Sun ONE Portal Server, Secure Remote Access 6.2 管理员指南 |
第 1 章
Sun ONE Portal Server,Secure Remote Access 简介本章介绍 Sun ONE Portal Server,Secure Remote Access 产品以及 Sun ONE Portal Server 产品与 Secure Remote Access 组件之间的关系。它同时提供管理和配置 Secure Remote Access 的信息。
本章包括以下主题:
Secure Remote Access 概述Secure Remote Access 使远程用户可通过 Internet 安全地访问其组织的网络及网络服务。此外,可为贵组织提供一个安全的 Internet 门户,从而使所有目标观众-雇员、商业合作伙伴以及普通公众能够访问其内容、应用程序和数据。
Secure Remote Access 可提供基于浏览器的安全远程访问,它可处理任一远程设备对门户内容和服务的访问。它是一种节省成本的安全访问解决方案,用户可从任意设备通过启用了 Java 技术的浏览器对其进行访问,从而省去了对客户机软件的需要。与 Sun ONE Portal Server 软件的集成可确保用户对具有访问许可权的内容和服务进行安全加密式的访问。
Secure Remote Access 所面向的目标是那些部署高度安全的远程访问门户的企业。这些门户强调安全、保护性以及内部网资源的保密性。Secure Remote Access 体系结构非常适合此类门户的要求。Secure Remote Access 的“网关”、NetFile 和 Netlet 组件使用户能够通过 Internet 安全地访问内部网资源,同时不将这些资源在 Internet 上公开。
驻留在“非武装区”(DMZ) 的“网关”可提供对全部的内部网 URL、文件系统及应用程序的单个安全访问点。其它所有非 Secure Remote Access 的服务(如“会话”、“验证”和 PortalDesktop)均驻留在安全内部网中 DMZ 的后面。从客户机浏览器到“网关”的通信采用 HTTPS 进行加密。从“网关”到服务器和内部网资源的通信既可以是 HTTP,也可以是 HTTPS。
Secure Remote Access 使用两种方法
Netlet和 NetFile applet 会被下载到客户机中,而支持文件可驻留在“网关”上,也可驻留在 Portal Server 主机上。
Portal Server 可在以下两种模式下工作:
开放模式
在开放模式中,安装 Portal Server 时不包括 Secure Remote Access。尽管在此模式下 HTTPS 通信仍可进行,但无法实现安全远程访问。这就意味着用户不能访问安全的远程文件系统和应用程序。
开放门户和安全门户的主要区别是,由开放门户提供的服务通常驻留在非武装区 (DMZ) 内,而不是驻留在安全的内部网中。DMZ 是公共 Internet 和专用内部网之间的一个小型受保护网络,通常在其两端以防火墙来划界。
如果门户不包含敏感信息(部署公用信息和允许访问自由应用程序),则对大量用户所发出的访问请求的响应速度比使用安全模式更快。
图 1-1 显示开放模式下的 Portal Server。在此,Portal Server 被安装在防火墙后的单台服务器上。多台客户机穿过单面防火墙在 Internet 上访问 Portal Server。
图 1-1 开放模式下的 Portal Server
安全模式
安全模式可使用户对所需的内部网文件系统和应用程序进行安全远程访问。
“网关”驻留在非武装区 (DMZ) 内。“网关”可提供对所有内部网 URL 和应用程序的单个安全访问点,这便减少了防火墙中要打开端口的数目。其它所有 Portal Server 服务(如“会话”、“验证”和 Portal Desktop)均驻留在安全内部网中 DMZ 的后面。从客户机浏览器到“网关”的通信采用“安全套接字层”(SSL) 基础之上的 HTTP 进行加密。从“网关”到服务器和内部网资源的通信既可以是 HTTP,也可以是 HTTPS。
图 1-2 显示具有 Secure Remote Access 的 Portal Server。SSL 用于在 Internet 上加密客户机和 Portal Server 网关之间的连接。SSL 也可用于加密网关和服务器之间的连接。在内部网和 Internet 之间出现的网关使客户机和 Portal Server 之间的安全路径得到延伸。
图 1-2 安全模式下的 Portal Server(具有 Secure Remote Access)
可添加附加服务器和网关以用于站点扩充。根据业务需要,可通过多种方式配置 Secure Remote Access 的组件。
Secure Remote Access 组件Secure Remote Access 有四个主要组件:
网关
Secure Remote Access“网关”在源自 Internet 与公司内部网的远程用户会话之间提供界面和安全屏障。“网关”可通过单个接口将来自内部网服务器和应用程序服务器的内容安全地呈现给远程用户。
网络服务器使用基于网络的资源(如 HTML、JavaScript 和 XML)在客户机和“网关”之间进行通信。“重写器”是用于使网络内容变为可用“网关”组件。
应用程序服务器使用二进制协议(如 telnet 和 FTP)在客户机和“网关”之间通信。驻留在“网关”上的 Netlet 便是针对此目的而应用的。有关详细信息,请参阅第2 章,“网关”。
重写器
“重写器”使最终用户可以浏览内部网,并使这些页上的链接和其它 URL 引用正确运行。“重写器”会预先考虑网络浏览器位置字段中的“网关 URL”,从而通过网关重定向内容请求。有关详细信息,请参阅第3 章,“重写器”。
NetFile
NetFile 是一个文件管理器应用程序,它允许对文件系统和目录进行远程访问和操作。NetFile 一个基于 Java 的用户界面 NetFile JavaTM。它可用于 Java 1 和 Java 2。
有关详细信息请参阅第4 章,“NetFile”。Netlet
Netlet 有利于以安全方式在远程桌面上运行常用的或公司特定的应用程序。在您的站点实现 Netlet 后,用户可安全地运行公共 TCP/IP 服务(如 Telnet 和 SMTP)及基于 HTTP 的应用程序(如 pcANYWHERE 或 Lotus Notes)。有关详细信息,请参阅第5 章,“Netlet”。
管理 Secure Remote AccessSecure Remote Access 有两个用于管理的界面:
大多数管理任务都是通过基于网络的 Sun ONE Identity Server 管理控制台执行的。管理控制台可通过网络浏览器进行本地或远程访问。但是,某些任务(如文件修改)必须通过 UNIX 命令行界面进行管理。
配置 Secure Remote Access 属性您可在组织级、角色级和用户级配置与 Secure Remote Access 有关的属性,以下情况除外:
- 不能在用户级设置“冲突解决级别”。同样在“服务配置”标签中也不提供该项。请参阅“设置冲突解决”。
- 只能在组织级设置“MIME 类型配置文件定位”属性。请参阅“指定 MIME 类型配置文件位置” 。
在组织级设置的值将由该组织以下的所有角色和用户继承。在用户级设置的值会覆盖在组织级或角色级设置的相应值。
大多数属性可在 Identity Server 标签中进行设置,也可在 Identity Server 上的“服务配置”标签中进行设置。在“服务配置”级设置的属性会用作模板。默认情况下,所创建的任何组织或用户均会继承这些值。
您可在“服务配置”级对属性值进行更改。只有添加了新的组织后,才反映这些新的属性值。在“服务配置”标签中对属性值所作的更改不会影响现有的组织或用户。有关详细信息,请参阅 Sun ONE Identity Server 管理员指南。
您可在“SRA 配置”下的 Identity Server 管理控制台中使用以下服务配置 Secure Remote Access 属性:
- 访问列表
此服务可使您准许或限制对特定 URL 的访问,并可管理单点登录功能。有关详细信息,请参阅第8 章,“配置 URL 访问控制”。
- 网关
此服务允许您配置所有与“网关”相关的属性,如代理管理、cookie 管理、日志、重写器管理和密码。有关详细信息,请参阅第9 章,“配置网关”。
- NetFile
此服务允许您配置所有与 NetFile 相关的属性,如公共主机、MIME 类型,以及对不同类型主机的访问。有关详细信息,请参阅第10 章,“配置 NetFile”。
- Netlet
此服务允许您配置所有与 Netlet 相关的属性,如 Netlet 所需规则、组织和主机的访问,以及默认算法。有关详细信息,请参阅第11 章,“配置 Netlet”。
警告
“网关”不会收到有关在其运行期间对属性所作更改的通知。
重启“网关”以确保“网关”使用已更新的配置文件属性(属于“网关”或任何其它服务)。请参阅“使用验证链” 。
设置冲突解决设置冲突解决级别
支持的应用程序Secure Remote Access 支持下列应用程序:
OWA 页所需的规则集已按名称 exchange_2000sp3_owa_ruleset 以标准方式安装。要查看 OWA 的实例研究,请参阅“Outlook Web Access 规则集” 。