附录 B
配置属性
本附录介绍可通过每个 Secure Remote Access 组件的“服务配置”中的 Identity Server 管理控制台为 Portal Server Secure Remote Access 配置的属性:
访问列表服务
表 B-1 列出“访问列表”服务属性。
表 B-1 访问列表服务属性
属性
|
默认值
|
说明
|
拒绝的 URL
|
|
最终用户不能通过网关访问的 URL 列表。
|
允许的 URL
|
*
|
最终用户可通过网关访问的 URL 列表。
|
单点登录禁用的主机
|
|
禁用一列主机的单点登录。
|
在每一会话中启用单点登录
|
|
启用会话的单点登录。
|
允许的验证级别
|
*
|
表示对验证的信任度。使用星号以允许所有验证级别。有关验证级别的信息,请参阅《Identity Server 管理指南》。
|
网关服务
单击网关服务时,右侧窗格显示用于创建新配置文件的按钮和已创建的所有网关配置文件的列表。
如果单击“新建”,下一个窗格要求输入新网关配置文件名。可选择使用默认模板或者使用先前创建的网关配置文件作为模板。
如果单击所列出的网关配置文件名之一,将提供一个选项卡列表。分别是:
核心
表 B-2 列出网关服务核心属性。
表 B-2 网关服务核心属性
属性
|
默认值
|
说明
|
启用 HTTPS 连接
|
|
启用 HTTPS 连接。
|
HTTPS 端口
|
443
|
指定 HTTPS 端口。
|
启用 HTTP 连接
|
*
|
启用 HTTP 连接。
|
HTTP 端口
|
80
|
指定 HTTP 端口。
|
启用重写器代理
|
*
|
实现网关与内部网之间的安全 HTTP 通信。“重写器”代理和网关使用相同的网关配置文件。
|
重写器代理列表
|
|
“重写器”代理列表。若“重写器”代理有多个实例,采用 host-name:port 形式输入每个代理的详细信息
|
启用 Netlet
|
选中
|
实现 TCP/IP(如 Telnet 和 SMTP)、HTTP 应用程序及固定端口应用程序的安全性。
|
启用 Proxylet
|
选中
|
启用客户机上的 Proxylet 下载。
|
启用 Netlet 代理
|
|
通过将安全通道从客户机经网关扩展到驻留在内部网中的 Netlet 代理,增强网关和内部网之间 Netlet 通信的安全性。如果不需要与 Portal Server 一同使用应用程序,请禁用此功能。
|
Netlet 代理主机
|
|
以 host hostname:port 格式列出 Netlet 代理主机
|
启用 Cookie 管理
|
|
跟踪和管理允许用户访问的所有网站的用户会话。(不适用于 Portal Server 用来跟踪 Portal Server 用户会话的 cookie)。
|
启用 HTTP 基本验证
|
选中
|
保存用户名和口令,这样用户在重新访问受 BASIC 保护的网站时,就无需重新输入其身份验证信息。
|
启用持久的 HTTP 连接
|
选中
|
在网关启用 HTTP 持久性连接,以防套接字对网页中的每个对象(如图像和样式表)均打开。
|
每个持久性连接的最大请求数量
|
10
|
指定每个持久性连接的请求数量。
|
持久套接字连接超时
|
50
|
指定套接字关闭之前需要的时间长短。
|
Grace 超时,以解决周转时间
|
20
|
指定浏览器在发送请求之后该请求到达网关需要的宽限时间,以及网关发送响应和浏览器实际接收到响应之间的时间。
|
用户会话 Cookie 转发目标 URL
|
|
可使 servlet 和 CGI 接收 Portal Server 的 cookie 并使用 API 来标识用户。
|
最大连接队列长度
|
50
|
指定网关可接受的最大并发连接数量。
|
网关超时(毫秒)
|
120000
|
指定网关与浏览器断开连接之前的时间间隔(以毫秒为单位)。
|
线程组合容量最大值
|
200
|
指定可在网关线程池中预先创建的最大线程数量。
|
高速缓存套接字超时
|
200000
|
指定网关与 Portal Server 断开连接之前的时间间隔(以毫秒为单位)。
|
Portal Server
|
|
以格式 http://portal server name:port -number 指定 Portal Server。网关试图联系每个以循环方式列出的 Portal Server 来为请求提供服务。
|
服务器重试间隔(分)
|
2
|
指定在 Portal Server、“重写器”代理或 Netlet 代理不可用(如,崩溃或死机)之后,尝试启动它们的请求之间的时间间隔。
|
存储外部服务器 Cookie
|
|
允许网关存储和管理通过网关访问的任何第三方应用程序或服务器的 cookie。
|
从 URL 获取会话信息
|
|
无论支持 cookie 与否,均将会话信息作为 URL 的一部分进行编码。网关验证时使用在 URL 中找到的会话信息,而非客户机浏览器发出的会话 cookie。
|
把 Cookie 标记为安全
|
|
将 cookie 标记为安全。必须启用“启用 Cookie 管理”选项。
|
代理
表 B-3 列出网关服务代理属性。
表 B-3 网关服务代理属性
属性
|
默认值
|
说明
|
使用代理
|
|
启用网络代理的应用。
|
使用 Webproxy URL
|
|
列出网关只能通过“域和子域代理”列表中列出的网络代理进行联系的 URL(即使禁用“使用代理”选项)。
|
不可使用 Webproxy URL
|
|
列出网关可以直接连接到的 URL。
|
域和子域代理
|
iportal.com
sun.com
|
指定用于联系特定域中的特定子域的代理。
|
代理口令列表
|
|
如果代理服务器需要验证才能访问某些或所有站点,须为网关指定验证指定代理服务器所需的用户名和口令。
|
启用自动代理配置支持
|
|
指定“域和子域的代理”字段中的信息将被忽略。
|
自动代理配置文件位置
|
|
指定要用于 PAC 支持的文件的位置。
|
启用通过网络代理开通 Netlet 通道
|
|
将安全通道从客户机经由网关扩展到驻留在内部网中的网络代理。
|
安全
表 B-4 列出网关服务安全属性。
表 B-4 网关服务安全属性
属性
|
默认值
|
说明
|
没有已验证的 URL
|
/portal/desktop/images
/amserver/login_images
/portal/desktop/css
/amserver/jss
/amconsole/console/css
/portal/searchadmin/console/js
/amconsole/console/js
/amserver/css
|
指定不需要任何验证的 URL,如包含图像的目录。
|
已启用证书的网关主机
|
|
列出启用证书的网关主机。
|
允许 40 位加密
|
|
允许 40 位(弱)“加密套接字层”(SSL) 连接。如果不选择此选项,则只支持 128 位连接。
|
启用 SSL 2.0 版本
|
选中
|
启用 SSL 2.0 版本。
禁用 SSL 2.0 意味着仅支持旧版 SSL 2.0 的浏览器将无法进行 SRA 验证。如此可提高安全级别。
|
启用 SSL 密码选择
|
|
启用 SSL 密码选择。您可选择支持所有预封装的密码,或者可以单独选择所需的密码。您可以为每个网关实例指定特定的 SSL 密码。
|
SSL2 密码
|
|
列出可以选择的 SSL 2 版密码。
|
SSL3 密码
|
|
列出可以选择的 SSL 3.0 版密码。
|
TLS 密码
|
|
列出 TLS 密码。
|
启用 SSL 3.0 版本
|
选中
|
启用 SSL 3.0 版本。
禁用 SSL 3.0 表示仅支持 SSL 3.0 版本的浏览器将无法进行SRA验证。这将确保更高级别的安全性。
|
启用空密码
|
|
启用空密码。
|
信任的 SSL 域
|
|
列出信任的 SSL 域。
|
重写器
“重写器”选项卡有两个子部分:
基本
表 B-5 列出网关服务“重写器”基本属性。
表 B-5 网关服务重写器属性 - 基本
属性
|
默认值
|
说明
|
启用全部 URI 重写
|
|
指定重写任何 URL,而不检查“域和子域代理”列表中的条目。
|
将 URI 映射至规则集
|
*://*.iportal.com*/portal/*|default_gateway_ruleset
*/portal/NetFileOpenFileServlet*|null_ruleset
*|generic_ruleset
REPLACE_WITH_IPLANET_MAIL_SERVER_NAME|iplanet_mail_ruleset
REPLACE_WITH_EXCHANGE_SERVER_NAMEexchange_2000sp3_owa_ruleset
*://*.iportal.com*/amconsole/*|default_gateway_ruleset
REPLACE_WITH_INOTES_SERVER_NAME|inotes_ruleset
http*://*/portal/NetFileController*|null_ruleset
|
使用“将 URI 映射至规则集”列表将域和规则集相关联。规则集在 Identity Server 管理控制台中的“Portal Server 配置”下创建。
|
将分析器映射至 MIME 类型
|
JAVASCRIPT=application/x-java
XML=text/xml
HTML=text/html;text/htm;text/x-component;text/wml;text/vnd.wap.wml
CSS=text/css
|
使新 MIME 类型和 HTML、JAVASCRIPT、CSS 或 XML 关联。用分号或逗号分隔多个条目。
|
禁止重写的 URI
|
|
列出禁止重写的 URI。注意:即使此 href 规则包括在规则集中,在该列表中添加 #* 也会允许重写 URI。
|
默认域
|
|
将主机名解析为默认域和子域。它在安装期间指定
|
高级
表 B-6 列出网关服务“重写器”高级属性。
表 B-6 网关服务重写器属性 - 高级
属性
|
默认值
|
说明
|
启用 MIME 推测
|
|
未发送 MIME 时,启用 MIME 推测。必须将数据添加到“将分析器映射至 URI”列表框中。
|
将分析器映射至 URI 映射
|
|
将分析器映射到 URI。多个 URI 以分号进行分隔。
例如,HTML=*.html; *.htm;*Servlet
表示使用“重写器”来重写具有 html、htm 或 Servlet 扩展名的任何页的内容。
|
启用屏蔽
|
|
允许“重写器”重写 URI 以便使人们看不到页的“内部网 URL”。
|
屏蔽的种子字符串
|
|
指定用于屏蔽 URI 的种子字符串。它是由屏蔽算法生成的随机字符串。
|
禁止屏蔽的 URI
|
|
指定不进行屏蔽的 Internet URI。应用程序(如 applet)需要 Internet URI 时,使用此项。
例如,如果添加
*/Applet/Param*
到列表框中,则当内容 URI http://abc.com/Applet/Param1.html 在规则集的规则中匹配时,将不会屏蔽此 URI。
|
使网关协议与原始 URI 协议相同
|
|
使“重写器”能以一致的协议访问 HTML 内容中的引用资源。
这样做只适用于静态 URI,不适用于 Javascript 中生成的动态 URI。
|
日志
表 B-7 列出网关服务日志属性。
表 B-7 网关服务日志属性
属性
|
默认值
|
说明
|
启用日志
|
|
启用日志。
|
启用每会话日志
|
|
启用捕获最基本的日志信息,如“客户机地址”、“请求类型”以及“目的主机”。
|
启用详细的每会话日志
|
|
启用捕获详细日志信息,如“客户机”、“请求类型”、“目的主机”、“请求的类型”、“客户请求的 URL”、“客户发布数据大小”、“会话 ID”、“应答结果代码”和“完成应答的大小”。
注意:必须启用“启用每会话日志”。
|
启用 Netlet 日志
|
|
启用日志的情况下指定。假若如此,则捕获下列信息:开始时间、源、地址、源端口、服务器地址、服务器端口、停止时间以及状态(开始或停止)
|
NetFile 服务
单击“NetFile 服务”时,右侧窗格显示选项卡。分别是:
主机
“主机”选项卡有两个子部分:
配置
表 B-8 列出 NetFile 主机配置属性。
表 B-8 NetFile 服务主机配置属性
属性
|
默认值
|
说明
|
OS 字符集
|
Unicode(UTF-8)
|
指定与主机进行通信时用作默认编码的字符集。
|
主机侦测顺序
|
WIN、NETWARE、FTP、NFS
|
指定主机侦测顺序。
|
通用主机
|
|
指定所有远程 NetFile 用户均可通过 NetFile 使用的主机。
|
默认域
|
|
指定 NetFile 联络允许的主机时需要使用的默认域。
|
默认 Windows 域/工作组
|
|
指定用户访问 Windows 主机时选择的默认 Windows 域或工作组。
|
默认 WINS/DNS 服务器
|
|
指定 NetFile 用于访问 windows 主机的 WINS/DNS 服务器。
|
访问
表 B-9 列出 NetFile 服务主机访问属性。
表 B-9 NetFile 服务主机访问属性
属性
|
默认值
|
说明
|
允许访问 Windows 主机
|
选中
|
允许访问 windows 主机。
|
允许访问 FTP 主机
|
选中
|
允许访问 FTP 主机。
|
允许访问 NFS 主机
|
选中
|
允许访问 NFS 主机。
|
允许访问 Netware 主机
|
选中
|
允许访问 Netware 主机。
|
允许的主机
|
*
|
指定用户可通过 NetFile 访问的主机。
|
拒绝的主机
|
|
指定用户不能通过 NetFile 访问的主机。
|
权限
如果您在用户开始使用 NetFile 后禁用这些选项,则仅当用户从 NetFile 中注销并重新登录时,此更改才会生效。
表 B-10 列出 NetFile 服务权限属性。
表 B-10 NetFile 服务权限属性
属性
|
默认值
|
说明
|
允许文件更名
|
选中
|
允许用户重命名文件。
|
允许删除文件/文件夹
|
选中
|
允许用户删除文件和文件夹。
|
允许文件上载
|
选中
|
允许用户上载文件。
|
允许文件/文件夹下载
|
选中
|
允许用户下载文件和文件夹。
|
允许文件搜索
|
选中
|
允许用户进行搜索。
|
允许文件邮件
|
选中
|
允许邮寄文件。
|
允许文件压缩
|
选中
|
允许文件压缩。
|
允许改变用户 Id
|
选中
|
允许用户使用不同的 ID。
|
允许改变 Windows 域
|
选中
|
允许用户更改 windows 域。
|
视图
表 B-11 列出 NetFile 服务视图属性。
表 B-11 NetFle 服务视图属性
属性
|
默认值
|
说明
|
窗口大小
|
700|400
|
在用户桌面上以像素为单位指定 NetFile 窗口的大小。如果输入了无效值,NetFile 会使用默认值。
|
Window 位置
|
100|50
|
指定 NetFile 窗口在用户桌面上的显示位置。如果输入了无效值,NetFile 会使用默认值。
|
操作
“操作”选项卡有下列子部分:
通信
表 B-12 列出 NetFile 服务操作通信属性。
表 B-12 NetFile 服务操作 - 通信属性
属性
|
默认值
|
说明
|
临时目录位置
|
/tmp
|
指定各种 NetFile 文件操作的临时目录。
确保运行Web 服务器的 ID(如 nobody 或 noaccess)对所指定的目录具有 rwx 权限。还要确保此 ID 对于到所需临时目录的完整路径具有 rx 权限。
最好为 NetFile 创建一个单独的临时目录。如果所指定的临时目录是 Portal Server 的所有模块公用的,磁盘空间可能很快就会用完。如果临时目录没有空间,NetFile 将无法工作。
|
文件上载限制 (MB)
|
5
|
指定可以上载的最大文件大小。如果输入无效值,NetFile 会将其重置为默认值。确保键入的是整数值。
可为不同用户指定不同的文件上载大小限制。
|
搜索
表 B-13 列出 NetFile 服务操作搜索属性。
表 B-13 NetFile 服务操作 - 搜索属性
属性
|
默认值
|
说明
|
搜索目录限制
|
100
|
指定在单次搜索操作中将要搜索的最大目录数。
|
压缩
表 B-14 列出 NetFile 服务操作压缩属性。
表 B-14 NetFile 服务操作 - 压缩属性
属性
|
默认值
|
说明
|
默认压缩类型
|
Zip
|
指定 Zip 或 Gzip 压缩类型。
|
默认压缩级别
|
6
|
指定压缩级别,1 和 9 之间的一个数字。
|
常规
表 B-15 列出 NetFile 服务常规属性。
表 B-15 NetFile 服务 - 常规属性
属性
|
默认值
|
说明
|
MIME 类型配置文件定位
|
/opt/S1PS62/SUNWps/samples/config/netfile
|
指定要发送到客户机浏览器的响应内容类型。
|
Netlet 服务
表 B-16 列出 Netlet 服务属性。
表 B-16 Netlet 服务属性
属性
|
默认值
|
说明
|
Netlet 规则
|
|
选择添加或删除规则。
|
如果添加规则,下列九个属性是必需的:
|
--规则名称
|
|
为规则指定唯一名称。
|
--加密密码
|
|
指定所需密码。
|
--URL
|
|
指定要调用的应用程序的 URL。
|
--下载 Applet
|
|
需要下载 applet 时指定。如果使用 applet,相关编辑框中的语法为:
local-port:server-host:server-port
|
--扩展会话
|
|
确保与该规则相对应的 Netlet 会话运行期间,延长 Portal Server 会话时间。
|
--将本地端口映射至目的服务器端口
|
|
指定本地端口、目标主机和目标端口。输入这些值(在此表的后三行中)之后,单击添加,使其出现在列表中。
|
--本地端口
|
|
指定 Netlet 进行监听时所在的本地端口。对于 FTP 规则,本地端口值必须是 30021。
|
--目的主机
|
|
静态规则包含用于 Netlet 连接的目的机器的主机名。
动态规则包含单词 "TARGET"。
|
-- 目的端口
|
|
指定目的主机上的端口。
|
默认本地 VM 密码
|
|
为 Netlet 规则指定默认密码。这在使用其中未包括密码的现有规则时非常有用。
|
默认 Java Plugin 密码
|
|
为 Netlet 规则指定默认密码。这在使用其中未包括密码的现有规则时非常有用。
|
默认回环端口
|
58000
|
当通过 Netlet 下载 applet 时,指定要使用的客户机端口。在 Netlet 规则中,可以覆盖默认值。
|
连接时重新验证
|
|
确保用户在每次需要建立 Netlet 连接时,均输入 Netlet 口令。
|
显示连接时弹出警告
|
选中
|
当用户通过 Netlet 运行应用程序或是有入侵者企图通过监听端口访问桌面时,显示消息。
|
在端口警告对话框中显示复选框
|
选中
|
当 Netlet 试图连接到用户的标准“门户桌面”上的目的主机时,为用户提供取消“弹出警告对话框”的选项。
|
保活间隔(分钟)
|
0
|
如果客户机正通过网络代理连接到网关,则由于代理超时将断开空闲的 Netlet 连接。为防止出现此情况,请为此参数指定一个小于代理超时值的值。
|
端口注销时中止 Netlet
|
选中
|
用户从 Portal Server 注销时,确保所有连接均终止。
|
Netlet 访问规则
|
*
|
为某些组织、角色或用户定义对特定 Netlet 规则的访问。
|
Netlet 拒绝规则
|
|
为某些组织、角色或用户定义对特定 Netlet 规则的访问。
|
允许的主机
|
*
|
为某些组织、角色或用户定义对特定主机的访问。
|
拒绝的主机
|
|
拒绝对组织内特定主机的访问。
|
Proxylet 服务
表 B-17 列出 Proxylet 服务属性。
表 B-17 Proxylet 服务属性
属性
|
默认值
|
说明
|
自动下载 Proxylet Applet
|
127.0.0.1
|
如果选中复选框,用户登录时 Proxylet 会被下载到客户机上。
|
默认 Proxylet Applet 绑定 IP
|
127.0.0.1
|
驻留 Proxylet Applet 的 IP 地址。
|
默认 Proxylet Applet 端口
|
58080
|
这是 Proxylet 进行监听的端口。
|