針對本地及跨越的網路主機所有的 ISP 服務,Sun Internet Administrator 提供了安全性集中式管理。它會應授權管理者的要求啟動個別服務的管理 GUI(在有GUI之處)。指令行介面也會在適當的位置存取。
Sun Internet Administrator 提供了下列的安全功能:
管理者辨證。當管理者存取 GUI 時,需要提出有效的使用者名稱及密碼。
管理者存取權控制。每個 ISP 服務都控制著存取權。一個允許管理網路 FTP 伺服器的管理者不一定有存取權新聞伺服器。主控台管理者(可管理 Sun Internet Administrator 處理者)可藉由 Sun Internet Administrator 管理存取所有的服務。
集中稽核。管理者的動作會記錄下來以便追蹤及說明。
所有網路流量的私密性及完整性的保護。選擇性的 SKIP 軟體可配置為保護所有 Sun Internet Administrator 之間往來通訊連接。SSL 也可以用來保護 HTTP 流量。
Sun Internet Administrator 以兩種架構支援服務: 三階段和二階段。只有三階段架構可接收上述所有的安全利益。可支援四種型態的服務 UI:
三階段,以瀏覽程式為基礎的應用程式可接收所有 Sun Internet Administrator 提供的安全利益。
二階段,以瀏覽程式為基礎的應佣程式無法使用單一簽入功能,但是可以透過 Sun Internet Administrator 管理。如果使用 SWS 支援管理應用程式,便可加以配置,以提供管理者辨證。(請參閱第 7章, 整合現有的服務應用程式有關這個配置的詳細資訊。)含括了二階段架構,是為了支援遺留應用程式。
以 X 為基礎的應用程式可接收所有三階段應用程式的利益。
指令行功能(概要,程式,或兩者混合)可接收所有三階段應用程式的利益。任何數量都可以註冊給予服務並且由 Sun Internet Administrator 管理,在指令行配置全球資訊網介面。
所建議的以瀏覽程式為基礎的三階段應用程式可接收所有 Sun Internet Administrator 安全利益。
如圖 1-3所示,管理者可利用下列步驟存取權服務的管理功能:
管理者可以從瀏覽程式要求指定一個 URL(主 Sun Internet Administrator GUI 頁面的位置)。
AWC 可下載到客戶機瀏覽程式,也就是管理者可以選取管理服務的位置。
Sun Internet Administrator 會提示管理者鍵入使用者名稱和密碼。管理者不需要用 UNIX 帳戶存取主控台 GUI; 在目錄服務資料庫(Sun Directory Services)會替 Sun Internet Administrator 管理管理者資訊。這個連接要使用安全的 HTTP 來保障。
所選取的服務會轉變成 URL,指派服務的 ASCA。伺服器代理 GUI 會下載回應。在這個步驟,控制會傳送到服務的管理程式。
後續的存取權會直接在客戶機瀏覽程式與 AWS 上元件的伺服器代理之間進行。
AWS 會根據目錄服務來辨證管理者,並且記錄管理者的每個要求。如果管理者適當的存取,要求就會傳送到 ASRA。
ASCA與ASRA 之間的通信是經由服務的開發人員所選擇的通信協定。要設定適當的 IP 層次安全測量來保護這個連接及流量。
ASRA 會再度辨證和記錄每個管理者的動作。要保護網路通訊,可利用 SKIP 為 ISP 新增 IP 層次加密。
在 Solaris for ISPs 中對指令行及以 X 為基礎的程式提供了 ASCA 和 ASRA 模組。當您註冊這些應用程式時,Sun Internet Administrator 會自動使用它們。
針對某些應用程式,特別是現存的服務而言,二階段架構是對透過 Sun Internet Administrator 存取比較實用。這些服務可以從 Sun Internet Administrator 管理,但是無法接收單一簽入及登錄的安全利益。
如圖 1-4所示,管理者可用下列步驟存取服務管理功能:
管理者可以從瀏覽程式要求指定一個 URL(主要主控台 GUI 頁面的位置)。
這個步驟和三階段架構的一樣。AWC 可下載到客戶機瀏覽程式,也就是管理者可以選取管理服務的位置。
所選取的服務會轉變成 URL,指派元件的 ASRA。如果服務的管理 GUI 不是以瀏覽程式為基礎,可以使用開發者選項中其他的通信協定。
後續的存取權會在用戶端瀏覽程式與服務的遠程代理之間直接進行。要設定適當的 IP 階層安全測量來保護這個連接及流量。
在二階段架構裡,服務無法利用單一簽入功能。