Sun Java System Portal Server 6 Secure Remote Access 管理指南 2004Q2 |
第 1 章
Portal Server Secure Remote Access 簡介本章會介紹 Sun Java System Portal Server Secure Remote Access (前稱 Sun ONE Portal Server, Secure Remote Access) 和 Sun Java System Portal Server (Portal Server) 軟體與 Sun Java System Portal Server Secure Remote Access (SRA) 元件之間的關係。
本章涵蓋下列主題:
SRA 軟體的簡介SRA 軟體讓遠端使用者可以透過網際網路安全地存取他們組織的網路及服務。此外,還能為您的組織提供安全的網際網路入口網站,並供任何目標族群 - 員工、事業夥伴或一般大眾存取內容、應用程式及資料等。
SRA 軟體提供以瀏覽器為基礎的安全遠端存取,使用者可從任何遠端裝置存取入口網站內容與服務。這是一個有成本效益的安全存取解決方案。使用者可以從任何裝有啟用 Java 技術瀏覽器的裝置進行遠端存取,消除了對用戶端軟體的需求。與 Portal Server 的整合能確保使用者可安全加密地存取他們有權存取的內容與服務。
SRA 軟體的用戶群體為部署高度安全遠端存取入口網站的企業。這些入口網站重視企業內部網路資源的安全性、保護與隱私權。SRA 結構恰恰適用於這些類型的入口網站。SRA 軟體能讓使用者安全的經由網際網路存取企業內部網路資源,而無需在網際網路上顯露這些資源。
閘道,位於非軍事區 (DMZ),提供至所有企業內部網路 URL、檔案系統與應用程式的單一安全存取點。所有其他非 SRA 服務例如階段作業、認證與標準 Portal Desktop 皆位於 DMZ 之後的安全的內部網路中。用戶端瀏覽器至閘道的通訊將使用 HTTPS 加密。閘道至伺服器與內部網路資源的通訊可使用 HTTP 或 HTTPS 加密。
SRA 軟體使用兩種方法
Netlet 與 NetFile applet 將下載至用戶端機器,支援檔案可能位於閘道或 Portal Server 主機。
Portal Server 可以在兩個模式中執行:
開放模式
在開放模式中, Portal Server 安裝時未安裝 SRA 軟體。雖然這個模式下可以使用 HTTPS 通訊,但卻不可以使用安全遠端存取。這表示使用者無法存取安全遠端檔案系統與應用程式。
開放入口網站與安全入口網站的主要不同為,由開放入口網站提供的服務通常會位於非軍事區 (DMZ) 而不會位於安全內部網路中。DMZ 是一個位於公用網際網路與私人內部網路之間的小型受保護網路,通常由兩端的防火牆劃分界線。
若入口網站沒有包含敏感的資訊 (部署了公用資訊與允許存取任意應用程式),則對於多數使用者存取請求的回應將會快於使用安全模式。
圖 1-1 顯示了開放模式中的 Portal Server。此處,Portal Server 為安裝於防火牆後的單一伺服器。多個用戶端透過網際網路經由單一防火牆存取 Portal Server。
圖 1-1 開放模式下的 Portal Server
安全模式
安全模式可讓使用者安全遠端存取需要的企業內部網路檔案系統與應用程式。
閘道位於非軍事區域 (DMZ)。閘道提供至所有內部網路 URL 與應用程式的單一安全存取點,如此會減少將在防火牆中被開放的連接埠數。所有其他 Portal Server 服務例如階段作業、認證與標準入口網站桌面皆位於 DMZ 之後的安全的企業內部網路中。用戶端瀏覽器至閘道的通訊將使用 HTTPS 透過安全套接層 (SSL) 加密。閘道至伺服器與內部網路資源的通訊可使用 HTTP 或 HTTPS 加密。
圖 1-2 顯示了包含 SRA 軟體的 Portal Server。SSL 將用於加密網際網路上用戶端與閘道之間的連線。SSL 也可以用於加密閘道與伺服器之間的連線。企業內部網路與網際網路之間的閘道將延伸用戶端與 Portal Server 之間的安全路徑。
圖 1-2 安全模式下的 Portal Server (含有 SRA 軟體)
可以新增其他伺服器與閘道以擴大站台。SRA 軟體元件可以基於業務需求用不同方式配置。
SRA 服務SRA 軟體擁有五個主要元件:
閘道
SRA 閘道在源自網際網路的遠端使用者階段作業與您的企業內部網路之間提供了介面與安全的屏障。透過單一介面至遠端使用者,閘道可經由內部網路伺服器和應用程式伺服器安全地顯示內容。
網路伺服器使用以網路為基礎的資源例如 HTML、JavaScript 與 XML 以在用戶端與閘道之間進行通訊。Rewriter 是用於使網路內容可用的閘道元件。
應用程式伺服器會使用二進制通訊協定例如 telnet 與 FTP 以在用戶端與閘道之間進行通訊。位於「閘道」的 Netlet 就是基於這個目的而使用。如需詳細資訊,請參閱第 2 章,「閘道」。
Rewriter
Rewriter 會讓一般使用者可以瀏覽企業內部網路並使得那些頁面的連結與其他 URL 參照正確作業。Rewriter 會在網路瀏覽器位置欄位中前置閘道 URL,藉此經由閘道重新導向內容請求。請參閱第 3 章,「Proxylet 和 Rewriter」,以取得詳細資訊。
NetFile
NetFile 是一個檔案管理員應用程式,其允許遠端存取與操作檔案系統與目錄。NetFile 包括 NetFile Java - 以 Java 為基礎的使用者介面。此適用 Java 1 與 Java 2。有關詳細資訊,請參閱第 4 章,「NetFile」。
Netlet
Netlet 方便了以安全方式在遠端桌面執行熱門應用程式與公司特定應用程式的功能。在站台實施 Netlet 之後,使用者可以安全執行共用的 TCP/IP 服務,例如 Telnet 與 SMTP,和以 HTTP 為基礎的應用程式例如 pcANYWHERE 或 Lotus Notes。請參閱第 5 章,「Netlet」,以取得詳細資訊。
Proxylet
Proxylet 是一個在用戶端機器上執行的動態代理伺服器。Proxylet 會將 URL 重新導向至閘道。方法是讀取並修改用戶端機器上瀏覽器的代理伺服器設定,將它們指向本機代理伺服器或 Proxylet。
管理 SRA 產品SRA 軟體具有兩個管理介面:
大部分管理作業會經由以網路為基礎的 Sun Java System Identity Server 管理主控台執行。管理主控台可以本機存取或從網路瀏覽器遠端存取。然而,例如修改檔案的作業必須經由 UNIX 指令行介面管理。
配置 SRA 屬性您可以在組織、角色與使用者層級中,配置與 SRA 相關的屬性,以下屬性除外:
- 在使用者層級中無法設定「衝突解析層級」。在「服務配置」標籤中也無法設定。請參閱設定衝突解析。
- 「MIME 類型配置檔案位置」屬性只可以在組織層級中設定。請參閱指定 MIME 類型配置檔案位置。
組織下所有的角色與使用者會繼承在組織層級設定的值。在使用者層級設定的值會覆寫在組織或角色層級設定的值。
大多數屬性可以在 Identity Server 標籤或 Identity Server 上的「服務配置」標籤上設定。「服務配置」層級設定的屬性可用作範本。任何新建立的組織或使用者會依預設繼承這些值。
您可以在「服務配置」層級變更屬性值。這些新值僅會在新增組織時有所體現。變更「服務配置」標籤屬性值不會影響現有組織或使用者。請參閱「Identity Server 管理指南」,以取得詳細資訊。
您可在 Identity Server 管理主控台的「SRA 配置」下使用下列服務配置 SRA 屬性:
- 存取清單
這個服務可讓您允許或拒絕存取特定的 URL 並管理單次登入功能。請參閱第 8 章,「配置 URL 存取控制」,以取得更多資訊。
- 閘道
這個服務可讓您配置所有與閘道相關的屬性,例如代理伺服器管理、cookie 管理、記錄、Rewriter 管理與密碼。請參閱第 9 章,「配置閘道」,以取得更多資訊。
- NetFile
這個服務可讓您配置所有與 NetFile 相關的屬性,例如共用主機、MIME 類型並存取不同類型的主機。請參閱第 10 章,「配置 NetFile」,以取得更多資訊。
- Netlet
這個服務可讓您配置所有與 Netlet 相關的屬性,例如 Netlet 規則、存取需要的規則、組織與主機以及預設演算法。請參閱第 11 章,「配置 Netlet」,以取得更多資訊。
- Proxylet
此服務能夠讓您配置 Proxylet 相關的屬性,例如 Proxylet Applet 連結 IP 位址與連接埠號。請參閱第 12 章,「配置 Proxylet」,以取得更多資訊。
警告
閘道在執行時不會接收屬性變更的通知。
重新啟動閘道以確保閘道使用的是更新的設定檔屬性 (屬於閘道或其他任何服務)。請參閱使用認證鏈接。
設定衝突解析若要設定衝突解析層級
支援的應用程式SRA 軟體支援下列應用程式
OWA 頁面需要的規則集會使用 exchange_2003_owa_ruleset 名稱安裝於方塊之外。若要檢視 OWA 的專案研究,請參閱 Outlook Web Access 的規則集。