第 1章 Solaris for ISPs 概觀

歡迎使用 Solaris^TM for ISPs^TM。這個 Solaris 套件係建基於 Solaris 作業系統的開放式架構與大型作業能力的特性上，提供 Internet 服務業者和他們的客戶一個服適適當的作業環境。

Solaris for ISPs 架構

Solaris for ISPs 區分成兩類軟體聚集。平台軟體可以擴展 Solaris 功能，可以增加啟動 ISP 服務的功能，但 ISP 用戶無法直接存取。ISP 服務利用擴充的 Solaris 環境，提供了如 Internet 新聞、FTP 和存取全球資訊網的用戶功能。

圖 1-1 Solaris for ISPs 的基本架構

Solaris for ISPs 平台延伸

Solaris for ISPs 在 Solaris 作業系統包含下列增強部份：

• Sun^TM Internet Administrator^TM

• 主機配置軟體

• Sun^TM Internet Services Monitor^TM

• Sun^TM Directory Services

• Sunscreen^TM SKIP

• FlexLM 軟體授權伺服器

• HotJava^TM瀏覽程式

• Java 設計工具箱

Sun Internet Administrator

Sun Internet Administrator 為分散式 ISP 服務提供了集中式的安全管理。提供 ISP 管理者下列的功能：

• 管理者單一簽入。一旦 ISP 管理者登入 Sun Internet Administrator，便可存取所有授權的功能。根據 ISP 指南而開發且從 Sun Internet Administrator 管理的服務，從它那兒接收登入資訊，使用者不會再被詢問。

• 管理者的客戶機器與遠程服務主機之間的安全通信。所有連接到主控台和從主控台到服務主機的機器都可以安裝及配置選擇性的 SKIP 軟體，使其通信不受刺探與詐騙。

• 管理者登入的動作可以追蹤。每個管理者動作從起始登入到登出會全數經由syslog公用程式記錄。如此可以提供解決難題及說明資訊。

• 現存 ISP 服務的遠程管理。所有由 Solaris for ISPs 提供的服務元件不論其網路上的位置在那裡，都可以從 Sun Internet Administrator 管理。另外，三段式元件的 Sun^TM Internet FTP Server^TM 和 Sun^TM Internet News Server^TM 可接收所有建立在 Sun Internet Administrator 的安全利益。請參閱"以 Sun Internet Administrator 管理服務"關於和 Sun Internet Administrator 互動服務的相關資訊。

• 現存服務的延伸性。ISP 可利用 Sun Internet Administrator 整合自己的應用程式，並且以 Solaris for ISPs 提供的服務方式管理。請參閱第 7章, 整合現有的服務應用程式有關利用 Sun Internet Administrator 整合應用程式的指導。

主機配置軟體

Solaris for ISPs 主機配置軟體提供了下列功能：

• 軟體安裝。管理者可以利用主機配置軟體安裝及解除安裝所有的 Solaris for ISPs 軟體。管理者可以儲存安裝概要，使用於 JumpStart 完成指令集以便自動重複安裝。

• Solaris 基礎配置。為了增強安全及保存來源檔案，不需要的 Solaris 服務都已取消。Solaris 相關安全的元件也都已適當的配置在 ISP 環境裡。

• 干擾偵測。干擾偵測器會定期的檢查登入檔案，看看是從上次檢查到現在否有登入失敗的記錄。如果有這類的記錄出現，偵測器會收集這些登入資料並傳送通知機制(如電子郵件)給指定的使用者。

• 伺服器處理管理。這個cron的工作是確保伺服器處理（比如新的伺服器）確實正在執行。如果有任何一個伺服器不正常停止，那伺服器處理管理會啟動它。

• 登入檔案管理。稽核及 syslog 登錄是每日循環進行的。登入檔案管理常駐程式每週會歸檔登入檔案並刪除超過一個月以上的歸檔檔案。

主機配置軟體是必要的軟體元件。軟體元件會安裝在每一台 Solaris for ISPs 主機機器。

Sun Internet Services Monitor

執行監控軟體允許 ISP 設定特殊的客戶機機器，可以利用 ISP 服務模仿用戶習慣。執行監控 applet 可以設定連接到任何一種網站、電子郵件、新聞及目錄服務伺服器的結合，並且從用戶觀點收集有關其效能的資料。這些資料收集於監控主機，並可用網站瀏覽程式來查看。

Sun Internet Services Monitor 是兩階段的應用程式。它可經由 Sun Internet Administrator 來管理，但是無法接收單一簽入的利益或管理者的辨証。請參閱"以 Sun Internet Administrator 管理服務"兩階段架構的相關資訊。

Sun Directory Services

Lightweight Directory Access Protocol（LDAP）執行提供共用資料庫給使用者（管理者）及服務配置資訊。管理者也在資料庫儲存用戶資訊。在這一版的 Sun Directory Services 功能包括：

• 對 LDAP v3 網路標準的一致性。

• 遠程存取權撥號使用者服務（RADIUS）伺服器提供了遠程使用者經由網路存取權伺服器（NAS）連接到網路的辨證。

• 整合於現存 NIS 環境以提供整合命名服務的「網路資訊系統」(NIS) 伺服器。

• 一套完整的管理工具程式組，包含 Deja 目錄編輯器，目錄管理的 Java-執行管理主控台，及可以從任何瀏覽程式存取權的 Web 通徑。

Sun Directory Services 可從 Sun Internet Administrator 來管理，一如以 X 為基礎的應用程式。

Sun Directory Services 安裝了無授權限制的一千個登錄在目錄裡。具有授權的一千個登錄可隨 Solaris for ISPs 出貨，但是必須要和 FlexLM 軟體授權伺服器註冊後才有效。請參閱Solaris for ISPs 安裝手冊有關軟體授權書履約及安裝的詳細說明。

請參閱本書第 5章, 使用目錄服務和第 6章, Solaris for ISPs 目錄服務機制有關 Sun Directory Services 在 Solaris for ISPs 所充當的角色的相關資訊。Sun Directory Services 文件是由Sun Directory Service 3.1 管理手冊和Sun Directory Service 3.1 使用者手冊兩本書所組成，它們是以AnswerBook2^TM包裝發行的。Sun Directory Services Deja 工具也有完整的線上解說。

Sunscreen SKIP

Sunscreen^TM SKIP 是以 Simple Key-management for Internet Protocols (SKIP) 標準的按鍵管理為基礎為 IP 加密。SKIP 的功能包括：

• 自動証明交換

• 低階段作業通信協定

• IPv4 和 IPv6 的多重投射及單一投射資料分封通信協定

• 証明開發通信協定（CDP)

完整的 SKIP 架構只供應北美地區，但已有一版本外銷到世界其他地區。SKIP 安裝後，它的手冊頁面位在/opt/SUNWicp/man。

FlexLM 軟體授權伺服器

FlexLM 軟體授權伺服器是 Sun Directory Services 用來管理不同大小的軟體授權。如果在您的網路已經有軟體授權伺服器（4.1 版或更新)，您可以利用它來服務 Sun Directory Services 軟體授權。

Sun Directory Services 在要求軟體授權之前允許一千個登錄。這足夠您安裝及起始目錄。但是，在其他合理的 ISP 應用程式會要求較多的登錄。依照Solaris for ISPs 安裝手冊的指示獲取軟體授權碼及配置伺服器。

安裝後，FlexLM 手冊頁面位於/opt/SUNWste/licene_tools/man。

HotJava 瀏覽程式

Solaris for ISPs 提供 HotJava 瀏覽程式支援 Sun Internet Administrator 及產品中其他的管理使用者介面。它支援下列的網際網路標準及通信協定：

• Java 設計工具箱 1.1.6

• HTTP 1.1 通信協定

• HTML 3.2

• 表格及框架

• Persistent Cookies

• GIF 和 JPEG 媒介格式

• AU 聲訊格式

• FTP 和 Gopher 檔案傳輸通信協定

• SMTP 和 MIME 電子郵件通信協定

• SOCKS 通信協定

• Secure Sockets Layer (SSL) 3.0

• Java Archive (JAR) 格式

Java 設計工具箱

Solaris for ISPs 提供了 Java 設計工具箱（JDK）來支援在產品中 Java 的使用。JDK 1.1.5 版包含下列的新功能：

• 國際化

• 加上符號 applet

• JAR 檔案格式

• AWT（視窗工具箱）強化

• JavaBeans^TM元件模態

• 網路強化

• 大型數字的數學程式庫

• 遠程方式呼叫（RMI)

• 反應

• 資料庫連結（JDBC)

ISP 服務

這一版的 Solaris for ISPs 服務包括：

• Sun^TM WebServer^TM (SWS)

• Sun^TM Internet News Server^TM

• Sun^TM Internet FTP Server^TM

針對其他的圖形使用者介面，所有的 ISP 服務也提供指令集完整的指令行存取權。

SWS

SWS 針對存取權、管理及傳送資訊到網際網路、extranet 或企業網路，是一種可靠性高、安全、標準化的全球資訊網伺服器。新增在這一版 SWS 的功能包括：

• 支援 HTTP/1.1. SWS 支援最新版的超文字傳輸通信協定，包括命名虛擬主機和內容協商。

• 強化測量。多重的伺服器處理實例可以在單一機器上執行，並且可以透過相同的管理圖形使用者介面管理。因此，可用的虛擬主機數量會呈等比級數增加。

• Java servlet 支援。使用 servlet 會比 CGI 指令集所提供的跨平台更有利於 Java 在伺服器端改善處理速度。

• 保護 HTTP 通訊。SWS 包含了 secure-socket layer (SSL) 的功能並支援 Verisign 証明的安全，加密的通訊。

• Microsoft FrontPage 支援。SWS 在編輯、管理及動態內容區域支援大眾化的 FrontPage 延伸。

SWS 是一個兩階段的應用程式。它可透過 Sun Internet Administrator 來管理，但是無法接收單一簽入的利益。它已配置成與 Sun Internet Administrator 分享管理者資料。請參閱第 7章, 整合現有的服務應用程式有關配置的詳細資料，和"以 Sun Internet Administrator 管理服務"兩階段架構的相關資訊。

Sun Internet News Server

Sun Internet News Server 是一個高效率，高測量的新聞伺服器。它驚人的功能包括：

• 高效率和客戶機連接測量。多執行段、多處理常駐程式控制著客戶機連接、利用多處理器 Solaris 伺服器提供測量以處理大量同時連接的新聞讀者。

• 完整功能的新聞供應處理。Sun Internet News Server 以 Internet Software Consortium（INN 1.5 版次第 2 節）的 INN 為基礎，負責此執行在新聞供應處理區域中可用性的改善事宜。

• 分別供應處理和新聞讀者服務功能。新聞讀者的服務可以從供應處理中分別開來，使水平測量能處理新聞讀者連接。

• 以瀏覽程式為基礎集中管理。Sun Internet News Server 是與 Sun Internet Administrator 整合的三階段服務，便於集中式管理並且完全安全。請參閱"以 Sun Internet Administrator 管理服務"有關三階段架構的相關資訊。

Sun Internet FTP Server

這個測量的，高效率的 FTP 伺服器提供下列增強功能：

• 單一主機多領域。Sun Internet FTP Server 支援以 IP 為基礎的虛擬主機。每個虛擬主機都擁有它自己的配置檔，這些檔案針對特定的領域調整伺服器。

• 可配置的使用者辨證。Sun Internet FTP Server 可以利用 UNIX 帳戶或 SunDS 註冊的登錄來辨證管理者。

• 以瀏覽程式為基礎集中管理。Sun Internet FTP Server 是與 Sun Internet Administrator 整合的三階段服務的集中式管理並且完全安全。請參閱"以 Sun Internet Administrator 管理服務"有關三階段架構的相關資訊。

如何安裝 Solaris for ISPs

因為傳統的 UNIX 伺服器必須執行不同的應用程式，所以 Solaris 的內定安裝會假設大部份的 UNIX 服務都需要安裝。ISP 比較專注在公用環境中提供特定的服務。他們特別加重效能及安全需求。

為了配置所需要的 Solaris，ISP 管理者通常會執行精密的強化及效能工作。他們會停止不必要的 Solaris 服務並改變檔案許可權，以關閉安全上的漏洞。這個處理往往要花費好幾個鐘頭。

在 Solaris for ISPs 裡的主機配置軟體會自動替管理者執行強化及效能的處理。它除了複製必要的套裝軟體到適當的位置之外，還強化 Solaris 2.6 為主的基礎，在適當之處變更檔案的所有者及模態，並配置 Solaris 安全及記錄機制。這個處理的最後一個步驟是選擇性關閉一些不支援已知主機的標準 Solaris 服務（如finger或rlogin）。

Solaris for ISPs 主機配置可利用圖形使用者介面互動式執行，或是利用可重複但非互動式的 JumpStart。

主機配置模態

配置處理是在建立系統目前狀態的概要，那些元件可以安裝，以及那些是使用者選擇要安裝或解除安裝。

圖 1-2 Solaris for ISPs 主機配置處理

主機配置軟體也可以用於重新配置安裝後的主機，新增或移除所需要的服務。

可重複的配置

互動式主機配置（利用圖形使用者介面）提供了儲存配置概要（以二進位的格式和一些相關檔案）的選擇。藉由建立及儲存概要，ISP 管理員可以在JumpStart^TM的完成指令集裡加以使用，以形成非交談式、單一步驟的安裝。類似的 JumpStart 安裝可重複，並可用來作完全相同的配置。

JumpStart 是 Solaris 作業系統的一部份，可以在本端或遠程執行 Solaris的自訂和可重複的安裝。請參閱Solaris 進階安裝手冊有關建立自訂 JumpStart 安裝的詳細資訊。請參閱指南的第二章有關如何在自訂 JumpStart 安裝的完成概要使用概要檔案。

以 Sun Internet Administrator 管理服務

針對本地及跨越的網路主機所有的 ISP 服務，Sun Internet Administrator 提供了安全性集中式管理。它會應授權管理者的要求啟動個別服務的管理 GUI（在有GUI之處)。指令行介面也會在適當的位置存取。

安全環境的功能

Sun Internet Administrator 提供了下列的安全功能：

• 管理者辨證。當管理者存取 GUI 時，需要提出有效的使用者名稱及密碼。

• 管理者存取權控制。每個 ISP 服務都控制著存取權。一個允許管理網路 FTP 伺服器的管理者不一定有存取權新聞伺服器。主控台管理者（可管理 Sun Internet Administrator 處理者）可藉由 Sun Internet Administrator 管理存取所有的服務。

• 集中稽核。管理者的動作會記錄下來以便追蹤及說明。

• 所有網路流量的私密性及完整性的保護。選擇性的 SKIP 軟體可配置為保護所有 Sun Internet Administrator 之間往來通訊連接。SSL 也可以用來保護 HTTP 流量。

Sun Internet Administrator 以兩種架構支援服務： 三階段和二階段。只有三階段架構可接收上述所有的安全利益。可支援四種型態的服務 UI：

• 三階段，以瀏覽程式為基礎的應用程式可接收所有 Sun Internet Administrator 提供的安全利益。

• 二階段，以瀏覽程式為基礎的應佣程式無法使用單一簽入功能，但是可以透過 Sun Internet Administrator 管理。如果使用 SWS 支援管理應用程式，便可加以配置，以提供管理者辨證。（請參閱第 7章, 整合現有的服務應用程式有關這個配置的詳細資訊。）含括了二階段架構，是為了支援遺留應用程式。

• 以 X 為基礎的應用程式可接收所有三階段應用程式的利益。

• 指令行功能（概要，程式，或兩者混合）可接收所有三階段應用程式的利益。任何數量都可以註冊給予服務並且由 Sun Internet Administrator 管理，在指令行配置全球資訊網介面。

三階段應用程式架構

所建議的以瀏覽程式為基礎的三階段應用程式可接收所有 Sun Internet Administrator 安全利益。

圖 1-3 三階段服務架構

如圖 1-3所示，管理者可利用下列步驟存取權服務的管理功能：

1. 管理者可以從瀏覽程式要求指定一個 URL（主 Sun Internet Administrator GUI 頁面的位置)。

   AWC 可下載到客戶機瀏覽程式，也就是管理者可以選取管理服務的位置。

2. Sun Internet Administrator 會提示管理者鍵入使用者名稱和密碼。管理者不需要用 UNIX 帳戶存取主控台 GUI; 在目錄服務資料庫（Sun Directory Services）會替 Sun Internet Administrator 管理管理者資訊。這個連接要使用安全的 HTTP 來保障。

   所選取的服務會轉變成 URL，指派服務的 ASCA。伺服器代理 GUI 會下載回應。在這個步驟，控制會傳送到服務的管理程式。

3. 後續的存取權會直接在客戶機瀏覽程式與 AWS 上元件的伺服器代理之間進行。

   AWS 會根據目錄服務來辨證管理者，並且記錄管理者的每個要求。如果管理者適當的存取，要求就會傳送到 ASRA。

4. ASCA與ASRA 之間的通信是經由服務的開發人員所選擇的通信協定。要設定適當的 IP 層次安全測量來保護這個連接及流量。

   ASRA 會再度辨證和記錄每個管理者的動作。要保護網路通訊，可利用 SKIP 為 ISP 新增 IP 層次加密。

在 Solaris for ISPs 中對指令行及以 X 為基礎的程式提供了 ASCA 和 ASRA 模組。當您註冊這些應用程式時，Sun Internet Administrator 會自動使用它們。

二階段應用程式架構

針對某些應用程式，特別是現存的服務而言，二階段架構是對透過 Sun Internet Administrator 存取比較實用。這些服務可以從 Sun Internet Administrator 管理，但是無法接收單一簽入及登錄的安全利益。

圖 1-4 二階段 ISP 服務架構

如圖 1-4所示，管理者可用下列步驟存取服務管理功能：

1. 管理者可以從瀏覽程式要求指定一個 URL（主要主控台 GUI 頁面的位置)。

   這個步驟和三階段架構的一樣。AWC 可下載到客戶機瀏覽程式，也就是管理者可以選取管理服務的位置。

2. 所選取的服務會轉變成 URL，指派元件的 ASRA。如果服務的管理 GUI 不是以瀏覽程式為基礎，可以使用開發者選項中其他的通信協定。

3. 後續的存取權會在用戶端瀏覽程式與服務的遠程代理之間直接進行。要設定適當的 IP 階層安全測量來保護這個連接及流量。

   在二階段架構裡，服務無法利用單一簽入功能。