第 2 章
网关
本章介绍顺利运行“网关”所需的“网关”相关概念及信息。有关配置“网关”的信息,请参阅第9 章,“配置网关”。
本章包括以下主题:
网关概述
“网关”在源自 Internet 与公司内部网的远程用户会话之间提供界面和安全屏障。“网关”可通过单个接口将来自内部网服务器和应用程序服务器的内容安全地呈现给远程用户。
创建网关配置文件
网关配置文件含有与网关配置相关的所有信息,诸如“网关”侦听所在端口、SSL 选项及代理选项。
安装“网关”时,如果选择默认值,就会创建一个名为“default”的默认“网关”配置文件。与默认配置文件相对应的配置文件位于:
/etc/opt/SUNWps/platform.conf.default
其中 /etc/opt/SUNWps 是所有 platform.conf.* 文件的默认位置。
有关 platform.conf 文件内容的详细信息,请参阅“了解 platform.conf 文件”。
您可以:
- 创建多个配置文件、定义每个配置文件的属性,并根据需要将这些配置文件分配给不同的“网关”。
- 将单个配置文件分配给在不同机器上安装的“网关”。
- 将不同的配置文件分配给在同一机器上运行的单个“网关”实例。
|
|
警告
|
不要将同一配置文件分配给在同一机器上运行的不同“网关”实例。由于端口号相同,这会导致冲突。
不要在为同一“网关”创建的不同配置文件中指定相同的端口号。运行具有相同端口的同一“网关”的多个实例将导致冲突。
|
|
创建网关配置文件
- 以管理员身份登录到 Sun™ ONE Identity Server 管理控制台。
- 选择“服务配置”标签。
- 单击“SRA 配置”下“网关”旁边的箭头。
“网关”页出现在右侧窗格中。
- 单击“新建”。
显示“创建新网关配置文件”页。
- 输入新“网关配置文件”的名称。
- 从下拉列表中选择用于创建新配置文件的配置文件。
默认情况下,您创建的任何新配置文件都基于预封装的默认配置文件。如果已创建一个自定义配置文件,则可以从下拉列表中选择该配置文件。新配置文件会继承所选配置文件的全部属性。
- 单击“创建”。
新配置文件创建完成并返回到“网关”页,新配置文件将在该页列出。
- 如果要使更改生效,请重新启动使用此网关配置文件名的“网关”:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
要配置“网关”,请参阅第9 章,“配置网关”。
了解 platform.conf 文件
platform.conf 文件位于:
/etc/opt/SUNWps
platform.conf 文件包含“网关”所需要的详细信息。本部分提供了一个 platform.conf 文件示例,并且描述了所有条目。
在配置文件中包含所有机器特定细节的优势在于:一个通用的配置文件可以被多个机器上运行的各个网关共享。
示例如下:
#
# Copyright 11/28/00 Sun Microsystems, Inc. All Rights Reserved.
# "@(#)platform.conf�1.38 00/11/28 Sun Microsystems"
#
gateway.user=noaccess
gateway.jdk.dir=/usr/java_1.3.1_06
gateway.dsame.agent=http://pserv2.iportal.com:8080/sunportal/RemoteConfigServlet
portal.server.protocol=http
portal.server.host=pserv2.iportal.com
portal.server.port=8080
gateway.protocol=https
gateway.host=siroe.india.sun.com
gateway.port=333
gateway.trust_all_server_certs=true
gateway.trust_all_server_cert_domains=false
gateway.virtualhost=siroe1.india.sun.com 10.13.147.81
gateway.virtualhost.defaultOrg=o=root,dc=test,dc=com
gateway.notification.url=/notification
gateway.retries=6
gateway.debug=error
gateway.debug.dir=/var/opt/SUNWps/debug
gateway.logdelimiter=&&
gateway.external.ip=10.12.147.71
gateway.certdir=/etc/opt/SUNWps/cert/portal
gateway.allow.client.caching=true
gateway.userProfile.cacheSize=1024
gateway.userProfile.cacheSleepTime=60000
gateway.userProfile.cacheCleanupTime=300000
gateway.bindipaddress=10.12.147.71
gateway.sockretries=3
gateway.enable.accelerator=false
gateway.enable.customurl=false
gateway.httpurl=http://siroe.india.sun.com
gateway.httpsurl=https://siroe.india.sun.com
gateway.favicon=https://siroe.india.sun.com
gateway.logging.password=ALKJDF123SFLKJJSDFU
表 2-1 列出并描述了 platform.conf 文件中的所有字段。它由三列组成。第一列列出了文件中的条目,第二列给出了默认值(如果有),第三列给出了字段的简短说明。
表 2-1 platform.conf 文件属性
|
表项
|
默认值
|
说明
|
|
gateway.user
|
noaccess
|
以该用户身份运行“网关”。
必须以根用户身份启动“网关”,在初始化之后将丧失根用户权限而成为该用户。
|
|
gateway.jdk.dir
|
|
这是“网关”使用的 JDK 目录的位置。
|
|
gateway.dsame.agent
|
|
这是 Identity Server 的 URL,该服务器是“网关”启动时为获取其配置文件所联系的服务器。
|
|
portal.server.
protocol
portal.server.host
portal.server.port
|
|
这是默认的 Portal Server 安装正在使用的协议、主机和端口。
|
|
|
|
gateway.protocol
gateway.host
gateway.port
|
|
这是“网关”的协议、主机和端口。这些值与您在安装期间所指定的模式和端口相同。这些值用于构造通知用的 URL。
|
|
|
gateway.trust_all_
server_certs
|
true
|
该项指示“网关”是否必须信任所有服务器证书,或者仅信任那些位于“网关”证书数据库中的证书。
|
|
gateway.trust_all_
server_cert_domains
|
false
|
只要在“网关”和服务器间有 SSL 通讯,服务器证书就会被提交至“网关”。默认情况下,“网关”检查服务器主机名是否与服务器证书 CN 相同。
如果该属性值被设为 true,则“网关”将禁止对所接收的服务器证书进行域检查。
|
|
gateway.virtualhost
|
|
如果“网关”机器具有多个已配置的主机名,则可以在此字段中指定一个不同的名称和身份提供者地址。
|
|
gateway.virtualhost.defaultOrg=org
|
|
该项指定用户将登录的默认 Org。
例如,假设虚拟主机字段条目如下所示:
gateway.virtualhost=test.com employee.test.com
Managers.test.com
而默认 Org 条目为:
test.com.defaultOrg = o=root,dc=test,dc=com
employee.test.com.defaultOrg = o=employee,dc=test,dc=com
Manager.test.com.defaultOrg = o=Manager,dc=test,dc=com
用户可以使用 https://manager.test.com 登录到管理人员的 Org,而不是 https://test.com/o=Manager,dc=test,dc=com
注意:virtualhost 和 defaultOrg 在 platform.conf 文件中区分大小写,但是在 URL 中使用时却不用区分大小写。
|
|
gateway.
notification.url
|
|
“网关”主机、协议和端口的组合用于构造通知用的 URL。这用于从 Identity Server 接收会话通知。
请确保通知用的 URL 与任何组织名称都不相同。如果通知用的 URL 与组织名匹配,则试图连接至该组织的用户就会得到一个空白页,而不是登录页。
|
|
gateway.retries
|
|
这是启动时“网关”试图联系 Portal Server 的次数。
|
|
gateway.debug
|
error
|
该项可设置“网关”的调试级别。调试日志文件位于 debug-directory/files。调试文件的位置在 gateway.debug.dir 条目中指定。
调试级别为:
error - 只有严重的错误才会记录到调试文件中。当出现此类错误时,“网关”通常停止运行。
warning - 记录警告消息。
message - 记录所有调试消息。
on - 在控制台上显示所有调试信息。
调试文件为:
srapGateway.gateway-profile-name - 包含“网关”调试消息。
Gateway_to_from_server.gateway-profile-name - 在消息模式中,该文件包含“网关”和内部服务器间的所有请求和响应报头。
要生成该文件,请更改 /var/opt/SUNWps/debug 目录的写权限。
Gateway_to_from_browser.gateway-profile-name - 在消息模式中,该文件包含“网关”和客户机浏览器间的所有请求和响应报头。
要生成该文件,请更改 /var/opt/SUNWps/debug 目录的写权限。
|
|
gateway.debug.dir
|
|
这是生成所有调试文件的目录。
在 gateway.user 中所提及的用户应当具有足够的权限以便对目录中的文件进行写入操作。
|
|
gateway.
logdelimiter
|
|
当前未使用。
|
|
gateway.external.ip
|
|
对于多宿主“网关”机器(一部机器具有多个 IP 地址),需要在此指定外部 IP 地址。该 IP 用于运行 FTP 的 Netlet。
|
|
gateway.certdir
|
|
该项指定证书数据库的位置。
|
|
gateway.allow.
client.caching
|
true
|
允许或禁止客户机高速缓存。
如果允许,则客户机浏览器就可以为实现更好的性能而高速缓存静态页和图像(通过已缩减的网络通信量)。
如果禁止,由于在客户机端没有高速缓存任何内容,因此安全性会更高,但是性能会下降,网络负载会更大。
|
|
gateway.userProfile.cacheSize
|
|
这是在“网关”获取高速缓存的用户配置文件条目数。如果条目数超过了该值,则会出现频繁重试以便清除高速缓存。
|
|
gateway.userProfile.cacheSleepTime
|
|
设置清除高速缓存的睡眠时间(以秒为单位)。
|
|
gateway.userProfile.cacheCleanupTime
|
|
以秒为单位的最大时间,超过该时间后就可以删除一个配置文件条目。
|
|
gateway.
bindipaddress
|
|
在多宿主机器上,这是 IP 地址,“网关”将其 serversocket 绑定到该地址。
|
|
gateway.sockretries
|
3
|
当前未使用。
|
|
gateway.enable.accelerator
|
false
|
如果设置为 true,则允许支持外部加速器。
|
|
gateway.enable.customurl
|
false
|
如果设置为 true,则允许管理员为“网关”指定一个自定义的 URL 以便将页重写至该 URL。
|
|
gateway.httpurl
|
|
输入 HTTP reverseproxy URL,为“网关”设置一个自定义的 URL,以便将页重写至该 URL。
|
|
gateway.httpsurl
|
|
输入 HTTPS reverseproxy URL,为“网关”设置一个自定义的 URL,以便将页重写至该 URL。
|
|
gateway.favicon
|
|
该项指定一个 URL,“网关”将对 favicon.ico 文件的请求重定向至该 URL。
这用于 Internet Explore 和 Netscape 7.0 中及更高版本中首选项和收藏的“收藏图标”。
如果留为空白,“网关”会将一条 404 未找到的消息发送回浏览器。
|
|
gateway.logging.password
|
|
该字段包含用户“amService-srapGateway”的 LDAP 口令(网关使用它创建应用程序会话)。
该字段既可以是加密文本,也可以是明文。
|
|
http.proxyHost
|
|
此代理主机用于联系 Portal Server。
|
|
http.proxyPort
|
|
这是主机用于联系 Portal Server 的端口。
|
|
http.proxySet
|
|
如果需要代理主机,将此属性设置为 true。如果将该属性设置为 false,则忽略 http.proxyHost 和 http.proxyPort。
|
启动和停止网关
默认情况下,网关以用户 noaccess 启动。
启动网关
- 安装“网关”并创建所需的配置文件之后,请运行下面的命令启动“网关”:
gateway-install-root/SUNWps/bin/gateway -n default start
default 为安装期间所创建的默认网关配置文件。可在以后创建自己的配置文件,然后用新的配置文件重新启动“网关”。请参阅“创建网关配置文件”。
如果有多个“网关”实例,请使用:
gateway-install-root/SUNWps/bin/gateway start
此命令可启动在该特定机器上配置的所有“网关”实例。
|
|
注意
|
重新启动服务器(已配置“网关”实例的机器)将重新启动所有已配置的“网关”实例。
请确保在 /etc/opt/SUNWps 目录中没有旧的或者备份的配置文件。
|
|
- 运行以下命令,检查“网关”是否在指定的端口上运行:
netstat -a | grep port-number
默认“网关”端口为 443。
停止网关
请使用以下命令停止“网关”:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name stop
如果有多个“网关”实例,请使用:
gateway-install-root/SUNWps/bin/gateway stop
此命令可停止在该特定机器上运行的所有“网关”实例。
重新启动网关
通常,您无需重新启动“网关”。仅当发生以下任何事件时,才需要重新启动网关:
用不同的配置文件重新启动网关
重新启动网关:
gateway-install-root/SUNWps/bin/gateway -n new-gateway-profile-name start
重新启动网关
在终端窗口中,以根用户身份连接并执行以下步骤之一:
- 启动监视器进程:
gateway-install-root/SUNWps/bin/gateway watchdog on
此操作将在当前处于活动状态的 crontab 和监视器进程中创建一个条目。监视器监控正在特定机器上运行的所有“网关”实例和“网关”端口,并在“网关”停机时重新启动它。
- 手动启动“网关”:
gateway-install-root/SUNWps/bin/rwproxd/SUNWps/bin/gateway -n gateway-profile-name start
其中,gateway-profile-name 是与所需“网关”实例相对应的配置文件名。
配置网关监视器
可以配置监视器监控“网关”状态的时间间隔。该时间间隔默认设置为 60 秒。要更改时间间隔,请在 crontab 中编辑以下行:
0-59 * * * * gateway-install-root/SUNWps/bin/rwproxd/bin/checkgw /var/opt/SUNWps/.gw. 5 > /dev/null 2>&1
请参阅 crontab 的操作页以便配置 crontab 条目。
指定联系 Identity Server 的代理
您可以指定一个 hostproxy,“网关”将使用它联系部署在 Portal Server 上的 SRA 支持 (RemoteConfigServlet)。“网关”使用此代理联系 Portal Server 和 Identity Server。
指定代理
- 在命令行中编辑以下文件:
/etc/opt/bin/platform.conf.gateway-profile-name
- 添加下列条目:
http.proxyHost=proxy-host
http.proxyPort=proxy-port
http.proxySet=true
- 重新启动“网关”以使用指定的代理处理发往服务器的请求。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
运行 chroot 环境中的网关
要在 chroot 环境中提供高安全性,必须使 chroot 目录内容尽可能小。例如,如果存在任何允许用户修改 chroot 目录下文件的程序,则 chroot 将不会阻止攻击者修改服务器 chroot 目录树下的文件。不应当用解释性语言(如 bourne shell、c-shell、korn shell 或 perl 等)编写 CGI 程序,而应使用编译的二进制代码,这样就不需要将解释程序放在 chroot 目录树下。
安装 chroot
- 在终端窗口中,以根用户身份将下列文件复制到外部源中,例如网络中的计算机、备份磁带或软盘。
cp /etc/vfstab external-device
cp /etc/nsswitch.conf external-device
cp /etc/hosts external-device
- 在以下目录中运行 mkchroot 脚本:
portal-server-install-root/SUNWps/bin/chroot
|
|
注意
|
执行开始后,不能通过按 Ctrl-C 来中断 mkchroot 脚本的执行。
如果执行 mkchroot 脚本期间出现错误事件,请参阅“mkchroot 脚本执行失败”。
|
|
系统会提示您使用不同的根目录 (new_root_directory)。该脚本将创建新目录。
在下面的示例中,/safedir/chroot 就是 new_root_directory。
|
mkchroot version 6.0
|
|
|
|
Enter the full path name of the directory which will be the chrooted tree:/safedir/chroot
|
|
Using /safedir/chroot as root.
|
|
Checking available disk space...done
|
|
/safedir/chroot is on a setuid mounted partition.
|
|
Creating filesystem structure...dev etc sbin usr var proc opt bin lib tmp etc/lib usr/platform usr/bin usr/sbin usr/lib usr/openwin/lib var/opt var/tmp dev/fd done
|
|
Creating devices...null tcp ticots ticlts ticotsord tty udp zero conslog done
|
|
Copying/creating etc files...group passwd shadow hosts resolv.conf netconfig nsswitch.conf
|
|
done
|
|
Copying binaries...................................done
|
|
Copying libraries.....................................done
|
|
Copying zoneinfo (about 1 MB)..done
|
|
Copying locale info (about 5 MB)..........done
|
|
Adding comments to /etc/nsswitch.conf ...done
|
|
Creating loopback mount for/safedir/chroot/usr/java1.2...done
|
|
Creating loopback mount for/safedir/chroot/proc...done
|
|
Creating loopback mount for/safedir/chroot/dev/random...done
|
|
Do you need /dev/fd (if you do not know what it means, press return)[n]:
|
|
Updating /etc/vfstab...done
|
|
Creating a /safedir/chroot/etc/mnttab file, based on these loopback mounts.
|
|
Copying SRAP related data ...
|
|
Using /safedir/chroot as root.
|
|
Creating filesystem structure...........done
|
|
mkchroot successfully done.
|
|
- 使用以下命令将在 platform.conf 文件中提及的 Java 目录手动安装到 chroot 目录:
mkdir -p /safedir/chroot/java-dir
mount -F lofs java-dir /safedir/chroot/java-dir
对于 Solaris 9,请执行以下命令:
mkdir -p /safedir/chroot/usr/lib/32
mount -F lofs /usr/lib/32 /safedir/chroot/usr/lib/32
mkdir -p /safedir/chroot/usr/lib/64
mount -F lofs /usr/lib/64 /safedir/chroot/usr/lib/64
要在系统启动时安装该目录,请在 /etc/vfstab 文件中添加相应的条目:
java-dir - /safedir/chroot/java-dir lofs - no -
对于 Solaris 9:
/usr/lib/32 - /safedir/chroot/usr/lib/32 lofs - no -
/usr/lib/64 - /safedir/chroot/usr/lib/64 lofs - no -
- 键入下面的命令以重新启动“网关”:
|
chroot /safedir/chroot ./gateway-install-root/SUNWps/bin/gateway start
|
|
stopping gateway ... done.
|
|
starting gateway ...
|
|
done.
|
|
mkchroot 脚本执行失败
如果执行 mkchroot 脚本期间出现错误事件,该脚本会将文件恢复至其初始状态。
在以下示例中,/safedir/chroot 就是 chroot 目录。
如果收到以下错误消息:
不是一次干净的退出
- 请将在安装 chroot 过程的步骤 1 中所备份的文件复制到其原始位置,并执行以下命令:
umount /safedir/chroot/usr/java1.2
umount /safedir/chroot/proc
umount /safedir/chroot/dev/random
- 删除 /safedir/chroot 目录。
重新启动 chroot 环境中的网关
只要重新启动“网关”机器,就请执行这些步骤以启动 chroot 环境中的“网关”。
重新启动 chroot 环境中的网关
- 停止从 ’/’ 目录运行的“网关”。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name stop
- 启动要从 chroot 目录运行的“网关”:
chroot /safedir/chroot ./portal-server-install-root/SUNWps/bin/gateway -n gateway-profile-name start
|
|
注意
|
需要对 /safedir/chroot/etc 文件(例如 passwd 和 hosts)进行管理(就像管理 /etc 文件那样),但是仅包括正在 chroot 树中运行的程序所需的主机和帐户信息。
例如,如果更改了系统的身份提供者地址,也要更改文件 /safedir/chroot/etc/hosts。
|
|
创建网关的多个实例
使用 gwmultiinstance 脚本创建“网关”的新实例。最好在创建“网关”配置文件之后再运行该脚本。
- 以根用户身份登录并导航到以下目录:
gateway-install-root/SUNWps/bin/
- 运行多实例脚本:
./gwmultiinstance
- 选择以下一个安装选项:
1)创建新网关实例
2)删除网关实例
3)删除所有网关实例
4)退出
如果选择 1,请回答以下问题:
新网关实例的名称是什么?
新网关实例将使用什么协议? [https]
新网关实例将监听哪个端口?
Portal Server 的全限定主机名是什么?
应当使用哪个端口访问 Portal Server?
应当使用哪个协议访问 Portal Server? [http]
Portal Server 部署 URI 是什么?
组织 DN 是什么? [dc=iportal,dc=com]
Identity Server URI 是什么? [/amserver]
Identity Server 口令加密密钥是什么?
请提供下列创建自签名证书所需的信息:
您的组织名是什么?
您的部门名是什么?
您所在的城市名或地区名是什么?
您所在州名或省名是什么?
两字母国家代码是什么?
“证书数据库”的口令是什么? 重试吗?
登录用户的口令是什么? 重试吗?
已在管理控制台创建新的网关配置文件吗? [y]/n
安装后启动网关吗? [y]/n
- 启动使用新网关配置文件名的新“网关”实例。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
其中,gateway-profile-name 是新的“网关”实例。
使用网络代理
使用第三方的网络代理,可配置用于联系 HTTP 资源的“网关”。网络代理位于客户机和 Internet 之间。
网络代理配置
不同的代理可能用于不同的域和子域。这些条目告诉“网关”使用哪个代理去联系特定域中的特定子域。在“网关”中指定的代理配置具有如下功能:
- 启用“使用代理”选项:
- 在“域和子域代理”字段中指定的代理被用于指定的主机。
- 要为在“域和子域代理”列表中指定的域和子域内的特定 URL 启用直接连接,请在“不使用网络代理 URL”中指定这些 URL。
- 禁用“使用代理”选项:
- 要确保代理被用于在“域和子域代理”字段中指定的域和子域内的特定 URL,请在“使用 WebProxy URL”列表中指定这些 URL。虽然已禁用“使用代理”选项,但是代理仍用于连接在“使用 Webproxy URL”下列出的 URL。这些 URL 的代理从“域和子域代理”列表中获得。
要配置“使用代理”选项,请参阅“启用“使用网络代理””。
图 2-1 显示基于“网关”服务中的代理配置来分析网络代理信息的方法。
图 2-1 网络代理管理
在图 2-1 中,如果启用“使用代理”,并且请求的 URL 在“不可使用 Webproxy URL”列表中列出,则“网关”直接连接到目的主机。
如果启用“使用代理”,并且请求的 URL 未在“不可使用 Webproxy URL”列表中列出,则“网关”通过指定的代理连接到目的主机。如果已经指定代理,则可以从“域和子域代理”列表中查寻。
如果禁用“使用代理”,并且请求的 URL 在“使用 Webproxy URL”列表中列出,则“网关”使用在“域和子域代理”列表中的代理信息连接到目的主机。
如果禁用“使用代理”,并且请求的 URL 未在“使用 Webproxy URL”列表中列出,则“网关”直接连接到目的主机。
如果上述条件都无法满足,则不可能进行直接连接,“网关”显示一条错误信息,说明不可能进行连接。
|
|
注意
|
如果您正通过门户桌面的“书签”频道访问 URL,但无法满足上述条件,则“网关”将向浏览器发送一条重定向指令。浏览器使用它自己的代理设置访问 URL。
|
|
语法
domainname [web_proxy1:port1]|subdomain1 [web_proxy2:port2]|......
示例
sesta.com wp1:8080|red wp2:8080|yellow|* wp3:8080
* 是一个匹配任何内容的通配符
其中:
sesta.com 是域名而 wp1 是在端口 8080 上用于联系的代理。
red 是子域而 wp2 是在端口 8080 上用于联系的代理。
yellow 是子域。由于没有指定代理,因此使用为域指定的代理,即端口 8080 上的 wp1。
* 指示需要在端口 8080 上使用的所有其它子域 wp3。
|
|
注意
|
如果未指定端口,则默认使用 8080 端口。
|
|
处理网络代理信息
当客户机试图访问一个特定 URL 时,系统使用“域和子域代理”列表中的条目匹配 URL 中的主机名。要考虑与所请求主机名的最长后缀相匹配的条目。例如,考虑所请求的主机名是 host1.sesta.com
- 在“域和子域代理”列表中扫描 host1.sesta.com。如果发现匹配的条目,则根据该条目所指定的代理将用于连接该主机。
- 或者,在列表中扫描 *.sesta.com。如果找到一个条目,则使用相应的代理。
- 或者,在列表中搜索 sesta.com。如果找到一个条目,则使用相应的代理。
- 或者,在列表中搜索 *.com。如果找到一个条目,则使用相应的代理。
- 或者,在列表中搜索 com。如果找到一个条目,则使用相应的代理。
- 或者,在列表中搜索 *。如果找到一个条目,则使用相应的代理。
- 或者,尝试直接连接。
考虑以下“域和子域代理”列表中的条目:
com p1| host1 p2 | host2 | * p3
sesta.com p4 | host5 p5 | * p6
florizon.com | host6
abc.sesta.com p8 | host7 p7 | host8 p8 | * p9
host6.florizon.com p10
host9.sesta.com p11
siroe.com | host12 p12 | host13 p13 | host14 | * p14
siroe.com | host15 p15 | host16 | * p16
* p17
“网关”在内部将这些条目映射到如表 2-2 所显示的表中。
表 2-2 域和子域代理列表中条目的映射
|
数量
|
域和子域代理列表中的条目
|
代理
|
说明
|
|
1
|
com
|
p1
|
如列表中指定。
|
|
2
|
host1.com
|
p2
|
如列表中指定。
|
|
3
|
host2.com
|
p1
|
由于没有为 host2 指定代理,因此使用域的代理。
|
|
4
|
*.com
|
p3
|
如列表中指定。
|
|
5
|
sesta.com
|
p4
|
如列表中指定。
|
|
6
|
host5.sesta.com
|
p5
|
如列表中指定。
|
|
7
|
*.sesta.com
|
p6
|
如列表中指定。
|
|
8
|
florizon.com
|
直接
|
有关详细信息,请参阅条目 14 的说明。
|
|
9
|
host6.florizon.com
|
–
|
有关详细信息,请参阅条目 14 的说明。
|
|
10
|
abc.sesta.com
|
p8
|
如列表中指定。
|
|
11
|
host7.abc.sesta.com
|
p7
|
如列表中指定。
|
|
12
|
host8.abc.sesta.com
|
p8
|
如列表中指定。
|
|
13
|
*.abc.sesta.com
|
p9
|
如列表中指定。对于所有主机(在 abc.sesta.com 域下面的 host7 和 host8 除外),使用 p9 作为代理。
|
|
14
|
host6.florizon.com
|
p10
|
此条目与条目 9 相同。条目 9 指示直接连接,但是此条目指示应当使用代理 p10。在有两种条目的情况下(例如此项),具有代理信息的条目被认为是有效的条目。另一个条目将被忽略。
|
|
15
|
host9.sesta.com
|
p11
|
如列表中指定。
|
|
16
|
siroe.com
|
直接
|
由于没有为 siroe.com 指定代理,因此尝试执行直接连接。
|
|
17
|
host12.siroe.com
|
p12
|
如列表中指定。
|
|
18
|
host13.siroe.com
|
p13
|
如列表中指定。
|
|
19
|
host14.siroe.com
|
直接
|
由于没有为 host14 或 siroe.com 指定代理,因此尝试执行直接连接。
|
|
20
|
*.siroe.com
|
p14
|
请参阅表项 23 的说明。
|
|
21
|
host15.siroe.com
|
p15
|
如列表中指定。
|
|
22
|
host16.siroe.com
|
直接
|
由于没有为 host16 或 siroe.com 指定代理,因此尝试执行直接连接。
|
|
23
|
*.siroe.com
|
p16
|
这类似于表项 20。但是指定的代理却不同。在此情况下,无法知道“网关”的确切行为。可使用两个代理中的任意一个。
|
|
24
|
*
|
p17
|
如果没有其它条目与所请求的 URL 匹配,则使用 p17 作为代理。
|
|
|
注意
|
与其使用符号 | 分开“域和子域代理”列表中的代理条目,在列表中拥有单独的条目也许更简单一些。例如,不使用一个条目:
sesta.com p1 | red p2 | * p3
可以将其指定为:
sesta.com p1
red.sesta.com p2
*.sesta.com p3
这更容易捕获重复的条目和任何其它多义条目。
|
|
基于域和子域代理列表进行重写
“重写器”也使用“域和子域代理”列表中的条目。重写器重写所有 URL(它们的域与“域和子域代理”列表中列出的域相匹配)。
|
|
警告
|
不会考虑重写“域和子域代理”列表中的 * 条目。例如,在表 2-2 所提供的示例中,条目 24 就不会被考虑。
|
|
有关重写器的信息,请参阅第3 章,“重写器”。
默认域和子域
当 URL 中的目的主机不是全限定主机名时,默认的域和子域将用于到达全限定名。
假设管理控制台的“默认域子域”字段中的条目是:
red.sesta.com
|
|
注意
|
需要在“域和子域代理”列表中具有相应的条目。
|
|
在上面的示例中,sesta.com 是默认域而默认子域是 red。
如果请求的 URL 是 host1,则使用默认的域和子域将该 URL 解析至 host1.red.sesta.com。随后在“域和子域代理”列表中查寻 host1.red.sesta.com。
使用代理自动配置
要忽略“域和子域代理”列表中的信息,请启用“代理自动配置”(PAC) 功能。要配置 PAC,请参阅“启用代理自动配置 (PAC) 支持”。
当使用 PAC 文件时,请注意以下各项:
- js.jar 必须位于“网关”机器上的 $JRE_HOME/lib/ext 目录中,否则“网关”将不能分析 PAC 文件。
- 启动时,网关从网关配置文件“PAC 文件位置”字段中所指定的位置获取 PAC 文件。要配置位置,请参阅“指定 PAC 文件位置”。
- 网关使用 URLConnection API 到达该位置。如果需要将代理配置为到达 PAC 文件位置,则需要按以下方法配置代理。
- 在命令行中编辑以下文件:
/etc/opt/bin/platform.conf.gateway-profile-name
- 添加下列条目:
http.proxyHost=web-proxy-hostname
http.proxyPort=web-proxy-port
http.proxySet=true
- 重新启动“网关”以使用指定的代理:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
- 如果 PAC 文件初始化失败,则“网关”使用“域和子域代理”列表中的信息。
- 如果从 PAC 文件返回 ""(空字符串)或“null”,则“网关”假设该主机不属于内部网。这类似于主机不在“域和子域代理”列表中。
- 当指定多个代理时,网关仅使用返回的第一个代理。它不会尝试在为主机指定的各个代理中执行故障切换或负载平衡。
- 网关忽略 SOCKS 代理并且尝试直接连接,并假设主机是内部网的一部分。
- 要指定用于到达任何不属于内部网的主机的代理,请使用代理类型“STARPROXY”。这是 PAC 文件格式的扩展,类似于“网关”配置文件的“域和子域代理”节中的条目 * proxyHost:port。请参阅“返回 STARPROXY 的示例”
PAC 文件用法示例
以下示例显示在“域和子域代理”列表中列出的 URL 及相应的 PAC 文件。
返回 DIRECT 或 NULL 的示例
使用这些域和子域代理:
intranet1.com
intranet2.com.proxy.intranet1.com:8080
相应的 PAC 文件是:
// Start of the PAC File
function FindProxyForURL(url, host) {
if (dnsDomainIs(host, ".intranet1.com")) {
return "DIRECT";
}
if (dnsDomainIs(host, ".intranet2.com")) {
return "PROXY proxy.intranet1.com:8080";
}
return "NULL";
}
//End of the PAC File
返回 STARPROXY 的示例
使用这些域和子域代理:
intranet1.com
intranet2.com.proxy.intranet1.com:8080
internetproxy.intranet1.com:80
相应的 PAC 文件是:
// Start of the PAC File
function FindProxyForURL(url, host) {
if (dnsDomainIs(host, ".intranet1.com")) {
return "DIRECT";
}
if (dnsDomainIs(host, ".intranet2.com")) {
return "PROXY proxy.intranet1.com:8080;" +
"PROXY proxy1.intranet1.com:8080";
}
return "STARPROXY internetproxy.intranet1.com:80";
}
//End of the PAC File
在此情况中,如果请求用于 .intranet2.com 域中的主机,则“网关”将联系 proxy.intranet1.com:8080。如果 proxy.intranet1.com:8080 关机,则请求将失败。“网关”将不会执行故障切换并联系 proxy1.intranet1.com:8080。
使用 Netlet 代理
Netlet 信息包在“网关”处解码并被发送至目的服务器。然而,“网关”需要通过非武装区 (DMZ) 和内部网之间的防火墙来访问所有的 Netlet 目标。这需要在防火墙处打开许多端口。“Netlet 代理”可用来最小化代理中打开的端口数量。
“Netlet 代理”通过扩展来自客户机的安全通道从而增强了“网关”和内部网之间的安全性(从“网关”到驻留在内部网中的“Netlet 代理”)。通过使用代理,Netlet 信息包被代理解码然后发送到目的服务器。
由于以下原因,“Netlet 代理”非常有用:
- 添加了额外的安全层。
- 在大规模的部署环境中,通过内部防火墙最小化了来自“网关”的额外 IP 地址和端口的使用。
- 将“网关”和 Portal Server 之间的打开端口数限制为 1。该端口数可以在安装期间配置。
- 扩展了客户机和“网关”之间的安全通道,直到如在图 2-2 的“使用配置的 Netlet 代理”部分中所显示的 Portal Server。“Netlet 代理”通过数据加密提供了改进的安全性,但是可能会增加系统资源的使用。有关安装“Netlet 代理”的信息,请参阅 Sun Java Enterprise System Install Guide。
您可以:
- 选择在 Portal Server 节点或在单独的节点上安装“Netlet 代理”。
- 在单个机器上配置“Netlet 代理”的多个实例。
- 将多个“网关”实例指向单个安装的“Netlet 代理”。
图 2-2 显示三个“网关”实现示例以及安装和未安装“Netlet 代理”的 Portal Server。组件包括一台客户机、两个防火墙、驻留在两个防火墙之间的“网关”、Portal Server 和 Netlet 目标服务器。
第一种方案显示“网关”和未安装“Netlet 代理”的 Portal Server。在此方案中,数据加密仅从客户机扩展至“网关”。对于每个 Netlet 连接请求,都会在第二个防火墙中打开一个端口。
第二种方案显示“网关”和在 Portal Server 上安装“Netlet 代理”的 Portal Server。在此情况下,数据加密从客户机一直扩展到 Portal Server。由于所有 Netlet 连接都通过“Netlet 代理”路由,因此在第二个防火墙中仅需为 Netlet 请求打开一个端口。
第三种方案显示“网关”和在单独节点上安装“Netlet 代理”的 Portal Server。在单独节点上安装“Netlet 代理”减少了 Portal Server 节点上的负载。在此方案中,仅需在第二个防火墙中打开两个端口。一个端口将请求送至 Portal Server,另一个端口将 Netlet 请求发送至“Netlet 代理”服务器。
图 2-2 Netlet 代理的实现
创建 Netlet 代理的实例
使用 nlpmultiinstance 脚本在 Portal Server 节点或单独节点上创建新的“Netlet 代理”实例。最好在创建“网关”配置文件之后再运行该脚本:
- 以根用户身份登录并导航到以下目录:
netlet-install-dir/SUNWps/bin
- 运行多实例脚本:
./nlpmultiinstance
- 回答由 nlpmultiinstance 脚本提出的问题:
- 启动使用所需网关配置文件名的新 netlet 代理实例:
netlet-proxy-install-root/SUNWps/bin/netletd -n gateway-profile-name start
其中,gateway-profile-name 是与所需“网关”实例相对应的配置文件名。
启用 Netlet 代理
通过 Identity Server 管理控制台中“SRA 配置”下的“网关”服务可启用“Netlet 代理”。请参阅“启用和创建Netlet 代理列表”。
重新启动 Netlet 代理
可将“Netlet 代理”配置为只要代理被意外终止就重新启动。可以计划一个监视器进程时间表来监控“Netlet 代理”,只要它停止运行就重新启动。
也可以手动重新启动“Netlet 代理”。
重新启动 Netlet 代理
在终端窗口中,以根用户身份连接并执行以下步骤之一:
- 启动监视器进程:
netlet-proxy-install-root/SUNWps/bin/netletd watchdog on
此操作将在当前处于活动状态的 crontab 和监视器进程中创建一个条目。监视器监控“Netlet 代理”端口,只要它停止运行就重新启动。
- 手动启动 Netlet 代理:
netlet-proxy-install-root/SUNWps/bin/netletd -n gateway-profile-name start
其中,gateway-profile-name 是与所需“网关”实例相对应的配置文件名。
配置 Netlet 代理监视器
可以配置监视器监控“Netlet 代理”状态的时间间隔。该时间间隔默认设置为 60 秒。要执行此配置,请在 crontab 中编辑下列行:
0-59 * * * * netlet-install-dir/bin/checkgw /var/opt/SUNWps/.gw 5 > /dev/null 2>&1
使用重写器代理
“重写器代理”安装在内部网中。“网关”将所有请求转发至向“网关”获取和返回内容的“重写器代理”,而非尝试直接检索内容。
使用“重写器代理”有两个优点:
- 如果“网关”和服务器之间有防火墙,则防火墙只需要打开两个端口 - 一个端口在“网关”和“重写器代理”之间,另一个在“网关”和 Portal Server 之间。
- 现在,HTTP 通信在“网关”和内部网之间是安全的,即使目的服务器仅支持 HTTP 协议(不是 HTTPS)。
如果未指定“重写器代理”,那么当用户试图访问其中一台内部网计算机时,“网关”组件将会直接连接到内部网计算机。
要启用“重写器代理”,请参阅“启用和创建重写器代理列表”。
创建重写器代理的实例
使用 rwpmultiinstance 脚本在 Portal Server 节点上创建新的“重写器代理”实例。最好在创建“网关”配置文件之后再运行该脚本。
- 以根用户身份登录并导航到以下目录:
rewriter-proxy-install-root/SUNWps/bin
- 运行多实例脚本:
./rwpmultiinstance
- 回答由脚本提出的问题:
- 启动使用所需网关配置文件名的新重写器代理实例:
rewriter-proxy-install-root/SUNWps/bin/rwproxyd -n gateway-profile-name start
其中,gateway-profile-name 是与所需“网关”实例相对应的配置文件名。
启用重写器代理
通过 Identity Server 管理控制台中“SRA 配置”下的“网关”服务可启用“重写器代理”。请参阅“启用和创建重写器代理列表”。
重新启动重写器代理
可以将“重写器代理”配置为只要代理被意外终止就重新启动。可以计划一个监视器进程时间表来监控“重写器代理”,只要它停止运行就重新启动。
也可以手动重新启动“重写器代理”。
重新启动重写器代理
在终端窗口中,以根用户身份连接并执行以下步骤之一:
- 启动监视器进程:
rewriter-proxy-install-root/SUNWps/bin/rwproxd watchdog on
此操作将在当前处于活动状态的 crontab 和监视器进程中创建一个条目。监视器监控“重写器代理”端口,只要它停止运行就重新启动。
- 手动启动重写器代理:
rewriter-proxy-install-root/SUNWps/bin/rwproxd -n gateway-profile-name start
其中,gateway-profile-name 是与所需“网关”实例相对应的配置文件名。
配置重写器代理监视器
可以配置监视器监控“重写器代理”状态的时间间隔。该时间间隔默认设置为 60 秒。要执行此配置,请在 crontab 中编辑下列行:
0-59 * * * * rewriter-proxy-install-root/bin/checkgw /var/opt/SUNWps/.gw 5 > /dev/null 2>&1
使用反向代理和“网关”
代理服务器将 Internet 内容传送至内部网,而反向代理将内部网内容传送至 Internet。反向代理的某些部署被配置为传送 Internet 内容,以实现负载平衡和高速缓存。
如果部署中“网关”前面有第三方反向代理,必须用反向代理的 URL 重写响应内容,而不是“网关”的 URL。对此,需要进行下列配置。
启用反向代理:
- 以根用户身份登录并编辑所需“网关”实例的 platform.conf 文件:
/etc/opt/SUNWps/platform.conf.gateway-profile-name
- 添加下列条目:
gateway.virtualhost=fully-qualified-gateway-host gateway-ip-address fully- qualified-reverse-proxyhost
gateway.enable.customurl=true(该值默认设置为 false。)
gateway.httpurl=http reverse-proxy-URL
gateway.httpsurl=https reverse-proxy-URL
gateway.httpurl 将用于重写对在某端口所接收请求的响应,该端口在网关配置文件中列为 HTTP 端口。
gateway.httpsurl 将用于重写对在某端口所接收请求的响应,该端口在网关配置文件中列为 HTTPS 端口。
- 重新启动网关:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
如果未指定这些值,则网关将默认执行正常的行为。
获取客户机信息
当“网关”将客户机请求转发至任何内部服务器时,它将 HTTP 报头添加到 HTTP 请求中。可以使用这些报头来获取额外的客户机信息并检测“网关”是否存在。
要查看 HTTP 请求报头,请将 platform.conf 文件中的条目设置为 gateway.error=message,然后使用来自 servlet API 的 request.getHeader()。
第一列列出报头标签,第二列指定该报头的语法,而第三列是报头标签说明。
表 2-3 HTTP 报头中的信息
|
报头
|
语法
|
说明
|
|
PS-GW-PDC
|
PS-GW-PDC: true/false
|
指示是否已在“网关”启用 PDC。
|
|
PS-Netlet
|
PS-Netlet:enabled=true/false
|
指示是否已在“网关”启用或禁用 Netlet。
如果已启用,则加密选项被填充,指示“网关”是以 HTTPS (encryption=ssl) 模式运行还是以 HTTP 模式 (encryption=plain) 运行
例如:
PS-Netlet: enabled=false
Netlet 已禁用。
PS-Netlet: enabled=true; encryption=ssl
Netlet 已启用,“网关”以 SSL 模式运行。
当未启用 Netlet 时,encryption=ssl/plain 不能被填充。
|
|
PS-GW-URL
|
PS-GW-URL: http(s)://gatewayURL(:port)
|
指示客户机连接的 URL。
如果它是非标准端口(即“网关”处于 HTTP/HTTPS 模式而端口不是 80/443),则 ":port" 也被填充。
|
|
PS-GW-Rewriting-URL
|
PS-GW-URL: http(s)://gatewayURL(:port)/[SessionInfo]
|
指示“网关”将全部页重写至的 URL。
1.当浏览器支持 cookie 时,该报头的值与 PS-GW-URL 报头相同。
2.当浏览器不支持 cookie 时:
- 如果目的主机列于“转发 Cookie URL”列表中时,则该值是“网关”将页重写至的实际 URL(它包括已编码的 SessionID 信息)。
- 如果目的主机未列于“转发 Cookie URL”列表中时,则 SessionInfo 字符串将为“$SessionID”。
注意:作为响应的一部分,如果用户的 Identity Server 的 sessionId 发生变化(就像来自验证页的响应一样),则使用该值重新写入页(而不是先前在报头中所指示的值)。
例如:
PS-GW-Rewriting-URL: https://siroe.india.sun.com:10443/
PS-GW-Rewriting-URL: https://siroe.india.sun.com:10443/SessIDValCustomEncodedValue/
PS-GW-Rewriting-URL: https://siroe.india.sun.com:10443/$SessionID
|
|
PS-GW-CLientIP
|
PS-GW-CLientIP: IP
|
这是“网关”从 recievedSocket.getInetAddress().getHostAddress() 获取的 IP。
如果客户机直接连接至“网关”,这可提供客户机的 IP。
注意:由于 JSS/NSS 的错误,该功能目前尚不可用。
|
使用验证链
验证链在整个常规验证机制中提供了高级别安全。可用多个验证机制验证用户。
这里所描述的过程仅用于在“网关”同时启用验证链和 PDC 验证。有关在“网关”启用验证链(但不启用 PDC 验证)的信息,请参阅 Sun ONE Identity Server 管理员指南。
例如,如果您将 PDC、Unix 和 Radius 验证模块链接在一起,则用户将不得不根据全部三个模式进行验证以便访问门户桌面。
|
|
注意
|
如果启用 PDC,则它总是为用户验证的第一个验证模块。
|
|
向现有 PDC 实例添加验证模块
- 以管理员身份登录到 Identity Server 管理控制台。
- 选择所需的组织。
- 在“查看”下拉菜单中选择“服务”。
服务显示在左侧窗格中。
- 单击“验证配置”旁的箭头。
显示“服务实例列表”。
- 单击 gatewaypdc。
显示 Gatewaypdc 属性页。
- 单击“验证配置”前的“编辑”。
显示“添加模块”。
- 选择“模块名称”并将“标志”设置为“必填”。选项可以为空。
- 单击“确定”。
- 添加一个或多个模块之后,单击“保存”。
- 单击 gatewaypdc 属性页中的“保存”。
- 要使更改生效,需要重新启动“网关”:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
使用通配符证书
通配符证书接受具有主机的全限定 DNS 名中通配符的单个证书。
这允许证书保护相同域内的多个主机。例如,*.domain.com 的证书可用于 abc.domain.com 和 abc1.domain.com。事实上,该证书对于 domain.com 域中的任何主机都有效。
您需要在全限定主机名中指定一个 *。例如,如果全限定主机名是 abc.florizon.com,则将其指定为 *.florizon.com。现在,生成的证书对 florizon.com 域中的所有主机名都有效。
禁用浏览器高速缓存
由于“网关”组件为来自任何位置且仅使用网络浏览器的用户提供对后端公司数据的安全访问,因此可能必须禁止客户机在本地对信息进行高速缓存。
通过修改特定“网关”的 platform.conf 文件中的属性,可以禁止通过“网关”将重定向页存入高速缓存。
禁用该选项会影响“网关”性能。每当门户桌面被重新刷新,“网关”就必须检索页所引用的一切内容,例如可能先前已经被浏览器高速缓存的图像。然而,通过启用该功能,远程访问安全内容将不会在客户端留下高速缓存的痕迹。如果从不受公司 IT 控制的网吧或类似的远程位置访问公司网络,这样做的价值有可能超过性能方面的蕴义。
禁用浏览器高速缓存
- 以根用户身份登录并编辑所需“网关”实例的 platform.conf 文件:
/etc/opt/SUNWps/platform.conf.gateway-profile-name
- 编辑以下行:
gateway.allow.client.caching=true
该值默认设置为 true。将该值更改为 false 可禁用客户端的浏览器高速缓存。
- 重新启动网关:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
自定义网关服务用户界面
本部分讨论可以编辑的各种属性文件。可以编辑管理控制台的“网关”服务标签、编辑错误消息或日志信息的顺序。如果您试图为不同的区域定制产品,此功能将非常有用。
可以定制以下文件:
portal-server-install-root/SUNWam/locale/srapGatewayAdminConsole.properties
portal-server-installl-dir/SUNWps/locale/srapGateway.properties
portal-server-install-root/SUNWps/web-src/WEB-INF/classes/srapgwadminmsg.properties
|
|
注意
|
如果您有不同的区域设置,则需要将所有这些文件都存储在各自的 locale 目录中。
|
|
srapGatewayAdminConsole.properties 文件
编辑此文件可更改为管理控制台的“网关”服务显示的字段名。
srapGateway.properties 文件
编辑此文件可以:
- 自定义“网关”运行时可能会出现的错误消息。
- HTML-CharSets=ISO-8859-1 指定用于创建此文件的字符集。
- 括号中的数字(例如 {0})表示值将在运行时显示。可以更改与该数字关联的标签,或者按照需要重新排列标签。确保标签对应于将要显示的消息,因为数字和消息是关联的。
- 自定义日志信息。
默认情况下,srapGateway.properties 文件位于 portal-server-install-root/SUNWps/locale 目录之下。“网关”机器(与消息相关的“网关”)上出现的所有消息都在该文件中,而与消息语言无关。
如果需要更改在客户机门户桌面上显示的消息的语言,请将该文件复制到各自的 locale 目录中,例如 portal-server-install-root/SUNWps/locale_en_US。
srapgwadminmsg.properties 文件
编辑此文件可以:
使用联合管理
“联合管理”允许用户汇总其本地标识以便他们能够拥有统一的网络标识。“联合管理”使用网络标识以允许用户在一个服务提供者的站点上登录,并访问其它服务提供者的站点而不必重新认证其标识。这称为单点登录。
在 Portal Server 上,可在开放模式和安全模式中配置联合管理。Sun ONE Portal Server 管理员指南描述了如何在开放模式中配置联合管理。在用“安全远程访问”配置安全模式中的“联合”管理之前,请确保它工作于开放模式。如果要使用户既在开放模式中、又在安全模式中使用来自同一浏览器的“联合管理”,则他们必须清除 cookie 并从浏览器进行高速缓存。
有关“联合管理”的详细信息,请参阅 Sun ONE Identity Server Customization and API Guide。
联合管理方案
初始服务提供者对用户进行验证。服务提供者是提供网络服务的商业性或非盈利性组织。这一广泛的范畴可以包括网络门户、零售商、运输供应商、金融机构、娱乐公司、图书馆、高等院校和政府机构。
服务提供者使用 cookie 存储客户机浏览器中用户的会话信息。cookie 也包括用户的身份提供者。
身份提供者是专门提供验证服务的服务提供者。在管理验证服务的同时,他们也维护和管理标识信息。由身份提供者完成的验证将获得所有服务提供者的认可,而不管它属于哪个机构。
当用户试图访问不属于该身份提供者的服务时,身份提供者将 cookie 发往相应的服务提供者。该服务提供者随后可以访问在 cookie 中调用的身份提供者。
然而,不能跨越不同的 DNS 域读取 cookie。因此“通用域 Cookie 服务”被用于将服务提供者重定向到正确的身份提供者,从而启用用户的单点登录。
配置联合管理资源
可在“网关”配置文件(基于要配置内容驻留的位置)中配置“联合”资源、服务提供者、身份提供者和“通用域 Cookie 服务”(CDCS)。本部分介绍如何配置以下三种方案:
- 全部资源都在公司内部网内
- 全部资源都不在公司内部网内或者身份提供者驻留在 Internet 上。
- 全部资源都不在公司内部网内,或者身份提供者被“网关”保护而服务提供者又是驻留在 Internet 上的第三方。
配置 1
在此配置中,服务提供者、身份提供者和“通用域 Cookie 服务”被部署在同一个公司内部网中并且不在 Internet“域名服务器” (DNS) 中发布身份提供者。CDCS 是可选的。
在此配置中,“网关”指向服务提供者 Portal Server。此配置对于多个 Portal Server 实例有效。
- 以管理员身份登录到 Identity Server 管理控制台。
- 在管理控制台中,选择“服务配置”标签。
- 单击“SRA 配置”下“网关”旁边的箭头。
显示“网关”页面。
- 单击需要设置属性的“网关”配置文件旁的“编辑...”。
会显示“编辑网关配置文件”页。
- 单击“核心”标签。
- 选中“启用 Cookie 管理”复选框以启用 cookie 管理。
- 滚动至“Portal Server 列表”字段并输入 Portal Server 名以便能够使用相对 URL,如在“非验证 URL”列表中列出的 /amserver 或 /portal/dt。例如:
http://idp-host:port/amserver/js
http://idp-host:port/amserver/UI/Login
http://idp-host:port/amserver/css
http://idp-host:port/amserver/SingleSignOnService
http://idp-host:port/amserver/UI/blank
http://idp-host:port/amserver/postLogin
http://idp-host:port/amserver/login_images
- 滚动到“Portal Server 列表”字段,然后输入 Portal Server 名。例如 /amserver。
- 单击“保存”。
- 单击“安全”标签。
- 滚动至“非验证 URL”列表并添加“联合”资源。例如:
/amserver/config/federation
/amserver/IntersiteTransferService
/amserver/AssertionConsumerservice
/amserver/fed_images
/amserver/preLogin
/portal/dt
- 单击“添加”。
- 单击“保存”。
- 如果到达“非验证 URL”列表中列出的 URL 需要使用网络代理,请单击“代理”标签。
- 滚动至“域和子域代理”字段并输入所需的网络代理。
- 单击“添加”。
- 单击“保存”。
- 从终端窗口重新启动“网关”:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
配置 2
在此配置中,服务提供者、身份提供者和“通用域 Cookie 提供者”(CDCP) 未部署在公司内部网中,或者身份提供者是驻留在 Internet 上的第三方提供者。
在此配置中,“网关”指向服务提供者 Portal Server。此配置对于多个 Portal Server 实例有效。
- 以管理员身份登录到 Identity Server 管理控制台。
- 在管理控制台中,选择“服务配置”标签。
- 单击“SRA 配置”下“网关”旁边的箭头。
显示“网关”页面。
- 单击需要设置属性的“网关”配置文件旁的“编辑...”。
会显示“编辑网关配置文件”页。
- 单击“核心”标签。
- 选中“启用 Cookie 管理”复选框以启用 cookie 管理。
- 滚动至“Portal Server 列表”字段并输入服务提供者的 Portal Server 名以便能够使用相对 URL,如在“非验证 URL”列表中列出的 /amserver 或 /portal/dt。
http://idp-host:port/amserver/js
http://idp-host:port/amserver/UI/Login
http://idp-host:port/amserver/css
http://idp-host:port/amserver/SingleSignOnService
http://idp-host:port/amserver/UI/blank
http://idp-host:port/amserver/postLogin
http://idp-host:port/amserver/login_images
- 单击“保存”。
- 单击“安全”标签。
- 滚动至“非验证 URL”列表并添加“联合”资源。例如:
/amserver/config/federation
/amserver/IntersiteTransferService
/amserver/AssertionConsumerservice
/amserver/fed_images
/amserver/preLogin
/portal/dt
- 单击“添加”。
- 单击“保存”。
- 如果到达“非验证 URL”列表中列出的 URL 需要使用网络代理,请单击“代理”标签。
- 滚动至“域和子域代理”字段并输入所需的网络代理。
- 单击“添加”。
- 单击“保存”。
- 从终端窗口重新启动“网关”:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
配置 3
在此配置中,服务提供者、身份提供者和“通用域 Cookie 提供者”(CDCP) 未部署在公司内部网中,或者服务提供者是驻留在 Internet 上的第三方提供者并且身份提供者受“网关”保护。
在此配置中,“网关”指向身份提供者 Portal Server。
此配置对于多个 Portal Server 实例有效。这种配置不可能在 Internet 上,然而,一些公司网络可能在其内部网具有这种配置,即身份提供者驻留在被防火墙保护的子网中,并且可以从公司网络内部直接访问服务提供者。
- 以管理员身份登录到 Identity Server 管理控制台。
- 在管理控制台中,选择“服务配置”标签。
- 单击“SRA 配置”下“网关”旁边的箭头。
显示“网关”页面。
- 单击需要设置属性的“网关”配置文件旁的“编辑...”。
会显示“编辑网关配置文件”页。
- 单击“核心”标签。
- 选中“启用 Cookie 管理”复选框以启用 cookie 管理。
- 滚动至“Portal Server 列表”字段并输入身份提供者的 Portal Server 名以便能够使用相对 URL,如在“非验证 URL”列表中列出的 /amserver 或 /portal/dt。
http://idp-host:port/amserver/js
http://idp-host:port/amserver/UI/Login
http://idp-host:port/amserver/css
http://idp-host:port/amserver/SingleSignOnService
http://idp-host:port/amserver/UI/blank
http://idp-host:port/amserver/postLogin
http://idp-host:port/amserver/login_images
- 单击“保存”。
- 单击“安全”标签。
- 滚动至“非验证 URL”列表并添加“联合”资源。例如:
/amserver/config/federation
/amserver/IntersiteTransferService
/amserver/AssertionConsumerservice
/amserver/fed_images
/amserver/preLogin
/portal/dt
- 单击“添加”。
- 单击“保存”。
- 如果到达“非验证 URL”列表中列出的 URL 需要使用网络代理,请单击“代理”标签。
- 滚动至“域和子域代理”字段并输入所需的网络代理。
- 单击“添加”。
- 单击“保存”。
- 从终端窗口重新启动“网关”:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
