附录 B
配置属性
本附录介绍可通过 Access Manager 管理控制台从每个 Portal Server Secure Remote Access 组件的“服务配置”中为 Sun Java™ System Portal Server Secure Remote Access 配置的属性:
访问列表服务
表 B-1 列出“访问列表”服务属性。
表 B-1 访问列表服务属性
|
属性
|
默认值
|
描述
|
|
拒绝的 URL
|
|
最终用户不能通过网关访问的 URL 列表。
|
|
允许的 URL
|
*
|
最终用户可通过网关访问的 URL 列表。
|
|
禁用单点登录的主机
|
|
禁用一列主机的单点登录。
|
|
启用每个会话的单点登录
|
|
启用会话的单点登录。
|
|
允许的验证级别
|
*
|
表示对验证的信任度。使用星号以允许所有验证级别。有关验证级别的信息,参见 Access Manager 管理指南。
|
网关服务
单击网关服务时,右侧窗格将显示一个用于创建新配置文件的按钮和一个所有已创建的网关配置文件的列表。
如果单击“新建”,下一个窗格要求输入新网关配置文件名。可选择使用默认模板或者使用先前创建的网关配置文件作为模板。
如果单击所列出的网关配置文件名之一,将提供一个标签列表。分别是:
核心
表 B-2 列出网关服务核心属性。
表 B-2 网关服务核心属性
|
属性
|
默认值
|
描述
|
|
启用 HTTPS 连接
|
|
启用 HTTPS 连接。
|
|
HTTPS 端口
|
443
|
指定 HTTPS 端口。
|
|
启用 HTTP 连接
|
*
|
启用 HTTP 连接。
|
|
HTTP 端口
|
80
|
指定 HTTP 端口。
|
|
启用重写器代理
|
*
|
实现网关与内部网之间的安全 HTTP 通信。“重写器”代理和网关使用相同的网关配置文件。
|
|
重写器代理列表
|
|
“重写器”代理列表。对于“重写器”代理的多个实例,采用 host-name:port 形式输入每个代理的详细信息
|
|
启用 Netlet
|
选中
|
实现 TCP/IP(如 Telnet 和 SMTP)、HTTP 应用程序及固定端口应用程序的安全性。
|
|
启用 Proxylet
|
选中
|
启用客户机上的 Proxylet 下载。
|
|
启用 Netlet 代理
|
|
通过将安全通道从客户机经网关扩展到驻留在内联网中的 Netlet 代理,增强网关和内联网之间 Netlet 通信的安全性。如果不需要与 Portal Server 一同使用应用程序,请禁用此功能。
|
|
Netlet 代理主机
|
|
以如下格式列出“Netlet 代理主机”:主机名:端口
|
|
启用 Cookie 管理
|
|
跟踪和管理允许用户访问的所有网站的用户会话。(不适用于 Portal Server 用来跟踪 Portal Server 用户会话的 cookie)。
|
|
启用持久的 HTTP 连接
|
选中
|
在网关启用 HTTP 持久性连接,以防套接字对网页中的每个对象(如图像和样式表)均打开。
|
|
每个持久性连接的最大请求数
|
10
|
指定每个持久性连接的请求数量。
|
|
持久性套接字连接超时时间
|
50
|
指定套接字关闭之前需要的时间长短。
|
|
周转时间的宽限超时时间
|
20
|
指定浏览器在发送请求之后该请求到达网关需要的宽限时间,以及网关发送响应和浏览器实际接收到响应之间的时间。
|
|
将用户会话 Cookie 转发到的 URL
|
|
可使 servlet 和 CGI 接收 Portal Server 的 cookie 并使用 API 来标识用户。
|
|
最大连接队列长度
|
50
|
指定网关可接受的最大并发连接数量。
|
|
网关超时时间(秒)
|
120
|
指定网关与浏览器连接超时前的时间间隔(以秒为单位)。
|
|
线程池容量最大值
|
200
|
指定可在网关线程池中预先创建的最大线程数量。
|
|
高速缓存套接字超时时间
|
200
|
指定网关与 Portal Server 连接超时前的时间间隔(以秒为单位)。
|
|
Portal Server
|
|
以 http://portal server name:port -number 的格式指定 Portal Server。网关试图联络每个以循环方式列出的 Portal Server 来为请求提供服务。
|
|
服务器重试时间间隔(秒)
|
120
|
指定在 Portal Server、“重写器”代理或 Netlet 代理不可用(如,崩溃或死机)之后,尝试启动它们的请求之间的时间间隔。
|
|
存储外部服务器 Cookie
|
|
允许网关存储和管理通过网关访问的任何第三方应用程序或服务器的 cookie。
|
|
从 URL 获取会话信息
|
|
无论支持 cookie 与否,均将会话信息作为 URL 的一部分进行编码。网关使用在 URL 中找到的会话信息进行验证,而不使用客户机浏览器发出的会话 cookie。
|
代理
表 B-3 列出网关服务代理属性。
表 B-3 网关服务代理属性
|
属性
|
默认值
|
描述
|
|
使用代理
|
|
启用网络代理。
|
|
使用 Web 代理 URL
|
|
列出网关只能通过“域和子域的代理”列表中列出的网络代理进行联系的 URL(即使禁用“使用代理”选项)。
|
|
不使用 Web 代理 URL
|
|
列出网关可以直接连接到的 URL。
|
|
域和子域的代理
|
iportal.com
sun.com
|
指定用于联系特定域中的特定子域的代理。
|
|
代理密码列表
|
|
如果指定代理服务器需要验证才能访问某些或所有站点,请指定网关向该代理服务器进行验证所需的服务器名、用户名和密码。
|
|
启用自动代理配置支持
|
|
指定“域和子域的代理”字段中的信息将被忽略。
|
|
自动代理配置文件的位置
|
|
指定要用于 PAC 支持的文件的位置。
|
|
启用隧道经过 Web 代理的 Netlet
|
|
将安全通道从客户机经由网关扩展到驻留在内部网中的网络代理。
|
安全
表 13-4 列出网关服务安全属性。
表 13-4 网关服务安全属性
|
属性
|
默认值
|
描述
|
|
启用 HTTP 基本验证
|
选中
|
保存用户名和密码,这样用户在重新访问受 BASIC 保护的网站时,就无需重新输入其身份验证信息。
|
|
未验证的 URL
|
/portal/desktop/images
/amserver/login_images
/portal/desktop/css
/amserver/jss
/amconsole/console/css
/portal/searchadmin/console/js
/amconsole/console/js
/amserver/css
|
指定不需要任何验证的 URL,如包含图像的目录。
|
|
启用了证书的网关主机
|
|
列出启用了证书的网关主机。
|
|
允许 40 位加密
|
|
允许 40 位(弱)“加密套接字层”(SSL) 连接。如果不选择此选项,则只支持 128 位连接。
|
|
启用 SSL 2.0 版本
|
选中
|
启用 SSL 2.0 版本。
禁用 SSL 2.0 意味着仅支持较早的 SSL 2.0 的浏览器不能向 SRA 进行验证。这将确保更高级别的安全性。
|
|
启用 SSL 密码选择
|
|
启用 SSL 密码选择。您可选择支持所有预封装的密码,或者单独选择所需的密码。您可以为每个网关实例指定特定的 SSL 密码。
|
|
SSL2 密码
|
|
列出 SSL 2 版本的密码以供选择。
|
|
SSL3 密码
|
|
列出 SSL 3 版本的密码以供选择。
|
|
TLS 密码
|
|
列出 TLS 密码。
|
|
启用 SSL 3.0 版本
|
选中
|
启用 SSL 3.0 版本。
禁用 SSL 3.0 意味着仅支持 SSL 3.0 的浏览器不能向 SRA 进行验证。这将确保更高级别的安全性。
|
|
启用空密码
|
|
启用空密码。
|
|
可信赖 SSL 域
|
|
列出可信赖的 SSL 域。
|
|
把 Cookies 标记为安全
|
|
把 cookie 标记为安全。必须启用“启用 Cookie 管理”选项。
|
重写器
“重写器”选项卡有两个子部分:
基本
表 B-4 列出网关服务“重写器”的基本属性。
表 B-4 网关服务重写器属性 - 基本
|
属性
|
默认值
|
描述
|
|
启用所有 URI 的重写
|
|
指定重写所有 URI,但不检查“域和子域的代理”列表中的条目。
|
|
将 URI 映射到规则集
|
*://*.iportal.com*/portal/*|default_gateway_ruleset
*/portal/NetFileOpenFileServlet*|null_ruleset
*|generic_ruleset
REPLACE_WITH_IPLANET_MAIL_SERVER_NAME|iplanet_mail_ruleset
REPLACE_WITH_EXCHANGE_SERVER_NAMEexchange_2000sp3_owa_ruleset
*://*.iportal.com*/amconsole/*|default_gateway_ruleset
REPLACE_WITH_INOTES_SERVER_NAME|inotes_ruleset
http*://*/portal/NetFileController*|null_ruleset
|
使用“将 URI 映射到规则集”列表使域和规则集相关联。规则集是在 Access Manager 管理控制台的“Portal Server 配置”下创建的。
|
|
将解析器映射到 MIME 类型
|
JAVASCRIPT=application/x-java
XML=text/xml
HTML=text/html;text/htm;text/x-component;text/wml;text/vnd.wap.wml
CSS=text/css
|
使新 MIME 类型和 HTML、JAVASCRIPT、CSS 或 XML 关联。用分号或逗号分隔多个条目。
|
|
禁止重写的 URI
|
|
列出禁止重写的 URI。注释:即使此 href 规则包括在规则集中,在该列表中添加 #* 也会允许重写 URI。
|
|
默认域
|
|
将主机名解析为默认域和子域。这是在安装期间指定的
|
高级
表 B-5 列出网关服务“重写器”高级属性。
表 B-5 网关服务重写器属性 - 高级
|
属性
|
默认值
|
描述
|
|
启用 MIME 推测
|
|
未发送 MIME 时,启用 MIME 推测。必须将数据添加到“将解析器映射至 URI”列表框中。
|
|
将解析器映射至 URI 映射
|
|
将解析器映射到 URI。多个 URI 以分号进行分隔。
例如,HTML=*.html; *.htm;*Servlet
它表示会使用“重写器”来重写具有 html、htm 或 Servlet 扩展名的任何页的内容。
|
|
启用屏蔽
|
|
允许“重写器”重写 URI 以便使人们看不到页的“内部网 URL”。
|
|
用于屏蔽的种子字符串
|
|
指定用于屏蔽 URI 的种子字符串。此随机字符串由屏蔽算法生成。
|
|
禁止屏蔽的 URI
|
|
指定不进行屏蔽的 Internet URI。应用程序(如 applet)需要 Internet URI 时,使用此项。
例如,如果添加了
*/Applet/Param*
到列表框中,则当内容 URI http://abc.com/Applet/Param1.html 在规则集的规则中匹配时,将不会屏蔽此 URI。
|
|
使得网关协议与原 URI 协议相同
|
|
启用“重写器”以使用一致的协议访问 HTML 内容中的引用资源。
这样做只适用于静态 URI,不适用于 Javascript 中生成的动态 URI。
|
日志记录
表 B-6 列出网关服务日志记录属性。
表 B-6 网关服务日志记录属性
|
属性
|
默认值
|
描述
|
|
启用日志
|
|
启用日志。
|
|
启用每会话日志
|
|
启用捕获最基本的日志信息,如“客户机地址”、“请求类型”以及“目的主机”。
|
|
启用详细的每会话日志
|
|
启用捕获详细日志信息,如“客户机”、“请求类型”、“目的主机”、“请求的类型”、“客户请求的 URL”、“客户发布数据大小”、“会话 ID”、“应答结果代码”和“完成应答的大小”。
注释:必须启用“启用每会话日志”。
|
|
启用 Netlet 日志
|
|
启用日志的情况下指定。假若如此,则捕获下列信息:开始时间、源、地址、源端口、服务器地址、服务器端口、停止时间以及状态(开始或停止)
|
NetFile 服务
单击“NetFile 服务”时,右侧窗格显示选项卡。分别是:
主机
“主机”标签有两个子部分:
配置
表 B-7 列出 NetFile 主机配置属性。
表 B-7 NetFile 服务主机配置属性
|
属性
|
默认值
|
描述
|
|
OS 字符集
|
Unicode (UTF-8)
|
指定与主机进行通信时用作默认编码的字符集。
|
|
主机检测检测顺序
|
WIN、NETWARE、FTP、NFS
|
指定主机检测顺序。
|
|
通用主机
|
|
指定所有远程 NetFile 用户均可通过 NetFile 使用的主机。
|
|
默认域
|
|
指定 NetFile 联络允许主机时需要使用的默认域。
|
|
默认 Microsoft Windows 域/工作组
|
|
指定用户访问 Windows 主机时选择的默认 Microsoft Windows 域或工作组。
|
|
默认 WINS/DNS 服务器
|
|
指定 NetFile 用于访问 windows 主机的 WINS/DNS 服务器。
|
访问
表 B-8 列出 NetFile 服务主机访问属性。
表 B-8 NetFile 服务主机访问属性
|
属性
|
默认值
|
描述
|
|
允许访问 Windows 主机
|
选中
|
允许访问 Microsoft Windows 主机。
|
|
允许访问 FTP 主机
|
选中
|
允许访问 FTP 主机。
|
|
允许访问 NFS 主机
|
选中
|
允许访问 NFS 主机。
|
|
允许访问 Netware 主机
|
选中
|
允许访问 Netware 主机。
|
|
允许的主机
|
*
|
指定用户可通过 NetFile 访问的主机。
|
|
拒绝的主机
|
|
指定用户不能通过 NetFile 访问的主机。
|
权限
如果您在用户开始使用 NetFile 后禁用了这些选项,则仅当用户从 NetFile 中注销并重新登录时,此更改才会生效。
表 B-9 列出 NetFile 服务权限属性
表 B-9 NetFile 服务权限属性
|
属性
|
默认值
|
描述
|
|
允许文件更名
|
选中
|
允许用户重命名文件。
|
|
允许删除文件/文件夹
|
选中
|
允许用户删除文件和文件夹。
|
|
允许文件上载
|
选中
|
允许用户上载文件。
|
|
允许文件/文件夹下载
|
选中
|
允许用户下载文件和文件夹。
|
|
允许文件搜索
|
选中
|
允许用户进行搜索。
|
|
允许文件邮件
|
选中
|
允许邮寄文件。
|
|
允许文件压缩
|
选中
|
允许文件压缩。
|
|
允许改变用户 ID
|
选中
|
允许用户使用不同的 ID。
|
|
允许改变 Windows 域
|
选中
|
允许用户更改 Microsoft Windows 域。
|
视图
表 B-10 列出 NetFile 服务视图属性。
表 B-10 NetFle 服务视图属性
|
属性
|
默认值
|
描述
|
|
窗口大小
|
700|400
|
以像素为单位指定 NetFile 窗口在用户桌面上的大小。如果输入了无效值,NetFile 会使用默认值。
|
|
Window 位置
|
100|50
|
指定 NetFile 窗口在用户桌面上的显示位置。如果输入了无效值,NetFile 会使用默认值。
|
操作
“操作”标签有下列子部分:
通信
表 B-11 列出 NetFile 服务操作通信属性。
表 B-11 NetFile 服务操作 - 通信属性
|
属性
|
默认值
|
描述
|
|
临时目录位置
|
/tmp
|
指定各种 NetFile 文件操作的临时目录。
确保运行 Web 服务器的 ID(如 nobody 或 noaccess)对所指定的目录具有 rwx 权限。还要确保此 ID 对于到所需临时目录的完整路径具有 rx 权限。
最好为 NetFile 创建一个单独的临时目录。如果所指定的临时目录对于 Portal Server 的所有模块来说是公用目录,磁盘空间可能很快就会用完。如果临时目录没有空间,NetFile 便无法工作。
|
|
文件上载限制 (MB)
|
5
|
指定可以上载的最大文件大小。如果输入无效值,NetFile 会将其重置为默认值。确保键入的是整数值。
可为不同用户指定不同的文件上载大小限制。
|
搜索
表 B-12 列出 NetFile 服务操作搜索属性。
表 B-12 NetFile 服务操作 - 搜索属性
|
属性
|
默认值
|
描述
|
|
搜索目录限制
|
100
|
指定可在单次搜索操作中搜索的最大目录数。
|
压缩
表 B-13 列出 NetFile 服务操作压缩属性。
表 B-13 NetFile 服务操作 - 压缩属性
|
属性
|
默认值
|
描述
|
|
默认压缩类型
|
Zip
|
指定 Zip 或 Gzip 压缩类型。
|
|
默认压缩级别
|
6
|
指定压缩级别,1 和 9 之间的一个数字。
|
常规
表 B-14 列出 NetFile 服务常规属性。
表 B-14 NetFile 服务 - 常规属性
|
属性
|
默认值
|
描述
|
|
MIME 类型配置文件定位
|
/opt/S1PS62/SUNWps/samples/config/netfile
|
指定要发送到客户机浏览器的响应内容类型。
|
Netlet 服务
表 B-15 列出 Netlet 服务属性。
表 B-15 Netlet 服务属性
|
属性
|
默认值
|
描述
|
|
Netlet 规则
|
|
选择添加或删除规则。
|
|
如果添加规则,下列九个属性是必需的:
|
|
--规则名称
|
|
为规则指定唯一名称。
|
|
--加密密码
|
|
指定所需密码。
|
|
--URL
|
|
指定要调用的应用程序的 URL。
|
|
--下载 Applet
|
|
需要下载 applet 时指定。如果使用 applet,相关编辑框中的语法为:
local-port:server-host:server-port
|
|
--扩展会话
|
|
确保与该规则相对应的 Netlet 会话运行期间,延长 Portal Server 会话时间。
|
|
--将本地端口映射至目标服务器端口
|
|
指定本地端口、目标主机和目标端口。输入这些值(在此表的后三行中)之后,单击添加,使其出现在列表中。
|
|
--本地端口
|
|
指定 Netlet 进行侦听时所在的本地端口。对于 FTP 规则,本地端口值必须是 30021。
|
|
--目标主机
|
|
静态规则包含用于 Netlet 连接的目标机器的主机名。
动态规则包含单词 "TARGET"。
|
|
-- 目标端口
|
|
指定目标主机上的端口。
|
|
默认本地 VM 密码
|
|
为 Netlet 规则指定默认密码。这在使用其中未包括密码的现有规则时非常有用。
|
|
默认 Java™ Plugin 密码
|
|
为 Netlet 规则指定默认密码。这在使用其中未包括密码的现有规则时非常有用。
|
|
默认环回端口
|
58000
|
当通过 Netlet 下载 applet 时,指定用于客户机的端口。在 Netlet 规则中,可以覆盖默认值。
|
|
连接时重新验证
|
|
确保用户在每次需要建立 Netlet 连接时,均输入 Netlet 密码。
|
|
连接时显示弹出式警告
|
选中
|
当用户在 Netlet 上运行应用程序或是有入侵者企图通过侦听端口获得桌面的访问权时,显示消息。
|
|
显示端口警告对话框中的复选框
|
选中
|
当 Netlet 尝试连接到用户标准“Portal 桌面”上的目标主机时,为用户提供禁止“弹出警告对话框”的选项。
|
|
保活间隔(分钟)
|
0
|
如果客户机是通过 Web 代理连接到“网关”,则会因代理超时而断开空闲的 Netlet 连接。为防止出现此情况,请为此参数指定一个小于代理超时值的值。
|
|
入口注销时终止 Netlet
|
选中
|
用户从 Portal Server 注销时,确保所有连接均终止。
|
|
访问 Netlet 规则
|
*
|
为某些组织、角色或用户定义对特定 Netlet 规则的访问。
|
|
拒绝 Netlet 规则
|
|
为某些组织、角色或用户定义对特定 Netlet 规则的访问。
|
|
允许的主机
|
*
|
为某些组织、角色或用户定义对特定主机的访问。
|
|
拒绝的主机
|
|
拒绝对组织内特定主机的访问。
|
Proxylet 服务
表 B-16 列出 Proxylet 服务属性。
表 B-16 Proxylet 服务属性
|
属性
|
默认值
|
描述
|
|
自动下载 Proxylet Applet
|
|
如果选中复选框,用户登录时 Proxylet 会被下载到客户机上。
|
|
默认 Proxylet Applet 绑定 IP
|
127.0.0.1
|
Proxylet Applet 驻留的 IP 地址。
|
|
默认 Proxylet Applet 端口
|
58080
|
这是 Proxylet 进行侦听的端口。
|
