附录 C
配置属性
本附录将介绍可通过“服务配置”标签中的 Sun ONE Identity Server 管理控制台而为 Sun ONE Portal Server,Secure Remote Access 配置的属性。
访问列表服务
表 C-1 列出“访问列表”服务属性。第一列包含属性,第二列包含默认值(如果存在),第三列包含对该属性的描述。
表 C-1 访问列表服务属性
属性
|
默认值
|
描述
|
URL 拒绝列表
|
|
最终用户不能通过网关访问的 URL 列表。
|
URL 允许列表:
|
*
|
最终用户可通过网关访问的 URL 列表。
|
SSO 被禁用的主机
|
|
禁用一列主机的单点登录。
|
为每个会话启用 SSO
|
|
启用会话的单点登录。
|
允许的 Auth 级别
|
*
|
表示对验证的信任度。使用星号以允许所有验证级别。有关验证级别的信息,请参阅 Sun ONE Identity Server 管理员指南。
|
网关服务
单击“网关”服务时,右侧窗格显示用于创建新配置文件的按钮和已创建的所有网关配置文件的列表。
如果单击“新建”,下一个窗格要求输入新网关配置文件名。可选择使用默认模板或者使用先前创建的网关配置文件作为模板。
如果单击所列出的网关配置文件名之一,将提供一个标签列表。分别是:
核心
表 C-2 列出“网关”服务核心属性。第一列包含属性,第二列包含默认值(如果存在),第三列包含对该属性的描述。
表 C-2 网关服务核心属性
属性
|
默认值
|
描述
|
启用 HTTPS 连接
|
选中
|
启用 HTTPS 连接。
|
HTTPS 端口
|
443
|
指定 HTTPS 端口。
|
启用 HTTP 连接
|
未选中
|
启用 HTTP 连接。
|
HTTP 端口
|
80
|
指定 HTTP 端口。
|
启用重写器代理
|
未选中
|
实现“网关”与内部网之间的安全 HTTP 通信。“重写器代理”和“网关”使用相同的网关配置文件。
|
重写器代理列表
|
|
列出“重写器代理”。
|
启用 Netlet
|
选中
|
实现 TCP/IP(如 Telnet 和 SMTP)、HTTP 应用程序及固定端口应用程序的安全性。
|
启用 Netlet 代理
|
未选中
|
通过将安全通道从客户机经“网关”扩展到驻留在内部网中的“Netlet 代理”,增强“网关”和内部网之间 Netlet 通信的安全性。如果不需要与 Portal Server 一同使用应用程序,请禁用此功能。
|
Netlet 代理主机
|
|
以 host hostname:port 格式列出“Netlet 代理主机”
|
启用 Cookie 管理
|
未选中
|
跟踪和管理允许用户访问的所有网站的用户会话。(不适用于 Portal Server 用来跟踪 Portal Server 用户会话的 cookie)。
|
启用 HTTP 基本验证
|
未选中
|
保存用户名和口令,这样用户在重新访问受 BASIC 保护的网站时,就无需重新输入其身份验证信息。
|
启用持久的 HTTP 连接
|
选中
|
在“网关”启用 HTTP 持久性连接,以防套接字对网页中的每个对象(如图像和样式表)均打开。
|
每个持久性连接的最大请求数量
|
10
|
指定每个持久性连接的请求数量。
|
持久套接字将在此超时之后关闭
|
50
|
指定套接字关闭之前需要的时间。
|
Grace 超时,以解决周转时间
|
20
|
指定浏览器在发送请求之后该请求到达网关需要的宽限时间,以及网关发送响应和浏览器实际接收到响应之间的时间。
|
转发 Cookie URL
|
可通过网关访问的 Portal Server URL 列表。
|
可使 servlet 和 CGI 接收 Portal Server 的 cookie 并使用 API 来标识用户。
|
最大连接队列长度
|
50
|
指定“网关”可接受的最大并发连接数量。
|
网关超时(毫秒)
|
120000
|
指定“网关”与浏览器断开连接之前的时间间隔(以毫秒为单位)。
|
线程组合容量最大值
|
200
|
指定可在“网关”线程池中预先创建的最大线程数量。
|
高速缓存套接字超时
|
200000
|
指定“网关”与 Portal Server 断开连接之前的时间间隔(以毫秒为单位)。
|
Portal 服务器列表
|
可通过网关访问的 Portal Server URL 列表。
|
以格式 http://portal-server-name:port -number 指定 Portal Server。 “网关”试图联系每个以循环方式列出的 Portal Server 来为请求提供服务。
|
服务器重试间隔
|
2
|
指定在 Portal Server、“重写器代理”或“Netlet 代理”不可用(如,崩溃或死机)之后,尝试启动它们的请求之间的时间间隔。
|
存储外部服务器 Cookie
|
未选中
|
允许“网关”存储和管理通过“网关”访问的任何第三方应用程序或服务器的 cookie。
|
从 URL 获取会话
|
未选中
|
无论支持 cookie 与否,均将会话信息作为 URL 的一部分进行编码。“网关”使用在 URL 中找到的会话信息进行验证,而不使用客户机浏览器发出的会话 cookie。
|
把 Cookie 标记为安全
|
未选中
|
将 cookie 标记为安全。必须启用“启用 Cookie 管理”选项。
|
代理
表 C-3 列出“网关”服务代理属性。第一列包含属性,第二列包含默认值(如果存在),第三列包含对该属性的描述。
表 C-3 网关服务代理属性
属性
|
默认值
|
描述
|
使用代理
|
未选中
|
启用网络代理的应用。
|
使用 Webproxy URL
|
|
列出网关只能通过“域和子域代理”列表中列出的网络代理进行联系的 URL(即使禁用“使用代理”选项)。
|
不可使用 Webproxy URL
|
|
列出“网关”可以直接连接到的 URL。
|
域和子域代理
|
门户服务器的域(例如,sesta.com)
|
指定用于联系特定域中的特定子域的代理。
|
代理口令列表
|
|
如果代理服务器需要验证才能访问某些或所有站点,请为“网关”指定所需的用户名和口令以通过该指定代理服务器的验证。
|
启用 PAC 支持
|
未选中
|
指定“域和子域的代理”字段中的信息将被忽略。
|
PAC 文件位置
|
|
指定要用于 PAC 支持的文件的位置。
|
通过网络代理的频道 Netlet
|
未选中
|
将安全通道从客户机经由“网关”扩展到驻留在内部网中的网络代理。
|
安全
表 C-4 列出“网关”服务安全属性。第一列包含属性,第二列包含默认值(如果存在),第三列包含对该属性的描述。
表 C-4 网关服务安全属性
属性
|
默认值
|
描述
|
没有已验证的 URL
|
/portal/desktop/images
/amserver/login_images
/portal/desktop/css
/amserver/jss
/amconsole/console/css
/portal/searchadmin/console/js
/amconsole/console/js
/amserver/css
|
指定不需要任何验证的 URL,如包含图像的目录。
|
已启用证书的网关主机
|
|
列出启用证书的“网关”主机。
|
允许 40 位的浏览器
|
选中
|
允许 40 位(弱)“安全套接字层”(SSL) 连接。如果不选择此选项,则只支持 128 位连接。
|
启用 SSL 2.0 版本
|
选中
|
启用 SSL 2.0 版本。
禁用 SSL 2.0 表示仅支持旧版 SSL 2.0 的浏览器将无法进行Secure Remote Access验证。
|
启用 SSL 密码选择
|
未选中
|
启用 SSL 密码选择。您可选择支持所有预封装的密码,或者可以单独选择所需的密码。您可以为每个“网关”实例指定特定的 SSL 密码。
|
SSL2 密码
|
将会选择所有可用的“SSL2 密码”
|
列出可以选择的 SSL 2.0 版密码。
|
SSL3 密码
|
将会选择所有可用的“SSL3 密码”
|
列出可以选择的 SSL 3.0 版密码。
|
TLS 密码
|
将会选择所有可用的“TLS 密码”
|
列出 TLS 密码。
|
启用 SSL 3.0 版本
|
选中
|
启用 SSL 3.0 版本。
禁用 SSL 3.0 表示仅支持 SSL 3.0 版本的浏览器将无法进行Secure Remote Access验证。这将确保更高级别的安全性。
|
禁用空密码
|
未选中
|
禁用空密码。
|
信任的 SSL 域列表
|
|
列出信任的 SSL 域。
|
重写器
“重写器”标签有两个子部分:
基本
表 C-5 列出“网关”服务“重写器”基本属性。第一列包含属性,第二列包含默认值(如果存在),第三列包含对该属性的描述。
表 C-5 网关服务重写器属性 - 基本
属性
|
默认值
|
描述
|
启用全部 URI 重写
|
未选中
|
指定重写任何 URL,而不检查“域和子域代理”列表中的条目。
|
URI 至 RuleSet 映射
|
*://*.<Portal Server 域>*/portal/*|default_gateway_ruleset
*/portal/NetFileOpenFileServlet*|null_ruleset
*|generic_ruleset
REPLACE_WITH_IPLANET_MAIL_SERVER_NAME|iplanet_mail_ruleset
REPLACE_WITH_EXCHANGE_SERVER_NAME|exchange_2000sp3_owa_ruleset
*://*.<Portal Server 域>*/amconsole/*|default_gateway_ruleset
REPLACE_WITH_INOTES_SERVER_NAME|inotes_ruleset
http*://*/portal/NetFileController*|null_ruleset
|
使用“URI 至 RuleSet 映射”列表使域和规则集相关联。规则集在 Identity Server 管理控制台中的“Portal Server 配置”下创建。
|
MIME 映射分析器
|
JAVASCRIPT=application/x-java
XML=text/xml
HTML=text/html;text/htm;text/x-component;text/wml;text/vnd.wap.wml
CSS=text/css
|
使新 MIME 类型和 HTML、JAVASCRIPT、CSS 或 XML 关联。用分号或逗号分隔多个条目。
|
默认域子域
|
Portal Server 安装的域
|
将主机名解析为默认域和子域。
|
高级
表 C-6 列出“网关”服务“重写器”高级属性。第一列包含属性,第二列包含默认值(如果存在),第三列包含对该属性的描述。
表 C-6 网关服务重写器属性 - 高级
属性
|
默认值
|
描述
|
禁止重写 URI 列表
|
|
列出禁止重写的 URI。注意:即使此 href 规则包括在规则集中,在该列表中添加 #* 也会允许重写 URI。
|
启用 MIME 推测
|
未选中
|
未发送 MIME 时,启用 MIME 推测。必须将数据添加到“URI 映射分析器”列表框中。
|
URI 映射分析器
|
HTML=*.html;*.htm;*.htc;*.cgi;
XML=*.xml
CSS=*.css
JAVASCRIPT=*.js
|
将分析器映射到 URI。多个 URI 以分号进行分隔。
例如,HTML=*.html; *.htm;*Servlet
表示会使用“HTML 重写器”来重写具有 html、htm 或 Servlet 扩展名的任何页的内容。
|
启用混淆
|
|
允许“重写器”重写 URI 以便使人们看不到页的“内部网 URL”。
|
Obfuscator Seed 字符串
|
SECRET_KEY
|
指定用于混淆 URI 的种子字符串。它是由混淆算法生成的一个随机字符串。
|
禁止模糊 URI 列表
|
|
指定不进行模糊化的 Internet URI。应用程序(如 applet)需要 Internet URI 时,使用此项
例如,如果添加了
*/Applet/Param*
到列表框中,则当内容 URI http://abc.com/Applet/Param1.html 在规则集的规则中匹配时,将不会模糊化此 URI。
|
使网关协议与原始 URI 协议相同
|
|
启用“重写器”以使用一致的协议访问 HTML 内容中的引用资源。
这样做只适用于静态 URI,不适用于 Javascript 中生成的动态 URI。
|
日志
表 C-7 列出“网关”服务日志属性。第一列包含属性,第二列包含默认值(如果存在),第三列包含对该属性的描述。
表 C-7 网关服务日志属性
属性
|
默认值
|
描述
|
启用日志
|
未选中
|
启用日志。
|
启用每会话日志
|
未选中
|
启用捕获最基本的日志信息,如“客户机地址”、“请求类型”以及“目的主机”。
|
启用详细的每会话日志
|
未选中
|
启用捕获详细日志信息,如“客户机”、“请求类型”、“目的主机”、“请求的类型”、“客户请求的 URL”、“客户发布数据大小”、“会话 ID”、“应答结果代码”和“完成应答的大小”。
注意:必须启用“启用每会话日志”。
|
启用 Netlet 日志
|
未选中
|
启用日志的情况下指定。假若如此,则捕获下列信息:开始时间、源、地址、源端口、服务器地址、服务器端口、停止时间以及状态(开始或停止)
|
NetFile 服务
单击“NetFile 服务”时,右侧窗格显示标签。分别是:
主机
“主机”标签有两个子部分:
配置
表 C-8 列出 NetFile 主机配置属性。第一列包含属性,第二列包含默认值(如果存在),第三列包含对该属性的描述。
表 C-8 NetFile 服务主机配置属性
属性
|
默认值
|
描述
|
OS 字符集
|
Unicode(UTF-8)
|
指定与主机进行通信时用作默认编码的字符集。
|
主机侦测顺序
|
WIN,NETWARE,FTP,NFS
|
指定主机侦测顺序。
|
通用主机
|
|
指定所有远程 NetFile 用户均可通过 NetFile 使用的主机。
|
默认域
|
Portal Server 域
|
指定 NetFile 联络允许主机时需要使用的默认域。
|
默认 Windows 域/工作组
|
|
指定用户访问 Windows 主机时选择的默认 Windows 域或工作组。
|
默认 WINS/DNS 服务器
|
|
指定 NetFile 用于访问 windows 主机的 WINS/DNS 服务器。
|
访问
表 C-9 列出 NetFile 服务主机访问属性。第一列包含属性,第二列包含默认值(如果存在),第三列包含对该属性的描述。
表 C-9 NetFile 服务主机访问属性
属性
|
默认值
|
描述
|
允许访问 Windows 主机
|
选中
|
允许访问 windows 主机。
|
允许访问 FTP 主机
|
选中
|
允许访问 FTP 主机。
|
允许访问 NFS 主机
|
选中
|
允许访问 NFS 主机。
|
允许访问 Netware 主机
|
选中
|
允许访问 Netware 主机。
|
允许的主机
|
*
|
指定用户可通过 NetFile 访问的主机。
|
拒绝的主机
|
|
指定用户不能通过 NetFile 访问的主机。
|
权限
如果您在用户开始使用 NetFile 后禁用了这些选项,则仅当用户从 NetFile 中注销并重新登录时,此更改才会生效。
表 C-10 列出 NetFile 服务权限属性。第一列包含属性,第二列包含默认值(如果存在),第三列包含对该属性的描述。
表 C-10 NetFile 服务权限属性
属性
|
默认值
|
描述
|
允许文件更名
|
选中
|
允许用户重命名文件。
|
允许删除文件/文件夹
|
选中
|
允许用户删除文件和文件夹。
|
允许文件上载
|
选中
|
允许用户上载文件。
|
允许文件/文件夹下载
|
选中
|
允许用户下载文件和文件夹。
|
允许文件搜索
|
选中
|
允许用户进行搜索。
|
允许文件邮件
|
选中
|
允许邮寄文件。
|
允许文件压缩
|
选中
|
允许文件压缩。
|
允许改变用户 Id
|
选中
|
允许用户使用不同的 ID。
|
允许改变 Windows 域
|
选中
|
允许用户更改 windows 域。
|
视图
表 C-11 列出 NetFile 服务视图属性。第一列包含属性,第二列包含默认值(如果存在),第三列包含对该属性的描述。
表 C-11 NetFile 服务视图属性
属性
|
默认值
|
描述
|
窗口大小(像素)
|
700|400
|
在用户桌面上以像素为单位指定 NetFile 窗口的大小。如果输入了无效值,NetFile 会使用默认值。
|
Window 位置
|
100|50
|
指定 NetFile 窗口在用户桌面上的显示位置。如果输入了无效值,NetFile 会使用默认值。
|
操作
“操作”标签有下列子部分:
通信
表 C-12 列出 NetFile 服务操作通信属性。第一列包含属性,第二列包含默认值(如果存在),第三列包含对该属性的描述。
表 C-12 NetFile 服务操作 - 通信属性
属性
|
默认值
|
描述
|
临时目录位置
|
/tmp
|
指定各种 NetFile 文件操作的临时目录。
确保运行网络服务器的 ID(如 nobody 或 noaccess)对所指定的目录具有 rwx 权限。还要确保此 ID 对于到所需临时目录的完整路径具有 rx 权限。
最好为 NetFile 创建一个单独的临时目录。如果所指定的临时目录是 Portal Server 的所有模块公用的,磁盘空间可能很快就会用完。如果临时目录没有空间,NetFile 将无法工作。
|
文件上载限制(以 MB 为单位)
|
5
|
指定可以上载的最大文件大小。如果输入了无效值,NetFile 会将该值重置为默认值。确保键入的是整数值。
可为不同用户指定不同的文件上载大小限制。
|
搜索
表 C-13 列出 NetFile 服务操作搜索属性。第一列包含属性,第二列包含默认值(如果存在),第三列包含对该属性的描述。
表 C-13 NetFile 服务操作 - 搜索属性
属性
|
默认值
|
描述
|
搜索目录限制:
|
100
|
指定在单次搜索操作中将要搜索的最大目录数。
|
压缩
表 C-14 列出 NetFile 服务操作压缩属性。第一列包含属性,第二列包含默认值(如果存在),第三列包含对该属性的描述。
表 C-14 NetFile 服务操作 - 压缩属性
属性
|
默认值
|
描述
|
默认压缩类型
|
Zip
|
指定 Zip 或 Gzip 压缩类型。
|
默认压缩级别
|
6
|
指定压缩级别,1 和 9 之间的一个数字。
|
常规
表 C-15 列出 NetFile 服务常规属性。第一列包含属性,第二列包含默认值(如果存在),第三列包含对该属性的描述。
表 C-15 NetFile 服务 - 常规属性
属性
|
默认值
|
描述
|
MIME 类型配置文件定位
|
portal-server-Install-root/SUNWps/samples/config/netfile
|
指定要发送到客户机浏览器的响应内容类型。
|
Netlet 服务
表 C-16 列出 Netlet 服务属性。第一列包含属性,第二列包含默认值(如果存在),第三列包含对该属性的描述。
表 C-16 Netlet 服务属性
属性
|
默认值
|
描述
|
Netlet 规则
|
IMAP,FTP,Telnet
|
选择添加或删除规则。
|
如果添加规则,下列九个属性是必需的:
|
--规则名称
|
|
为规则指定唯一名称。
|
--加密算法
|
|
指定所需密码。
|
--URL
|
|
指定要调用的应用程序的 URL。
|
--下载 Applet
|
|
需要下载 applet 时指定。如果使用 applet,相关编辑框中的语法为:
client port:server host:server port
|
--扩展会话
|
|
确保与该规则相对应的 Netlet 会话运行期间,延长 Portal Server 会话时间。
|
--端口-主机-端口列表
|
|
指定客户机端口、目标主机和目标端口。输入这些值(在此表的后三行中)之后,单击添加,使其出现在列表中。
|
--客户机端口
|
|
指定 Netlet 进行监听时所在的客户机端口。对于 FTP 规则,客户机端口值必须是 30021。
|
--目标主机
|
|
静态规则包含用于 Netlet 连接的目标机器的主机名。
动态规则包含单词“TARGET”。
|
--目标端口
|
|
指定目标主机上的端口。
|
默认本地 VM 密码
|
KSSL_SSL3_RSA_WITH_RC4_128_MD5
|
为 Netlet 规则指定默认密码。这在使用其中未包括密码的现有规则时非常有用。
|
默认 Java Plugin 密码
|
SSL_RSA_WITH_RC4_128_MD5
|
为 Netlet 规则指定默认密码。这在使用其中未包括密码的现有规则时非常有用。
|
默认回送端口
|
58000
|
当通过 Netlet 下载 applet 时,指定用于客户机的端口。在 Netlet 规则中,可以覆盖默认值。
|
连接时重新验证
|
未选中
|
确保用户在每次需要建立 Netlet 连接时,均输入 Netlet 口令。
|
连接时弹出警告
|
选中
|
当用户在 Netlet 上运行应用程序或是有入侵者企图通过监听端口获得桌面的访问权时,显示消息。
|
在端口警告对话框中显示复选框
|
选中
|
允许用户禁止弹出警告。
|
保活间隔(分钟)
|
0
|
设置时间间隔,在此时间段内,即使无任何操作,Netlet 连接也会保持活动状态。
如果不为该属性指定一个值,空闲 Netlet 连接将与其它所有 Portal Server 空闲连接具有相同的超时时间,该时间就是在“Identity Server 配置”的“会话属性”部分所指定的“空闲时间最大值(分)”。
|
端口注销时中止 Netlet
|
选中
|
用户从 Portal Server 注销时,确保所有连接均终止。
|
Netlet 访问规则
|
*
|
为某些组织、角色或用户定义对特定 Netlet 规则的访问。
|
Netlet 拒绝规则
|
|
为某些组织、角色或用户定义对特定 Netlet 规则的访问。
|
允许的主机
|
*
|
为某些组织、角色或用户定义对特定主机的访问。
|
拒绝的主机
|
|
拒绝对组织内特定主机的访问。
|