Sun ONE logo      上一页      目录      索引      下一页     

Sun ONE Portal Server 6.2 安装指南

附录 F
设置 Sun ONE Portal Server 以使用安全外部 LDAP Directory Server

在默认安装中,Sun™ ONE Portal Server、Sun™ ONE Identity Server 以及 Sun™ ONE Directory Server 软件都在同一主机上运行。但是,根据具体部署对性能、安全性和集成的要求,您可能希望在一个单独的外部主机上运行 Directory Server,并使 Portal Server 通过使用“加密套接字层”(SSL) 的安全连接来访问目录。为通过安全连接访问 Directory Server,必须将 Sun™ ONE Application Server 配置为相信在目录证书上签名的证书授权机构。

对 Sun ONE Portal Server 进行设置以使用外部 LDAP 目录,需要执行以下步骤:

对 Directory Server 进行配置以在 SSL 中运行

  1. 确保 Directory Server(ns-slapd 进程)和管理服务器(ns-httpd 进程)都已启动并正在运行。
  2. 通过键入下列内容,以根用户身份在终端窗口启动 Directory Server 控制台:

    3. /var/opt/mps/serverroot/startconsole

  3. 在所显示的登录窗口中,输入 admin 作为 Directory Server 的用户名和长口令。
  4. 在控制台的左侧窗格中展开目录,直至看到“服务器组”下的 Directory Server 实例。
  5. 选择 Directory Server 实例并单击“打开”。
  6. 选择“任务”,然后选择“管理证书”。

    7. 第一次执行此任务时,系统会要求您通过输入口令来创建一个证书数据库。请记下此口令,因为以后启动 Directory Server 时将会用到。

  7. 单击“请求”。

    8. 出现“证书请求向导”。根据该向导完成所有步骤来生成一个证书请求。该请求将被发送到“证书管理服务器”(CMS) 进行核准。CMS 返回真正的证书。通过将请求数据复制到一个文件中来保存该证书请求的副本。

  8. 证书请求被发送到 CMS 后,由 CMS 管理员来批准该请求并返回经批准的证书。
  9. 获得 DS 的生成证书及 CMS 证书。

    10. 由于 CMS 已为 DS 生成了证书,所以必须以根 CA 身份导入 CMS 证书来委托 CMS。

  10. 选择“管理证书”、“服务器证书”,然后单击“安装”。

    11. 出现“证书安装向导”。

  11. 步骤 8 中批准的证书数据复制并粘贴到文本区,然后按照向导步骤来安装证书。

    12. 证书成功安装后,会作为“服务器证书”标签中的一个排列项显示。

  12. 选择“管理证书”和“CA 证书”,然后单击“安装”。

    13. 将 CMS 证书数据复制并粘贴到文本区,然后按照向导中的步骤来安装证书。

  13. 单击“关闭”以关闭“管理证书”窗口。
  14. 选择“配置”。
  15. 在右侧窗格中,选择“设置”。
  16. 在“加密端口”字段中验证或指定一个有效端口号,然后单击“保存”。

    17. 默认值为 636。

  17. 单击“加密”,为此服务器选中“启用 SSL”并使用密码系列:RSA 复选框,然后单击“保存”。
  18. 重新启动 Directory Server,并提供在步骤 6 中输入的证书数据库口令。

    19. 现在您的“目录”正在为 SSL 连接监听端口 636(默认值)。

创建证书数据库

创建证书数据库时,需要指定一个将用于密钥对文件的口令。启动使用加密通讯的服务器时也将需要此口令。有关更改口令时需要考虑的事项列表,请参阅“更改口令或 PIN”。

在证书数据库中,创建并存储公共和私有密钥,称作密钥对文件。密钥对文件用于 SSL 加密。请求和安装服务器证书时会用到密钥对文件。安装后该证书存储在证书数据库中。密钥对文件加密后存储在以下位置:

创建证书数据库的过程取决于所使用的网络容器的类型。以下是有关在 Sun ONE Web Server 上创建证书数据库的说明,您也可以在 http://docs.sun.com 中的 Sun ONE Web Server, Enterprise Edition Administrator's Guide 内找到该说明。

有关在 Sun ONE Application Server 上创建证书数据库的说明,请参阅 Sun ONE Application Server 7 Administrator's Guide to Security,网址为 http://docs.sun.com。

创建证书数据库

要在 Sun ONE Web Server 上创建证书数据库,请执行以下步骤:

  1. 访问“管理服务器”或“服务器管理器”,然后选择“安全”标签。

    2. 对于“服务器管理器”,必须首先从下拉列表中选择服务器实例。

  2. 单击“创建数据库”链接。
  3. 输入数据库口令。
  4. 再次输入口令。
  5. 单击“确定”。
  6. 对于“服务器管理器”,单击“应用”,然后“重新启动”以使更改生效。

使用 password.conf 文件

默认情况下,Web Server 会提示管理员在启动前输入密钥数据库口令。如果希望能够重新启动一个自动的 Web Server,需要将口令保存在 password.conf 文件中。只有在系统得到充分保护时才可这样做,以保证此文件和密钥数据库的安全。

通常,不能使用 /etc/rc.local/etc/inittab 文件来启动启用了 Unix SSL 的服务器,因为启动该服务器时需要输入口令。虽然将口令以纯文本形式保存在一个文件中时可以自动启动启用了 SSL 的服务器,但不建议您这样做。服务器的 password.conf 文件应归根用户或安装该服务器的用户所有,只有所有者才具有读写权限。在 Unix 中,将启用 SSL 的服务器的口令存放在 password.conf 文件中并不安全且风险很大。任何人只要能够访问该文件,就可访问启用 SSL 的服务器的口令。在将启用 SSL 的服务器的口令保存在 password.conf 文件中前,应充分考虑安全问题。

安装根证书授权机构 (CA) 证书

安装根 CA 证书的过程取决于所使用的网络容器的类型。以下步骤说明如何在 Sun ONE Web Server 上安装根 CA,您也可以在 Sun ONE Web Server, Enterprise Edition Administrator's Guide 中找到该说明,其网址为 http://docs.sun.com。

有关在 Sun ONE Application Server 上安装根 CA 的说明,请参阅 Sun ONE Application Server 7 Administrator's Guide to Security,网址为 http://docs.sun.com。

  1. 请转到 Web Server 控制台,然后单击“安装证书”。
  2. 单击此“服务器”的“证书”。
  3. 在“密钥对文件口令”字段中输入“证书数据库”口令。
  4. 将证书粘贴到所提供的文本字段中,或选择单选按钮,然后在文本框中输入文件名。单击“提交”。

    5. 浏览器将显示该证书,并提供一个添加证书的按钮。

  5. 单击“安装证书”。
  6. 单击“委托证书授权机构证书”。

为 Directory Server 启用 SSL

要为 Directory Server 启用 SSL,请编辑 AMConfig.properties 文件。此步骤独立于容器,必须为 Sun ONE Web Server 和 Sun ONE Application Server 执行该步骤。

AMConfig.properties 文件中的以下设置从:

 

com.iplanet.am.directory.ssl.enabled=false

com.iplanet.am.directory.host=server12.example.com(如果需要更改)

com.iplanet.am.directory.port=51389

更改为

 

com.iplanet.am.directory.ssl.enabled=true

com.iplanet.am.directory.host=server1.example.com

com.iplanet.am.directory.port=51631(DS 使用加密的端口)

如果使用 Sun ONE Application Server 作为网络容器,则请编辑 AMConfig.properties 文件,使之指向 Sun ONE Application Server 所使用的证书数据库路径和前缀。

将以下设置从:

 

com.iplanet.am.admin.cli.certdb.dir=/opt/SUNWappserver7/SUNWam/servers/alias

com.iplanet.am.admin.cli.certdb.prefix=https-myappserver.example.com-example-

更改为:

 

com.iplanet.am.admin.cli.certdb.dir=/var/opt/SUNWappserver7/domains/domain1/\

server1/config

com.iplanet.am.admin.cli.certdb.prefix=

serverconfig.XML 文件中更改连接端口和连接类型值,以从开放模式更改为 SSL。

编辑 serverconfig.XML 文件并将下行从:

 

  <Server name="Server1" host="gimli.example.com"

port="51389"

type="SIMPLE" />

 

更改为:

to

<Server name="Server1" host="gimli.example.com"

port="51636"

type="SSL" />

对配置文件(AMConfig.properties serverconfig.xml)进行上述更改后,请重新启动网络容器

如果使用 Sun ONE Web Server 类型:

amserver stop

amserver start

或使用相应的方法停止和启动安装有 Sun ONE Portal Server 的 Application Server。



上一页      目录      索引      下一页     

版权所有 2003 Sun Microsystems, Inc. 保留所有权利。