![]() | |
Sun Java System Portal Server 6 Secure Remote Access 管理指南 2004Q2 |
第 1 章
Portal Server Secure Remote Access 简介本章介绍 Sun Java System Portal Server Secure Remote Access(之前的 Sun ONE Portal Server, Secure Remote Access)以及 Sun Java System Portal Server (Portal Server) 软件与 Sun Java System Portal Server Secure Remote Access (SRA) 组件之间的关系。
本章包括以下主题:
SRA 软件概述SRA 软件使远程用户可通过 Internet 安全地访问其组织的网络及网络服务。此外,可为贵组织提供一个安全的 Internet 门户,从而使所有目标观众-雇员、商业合作伙伴以及普通公众能够访问其内容、应用程序和数据。
SRA 软件可提供对门户内容和服务的基于浏览器的安全远程访问(自任一远程设备)。它是一种节省成本的安全访问解决方案,用户可从任意设备通过启用了 Java 技术的浏览器对其进行访问,从而省去了对客户机软件的需要。与 Portal Server 的集成可确保用户对具有访问许可权的内容和服务进行安全加密式的访问。
SRA 软件所面向的目标是那些部署高度安全的远程访问门户的企业。这些门户强调安全、保护性以及内部网资源的保密性。SRA 体系结构非常适合此类门户的要求。SRA 软件使用户能够通过 Internet 安全地访问内部网资源,同时不将这些资源在 Internet 上公开。
驻留在“隔离区”(DMZ) 的网关可提供对全部的内部网 URL、文件系统及应用程序的单个安全访问点。其他所有非 SRA 的服务(如“会话”、“验证”和标准“门户桌面”)均驻留在安全内部网中 DMZ 的后面。从客户机浏览器到网关的通信采用 HTTPS 进行加密。从网关到服务器和内部网资源的通信既可以是 HTTP,也可以是 HTTPS。
SRA 软件使用两种方法
Netlet applet 和 NetFile applet 会被下载到客户机中,而支持文件可驻留在网关上,也可驻留在 Portal Server 主机上。
Portal Server 可在以下两种模式下工作:
开放模式
在开放模式中,安装 Portal Server 时不带 SRA 软件。尽管在此模式下 HTTPS 通信仍可进行,但无法实现安全远程访问。这就意味着用户不能访问安全的远程文件系统和应用程序。
开放门户和安全门户的主要区别是,由开放门户提供的服务通常驻留在隔离区 (DMZ) 内,而不是驻留在安全的内部网中。DMZ 是公共 Internet 和专用内部网之间的一个小型受保护网络,通常在其两端以防火墙来划界。
如果门户不包含敏感信息(部署公用信息和允许访问自由应用程序),则对大量用户所发出的访问请求的响应速度比使用安全模式更快。
图 1-1 显示开放模式下的 Portal Server。在此,Portal Server 被安装在防火墙后的单台服务器上。多台客户机穿过单面防火墙在 Internet 上访问 Portal Server。
图 1-1 开放模式下的 Portal Server
安全模式
安全模式可使用户对所需的内部网文件系统和应用程序进行安全远程访问。
网关驻留在隔离区 (DMZ) 内。网关可提供对所有内部网 URL 和应用程序的单个安全访问点,这便减少了防火墙中要打开端口的数目。其他所有 Portal Server 服务(如“会话”、“验证”和标准“门户桌面”)均驻留在安全内部网中 DMZ 的后面。从客户机浏览器到网关的通信采用“安全套接字层”(SSL) 基础之上的 HTTP 进行加密。从网关到服务器和内部网资源的通信既可以是 HTTP,也可以是 HTTPS。
图 1-2 显示具有 SRA 软件的 Portal Server。SSL 用于在 Internet 上加密客户机和网关之间的连接。SSL 也可用于加密网关与服务器之间的连接。在内部网和 Internet 之间出现的网关使客户机和 Portal Server 之间的安全路径得到延伸。
图 1-2 安全模式下的 Portal Server(具有 SRA 软件)
可添加附加服务器和网关以用于站点扩充。根据业务需要,可通过多种方式配置 SRA 软件。
SRA 服务SRA 软件有五个主要组件:
网关
SRA 网关在源自 Internet 与公司内部网的远程用户会话之间提供界面和安全屏障。网关可通过单个接口将来自内部 Web 服务器和应用程序服务器的内容安全地呈现给远程用户。
Web 服务器使用基于网络的资源(如 HTML、JavaScript 和 XML)在客户机和网关之间进行通信。重写器是一个网关组件,用于使网络内容变为可用。
应用程序服务器使用二进制协议(如 telnet 和 FTP)在客户机和网关之间通信。驻留在网关上的 Netlet 便是针对此目的而应用的。有关详细信息,请参阅第 2 章,“网关”。
重写器
重写器使最终用户可以浏览内部网,并使这些页上的链接和其他 URL 引用正确运行。重写器会预先考虑网络浏览器位置字段中的“网关 URL”,从而通过网关重定向内容请求。有关详细信息,请参阅第 3 章,“Proxylet 和重写器”。
NetFile
NetFile 是一个文件管理器应用程序,它允许对文件系统和目录进行远程访问和操作。NetFile 包括 NetFile Java(Java 的用户界面)。它可用于 Java 1 和 Java 2。详细信息请参阅第 4 章,“NetFile”。
Netlet
Netlet 有利于以安全方式在远程桌面上运行常用的或公司特定的应用程序。在您的站点实现 Netlet 后,用户可安全地运行公共 TCP/IP 服务(如 Telnet 和 SMTP)及基于 HTTP 的应用程序(如 pcANYWHERE 或 Lotus Notes)。有关详细信息,请参阅第 5 章,“Netlet”。
Proxylet
Proxylet 是一个在客户机上运行的动态代理服务器。Proxylet 将 URL 重定向到网关。它通过阅读和修改客户机上浏览器的代理设置以使其指向本地代理服务器或 Proxylet 来完成这项工作。
管理 SRA 产品SRA 软件有两个用于管理的界面:
大多数管理任务都是通过基于网络的 Sun Java System Identity Server 管理控制台执行的。管理控制台可通过网络浏览器进行本地或远程访问。但是,某些任务(如文件修改)必须通过 UNIX 命令行界面进行管理。
配置 SRA 属性您可在组织级、角色级和用户级配置与 SRA 有关的属性,以下情况除外:
- 不能在用户级设置“冲突解决级别”。同样在“服务配置”选项卡中也不提供该项。请参阅设置冲突解决。
- 只能在组织级别设置“MIME 类型配置文件定位”属性。请参阅指定 MIME 类型配置文件位置。
在组织级设置的值将由该组织以下的所有角色和用户继承。在用户级设置的值会覆盖在组织级或角色级设置的相应值。
大多数属性可在 Identity Server 选项卡中进行设置,也可在 Identity Server 上的“服务配置”选项卡中进行设置。在“服务配置”级设置的属性会用作模板。默认情况下,所创建的任何组织或用户均会继承这些值。
您可在“服务配置”级对属性值进行更改。只有添加了新的组织后,才反映这些新的属性值。在“服务配置”选项卡中对属性值所作的更改不会影响现有的组织或用户。有关详细信息,请参阅《Identity Server 管理指南》。
您可在“SRA 配置”下的 Identity Server 管理控制台中使用以下服务配置 SRA 属性:
- 访问列表
此服务可使您准许或限制对特定 URL 的访问,并可管理单点登录功能。有关详细信息,请参阅第 8 章,“配置 URL 访问控制”。
- 网关
此服务允许您配置所有与网关相关的属性,如代理管理、cookie 管理、日志、重写器管理和密码。有关详细信息,请参阅第 9 章,“配置网关”。
- NetFile
此服务允许您配置所有与 NetFile 相关的属性,如公共主机、MIME 类型,以及对不同类型主机的访问。有关详细信息,请参阅第 10 章,“配置 NetFile”。
- Netlet
此服务允许您配置所有与 Netlet 相关的属性,如 Netlet 规则、对所需规则的访问、组织和主机,以及默认算法。有关详细信息,请参阅第 11 章,“配置 Netlet”。
- Proxylet
此服务允许您配置与 Proxylet 相关的属性,如 Proxylet Applet 绑定 IP 地址及端口号。有关详细信息,请参阅第 12 章,“配置 Proxylet”。
警告
网关不会收到有关在其运行期间对属性所作更改的通知。
重启网关以确保网关使用已更新的配置文件属性(属于网关或任何其他服务)。请参阅使用验证链。
设置冲突解决设置冲突解决级别
支持的应用程序SRA 软件支持下列应用程序:
OWA 页所需的规则集已按名称 exchange_2003_owa_ruleset 以非标准方式安装。要查看 OWA 的实例研究,请参阅Outlook Web Access 规则集。