 Portal Server。
在编辑字段中,使用 http://portal server name:port number 格式指定 Portal Server,然后单击“添加”。
- 单击“编辑网关配置文件”页顶部或底部的“保存”,保存此项更改。
- 从终端窗口中重新启动网关:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
指定服务器重试间隔
此属性指定在 Portal Server、“重写器”代理或 Netlet 代理无法使用(如,崩溃或死机)时,尝试启动它们的各个请求之间的时间间隔。
指定 Portal Server 重试间隔
启用存储外部服务器 Cookie
当启用“存储外部服务器 Cookie”选项时,网关存储并管理通过网关访问的任何第三方应用程序或服务器的 cookie。即使应用程序或服务器不能服务于 cookieless 设备或(由于历史遗留原因)需要依赖 cookie 进行状态管理,此选项也可以透明地屏蔽应用程序或服务器对其服务的 cookieless 设备的了解。有关 cookieless 设备和客户机检测的信息,请参阅 Identity Server Customization and API Guide。
存储外部服务器 Cookie
从 URL 获取会话
选择“从 URL 获取会话”选项后,不管是否支持 cookie,会话信息都将作为 URL 的一部分进行编码。这意味着网关使用在 URL 中找到的会话信息进行验证,而不使用客户机浏览器发出的会话 cookie。
从 URL 获取会话
启用将 Cookie 标记为安全
将 cookie 标记为安全 cookie 时,浏览器以额外的安全对待该 cookie。安全的实现方式取决于浏览器。如果要使用此功能,必须启用“启用 Cookie 管理”属性。
将 Cookie 标记为安全
- 以管理员身份登录到 Identity Server 管理控制台。
- 选择“服务配置”选项卡。
- 单击“SRA 配置”下网关旁边的箭头。
显示网关页面。
- 单击需要设置属性的网关配置文件旁的“编辑...”。
会显示“编辑网关配置文件”页。
- 单击“核心”选项卡。
- 选中“将 Cookie 标记为安全”复选框以将 cookie 标记为安全 cookie。
确保启用了“启用 Cookie 管理”属性。
- 单击“编辑网关配置文件”页顶部或底部的“保存”,保存此项更改。
- 从终端窗口中重新启动网关:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
代理选项卡使用“代理”选项卡,可在网关服务中执行以下任务:
启用“使用网络代理”
启用“使用网络代理”
创建网络代理的 URL 列表
可以指定即使在禁用“使用代理”选项时,网关也只能通过在“域和子域代理”列表中列出的网络代理与某些 URL 联系。您需要在“使用 Webproxy URL”字段中指定这些 URL。有关此字段值如何影响代理使用的详细说明,请参阅指定联系 Identity Server 的代理。
指定 Webproxy 的 URL
- 以管理员身份登录到 Identity Server 管理控制台。
- 选择“服务配置”选项卡。
- 单击“SRA 配置”下网关旁边的箭头。
显示网关页面。
- 单击需要设置属性的网关配置文件旁的“编辑...”。
会显示“编辑网关配置文件”页。
- 单击“代理”选项卡。
- 在“使用 Webproxy URL”编辑框中,使用 http://host name.subdomain.com 格式键入所需的 URL。单击“添加”。
该 URL 添加到“使用 Webproxy URL”列表中。
- 单击“编辑网关配置文件”页顶部或底部的“保存”,保存此项更改。
- 从终端窗口中重新启动网关:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
创建不使用代理的 URL 列表
网关会尝试直接连接到在“不可使用 Webproxy URL”列表中列出的 URL。webproxy 将不用于连接到这些 URL。
指定不使用代理的 URL
- 以管理员身份登录到 Identity Server 管理控制台。
- 选择“服务配置”选项卡。
- 单击“SRA 配置”下网关旁边的箭头。
显示网关页面。
- 单击需要设置属性的网关配置文件旁的“编辑...”。
会显示“编辑网关配置文件”页。
- 单击“代理”选项卡。
- 在“不可使用 Webproxy URL”编辑框中键入所需的 URL,然后单击“添加”。
该 URL 添加到“不可使用 Webproxy URL”列表中。
- 单击“编辑网关配置文件”页顶部或底部的“保存”,保存此项更改。
- 从终端窗口中重新启动网关:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
创建域和子域代理列表
指定域和子域的代理
有关代理信息如何应用于不同主机的详细信息,请参阅指定联系 Identity Server 的代理。
- 以管理员身份登录到 Identity Server 管理控制台。
- 选择“服务配置”选项卡。
- 单击“SRA 配置”下网关旁边的右箭头。
会显示“网关配置文件”页。
- 单击与想要为其设置属性的网关配置文件相应的“编辑...”。
会显示“编辑网关配置文件”页。
- 单击“代理”选项卡。
- 滚动到“域和子域代理”编辑框并键入所需信息,然后单击“添加”。该条目添加到“域和子域代理”列表框中。
输入代理信息的格式如下:
domainname proxy1:port1|subdomain1 proxy2:port2|subdomain2 proxy3:port3|* proxy4:port4
* 表示在 * 后定义的代理需要用于所有域和子域,特别指出的除外。
如果未指定代理端口,默认使用端口 8080。
- 单击“编辑网关配置文件”页顶部或底部的“保存”,保存此项更改。
- 从终端窗口中重新启动网关:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
创建代理口令列表
如果代理服务器在访问某些或所有站点时需要验证,那么您必须为网关指定特定代理服务器验证所需的用户名和口令。
指定代理口令
- 以管理员身份登录到 Identity Server 管理控制台。
- 选择“服务配置”选项卡。
- 单击“SRA 配置”下网关旁边的箭头。
显示网关页面。
- 单击需要设置属性的网关配置文件旁的“编辑...”。
会显示“编辑网关配置文件”页。
- 单击“代理”选项卡。
- 滚动到“代理口令列表”字段,键入每个代理服务器的相应信息,然后单击“添加”
输入代理信息的格式如下:
proxyserver|username|password
proxyserver 与在“域和子域代理”列表中定义的代理服务器相对应。
- 为所有需要验证的代理重复步骤 6。
- 单击页顶部或底部的“保存”,记录这些更改。
- 从终端窗口中重新启动网关:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
启用自动代理配置支持
如果您选择了“启用自动代理配置”选项,“域和子域代理”字段中的信息将被忽略。网关仅使用“代理自动配置”(PAC) 文件配置内部网。有关 PAC 文件的信息,请参阅使用自动代理配置。
启用自动代理配置支持
指定自动代理配置文件位置
指定自动代理配置文件位置
通过网络代理启用 Netlet 隧穿
通过网络代理启用隧道 Netlet
安全选项卡使用“安全”选项卡,可在网关服务中执行以下任务:
创建非验证 URL 列表
可以指定一些不需要任何验证的 URL。它们通常是包含图像的目录和文件夹。
指定非验证 URL 路径
- 以管理员身份登录到 Identity Server 管理控制台。
- 选择“服务配置”选项卡。
- 单击“SRA 配置”下网关旁边的箭头。
显示网关页面。
- 单击需要设置属性的网关配置文件旁的“编辑...”。
会显示“编辑网关配置文件”页。
- 滚动到“非验证 URL”字段,然后以文件夹/子文件夹格式键入所需的文件夹路径。
未全限定的 URL(例如,/images)被视为门户 URL。
要添加非门户 URL,请完全限定该 URL。
- 单击“添加”,将此条目添加到“非验证 URL”列表中。
- 单击“编辑网关配置文件”页顶部或底部的“保存”,保存此项更改。
- 从终端窗口中重新启动网关:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
创建已启用证书的网关主机列表
将网关添加到“已启用证书的网关主机”列表
允许 40 位加密连接
如果要允许 40 位(弱)“加密套接字层”(SSL) 连接,请选择此选项。如果不选择此选项,则只支持 128 位连接。
如果禁用此选项,用户需要确保浏览器的配置支持所需的连接类型。
允许 40 位加密连接
启用 SSL 2.0 版本
可启用或禁用 SSL 版本 2.0。禁用 SSL 2.0 表示仅支持旧版 SSL 2.0 的浏览器将无法进行SRA验证。这将确保更高级别的安全性。
启用 SSL 2.0 版本
启用 SSL 密码选择
SRA支持许多标准密码。您可选择支持所有预封装的密码或单独选择所需的密码。您可以为每个网关实例指定特定的 SSL 密码。只要客户机站点中存在任一选定的密码,SSL 信号交换即可成功。
启用“单个密码选择”
启用 SSL 3.0 版本
可启用或禁用 SSL 版本 3.0。禁用 SSL 3.0 表示仅支持 SSL 3.0 版本的浏览器将无法进行SRA 软件验证。这将确保更高级别的安全性。
启用 SSL 3.0 版本
启用空密码
启用空密码
创建信任的 SSL 域列表
创建信任的 SSL 域列表
配置个人数字证书 (PDC) 验证
PDC 由“认证机构”(CA) 发放,并使用该认证机构的私有密钥签名。CA 在发放证书前要验证申请方的身份。因此,PDC 的出现提供了一种功能更加强大的验证机制。
PDC 含有所有者的公共密钥、所有者名称、到期日期、发放“数字证书”的认证机构名称、序列号以及可能包含的其他信息。
用户可以将 PDC 和编码设备(如 Smart 卡和 Java 卡)用于 Portal Server 中的验证。编码设备带有一个与存储在卡上的 PDC 相同的电子信息。如果用户使用其中任何一种方式登录,将不会显示“登录”屏幕和验证屏幕。
PDC 验证过程涉及以下步骤:
配置 PDC 和编码设备
配置 PDC 和编码设备涉及以下步骤:
- 将下面一行添加到 Portal Server 机器上的 portal-server-install-root/SUNWam/config/AMConfig-instance-name.properties 文件中:
com.iplanet.authentication.modules.cert.gwAuthEnable=yes
(添加到文件内的任意位置)
- 将“需要的证书”导入希望启用 PDC 的网关的证书数据库。
有关详细信息,请参阅第 7 章,“证书”。
- 注册证书:
- 创建“信任的远程主机”列表。
- 创建新实例。
- 单击“身份管理”选项卡。
- 在“查看”下拉菜单中选择“服务”。
- 单击“验证配置”旁的箭头。
- 显示“服务实例列表”。
- 单击“新建”。
- 显示“新服务实例”页面。
- 输入服务实例名称 gatewaypdc。
- 注意:必须使用此名称。
- 单击“提交”。
- 显示“gatewaypdc 服务实例列表”。
- 单击 gatewaypdc 编辑服务。
- 出现 gatewaypdc 显示特性页。
- 单击“验证配置”旁的“编辑”链接。
- 出现弹出窗口。
- 单击“添加”。
显示“验证配置 YourOrganization”页面
- 单击“添加”。
- 显示“添加验证模块”页面。
- 从“模块名称”字段中选择“证书”,从“执行标准”字段中选择 REQUIRED。
- 单击“确定”。
- 再次单击“确定”,关闭弹出窗口。
- 将证书与网关主机相关联。
- 将 CA 签发的客户机证书安装到必须通过其访问启用 PDC 的网关的浏览器。
- 访问您的网关配置文件和组织:
https://gateway:instance-port/YourOrganization
使用证书名称登录时应该不提示您输入用户名和密码。
重写器选项卡使用“重写器”选项卡,可在网关服务中执行以下任务:
启用全部 URL重写
如果您启用了网关服务中的“启用全部 URL 重写”选项,“重写器”会重写任何 URL,而不检查“域和子域代理”列表中的条目。“域和子域代理”列表中的条目将被忽略。
允许网关重写所有 URL
- 以管理员身份登录到 Sun Java™ System Identity Server 管理控制台。
- 选择“服务配置”选项卡。
- 单击“SRA 配置”下网关旁边的箭头。
会显示“网关配置文件”页。
- 单击与想要为其设置属性的网关配置文件相应的“编辑...”。
会显示“编辑网关配置文件”页。
- 单击“重写器”选项卡、“基本”子部分。
- 选中“启用全部 URL 重写”复选框,以允许网关重写所有 URL。
- 单击页顶部或底部的“保存”,记录此项更改。
- 从终端窗口中重新启动网关:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
创建 URI 到规则集映射列表
规则集是在 Identity Server 管理控制台中,在“Portal Server 配置”下的“重写器”服务中创建的。有关详细信息,请参阅 Portal Server 管理指南。
创建了规则集之后,可使用“将 URI 映射至规则集”字段将域与规则集相关联。默认情况下,会将以下两个条目添加到“将 URI 映射至规则集”字段中:
这表示默认域的所有页都应用默认网关规则集。对于其他所有页,将会应用一般规则集。默认网关规则集和一般规则集都是预封装的规则集。
注意
对于所有在桌面上显示的内容,不管内容取自何处,均使用默认域规则集。
例如,假定将桌面配置为凑集来自 URL yahoo.com 的内容。Portal Server 位于 sesta.com 中。此时会将与 sesta.com 相应的规则集应用于所取得的内容。
将 URI 映射至规则集
- 以管理员身份登录到 Identity Server 管理控制台。
- 选择“服务配置”选项卡。
- 单击“SRA 配置”下网关旁边的箭头。
会显示“网关配置文件”页。
- 单击需要设置属性的网关配置文件。
会显示“网关 - gateway-profile-name”页。
- 单击“重写器”选项卡、“基本”子部分。
- 滚动到“将 URI 映射至规则集”字段。
- 在“将 URI 映射至规则集”字段中,键入所需的域或主机名和规则集,然后单击“添加”。
会将此条目添加到“将 URI 映射至规则集”字段中。
指定域或主机名以及规则集时采用的格式如下:
域名|规则集名
例如:
eng.sesta.com|default
- 单击页顶部或底部的“保存”,记录此项更改。
- 从终端窗口中重新启动网关:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
Outlook Web Access 规则集
SRA 软件支持 Outlook Web Access (OWA) 的 MS Exchange 2000 SP3 安装和 MS Exchange 2003。
配置 OWA 规则集
创建要分析的 MIME 类型列表
“重写器”有 4 个不同的分析器,可用来根据内容类型(HTML、JAVASCRIPT、CSS 和 XML)对网页进行分析。默认情况下,这些分析器与常见的 MIME 类型相关联。您可以在网关服务的“将分析器映射至 MIME 类型”字段中,将新的 MIME 类型与这些分析器相关联。这会将“重写器”功能扩展到其他 MIME 类型。
可用分号或逗号(“;”或“,”)分隔多个条目。
例如:
HTML=text/html;text/htm;text/x-component;text/wml; text/vnl/wap.wml
它表示会将含有上述 MIME 的任何内容发送到“HTML 重写器”,并且会应用“HTML 规则”来重写这些 URL。
提示
从 MIME 映射列表中删除不必要的分析器可以提高操作速度。例如,如果您确信来自某个内部网的内容不会含有任何 JavaScript,便可从 MIME 映射列表中删除 JAVASCRIPT 条目。
指定 MIME 映射
- 以管理员身份登录到 Identity Server 管理控制台。
- 选择“服务配置”选项卡。
- 单击“SRA 配置”下网关旁边的箭头。
会显示“网关配置文件”页。
- 单击需要设置属性的网关配置文件。
会显示“网关 - gateway-profile-name”页。
- 单击“重写器”选项卡、“基本”子部分。
- 滚动到“将分析器映射至 MIME 类型”字段,然后将所需 MIME 类型添加到编辑框中。可使用分号或逗号分隔多个条目。
以 HTML=text/html;text/htm 格式指定该条目
- 单击“添加”,将所需条目添加到列表中。
- 单击页顶部或底部的“保存”,记录此项更改。
- 从终端窗口中重新启动网关:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
指定默认域和子域
当 URL 仅包含没有域和子域的主机名时,默认的域和子域会非常有用。在这种情况下,网关将假定主机名在默认的域和子域中,并进行相应处理。
例如,如果 URL 中的主机名为 host1,并且将默认的域和子域指定为 red.sesta.com,则主机名会被解析为 host1.red.sesta.com。
指定默认的域和子域
- 以管理员身份登录到 Identity Server 管理控制台。
- 单击“服务配置”选项卡。
- 单击“SRA 配置”下网关旁边的右箭头。
会显示“网关配置文件”页。
- 单击与想要为其设置属性的网关配置文件相应的“编辑...”。
会显示“编辑网关配置文件”页。
- 单击“重写器”选项卡、“基本”子部分。
- 滚动到“默认域”字段,然后以 subdomain.domain name 格式键入所需默认值。
- 单击“编辑网关配置文件”页顶部或底部的“保存”,保存此项更改。
- 从终端窗口中重新启动网关:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
创建禁止重写的 URI 列表
指定默认的域和子域
- 以管理员身份登录到 Identity Server 管理控制台。
- 选择“服务配置”选项卡。
- 单击“SRA 配置”下网关旁边的箭头。
会显示“网关配置文件”页。
- 单击需要设置属性的网关配置文件。
会显示“网关 - gateway-profile-name”页。
- 单击“重写器”选项卡,“高级”子部分。
- 滚动到“禁止重写的 URI”字段,然后将 URI 添加到编辑框中。
注意:即使此 href 规则包括在规则集中,在该列表中添加 #* 也会允许重写 URI。
- 单击页顶部或底部的“保存”,记录此项更改。
- 从终端窗口中重新启动网关:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
启用 MIME 推测
重写器根据页面的 MIME 类型选择分析器。某些Web 服务器(如 WebLogic 和 Oracle)不发送 MIME 类型。要解决这个问题,可通过在“将分析器映射至 URI”列表框中添加数据来启用 MIME 推测功能。
启用 MIME 推测
创建要分析的 URI 映射列表
如果启用了“MIME 推测”复选框,并且服务器尚未发送 MIME 类型,可使用该列表框将分析器映射到 URI。
多个 URI 以分号进行分隔。
例如,HTML=*.html; *.htm;*Servlet
它表示会使用“HTML 重写器”来重写具有 html、htm 或 Servlet 扩展名的任何页的内容。
分析 URI 映射
启用屏蔽
屏蔽功能允许“重写器”重写 URI 以便使人们看不到页面的内部网 URL。
启用屏蔽
指定屏蔽种子字符串
种子字符串用于屏蔽 URI。它是由屏蔽算法生成的一个随机字符串。
指定屏蔽种子字符串
创建禁止屏蔽的 URI 列表
一些应用程序(如 applet)需要一个 Internet URI,而且不能对其进行屏蔽。要指定这些应用程序,可将 URI 添加到列表框中。
例如,如果添加
*/Applet/Param*
到列表框中,则当内容 URI http://abc.com/Applet/Param1.html 在规则集的规则中匹配时,将不会屏蔽此 URI。
指定禁止屏蔽 URI
使网关协议与原始 URI 协议相同
当网关同时运行于 HTTP 和 HTTPS 模式下时,您可以允许“重写器”使用一致的协议来访问 HTML 内容中引用的资源。
例如,如果原始 URL 是 http://intranet.com/Public.html,则添加 http网关。如果原始 URL 是 https://intranet.com/Public.html,则添加 https网关。
使网关协议与原始 URI 协议相同
记录选项卡使用“记录”选项卡,可在网关服务中执行以下任务:
启用记录
可指定网关日志文件以捕获关于每个会话的最少信息或详细信息。日志信息保存到在“日志位置”属性中指定的目录,作为“Identity Server 配置”属性中“记录”的一部分。此日志位于 Portal Server 机器上。
日志使用以下命名惯例:
srapGateway_gatewayhostname_gateway-profile-name
根据“Identity Server 配置”中的设置,日志信息可以保存为文件或数据库。日志中的字段是由逗号分隔的 ASCII 值,可以导出到其他数据分析工具支持的格式。
启用网关日志
- 以管理员身份登录到 Identity Server 管理控制台。
- 选择“服务配置”选项卡。
- 单击“SRA 配置”下网关旁边的箭头。
显示网关页面。
- 单击需要设置属性的网关配置文件旁的“编辑...”。
会显示“编辑网关配置文件”页。
- 选中“启用日志”复选框以启用网关日志。
- 选中“启用每会话日志”复选框以捕获最基本的日志信息,如“客户机地址”、“请求类型”和“目的主机”。
- 选择“启用详细的每会话日志”,使网关捕获详细的日志信息,如“客户机”、“请求类型”、“目的主机”、“请求的类型”、“客户请求的 URL”、“客户发布数据大小”、“会话 ID”、“应答结果代码”以及“完成应答的大小”等。
- 单击页顶部或底部的“保存”,记录这些更改。
- 从终端窗口中重新启动网关:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
启用 Netlet 日志
可通过选择此选项来启用 Netlet 相关活动的记录功能。Netlet 日志将包含以下有关 Netlet 会话的详细信息:
启用 Netlet 日志