|
| |
| Sun Java System Portal Server Secure Remote Access 6 2005Q1 管理指南 | |
第 1 章
Portal Server Secure Remote Access 简介本章介绍 Sun Java™ System Portal Server Secure Remote Access 以及 Sun Java System Portal Server (Portal Server) 软件与 Sun Java System Portal Server Secure Remote Access (SRA) 组件之间的关系。
本章包括以下主题:
SRA 软件概述SRA 软件使远程用户能够通过 Internet 安全地访问其组织的网络及其服务。此外,它还为贵组织提供了一个安全的 Internet 门户,从而使所有目标读者 — 雇员、商业伙伴以及普通公众 — 都能够访问其内容、应用程序和数据。
SRA 软件可提供自任意远程设备对门户内容和服务的基于浏览器的安全远程访问。SRA 是一种安全访问解决方案,用户可从任意设备通过启用了 Java 技术的浏览器对其进行访问,从而不再需要客户机软件。与 Portal Server 的集成可确保用户对具有访问许可权的内容和服务进行安全加密式的访问。
SRA 软件着眼于那些部署高安全远程访问门户的企业。这些门户注重的是安全、保护性以及内联网资源的保密性。SRA 体系结构非常适合这些类型的门户。借助 SRA 软件,用户可以通过 Internet 安全地访问内联网资源,而无需将这些资源公诸于 Internet。
Portal Server 可在以下两种模式下工作:
开放模式
在开放模式下,安装 Portal Server 时不带 SRA 软件。尽管在此模式下 HTTPS 通信仍可进行,但无法实现安全远程访问。这就意味着用户不能访问安全的远程文件系统和应用程序。
开放门户和安全门户的主要区别是,由开放门户提供的服务通常驻留在隔离区 (DMZ) 内,而不是驻留在安全的内联网中。DMZ 是公共 Internet 和专用内联网之间的一个小型受保护网络,通常在其两端以防火墙来划界。
如果门户不包含敏感信息(部署公用信息和允许访问自由应用程序),则对大量用户所发出的访问请求的响应速度比使用安全模式更快。
图 1-1 显示开放模式下的 Portal Server。在此,Portal Server 被安装在防火墙后的单台服务器上。多台客户机穿过单面防火墙在 Internet 上访问 Portal Server。
图 1-1 开放模式下的 Portal Server
安全模式
安全模式可使用户对所需的内联网文件系统和应用程序进行安全远程访问。
网关位于隔离区 (DMZ) 内。网关对所有内联网 URL 和应用程序提供了单个安全访问点,从而减少了防火墙中要打开的端口数。其他所有 Portal Server 服务(如“会话”、“验证”和标准“门户桌面”)均驻留在安全内联网中 DMZ 的后面。从客户机浏览器到网关的通信采用“安全套接字层”(SSL) 基础之上的 HTTP 进行加密。从网关到服务器和内联网资源的通信既可以是 HTTP,也可以是 HTTPS。
图 1-2 显示了带有 SRA 软件的 Portal Server。SSL 用于在 Internet 上加密客户机和网关之间的连接。SSL 也可用于对网关与服务器之间的连接进行加密。存在于内联网与 Internet 之间的网关使客户机与 Portal Server 之间的安全路径得以延伸。
图 1-2 安全模式下的 Portal Server(带有 SRA 软件)
可另行添加服务器和网关来扩充站点。SRA 软件可根据业务要求以各种方式进行配置。
SRA 服务SRA 软件有五个主要组件:
Gateway
SRA 网关在源自 Internet 与公司内联网的远程用户会话之间提供了接口和安全屏障。网关可通过单个接口将来自内部 Web 服务器和应用程序服务器的内容安全地呈现给远程用户。
Web 服务器使用基于 Web 的资源(如 HTML、JavaScript 和 XML)在客户机与网关之间进行通信。“重写器”是一个网关组件,用于使网络内容变为可用。
应用服务器使用二进制协议(如 Telnet 和 FTP)在客户机与网关之间进行通信。驻留在网关上的 Netlet 便用于该用途。有关详细信息,参见第 2 章,“网关”。
Rewriter
“重写器”使最终用户可以浏览内联网,并使这些页面上的链接和其他 URL 引用正确发挥作用。“重写器”预先考虑 Web 浏览器位置字段中的“网关 URL”,进而通过网关重定向内容请求。有关详细信息,参见第 3 章,“Proxylet 和重写器”。
NetFile
NetFile 是一个文件管理器应用程序,它允许对文件系统和目录进行远程访问和操作。NetFile 包括一个基于 Java 的用户界面。它可用于 Java 1 和 Java 2。详细信息参见第 4 章, "NetFile"。
Netlet
Netlet 有助于安全地在远程桌面上运行常用的或特定于公司的应用程序。当您的站点实现 Netlet 后,用户可安全地运行公共 TCP/IP 服务(如 Telnet 和 SMTP)及基于 HTTP 的应用程序(如 pcANYWHERE 或 Lotus Notes)。有关详细信息,参见第 5 章, "Netlet"。
Proxylet
Proxylet 是一个在客户机上运行的动态代理服务器。Proxylet 将 URL 重定向到网关。它通过读取和修改客户机上浏览器的代理设置以使其指向本地代理服务器或 Proxylet 来完成这项工作。
管理 SRA 产品SRA 软件有两个用于进行管理的界面:
大多数管理任务都是通过基于 Web 的 Sun Java System Access Manager 管理控制台执行的。管理控制台可通过网络浏览器进行本地或远程访问。但是,某些任务(如文件修改)必须通过 UNIX 命令行界面进行管理。
配置 SRA 属性大多数属性既可在“身份认证管理”选项卡中设置,也可在 Access Manager 上的“服务配置”选项卡中设置。在“服务配置”级设置的属性会用作模板。默认情况下,所创建的任何组织或用户均会继承这些值。
您可在组织级、角色级和用户级配置与 SRA 有关的属性,以下情况除外:
- “冲突解决级别”不能在用户级进行设置,且无法从“服务配置”选项卡获得。参见设置冲突解决。
- 只能在组织级别设置“MIME 类型配置文件定位”属性。参见指定 MIME 类型配置文件位置。
在组织级设置的值将由该组织以下的所有角色和用户继承。在用户级设置的值会覆盖在组织级或角色级设置的相应值。
您可在“服务配置”级对属性值进行更改。只有添加了新的组织后,才反映这些新的属性值。在“服务配置”选项卡中对属性值所作的更改不会影响现有的组织或用户。有关详细信息,参见 Access Manager 管理指南。
您可在 Access Manager 管理控制台的“SRA 配置”下方使用以下服务配置 SRA 属性:
- 访问列表
此服务使您能够允许或限制对特定 URL 的访问,并能对单点登录功能进行管理。有关更多信息,参见第 8 章,“配置 URL 访问控制”。
- 网关
此服务使您能够配置所有与网关相关的属性,如代理管理、cookie 管理、日志记录、重写器管理和密码。有关更多信息,参见第 9 章,“配置网关”。
- NetFile
此服务使您能够配置所有与 NetFile 相关的属性,如通用主机、MIME 类型,以及对不同类型主机的访问。有关更多信息,参见第 10 章,“配置 NetFile”。
- Netlet
此服务使您能够配置所有与 Netlet 相关的属性,如 Netlet 规则、对所需规则的访问、组织和主机以及默认算法。有关更多信息,参见第 11 章,“配置 Netlet”。
- Proxylet
此服务使您能够配置与 Proxylet 相关的属性,如“Proxylet Applet 绑定 IP”地址及端口号。有关更多信息,参见第 12 章,“配置 Proxylet”。
警告
网关不会收到有关在其运行期间对属性所作更改的通知。重启网关以确保网关使用已更新的配置文件属性(属于网关或任何其他服务)。参见使用验证链。
设置冲突解决设置冲突解决级别
支持的应用程序SRA 软件支持以下应用程序:
- Outlook Web Access (OWA) 的 MS Exchange 2000 SP3 和 MS Exchange 2003。
- 名为 exchange_2003_owa_ruleset 的 OWA 规则集。
- iNotes - Notes 5.0.11
- Sun Java System Calendar Server 5.1.1 及更高版本
- Sun Java System Messenger Express 6 2005Q4 - Sun Java System Messaging Server 5.2 及更高版本
- Sun Java System Communications Express 6 2005Q1 及更高版本
