第 11 章配置 Netlet

第 11 章
配置 Netlet

本章介绍如何通过 Sun™ ONE Identity Server 管理控制台配置 Netlet 属性。



注意	单击 Identity Server 管理控制台右上角的“文档”，然后单击“SRA 帮助”以获取所有 Secure Remote Access 属性的快速参考。

可在组织级别配置的所有属性也可以在用户级别配置。有关组织、角色以及用户级属性的详细信息，请参阅 Sun ONE Identity Server 管理员指南。

还可以在用户级别配置另外一些属性。如果您没有在管理控制台中指定这些值，则在首次通过 Netlet 建立连接时，将会请求用户提供该信息。在下列情况下，将会请求用户提供该信息：

用户使用的是装有 Java 插件（版本 1.3.1_01 或 1.3.1_02）的 Internet Explorer 4.x、5.x 或 6.x，已在“Java Plug-in 控制面板”的“代理”标签中启用了“使用浏览器设置”选项，并且已在 Internet Explorer 的“局域网设置”对话框的“使用自动配置脚本”字段中指定了一个附加产品或 INS 文件。

用户使用的是装有 Java 插件（版本 1.3.1_01 或 1.3.1_02）的 Netscape 6.2，并且已在“Java Plug-in 控制面板”的“代理”标签中启用了“使用浏览器设置”选项。不会考虑使用用户指定的任何代理设置。

在这两种情况下，Netlet 有可能无法确定浏览器设置，因而会请求用户提供以下信息：

浏览器代理类型

该属性可取的值为“直接”或“手动”。如果用户从下拉列表中选择“直接”，Netlet 会直接连接到网关主机。

浏览器代理主机

指定所需的代理主机，Netlet 需要通过该主机进行连接。

浏览器代理端口

指定代理主机上的端口，Netlet 需要通过该端口进行连接。

浏览器代理忽略列表（用逗号分隔）

指定不想让 Netlet 通过代理进行连接的主机。该列表可以包含多个以逗号分隔的主机名。

Netlet 口令

如果已在管理控制台中启用了重新验证，则在用户每次通过 netlet 连接到某个应用程序时，都会显示“Netlet 验证”对话框。用户需要提供 Netlet 口令。如果未在管理控制台中启用重新验证，用户将不用选择更改口令。



注意	默认情况下，Netlet 验证口令为 srap-netlet。

您可以在该字段中为用户更改这个验证口令。用户也可以使用 Netlet 频道上的“编辑”按钮来更改该口令。

如果您尚未启用重新验证，则会在用户桌面上显示一个端口警告对话框，指出 Netlet 尝试建立连接时即将使用的端口。而不会出现“Netlet 验证”对话框。



注意	如果您已在 Netlet 服务中禁用了此选项，端口警告对话框也有可能不会出现。

要配置 Netlet 属性，请按以下步骤在组织级别配置属性：

以管理员身份登录到 Sun™ ONE Identity Server 管理控制台。

选择“标识管理”标签。

从“查看”下拉列表中选择“组织”。

单击所需的组织名。所选组织名会在管理控制台左上角的位置信息中反映出来。

从“查看”下拉列表中选择“服务”。

单击“SRA 配置”下 Netlet 旁边的箭头。

从这里，您可以执行下列任务：

除了配置用户配置文件以及创建 Netlet 规则以外，您还需要根据自己站点的要求配置下列属性。这些属性可以在组织或用户级别进行配置。

为用户分配 Netlet 服务

以管理员身份登录到 Identity Server 管理控制台。

选择“标识管理”标签。

从“查看”下拉列表中选择“组织”。

单击所需的组织名。

所选组织名会在管理控制台左上角的位置信息中反映出来。

从“查看”下拉列表中为所选的组织选择“用户”。

单击左窗格中所需用户旁边的箭头。

如果 Netlet 服务对该用户尚不可用，请从“查看”下拉列表中为该用户选择“服务”。

单击“添加”。

从“可用服务”列表中选择 Netlet。

单击“保存”

从“查看”下拉列表中选择“Netlet”服务，可以为该用户修改 Netlet 属性。

添加 Netlet 规则

在 Identity Server 管理控制台的“标识管理”标签中，可以在全局级别添加或创建 Netlet 规则。您新创建的任何组织都会继承这些规则。

还可以在组织、角色或用户级别创建新规则或修改现有规则。

添加 Netlet 规则

以管理员身份登录到 Identity Server 管理控制台。

选择“标识管理”标签。

选择想要为其创建规则的“组织”。

从“查看”下拉列表中选择“服务”。

单击“SRA 配置”下 Netlet 旁边的箭头。

在右窗格中会显示 Netlet 页。

在“Netlet 规则”字段中单击“添加”。

会显示“添加 Netlet 规则”页。规则的所有字段均填充了示例值，您可以根据需要更改这些值。

在“规则名称”字段中为规则键入一个唯一的名称。

指定所需的密码。选择“默认”可保留默认的加密密码。选择“其它”可从可用密码列表中进行选择。

有关默认密码的详细信息，请参阅“指定默认密码”。

在 URL 字段中键入指向要调用的应用程序的 URL。

如果需要下载某个 applet，请选中“下载 Applet”复选框。以 client port:server host:server port 格式，在关联的编辑框中键入 applet 详细信息。



注意	为每一规则指定一个唯一的客户机端口。

仅当需要从 Portal Server 主机以外的某个主机下载 applet 时，才需要指定 applet 详细信息。如果没有选中此复选框，上述编辑框将被禁用。

选中“扩展会话”复选框，确保在该规则相应的 Netlet 会话运行期间，延长 Portal Server 会话时间。

在“客户机端口”字段中键入 Netlet 监听时所在的客户机端口。

对于 FTP 规则，客户机端口值必须是 30021。

在“目标主机”字段中键入一个输入项。

对于静态规则，输入 Netlet 要连接的目标机器的主机名。

对于动态连接，输入“TARGET”。

在“目标端口”字段中键入目标主机上的端口。

单击“添加到列表”，以便在“端口-主机-端口列表”字段中反映最新输入的三项信息。

单击“保存”。

将会保存规则并返回到 Netlet 页。在“Netlet 规则”列表中会显示新的规则名。

修改现有 Netlet 规则

通过管理控制台中的“标识管理”标签，可以在组织、角色或用户级别修改现有规则。您新创建的任何组织都会继承这些规则。

修改 Netlet 规则

以管理员身份登录到 Identity Server 管理控制台。

选择“标识管理”标签。

选择想要为其修改规则的“组织”。

从“查看”下拉列表中选择“服务”。

单击“SRA 配置”下 Netlet 旁边的箭头。

在右窗格中会显示 Netlet 页。

单击想要修改的规则的名称。

会显示“编辑 Netlet 规则”页。

根据需要进行更改，然后单击“保存”。

将会保存修改后的规则并返回到 Netlet 页。

删除 Netlet 规则

在管理控制台的“标识管理”标签中，可以在全局级别删除 Netlet 规则。

删除 Netlet 规则

以管理员身份登录到 Identity Server 管理控制台。

选择“标识管理”标签。

选择想要为其删除规则的“组织”。

单击“SRA 配置”下 Netlet 旁边的箭头。

在右窗格中会显示 Netlet 页。

选中要从“Netlet 规则”列表中删除的规则旁边的复选框。

单击“删除”。

会从“Netlet 规则”列表中删除所选规则。



注意	本部分介绍所有组织级属性的配置。

指定默认加密密码

需要为 Netlet 规则指定默认密码。这在使用其中未包括密码的现有规则时非常有用。该字段是强制字段。请参阅“向后兼容性”。

指定默认密码

以管理员身份登录到 Identity Server 管理控制台。

选择“标识管理”标签。

从“查看”下拉列表中选择“组织”。

单击所需的组织名。所选组织名会在管理控制台左上角的位置信息中反映出来。

从“查看”下拉列表中选择“服务”。

单击“SRA 配置”下 Netlet 旁边的箭头。

在右窗格中会显示 Netlet 页。

滚动到“默认本地 VM 密码”或“默认 Java Plugin 密码”字段，然后从下拉列表中选择所需密码。要获得所支持密码的列表，请参阅“支持的密码”。

单击 Netlet 页顶部或底部的“保存”，记录此项更改。

分配默认回送端口

该属性指定在通过 netlet 下载 applet 时客户机上将要使用的端口。所使用的默认值为 8000，除非在 Netlet 规则中取代了该值。

分配默认回送端口

以管理员身份登录到 Identity Server 管理控制台。

选择“标识管理”标签。

从“查看”下拉列表中选择“组织”。

单击所需的组织名。所选组织名会在管理控制台左上角的位置信息中反映出来。

从“查看”下拉列表中选择“服务”。

单击“SRA 配置”下 Netlet 旁边的箭头。

在右窗格中会显示 Netlet 页。

滚动到“默认回送端口”字段，然后键入所需的端口号。

单击 Netlet 页顶部或底部的“保存”，记录此项更改。

启用连接时重新验证

如果希望用户在每次需要建立 Netlet 连接时都要输入 Netlet 口令，请启用该选项。如果启用了该选项，在用户桌面上将不会显示连接警告弹出窗口。有关详细信息，请参阅“禁用连接时弹出警告”。

启用该选项后，将允许用户使用 Netlet 频道编辑选项更改重新验证口令。默认情况下，初始口令是 srap-Netlet。

启用连接时重新验证

以管理员身份登录到 Identity Server 管理控制台。

选择“标识管理”标签。

从“查看”下拉列表中选择“组织”。

单击所需的组织名。所选组织名会在管理控制台左上角的位置信息中反映出来。

从“查看”下拉列表中选择“服务”。

单击“SRA 配置”下 Netlet 旁边的箭头。

在右窗格中会显示 Netlet 页。

滚动到“连接时重新验证”字段，然后选择此选项。

单击 Netlet 页顶部或底部的“保存”，记录此项更改。

禁用连接时弹出警告

该属性会在用户桌面上显示一条消息，警告有人正试图通过监听端口连接到 Netlet。当用户在 Netlet 上运行应用程序或是有入侵者企图通过监听端口获得桌面的访问权时，便会显示此消息。

如果您不希望在用户桌面上出现弹出窗口，可取消选择该属性。

启用连接时弹出警告

以管理员身份登录到 Identity Server 管理控制台。

选择“标识管理”标签。

从“查看”下拉列表中选择“组织”。

单击所需的组织名。所选组织名会在管理控制台左上角的“位置”信息中反映出来。

从“查看”下拉列表中选择“服务”。

单击“SRA 配置”下 Netlet 旁边的箭头。

在右窗格中会显示 Netlet 页。

选中“连接时弹出警告”复选框以启用弹出警告。

单击 Netlet 页顶部或底部的“保存”，记录此项更改。

启用在端口警告对话框中显示复选框

当 Netlet 尝试通过本地机上某个可自由使用的端口连接到目的主机时，会在用户桌面上显示弹出警告。仅当在管理控制台中启用了“连接时弹出警告”选项时，才会在用户桌面上显示该弹出警告。

在管理控制台中启用“在端口警告对话框中显示复选框”选项，可允许用户禁止该弹出警告。

允许用户禁止端口警告对话框

以管理员身份登录到 Identity Server 管理控制台。

选择“标识管理”标签。

从“查看”下拉列表中选择“组织”。

单击所需的组织名。所选组织名会在管理控制台左上角的位置信息中反映出来。

从“查看”下拉列表中选择“服务”。

单击“SRA 配置”下 Netlet 旁边的箭头。

在右窗格中会显示 Netlet 页。

滚动到“在端口警告对话框中显示复选框”字段，然后选中相应的方框。

单击 Netlet 页顶部或底部的“保存”，记录此项更改。

设置保活间隔

可以以分钟为单位设置一个时间间隔，在这段时间内，即使无任何操作，Netlet 连接也会保持活动状态。

如果不为该属性指定一个值，空闲 Netlet 连接将与其它所有 Portal Server 空闲连接具有相同的超时时间，该时间就是在“Identity Server 配置”的“会话属性”部分所指定的“空闲时间最大值（分）”。

设置保活间隔

以管理员身份登录到 Identity Server 管理控制台。

选择“标识管理”标签。

从“查看”下拉列表中选择“组织”。

单击所需的组织名。所选组织名会在管理控制台左上角的位置信息中反映出来。

从“查看”下拉列表中选择“服务”。

单击“SRA 配置”下 Netlet 旁边的箭头。

在右窗格中会显示 Netlet 页。

滚动到“保活间隔（分钟）”字段，然后键入所需的时间间隔。

单击 Netlet 页顶部或底部的“保存”，记录此项更改。

设置门户注销时终止 Netlet 选项

如果希望确保在用户从 Portal Server 中注销时终止所有连接，请启用该选项。这将确保更高的安全性。默认情况下，该选项已启用。

禁用该选项可确保即使在用户已从 Portal Server 桌面中注销后，活动的 Netlet 连接仍会起作用。



注意	禁用该选项后，将不允许用户在从 Portal Server 中注销后进行新的 Netlet 连接。而是只保持现有的连接。

设置门户注销时终止 Netlet 选项

以管理员身份登录到 Identity Server 管理控制台。

选择“标识管理”标签。

从“查看”下拉列表中选择“组织”。

单击所需的组织名。所选组织名会在管理控制台左上角的位置信息中反映出来。

从“查看”下拉列表中选择“服务”。

单击“SRA 配置”下 Netlet 旁边的箭头。

在右窗格中会显示 Netlet 页。

滚动到“门户注销时终止 Netlet”字段，然后根据需要选择或取消选取此选项。

单击 Netlet 页顶部或底部的“保存”，记录此项更改。

另请参阅在注销时终止 Netlet。

定义 Netlet 访问规则

可为某些组织、角色或用户定义对特定 Netlet 规则的访问。

定义 Netlet 访问规则

以管理员身份登录到 Identity Server 管理控制台。

选择“标识管理”标签。

从“查看”下拉列表中选择“组织”。

单击所需的组织名。所选组织名会在管理控制台左上角的位置信息中反映出来。

从“查看”下拉列表中选择“服务”。

单击“SRA 配置”下 Netlet 旁边的箭头。

在右窗格中会显示 Netlet 页。

滚动到“Netlet 访问规则”字段。

在“Netlet 访问规则”字段中，键入想要为所选组织提供使用的规则名称。

该字段中的星号 (*) 表示所有已定义的 Netlet 规则都可用于所选组织。

单击“添加”。

会将指定的规则添加到“Netlet 访问规则”列表中。

对想要提供使用的每一项 Netlet 规则重复步骤 7、8 和 9。

单击 Netlet 页顶部或底部的“保存”，记录此项更改。

拒绝 Netlet 访问规则

可以拒绝某些组织、角色或用户对特定 Netlet 规则的访问。

拒绝 Netlet 访问规则

以管理员身份登录到 Identity Server 管理控制台。

选择“标识管理”标签。

从“查看”下拉列表中选择“组织”。

单击所需的组织名。所选组织名会在管理控制台左上角的位置信息中反映出来。

从“查看”下拉列表中选择“服务”。

单击“SRA 配置”下 Netlet 旁边的箭头。

在右窗格中会显示 Netlet 页。

滚动到“Netlet 拒绝规则”字段。

在“Netlet 拒绝规则”字段中，键入想要拒绝所选组织访问的规则名称。

该字段中的星号 (*) 表示拒绝所选组织访问所有已定义的 Netlet 规则。

单击“添加”。

会将指定的规则添加到“Netlet 拒绝规则”列表中。

对想要拒绝访问的每一项 Netlet 规则重复步骤 7、8 和 9。

单击 Netlet 页顶部或底部的“保存”，记录此项更改。

允许访问主机

可为某些组织、角色或用户定义对特定主机的访问。这使您可以限制对某些主机的访问。例如，您可以建立一个含有五个主机的“允许”列表，使用户可以远程登录到这些主机。

允许访问主机

以管理员身份登录到 Identity Server 管理控制台。

选择“标识管理”标签。

从“查看”下拉列表中选择“组织”。

单击所需的组织名。所选组织名会在管理控制台左上角的位置信息中反映出来。

从“查看”下拉列表中选择“服务”。

单击“SRA 配置”下 Netlet 旁边的箭头。

在右窗格中会显示 Netlet 页。

滚动到“允许的主机”字段。

在“允许的主机”字段中，键入想要允许访问的主机的名称。

该字段中的星号 (*) 表示指定域中的所有主机都是可以访问的。例如，如果指定 *.sesta.com，则用户可以执行 sesta.com 域中的所有 Netlet 目标。也可指定一个含有通配符的 IP 地址，如 xxx.xxx.xxx.*。

单击“添加”。

会将指定的主机添加到“允许的主机”列表中。

对想要提供使用的每个主机重复步骤 7 和 8。

单击 Netlet 页顶部或底部的“保存”，记录此项更改。

拒绝访问主机

可拒绝对组织内特定主机的访问。在“拒绝的主机”列表中，指定想要拒绝访问的主机。

拒绝访问主机

以管理员身份登录到 Identity Server 管理控制台。

选择“标识管理”标签。

从“查看”下拉列表中选择“组织”。

单击所需的组织名。所选组织名会在管理控制台左上角的位置信息中反映出来。

从“查看”下拉列表中选择“服务”。

单击“SRA 配置”下 Netlet 旁边的箭头。

在右窗格中会显示 Netlet 页。

滚动到“拒绝的主机”字段。

在“拒绝的主机”字段中，键入想要拒绝访问的主机的名称。

该字段中的星号 (*) 表示拒绝用户访问所选组织中的所有主机。例如，要拒绝访问 sesta 组织中的所有主机，请在“拒绝的主机”字段中键入 *.sesta.com。

要拒绝访问特定的主机，请指定相应的全限定名。例如，要拒绝访问主机 abc，请键入 abc.sesta.com。

单击“添加”。

会将指定的域添加到“域访问”列表中。

对想要提供使用的每个域重复步骤 7 和 8。

单击 Netlet 页顶部或底部的“保存”，记录此项更改。