Sun Internet Administrator 为所有 ISP 服务提供了安全的集中式管理,无论在本地还是跨越主机网络。一旦接到来自授权管理员的请求,它即调用各个服务的管理 GUI (如果有的话)。在适当的地方也可访问命令行接口。
Sun Internet Administrator 提供下列安全方面的特性:
管理员鉴别。 要求管理员在访问 GUI 时提供有效的用户名和口令。
管理员访问控制。 对每个 ISP 服务都有访问控制。有权在网络上管理 FTP 服务器的管理员也许可以、也许不能访问新闻服务器。控制台管理员(即可以管理 Sun Internet Administrator 进程的人)可以访问 Sun Internet Administrator 所管理的所有服务。
中央审查。 记录管理员的动作以便跟踪和责任到位。
对所有网络通讯流的隐私和完整性保护。 可以对可选的 SKIP 软件加以配置以保护所有往来于 Sun Internet Administrator 的连接。SSL 亦可用于安全 HTTP 流。
Sun Internet Administrator 支持两种体系结构的服务: 三层和双层。只有三层体系结构才能获得所有上述安全性益处。支持四种服务 UI 类型:
三层、基于浏览器的 应用程序获得由 Sun Internet Administrator 提供的所有安全性益处。
双层、基于浏览器的 应用程序无法利用单次登录特性,但可以通过 Sun Internet Administrator 进行管理。如果它们使用 SWS 来支持管理应用程序,它们便可以配置该程序以提供管理员鉴别。(有关此配置的细节请参阅 第 7 章,集成现有的服务应用程序。)包含双层体系结构以支持遗留应用程序。
基于 X 的 应用程序可获得三层应用程序的全部益处。
命令行 功能(正文、程序或其组合)可获得三层应用程序的全部益处。任何数量的功能均可被登记用于给定的服务并可由 Sun Internet Administrator 来管理,从而构成一个连接命令行程序的 Web 接口。
推荐的三层、基于浏览器的应用程序体系结构可获得所有 Sun Internet Administrator 安全性益处。
如 图形 1-3 中所示,管理员使用下列步骤来访问某个服务的管理功能:
从浏览器进行,管理员请求一个特殊的 URL (主要 Sun Internet Administrator GUI 页面的位置)。
将 AWC 下载至客户浏览器,然后管理员可以从中选择一个要管理的服务。
Sun Internet Administrator 提示管理员需要用户名和口令。管理员不必使用 UNIX 帐户来访问控制台 GUI; 一个目录服务仓库 (Sun Directory Services) 将帮助 Sun Internet Administrator 对管理员信息进行管理。这一连接应该使用安全 HTTP 来保护。
所选择的服务解析为某个 URL,指定该服务的 ASCA。作为响应,服务器代理 GUI 被下载。在这一步骤,控制传递到服务的管理程序。
后续的访问是直接在客户浏览器与 AWS 上的组件服务器代理之间进行的。
AWS 针对目录访问鉴别管理员,并记录管理员的每个请求。如果该管理员有正当的访问权,请求则被传递到 ASRA。
ASCA 通过服务的开发者选择的协议与 ASRA 通讯。应该采取适当的 IP 级的安全措施以保护这一连接及其通讯流。
ASRA 再次鉴别并记录每个管理员的动作。若要保护网络通讯,ISP 可以添加 IP 级的加密,如果真的希望这样做,可使用 SKIP 来加密。
Solaris for ISPs 中提供了用于命令行和基于 X 的程序的 ASCA 和 ASRA 模块。一旦您登记了这些应用程序,Sun Internet Administrator 就自动地使用它们。
对于某些应用程序,特别是已有的服务,双层体系结构对于通过 Sun Internet Administrator 进行访问更加实用。这些服务可以从 Sun Internet Administrator 加以管理,但得不到单次登录和记录的安全性益处。
如 图形 1-4 中所示,管理员使用下列步骤来访问某个服务的管理功能:
从浏览器进行,管理员请求一个特殊的 URL (主要控制台 GUI 页面的位置)。
此步骤与三层体系结构的相同。AWC 被下载至客户浏览器,然后管理员可以从中选择一个要管理的服务。
所选择的服务解析为某个 URL,指定组件的 ASRA. 如果该服务的管理 GUI 不是基于浏览器的,可以根据开发者的选择使用其它协议。
后续的访问直接在客户浏览器与服务的远程代理之间进行。应该采取适当的 IP 级的安全措施以保护这一连接及其通讯流。
在双层体系结构中,服务是无法利用单次登录特性。