第 7 章 集成现有的服务应用程序

Solaris^TM for ISPs^TM 被设计成允许将您现有的服务与 Sun^TM Internet Administrator^TM 集成在一起。当您集成这些服务时，它们将获得该产品提供的集中式远程管理和管理员帐户管理的好处。由于 Sun Internet Administrator 能够对管理员的访问进行管理，因而将应用程序与它集成是一条把管理员授权的安全性添加到现有的服务应用程序的便捷之路。

集成现有服务的通用步骤

Sun Internet Administrator 使用下列通用步骤集成并管理基于 Web 的、基于 X 的和使用命令行的管理接口。

1. 在一台允许通过 Sun Internet Administrator 从网络访问的计算机上安装服务应用程序。此主机上必须已安装了 Solaris for ISPs 平台组件 (SUNWisp)，以便提供 Sun Internet Administrator 所用的平台扩展。

2. 在服务主机上使用与此类服务相应的正确参数来运行 mcreg(1m) 命令。对于每一种类型的服务，mcreg 命令的格式都是不同的，稍后将在本章以及该命令的 man 页上对此详加描述。您必须有根访问权才能运行 mcreg。

   ---

   注意：

   如果您变更了 URL 或其它服务配置信息（例如，若您变更 Web 服务器正在运行处的端口），则必须再次运行 mcreg。若您为某个服务多次运行 mcreg（在单个主机上），后面的信息将覆盖先前记录的信息。

   ---

3. 在 Sun Internet Administrator 中，管理该服务主机并选择新的服务。

4. 仍然在 Sun Internet Administrator 中，创建对新服务有访问权的管理员，或者修改已有的管理员以授予他们访问权。

   您必须是拥有管理 Sun Internet Administrator 权限的管理员才能执行这些任务。

集成基于 X 的服务

在网络中的一台计算机上安装服务应用程序时，运行 mcreg(1m) 命令以存储该应用程序的信息。此信息被 Sun Internet Administrator 用来正确地处理管理 GUI 的外观和调用。对于 mcreg 命令您需要的信息是：

• 组件的标识符，标识服务应用程序的唯一的字符串。鉴于它们是唯一的，Solaris for ISPs 推荐使用软件包的名称作为组件标识符。服务应用程序的开发者可选择该组件标识符。

• 一个适合于提供给管理员的用户友善名。这是 Sun Internet Administrator 在其 Manage Services 屏幕上显示的服务名称，管理员可在该屏幕上访问所有服务。服务应用程序的开发者选择该应用程序名。

• 被登记的应用程序的版本号。版本号的推荐格式为 major.minor（例如，1.2）。服务应用程序的开发者选择此版本号。

• 到基于 X 的管理接口的完整的文件系统路径（该接口可在服务主机上执行）。

• 用户名，管理接口在该名下运行。它标识了 Sun Internet Administrator 用来调用程序的 UNIX UID。

• 组名，管理接口在该名下运行。它标识了 Sun Internet Administrator 用来调用程序的 UNIX GID。

您拥有全部需要的信息后，请获取根访问权并按照以下所示登记信息。在安装了服务管理接口的计算机上运行此命令。

# mcreg -c componentID -n name -v version -x X_path -u user_name -g group_name

有关该命令的这种格式的示例，请参阅 mcreg(1m) man 页。

运行 mcreg 之后，您可以控制台管理员的身份登录 Sun Internet Administrator 并将新应用程序登记进行管理。若您希望其他管理员有权管理新应用程序，可编辑其管理员访问权以便将新应用程序包含在内。Sun Internet Administrator 联机帮助对于执行这些任务有详尽的指导。

当管理员从 Sun Internet Administrator 调用 X 应用程序时，在客户机上显示器被路由显示零 (hostname:0)。所有由 X 应用程序生成的 stdout 或 stderr 消息显示在 Sun Internet Administrator X Application Output 屏幕中。

集成命令行程序

要将某个命令行管理程序与 Sun Internet Administrator 集成，请运行 mcreg(1m) 命令以存储应用程序的信息。Sun Internet Administrator 使用该信息来正确地处理管理 GUI 的外观和调用。对于 mcreg 命令您所需要的信息是：

• 组件标识符，标识服务应用程序的唯一的字符串。服务应用程序开发者可选择组件标识符。

• 一个适合于提供给管理员的用户友善名。这是 Sun Internet Administrator 在其 Manage Services 屏幕中显示的服务名称，管理员可在该屏幕访问全部服务。服务应用程序开发者可选择应用程序名。

• 登记的应用程序的版本号。版本号的推荐格式为 major.minor （例如，1.2）。服务应用程序开发者可选择版本号。

• 到命令行程序的完整路径，再加上其参数和文档的信息。将此命令选项括在引号 (") 内。共有三个字段：

  • 带有静态参数的到可执行文件的全路径。例如， -p "/usr/bin/ps -ef"。该字段是必需的。

  • -a 表示此命令在正常运行时从用户处取参数。该字段是可选的。

  • -h helpfile 表示与此命令相关联的联机文档。该字段是可选的。

• 用户名，管理员接口在该名下运行。它标识 Sun Internet Administrator 用来调用程序的 UNIX UID。

• 组名，管理员接口在该名下运行。它标识 Sun Internet Administrator 用来调用程序的 UNIX GID。

您得到所需的全部信息后，请按如下所示获取根访问权并登记信息。在安装了服务管理接口的计算机上运行此命令。

# mcreg -c componentID -n name -p "prog_path [-a] [-h help_file]"... -v version -u user_name -g group_name

有关此命令的各种格式，请参阅 mcreg(1m) man 页。

要记录有关多命令行操作的信息，输入多个 -p 自变量。

运行 mcreg 之后，您即可以控制台管理员的身份登录 Sun Internet Administrator 并登记新应用程序以进行管理。若您希望其他管理员有权管理新的应用程序，可编辑其管理员访问权以便将新应用程序包含在内。Sun Internet Administrator 联机帮助对于执行这些任务有详尽的指导。

集成双层基于 Web 的应用程序

双层基于 Web 的应用程序指的是其管理接口是通过 Web 浏览器来访问的现有的应用程序。其执行方式可以是 HTML, CGI 或 Java Applet 和 Servlet（或某种组合）等。这种接口要求安装一个 Web 服务器，并且在安装了该服务的计算机上运行。

因为该接口可通过 URL 来访问，所以有一些安全问题需要考虑。该接口应该受到 Web 服务器的 ACLs 的保护，从而只有授权的管理员才能访问它。要利用 Sun Internet Administrator 提供的管理员管理，您必须使用 Sun^TM WebServer^TM (SWS)，而且要用 Sun Internet Administrator 管理 Web 服务器所使用的同一个 ACLs 对其进行配置（见 "为管理员帐户协调进行配置"）。

要保障浏览器与管理接口之间的连接，可考虑使用“安全 HTTP” (HTTPS) 或 SKIP。有关如何配置这些安全工具的指导，请参阅 SWS 联机帮助和 SKIP man 页 (/opt/SUNWicp/man)。

为双层基于 Web 的应用程序登记信息

在网络中的某台计算机上安装了服务应用程序后，可运行 mcreg(1m) 命令以存储应用程序的信息。此信息被 Sun Internet Administrator 用来正确地处理管理 GUI 的外观和调用。对于 mcreg 命令您所需要的信息是：

• 组件标识符 (componentID)，标识服务应用程序的唯一的字符串。因为它们是唯一的，Solaris for ISPs 建议用软件包的名称作为组件标识符。服务应用程序开发者可选择组件标识符。

• 一个适合于提供给管理员的用户友善名。这是 Sun Internet Administrator 在其 Manage Services 屏幕中显示的服务名称，管理员可在该屏幕访问全部服务。服务应用程序开发者可选择应用程序名。

• 登记的应用程序的版本号。版本号的推荐格式为 major.minor（例如，1.2）。服务应用程序开发者可选择版本号。

• 到基于 Web 的管理接口入口点的 URL。请输入绝对（而非相对）地址。

您得到所需的全部信息后，请按如下所示获取根访问权并登记信息。在安装了服务管理接口的计算机上运行此命令。

# mcreg -c componentID -n name -v version -w URL

有关该命令的这种格式的示例，请参阅 mcreg(1m) man 页。

运行 mcreg 之后，您即可以控制台管理员的身份登录 Sun Internet Administrator 并登记新应用程序以进行管理。若您希望其他管理员有权管理新的应用程序，可编辑其管理员访问列表以便将新应用程序包含在内。Sun Internet Administrator 联机帮助对于执行这些任务有详尽的指导。

为管理员帐户协调进行配置

如果双层服务应用程序使用 SWS 作为其管理接口，则有可能配置服务器的 ACLs 以便使用与 Sun Internet Administrator 相同的管理员登录信息。因此，您要管理的只有单个一组管理员帐户（在目录服务中）。这就简化了这些帐户的管理，提高了您对安全风险情况的反应能力。

您必须先在服务主机（安装了服务应用程序的计算机）上安装 SWS，并且在服务器的文档树内安排好接口文档和文件。然后再配置 SWS 如下：

1. 在 SWS 实体的缺省 Web 站点中创建一个领域：

   # htrealm add -i instance -h hostname -r realmname -s ISPADMIN -d ComponentID-VersionNo
   

   其中

   • instance 为正在被配置的 httpd 实体的名称。

   • hostname 为包含该领域的主机名。

   • realmname 为您正在创建的领域的名称。

   • ISPAdmin 为领域的源。输入 ISPADMIN，表明这些是 Sun Internet Administrator 管理员。

   • ComponentID-VersionNo 为管理 GUI 文件（HTML 及其它）所在的目录。

2. 向该服务的管理 GUI 所在的 URL 添加 ACL 保护：

   # htaccess add -i instance -h hostname -U URI -r realname -s BASIC
   

   其中

   • instance 为正在配置的 httpd 实体的名称。

   • hostname 为运行着 Web 服务器的计算机的名称。

   • realmname 为您正在创建的领域的名称。

   • BASIC 为想要的鉴别规划。请输入 BASIC。

3. 重新启动缺省站点，如果它已经运行的话。请使用 SWS 管理 GUI 来执行这项任务。有关详尽的指导可从联机帮助上得到。