第 2 章閘道

Sun ONE Portal Server, Secure Remote Access 6.2 管理員指南

第 2章
閘道

本章說明與閘道相關的概念，與順利執行閘道時所需的資訊。關於配置閘道的資訊，請參閱第 9 章，「配置閘道」。

本章涵蓋下列主題：

閘道簡介

建立閘道設定檔

了解 platform.conf 檔案

啟動和停止閘道

重新啟動閘道

指定代理伺服器以聯絡 Identity Server

在 chroot 環境中執行閘道

建立閘道的多個實例

使用網路代理伺服器

使用 Netlet 代理伺服器

使用 Rewriter 代理伺服器

取得用戶端資訊

使用認證鏈接

使用萬有字元證書

停用瀏覽器快取

自訂閘道服務使用者介面

使用聯合管理

閘道簡介

閘道在源自網際網路的遠端使用者階段作業與您的企業內部網路之間提供了介面與安全界線。透過單一介面給遠端使用者，閘道可經由內部網路伺服器和應用程式伺服器安全地顯示內容。

建立閘道設定檔

閘道設定檔包含與閘道配置相關的所有資訊，例如閘道傾聽的連接埠、SSL 選項與代理伺服器選項。

當您安裝閘道時，如果您選擇預設值，則會建立名為「default」的預設閘道設定檔。與預設設定檔對應的配置檔會出現在：

/etc/opt/SUNWps/platform.conf.default

其中 /etc/opt/SUNWps 是所有 platform.conf.* 檔案的預設位置。

請參閱「了解 platform.conf 檔案」以取得更多關於 platform.conf 檔案內容的資訊。

您可以：

建立多個設定檔，定義每個設定檔的屬性，並視需要指定這些設定檔給不同的閘道。

在不同的機器上指定單一設定檔給閘道安裝。

指定不同的設定檔給在相同機器上執行的單一閘道實例。

注意

不要指定相同的設定檔給在相同機器上執行的閘道不同實例。這將會造成衝突，因為連接埠號碼會一樣。

不要在不同的設定檔 (建立給相同的閘道) 中指定相同的連接埠號碼。以同樣的連接埠執行相同閘道的多個實例會造成衝突。

    建立閘道設定檔

以管理員的身份登入 Sun™ ONE Identity Server 管理主控台。

選取「服務配置」標籤。

按一下「SRA 配置」下「閘道」旁的箭頭。

閘道頁面會顯示在右邊的窗格中。

按一下「新增」。

建立新閘道設定檔頁面會顯示。

輸入新「閘道設定檔」名稱。

選取欲使用的設定檔，以在下拉式清單中建立新設定檔。

在預設情況下，您建立的任何新設定檔都是以預先封裝的預設設定檔為基礎。如果您已經建立自訂的設定檔，則可以從下拉清單中選擇該設定檔。新的設定檔會繼承所選設定檔的所有屬性。

按一下「建立」。

會建立新的設定檔，而您會回到「閘道」頁面，新的設定檔會列在此處。

如果您想要讓變更生效，請使用新的閘道設定檔名稱重新啟動閘道：

gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start

若要配置閘道，請參閱第 9 章，「配置閘道」。

了解 platform.conf 檔案

platform.conf 檔案位於：

/etc/opt/SUNWps

platform.conf 檔案包含閘道所需的詳細資訊。本節提供一個範例 platform.conf 檔案，並說明所有的項目。

在配置檔中包含所有機器特定詳細資料的優點，就是共用的設定檔可以被在多個機器上執行的閘道共享。

範例如下：

#

# Copyright 11/28/00 Sun Microsystems, Inc. All Rights Reserved.

# "@(#)platform.conf1.38 00/11/28 Sun Microsystems"

#

gateway.user=noaccess

gateway.jdk.dir=/usr/java_1.3.1_06

gateway.dsame.agent=http://pserv2.iportal.com:8080/sunportal/RemoteConfigS ervlet

portal.server.protocol=http

portal.server.host=pserv2.iportal.com

portal.server.port=8080

gateway.protocol=https

gateway.host=siroe.india.sun.com

gateway.port=333

gateway.trust_all_server_certs=true

gateway.trust_all_server_cert_domains=false

gateway.virtualhost=siroe1.india.sun.com 10.13.147.81

gateway.virtualhost.defaultOrg=o=root,dc=test,dc=com

gateway.notification.url=/notification

gateway.retries=6

gateway.debug=error

gateway.debug.dir=/var/opt/SUNWps/debug

gateway.logdelimiter=&&

gateway.external.ip=10.12.147.71

gateway.certdir=/etc/opt/SUNWps/cert/portal

gateway.allow.client.caching=true

gateway.userProfile.cacheSize=1024

gateway.userProfile.cacheSleepTime=60000

gateway.userProfile.cacheCleanupTime=300000

gateway.bindipaddress=10.12.147.71

gateway.sockretries=3

gateway.enable.accelerator=false

gateway.enable.customurl=false

gateway.httpurl=http://siroe.india.sun.com

gateway.httpsurl=https://siroe.india.sun.com

gateway.favicon=https://siroe.india.sun.com

gateway.logging.password=ALKJDF123SFLKJJSDFU

表 2-1 列出並說明在 platform.conf 檔中所有的欄位。此表格具有三個欄。第一欄列出檔案中的項目，第二欄提供預設值 (如果有的話)，第三欄提供該欄位的簡單說明。

表 2-1 platform.conf 檔案屬性

項目

預設值

說明

gateway.user

noaccess

閘道以此使用者執行。

閘道必須以根使用者啟始，在安裝後會遺失根使用者的特權而變成此使用者。

gateway.jdk.dir

這是閘道所使用之 JDK 目錄的位置。

gateway.dsame.agent

當閘道啟動要取得其設定檔時，這是閘道會聯絡的識別伺服器 URL。

portal.server.
protocol

portal.server.host

portal.server.port

這是預設 Portal Server 安裝使用的通訊協定、主機和連接埠。

gateway.protocol
gateway.host
gateway.port

這是閘道的通訊協定、主機和連接埠。這些值與您在安裝時所指定的模式和連接埠相同。這些值用於建立通知 URL。

gateway.trust_all_
server_certs

true

這表示閘道必須相信所有的伺服器證書，或僅相信在閘道證書資料庫中的伺服器證書。

gateway.trust_all_
server_cert_domains

false

無論何時在閘道和伺服器之間都會有個 SSL 通訊，並且會提供伺服器證書給閘道。在預設情況下，閘道會檢查伺服器主機名稱是否與伺服器證書 CN 相同。

如果屬性值設定為 true，則閘道會停用它收到之伺服器證書的網域名稱檢查。

gateway.virtualhost

如果閘道機器有配置多個主機名稱，您可以在此欄位指定不同的名稱和識別提供者位址。

gateway.virtualhost.defaultOrg=org

這會指定預設的 Org 給將登入的使用者。

例如假設虛擬主機欄位項目如下所示：

gateway.virtualhost=test.com employee.test.com

Managers.test.com

含有預設的 org 項目為：

test.com.defaultOrg = o=root,dc=test,dc=com

employee.test.com.defaultOrg = o=employee,dc=test,dc=com

Manager.test.com.defaultOrg = o=Manager,dc=test,dc=com

使用者可以使用 https://manager.test.com 而非https://test.com/o=Manager,dc=test,dc=com 以登入管理員的 org。

注意：virtualhost 和 defaultOrg 在 platform.conf file 中區分大小寫，但用於 URL 時則沒有區分。

gateway.
notification.url

閘道主機、通訊協定和連接埠的組合，用於建立通知 URL。用於從 Identity Server 接收階段作業通知。

請確定通知 URL 和任何組織的名稱不相同。如果通知 URL 和組織名稱相同，則使用者在嘗試連結到該組織時會看到空白頁面而非登入的頁面。

gateway.retries

此數字是在啟動時，閘道嘗試連絡 Portal Server 的次數。

gateway.debug

error

設定閘道的除錯層級。除錯檔案位於 debug-directory/files。除錯檔案位置指定在 gateway.debug.dir 項目中。

除錯層級為：

error - 只會在除錯檔案中記錄幾個錯誤。在此種錯誤發生時，閘道通常會停止運作。

warning - 會記錄警告訊息。

message - 會記錄所有的除錯訊息。

on - 會在主控台顯示所有的除錯訊息。

除錯檔案為：

srapGateway.gateway-profile-name - 包含閘道的除錯訊息。

Gateway_to_from_server.gateway-profile-name - 在訊息模式下，此檔案包含閘道和內部伺服器之間所有的需求和回應標頭。

要產生此檔案，請變更 /var/opt/SUNWps/debug 目錄的寫入權限。

Gateway_to_from_browser.gateway-profile-name - 在訊息模式下，此檔案包含閘道和內部伺服器之間所有的需求和回應標頭。

要產生此檔案，請變更 /var/opt/SUNWps/debug 目錄的寫入權限。

gateway.debug.dir

這是所有除錯檔案產生的目錄。

此目錄必須有足夠的權限，讓在 gateway.user 中提到的使用者寫入檔案。

gateway.
logdelimiter

目前沒有使用。

gateway.external.ip

如果有多個地址的閘道機器 (一個閘道機器有多個 IP 位址) ，您需要在此指定外部的 IP 位址。此 IP 用於 Netlet 以執行 FTP。

gateway.certdir

它指定證書資料庫的位置。

gateway.allow.
client.caching

true

允許或拒絕用戶端快取。

如果允許，用戶端伺服器可以快取靜態頁面和影像以取得較佳的效能 (藉由減少的網路流量)。

如果不允許，在用戶端的安全性會提高，像是沒有快取一樣，但是在較高網路負載的情況下時效能將會降低。

gateway.userProfile.cacheSize

這是在閘道上使用者設定檔項目被快取的數目。如果項目數量超過這個值，常用的項目會清除快取。

gateway.userProfile.cacheSleepTime

以秒為單位設定休息時間，以清除快取。

gateway.userProfile.cacheCleanupTime

超過以秒為單位的最大數字的時間後，會移除設定檔項目。

gateway.
bindipaddress

在多地址閘道機器上，這是閘道連接其伺服器插槽的 IP 位址。

gateway.sockretries

3

目前沒有使用。

gateway.enable.accelerator

false

如果設定為 true，則允許支持外部加速器。

gateway.enable.customurl

false

如果設定為 true，則允許管理員指定一個自訂的 URL 讓閘道重新寫入頁面。

gateway.httpurl

輸入 HTTP reverseproxy URL 以設定自訂的 URL 讓閘道重新寫入頁面。

gateway.httpsurl

輸入 HTTPS reverseproxy URL 以設定自訂的 URL 讓閘道重新寫入頁面。

gateway.favicon

它指定閘道將為 favicon.ico 檔重新導向需求的 URL。

此項目用於 Internet Explorer、Netscape 7.0 和更高的喜好設定或我的最愛中的「favorite icon」。

如果此項目保持空白，閘道會傳送一個「404 頁面找不到」的訊息給瀏覽器。

gateway.logging.password

此欄位包含使用者「amService-srapGateway」的 LDAP 密碼，閘道會使用該密碼用以建立其應用程式階段作業。

密碼可以是加密文字或一般文字。

http.proxyHost

代理伺服器主機會用於聯絡 Portal Server。

http.proxyPort

主機連接埠會用於聯絡 Portal Server。

http.proxySet

若需要代理伺服器，則屬性會設定為 true。若屬性設定為 false，則會忽略 http.proxyHost 與 http.proxyPort。

啟動和停止閘道

在預設情況下，閘道以使用者 noaccess 啟動。

   啟動閘道

安裝閘道並建立需要的設定檔後，執行下面的指令以啟動閘道：

gateway-install-root/SUNWps/bin/gateway -n default start

default 是在安裝時建立的預設閘道設定檔。您可以稍後建立自己的設定檔，並且用新的設定檔重新啟動閘道。請參閱「建立閘道設定檔」。

如果您有多閘道實例，請使用：

gateway-install-root/SUNWps/bin/gateway start

此指令會啟動所有在該特定機器上配置的閘道實例。

備註

重新啟動伺服器 (即為您已經配置閘道實例於其上的機器) 會重新啟動所有閘道已經配置的實例。

確定在 /etc/opt/SUNWps 目錄中沒有舊的或備份的設定檔。

執行下列指令來檢查閘道是否在指定的連接埠上執行：

netstat -a | grep port-number

預設的閘道連接埠是 443。

   停止閘道

使用下面的指令以停止閘道：

gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name stop

如果您有多閘道實例，請使用：

gateway-install-root/SUNWps/bin/gateway stop

此指令會停止所有在該特定機器上正在執行的閘道實例。

重新啟動閘道

一般而言，您不需要重新啟動閘道。但如果下列事件發生，您就需要重新啟動閘道：

您已經建立新的設定檔並且需要指定此新的設定檔給閘道。

您已經在現有的設定檔中修改一些屬性，並且需要變更以使其生效。

   使用不同的設定檔重新啟動閘道

重新啟動「閘道」：

gateway-install-root/SUNWps/bin/gateway -n new-gateway-profile-name start

   若要重新啟動閘道

在終端機視窗中，以根使用者身分連接並執行下列其中之一：

啟動監視程式程序：

gateway-install-root/SUNWps/bin/gateway watchdog on

會在 crontab 中建立一個項目，而現在監視程式會啟動。監視程式會監視在特定機器上閘道所有正在執行的實例和閘道連接埠，且如果閘道效能降低會重新啟動閘道。

手動啟動閘道：

gateway-install-root/SUNWps/bin/rwproxd/SUNWps/bin/gateway -n gateway-profile-name start

其中 gateway-profile-name 是對應到所需閘道實例的設定檔名稱。

   配置閘道監視程式

您可以配置監視程式監視閘道狀態的時間間隔。時間間隔預設為 60 秒。若要變更，在 crontab 中編輯下面的行：

0-59 * * * * gateway-install-root/SUNWps/bin/rwproxd/bin/checkgw /var/opt/SUNWps/.gw.5 > /dev/null 2>&1

請參閱 crontab 的線上說明以配置 crontab 項目。

指定代理伺服器以聯絡 Identity Server

您可以指定「閘道」用以聯絡 SRA 支援 (RemoteConfigServlet) 的主機代理伺服器，該 SRA 支援部署在 Portal Server 上。「閘道」使用此代理伺服器連絡 Portal Server 與 PIdentity Server。

   若要指定代理伺服器

從指令行中，編輯下列檔案：

/etc/opt/bin/platform.conf.gateway-profile-name

新增下列項目：

http.proxyHost=proxy-host

http.proxyPort=proxy-port

http.proxySet=true

為針對該伺服器所提出的請求重新啟動閘道，以使用指定的代理伺服器：

gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start

在 chroot 環境中執行閘道

若要在 chroot 環境中提供較高安全性，chroot 目錄內容必須盡可能縮小。例如，如果有任何程式允許使用者修改在 chrooted 目錄內的檔案，在 chroot 樹下 chrooted 將不會保護伺服器不被攻擊者修改檔案。不應該在 CGI 程式中寫入解譯語言，例如 bourne shell、c-shell、korn shell 或 perl，但是應該編譯二進位以使解譯器不需要在 chroot 目錄樹下出現。

備註

監視程式功能不應該存在於 chroot 環境中。

   安裝 chroot

作為根使用者，在終端視窗中複製下列檔案到外部資源，例如在網路上的電腦、備份磁帶或是磁片中。

cp /etc/vfstab external-device

cp /etc/nsswitch.conf external-device

cp /etc/hosts external-device

從 mkchroot script 執行：

portal-server-install-root/SUNWps/bin/chroot

備註

在 mkchroot script 開始執行後，不能按 Ctrl-C 加以終止。

在執行 mkchroot script 後，錯誤事件請參閱「mkchroot Script 執行失敗」。

會提示您另一個根使用者目錄 (new_root_directory) 。程式檔建立此新的目錄。

在下列的實例中，/safedir/chroot 是 new_root_directory。

mkchroot version 6.0

Enter the full path name of the directory which will be the chrooted tree:/safedir/chroot

Using /safedir/chroot as root.

Checking available disk space...done

/safedir/chroot is on a setuid mounted partition.

Creating filesystem structure...dev etc sbin usr var proc opt bin lib tmp etc/lib usr/platform usr/bin usr/sbin usr/lib usr/openwin/lib var/opt var/tmp dev/fd done

Creating devices...null tcp ticots ticlts ticotsord tty udp zero conslog done

Copying/creating etc files...group passwd shadow hosts resolv.conf netconfig nsswitch.conf

done

Copying binaries...................................done

Copying libraries.....................................done

Copying zoneinfo (about 1 MB)..done

Copying locale info (about 5 MB)..........done

Adding comments to /etc/nsswitch.conf ...done

Creating loopback mount for/safedir/chroot/usr/java1.2...done

Creating loopback mount for/safedir/chroot/proc...done

Creating loopback mount for/safedir/chroot/dev/random...done

Do you need /dev/fd (if you do not know what it means, press return)[n]:

Updating /etc/vfstab...done

Creating a /safedir/chroot/etc/mnttab file, based on these loopback mounts.

Copying SRAP related data ...

Using /safedir/chroot as root.

Creating filesystem structure...........done

mkchroot successfully done.

使用下面的指令以手動裝載 platform.conf 檔案中提到的 Java 目錄到 chroot 目錄：

mkdir -p /safedir/chroot/java-dir

mount -F lofs java-dir /safedir/chroot/java-dir

在 Solaris 9 則執行下列動作：

mkdir -p /safedir/chroot/usr/lib/32

mount -F lofs /usr/lib/32 /safedir/chroot/usr/lib/32

mkdir -p /safedir/chroot/usr/lib/64

mount -F lofs /usr/lib/64 /safedir/chroot/usr/lib/64

若要在系統啟動時裝載此目錄，則新增對應的項目於 /etc/vfstab中：

java-dir - /safedir/chroot/java-dir lofs - no -

對於 Solaris 9：

/usr/lib/32 - /safedir/chroot/usr/lib/32 lofs - no -

/usr/lib/64 - /safedir/chroot/usr/lib/64 lofs - no -

鍵入下列的指令以重新啟動閘道：

chroot /safedir/chroot ./gateway-install-root/SUNWps/bin/gateway start

stopping gateway ... done.

starting gateway ...

done.

mkchroot Script 執行失敗

在執行 mkchroot script 時發生錯誤事件，script 將會把檔案復原成初始的狀態。

在下面的範例中，/safedir/chroot 是 chroot 目錄。

如果遇到下面的錯誤訊息：

Not a Clean Exit

複製程序安裝 chroot 步驟 1 中的備分檔案到它們原來的位置，並執行下列指令：

umount /safedir/chroot/usr/java1.2

umount /safedir/chroot/proc

umount /safedir/chroot/dev/random

移除 /safedir/chroot 目錄。

在 chroot 環境中重新啟動閘道

每當閘道機器重新開機時，在 chroot 環境中遵循下列步驟以啟動閘道。

   在 chroot 環境中重新啟動閘道

從「/」目錄停止閘道的運作。

gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name stop

啟動閘道以從 chroot 目錄執行：

chroot /safedir/chroot ./portal-server-install-root/SUNWps/bin/gateway -n gateway-profile-name start

備註

需要管理 /safedir/chroot/etc 檔案 (例如 passwd 和 hosts)，像 /etc 檔案一樣，但僅包含在 chroot 樹中執行程式所需要的主機和帳號資訊。

例如，如果您變更了系統的識別提供者地址，您同時也變更了 /safedir/chroot/etc/hosts 檔案。

建立閘道的多個實例

使用 gwmultiinstance 程式檔以建立閘道的新實例。最好在建立閘道設定檔之後執行此程式檔。

以根使用者身分登入並瀏覽至下面的目錄：

gateway-install-root/SUNWps/bin/

執行多實例程式檔：

./gwmultiinstance

選擇下列安裝選項之一：

1) Create a new gateway instance (建立新的閘道實例)

2) Remove a gateway instance (移除一個閘道實例)

3) Remove all gateway instances (移除所有閘道實例)

4) Exit (結束)

如果您選擇 1，則請回答下列問題：

What is the name of the new gateway instance? (新閘道實例的名稱為何?)

What protocol will the new gateway instance use? (此新閘道實例將會使用哪個通訊協定?)[https]

What port will the new gateway instance listen on? (新閘道實例將會在哪個連接埠上傾聽?)

What is the fully qualified hostname of the portal server? (伺服器的完全合格主機名稱為何?)

What port should be used to access the portal server? (應該使用哪個連接埠以存取Portal Server?)

What protocol should be used to access the portal server? (應該使用哪個通訊協定以存取Portal Server?)[http]

What is the portal server deploy URI? (什麼是Portal Server佈置 URI?)

What is the organization DN? (組織的 DN 為何?)[dc=iportal,dc=com]

What is the identity server URI? (識別伺服器 URI 為何?)[/amserver]

What is the identity server password encryption key? (識別伺服器密碼加密金鑰為何?)

Please provide the following information needed for creating a self-signed certificate: (請提供下列所需資訊以建立自簽證書：)

What is the name of your organization? (您的組織名稱為何?)

What is the name of your division? (您的分部名稱為何?)

What is the name of your city or locality? (您的城市或地區名稱為何?)

What is the name of your state or province? (您的州名或省名為何?)

What is the two-letter country code? (您的兩個字母國碼為何?)

What is the password for the Certificate Database? Again? (證書資料庫的密碼為何? 再試一次?)

What is the password for the logging user?Again? (記錄使用者的密碼為何? 再試一次?)

Have you created the new gateway profile in the admin console? (您在管理主控台是否已經建立新的閘道設定檔?)[y]/n

Start the gateway after installation? (安裝後啟動閘道?)[y]/n

以新的閘道設定檔名稱啟動閘道的新實例。

gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start

其中 gateway-profile-name 是新的閘道實例。

使用網路代理伺服器

您可以使用協力廠商的網路代理伺服器，配置閘道以聯絡 HTTP 資源。網路伺服器位於客戶端與網際網路之間。

網路代理伺服器配置

不同的代理伺服器可能用於不同的網域和子網域。這些項目告訴閘道在特定的網域中，應該使用哪個代理伺服器以聯絡特定的子網域。指定在閘道中的代理伺服器配置運作方式如下：

在閘道服務中，建立一個清單，其中包含網域和子網域，以及「網域和子網域的代理伺服器」欄位中必要的代理伺服器。

關於為網域和子網域配置代理伺服器的資訊，請參閱「建立網域與子網域的代理伺服器清單」。

當「使用代理伺服器」選項啟用時：

在「網域和子網域的代理伺服器」欄位所指定的代理伺服器會用於指定的主機。

若要在網域和子網域 (在「網域和子網域的代理伺服器」清單中指定的) 中啟用某些 URL 的直接連線，請在「請勿使用網路代理伺服器 URL」中指定這些 URL。

當「使用代理伺服器」選項停用時：

若要確認在網域和子網域 (在「網域和子網域的代理伺服器」欄位中指定的) 中某些 URL 使用代理伺服器，請在「使用網路代理伺服器的 URL」清單中指定這些 URL。雖然停用「使用代理伺服器」功能，但仍可使用代理伺服器連接到列於「使用網路代理伺服器」清單下的 URL。這些 URL 的代理伺服器是從「網域和子網域的代理伺服器」清單中取得。

若要配置「使用代理伺服器」選項，請參閱「啟用網路代理伺服器的使用」。

圖 2-1 顯示在閘道服務中，如何在代理伺服器配置的基礎下解決網路代理伺服器的訊息。

圖 2-1 網路代理伺服器管理

在圖 2-1 中，如果「使用代理伺服器」是啟用的，且要求的 URL 列於「請勿使用網路代理伺服器 URL」清單中，則閘道會直接連到目的地主機。

如果「使用代理伺服器」是啟用的，且要求的 URL 未列於「請勿使用網路代理伺服器 URL」清單中，則閘道會透過指定的代理伺服器連到目的地主機。此代理伺服器 (如果有指定) 可以從「網域和子網域的代理伺服器」清單中查看。

如果「使用代理伺服器」停用，且請求的 URL 有列於「使用網路代理伺服器」清單中，則閘道會使用列在「網域和子網域的代理伺服器」清單中的代理伺服器資訊連接目的地主機。

如果「使用代理伺服器」是停用的，且要求的 URL 未列於「請勿使用網路代理伺服器 URL」清單中，則閘道會直接連線到目的地主機。

如果您的情況不符合上述任何一項，且無法使用直接連線，閘道會顯示一個錯誤，說明連線無法使用。

備註

如果您正透過入口網站桌面的「書籤通道」存取該 URL，且您的情況不符合上述任何一項，閘道會傳送重新導向給瀏覽器。瀏覽器會使用自己的代理伺服器設定來存取該 URL。

語法

domainname [web_proxy1:port1]|subdomain1 [web_proxy2:port2]|......

範例

sesta.com wp1:8080|red wp2:8080|yellow|* wp3:8080

* 是符合所有資料的萬用字元

其中，

sesta.com 是網域名稱而 wp1 是在 8080 連接埠上連接的代理伺服器。

red 是子網域名稱而 wp2 是在 8080 連接埠上連接的代理伺服器。

yellow 是子網域。由於沒有指定代理伺服器，因此會使用指定給網域的代理伺服器，即為在 8080 連接埠上的 wp1。

* 表示所有其他子網域 wp3 必須在 8080 連接埠上使用。

備註

如果您沒有指定連接埠，預設是使用連接埠 8080。

處理網路代理伺服器資訊

當客戶端嘗試存取特定的 URL 時，在 URL 中的主機名稱符合在「網域和子網域的代理伺服器」清單中的項目。符合請求主機名稱之最長後綴的項目會被考慮。例如，考慮請求的主機名稱是 host1.sesta.com

會掃描 host1.sesta.com 的網域和子網域的代理伺服器。如果找到符合的項目，指定給此項目的代理伺服器會用來連接此主機。

否則，會掃描清單中的 *.sesta.com。如果找到符合的項目，會使用對應的代理伺服器。

否則，會尋找清單中的 sesta.com。如果找到符合的項目，會使用對應的代理伺服器。

否則，會尋找清單中的 *.com。如果找到符合的項目，會使用對應的代理伺服器。

否則，會尋找清單中的 com。如果找到符合的項目，會使用對應的代理伺服器。

否則，會尋找清單中的 *。如果找到符合的項目，會使用對應的代理伺服器。

否則，會嘗試直接連線。

在「網域和子網域的代理伺服器」清單中考慮下列項目：

com p1| host1 p2 | host2 | * p3

sesta.com p4 | host5 p5 | * p6

florizon.com | host6

abc.sesta.com p8 | host7 p7 | host8 p8 | * p9

host6.florizon.com p10

host9.sesta.com p11

siroe.com | host12 p12 | host13 p13 | host14 | * p14

siroe.com | host15 p15 | host16 | * p16

* p17

閘道在內部對映的項目顯示於表 2-2 中。

表 2-2 在「網域和子網域的代理伺服器」清單中的對映項目

號碼

「網域和子網域的代理伺服器」清單中的項目

代理伺服器

說明

1

com

p1

指定於清單中。

2

host1.com

p2

指定於清單中。

3

host2.com

p1

由於沒有指定代理伺服器給 host2，會使用主機的代理伺服器。

4

*.com

p3

指定於清單中。

5

sesta.com

p4

指定於清單中。

6

host5.sesta.com

p5

指定於清單中。

7

*.sesta.com

p6

指定於清單中。

8

florizon.com

直接

詳細資料，請參閱第 14 個項目的說明。

9

host6.florizon.com

詳細資料，請參閱第 14 個項目的說明。

10

abc.sesta.com

p8

指定於清單中。

11

host7.abc.sesta.com

p7

指定於清單中。

12

host8.abc.sesta.com

p8

指定於清單中。

13

*.abc.sesta.com

p9

指定於清單中。在 abc.sesta.com 網域下，除了 host7 和 host8 之外的主機，p9 會用作代理伺服器。

14

host6.florizon.com

p10

與第 9 個項目相同。第 9 個項目表示直接連線，而此項目表示應該使用代理伺服器 p10。若遇到像這樣有兩個項目的情況，含有代理伺服器資訊的項目視為是一個有效的項目。請忽略另一個項目。

15

host9.sesta.com

p11

指定於清單中。

16

siroe.com

直接

由於並沒有指定代理伺服器給 siroe.com，因此會嘗試直接連線。

17

host12.siroe.com

p12

指定於清單中。

18

host13.siroe.com

p13

指定於清單中。

19

host14.siroe.com

直接

由於並沒有指定代理伺服器給 host14 或給 siroe.com，因此會嘗試直接連線。

20

*.siroe.com

p14

請參閱第 23 個項目的說明。

21

host15.siroe.com

p15

指定於清單中。

22

host16.siroe.com

直接

由於並沒有指定代理伺服器給 host16 和給 siroe.com，因此會嘗試直接連線。

23

*.siroe.com

p16

與第 20 個項目類似。但是指定的代理伺服器不同。這種情形下，無法知道閘道的實際運作方式。可能會使用兩個代理伺服器。

24

*

p17

如果沒有其他的項目符合請求的 URL，就會使用 p17 作為代理伺服器。

備註

取代在「網域和子網域的代理伺服器」清單中分開代理伺服器項目，在清單中有個別的項目是比較簡單的。例如，取代如下的項目：

sesta.com p1 | red p2 | * p3

您可以將其指定為：

sesta.com p1

red.sesta.com p2

*.sesta.com p3

如此會簡化陷入重複項目或任何其他含糊的情況。

以「網域和子網域的代理伺服器」清單為基礎覆寫

「網域和子網域的代理伺服器」清單中的項目也會被 Rewriter 使用。網域符合列在「網域和子網域的代理伺服器」清單中網域的所有 URL，Rewriter 會重新寫入。

注意

在「網域和子網域的代理伺服器」清單中的 * 項目不會考慮重新寫入。例如，在範例表 2-2 中第 24 個項目就不被考慮。

請參閱第 3 章，「Rewriter」以取得更多關於 Rewriter 的資訊。

預設網域與子網域

當在 URL 中的目的地主機不是完整限定的主機名稱，會使用預設的網域和子網域以使其有完整合格的名稱。

假設管理主控台中「網域和子網域的代理伺服器」欄位內的項目是：

red.sesta.com

備註

在「網域和子網域的代理伺服器」清單中您必須要有對應的項目。

在上面的範例中，sesta.com 是預設的網域而 red 是預設的子網域。

如果要求的 URL 是 host1，則使用預設的網域和子網域以解決 host1.red.sesta.com。然後會在「網域和子網域的代理伺服器」清單中查詢 host1.sesta.com。

使用代理伺服器自動配置

若要忽略「網域和子網域的代理伺服器」清單中的資訊，請啟用「代理伺服器自動配置」(PAC) 功能。若要配置 PAC，請參閱「啟用代理伺服器自動配置 (PAC) 支援」。

使用 PAC 檔案時請注意下列幾點：

js.jar 必須位於閘道機器上的 $JRE_HOME/lib/ext 目錄中，否則閘道無法剖析 PAC 檔案。

在開機時，閘道從指定在閘道設定檔 PAC 檔案位置獲取 PAC 檔案。若要配置位置，請參閱「指定 PAC 檔案位置」。

閘道使用 URLConnection API 到達此位置。如果需要配置代理伺服器以到達 PCA 檔案位置，必須以下列方式配置代理伺服器。

從指令行中，編輯下列檔案：

/etc/opt/bin/platform.conf.gateway-profile-name

新增下列項目：

http.proxyHost=web-proxy-hostname

http.proxyPort=web-proxy-port

http.proxySet=true

重新啟動閘道以使用指定的代理伺服器：

gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start

如果 PAC 檔案初始化失敗，閘道會使用「網域和子網域的代理伺服器」清單中的資訊。

如果從 PAC 檔案傳回 "" (空字串) 或 "null"，閘道會假設該主機不屬於此企業內部網路。這與不在「網域和子網域的代理伺服器」清單中之主機的情況類似。

如果您想要閘道使用直接連線連到主機，請返回到「直接」。請參閱「含有傳回 DIRECT 或 NULL 的範例」。

當指定多個代理伺服器時，閘道僅使用第一個返回的代理伺服器。閘道不會在指定給主機的多個代理伺服器之間嘗試修復錯誤或負載平衡

閘道忽略 SOCKS 代理伺服器並嘗試直接連線，同時假設該主機是企業內部網路的一部分。

若要指定一個代理伺服器用以連接不在企業內部網路的任何主機，請使用代理伺服器類型「STARPROXY」。這是 PAC 檔案格式的副檔名，與在閘道設定檔的「網域和子網域的代理伺服器」部分中的 * proxyHost:port 相似。請參閱「含有傳回 STARPROXY 的範例」

使用範例 PAC 檔案

下列範例顯示列在「網域和子網域的代理伺服器」清單中的 URL 和對應的 PAC 檔案。

含有傳回 DIRECT 或 NULL 的範例

使用網域和子網域的這些代理伺服器：

intranet1.com

intranet2.com.proxy.intranet1.com:8080

the corresponding PAC file is:

// Start of the PAC File

function FindProxyForURL(url, host) {

if (dnsDomainIs(host, ".intranet1.com")) {

return "DIRECT";

}

if (dnsDomainIs(host, ".intranet2.com")) {

return "PROXY proxy.intranet1.com:8080";

}

return "NULL";

}

//End of the PAC File

含有傳回 STARPROXY 的範例

使用網域和子網域的這些代理伺服器：

intranet1.com

intranet2.com.proxy.intranet1.com:8080

internetproxy.intranet1.com:80

the corresponding PAC file is:

// Start of the PAC File

function FindProxyForURL(url, host) {

if (dnsDomainIs(host, ".intranet1.com")) {

return "DIRECT";

}

if (dnsDomainIs(host, ".intranet2.com")) {

return "PROXY proxy.intranet1.com:8080;" +

"PROXY proxy1.intranet1.com:8080";

}

return "STARPROXY internetproxy.intranet1.com:80";

}

//End of the PAC File

在這個情況下，如果是位於 .intranet2.com 網域，則閘道會連絡 proxy.intranet1.com:8080。如果 proxy.intranet1.com:8080 代理伺服器無法使用，請求會失敗。閘道不會修復錯誤和連絡 proxy1.intranet1.com:8080。

使用 Netlet 代理伺服器

Netlet 封包在閘道是解密的，並會傳送到目的地伺服器。然而，閘道需要透過非軍事區 (DMZ) 和企業內部網路之間的防火牆，存取所有的 Netlet 目的地主機。這需要在防火牆中開啟大量的連接埠。Netlet 代理伺服器可用以最小化在代理伺服器中開啟的連接埠。

藉由延伸用戶端的安全通道，透過閘道到存在於企業內部網路的 Netlet 代理伺服器，Netlet 強化閘道和企業內部網路之間的安全性。使用代理伺服器，Netlet 封包會由代理伺服器解密，之後會傳送至目的地伺服器。

下列原因可說明 Netlet 代理伺服器非常有用：

新增其他的安全性層級。

在非常有限的部署環境中，最小化閘道到內部防火牆之間額外 IP 地址和連接埠的使用。

限制閘道和 Portal Server 之間開啟的連接埠數目為 1。您可在安裝時配置此連接埠數目。

延伸客戶端和閘道間的安全通道，最多到如圖 2-2 中「包含配置的 Netlet 伺服器」部分所顯示的 Portal Server。透過資料加密，Netlet 伺服器提供強化的安全益處，但可能會增加系統資源的使用。請參閱 Sun Java Enterprise System 安裝指南以取得更多關於安裝 Netlet 代理伺服器的詳細資料。

您可以：

選擇在 Portal Server 節點上或個別節點上安裝 Netlet 代理伺服器。

使用管理主控台安裝多個 Netlet 代理伺服器並配置給單一閘道。這對於負載平衡很有用。請參閱「啟用並建立 Netlet 代理伺服器清單」以取得詳細資料。

在單一機器上配置多個 Netlet 代理伺服器實例。

將閘道的多個實例指向 Netlet 代理伺服器的單一安裝。

通道 Netlet 會透過網路代理伺服器。若要配置此部分，請參閱「啟用透過網路代理伺服器的通道 Netlet」。

圖 2-2 顯示在有和沒有安裝 Netlet 代理伺服器的情況下，閘道和 Portal Server 的三個範例實作。元件包含一個用戶端、兩個防火牆、位於兩個防火牆之間的閘道、Portal Server 和 Netlet 目的地伺服器。

第一個方案顯示沒有安裝 Netlet 代理伺服器的閘道和 Portal Server。此處資料加密僅從用戶端延伸到閘道。在第二個防火牆中開啟一個連接埠給每個 Netlet 連線請求。

第二個方案顯示在 Portal Server 上安裝 Netlet 代理伺服器的閘道和 Portal Server。在此情況中，資料加密從用戶端一直延伸到 Portal Server。由於所有的 Netlet 連線都透過 Netlet 代理伺服器路由，僅需要在第二個防火牆中開啟一個連接埠給 Netlet 請求。

第三個方案顯示有在個別節點上安裝 Netlet 代理伺服器的閘道和 Portal Server。在個別節點上安裝 Netlet 代理伺服器會減少 Portal Server 節點上的負載。同樣的，在第二個防火牆中僅需要開啟兩個連接埠。其中一個連接埠提供給 Portal Server 使用，另一個連接埠則路由 Netlet 請求到 Netlet 代理伺服器伺服器。

圖 2-2 Netlet 代理伺服器的實作

建立 Netlet 代理伺服器的實例

使用 nlpmultiinstance 程式檔以在 Portal Server 或個別節點上，建立 Netlet 代理伺服器的新實例。最好在建立閘道設定檔之後執行此程式檔：

以根使用者身分登入並瀏覽至下面的目錄：

netlet-install-dir/SUNWps/bin

執行多實例程式檔：

./nlpmultiinstance

回答 nlpmultiinstance 程式檔所問的問題：

What is the name of the new netlet proxy instance? (新 netlet 代理伺服器實例的名稱為何?)

如果您有 Rewriter 代理伺服器且是在此節點上以同樣的名稱配置，系統會問您是否要使用相同的配置給此 proxy 代理伺服器實例。

如果您的回答為是，請回答這兩個問題：

What port will the new netlet proxy instance listen on? (新的 Netlet 代理伺服器實例將會使用哪個連接埠傾聽?)

Start the netlet proxy after installation? (安裝後啟動 Netlet 代理伺服器?)

如果您的回答為否，則請回答下列問題：

What protocol will the new netlet proxy instance use? (新的 Netlet 代理伺服器實例會使用什麼通訊協定?)

What port will the new netlet proxy instance listen on? (新的 Netlet 代理伺服器實例將會使用哪個連接埠傾聽?)

What is the name of your organization? (您的組織名稱為何?)

What is the name of your division? (您的分部名稱為何?)

What is the name of your city or locality? (您的城市或地區名稱為何?)

What is the name of your state or province? (您的州名或省名為何?)

What is the two-letter country code? (您的兩個字母國碼為何?)

What is the password for the certificate Database? (您證書資料庫的密碼為何?)

What is the password for the logging user? (記錄使用者的密碼為何?)

Have you created the new netlet proxy profile in the admin console? (您是否已經在管理主控台中建立新的 Netlet 代理伺服器設定檔?)

If you answered yes, start the netlet proxy after installation? (如果您的回答為是，要在安裝後啟動 Netlet 代理伺服器?)

以請求的閘道設定檔名稱啟動 netlet 代理伺服器的新實例：

netlet-proxy-install-root/SUNWps/bin/netletd -n gateway-profile-name start

其中 gateway-profile-name 是對應到所需閘道實例的設定檔名稱。

啟用 Netlet 代理伺服器

在 Identity Server 管理主控台中的 SRA 配置下，透過閘道服務啟動 Netlet 代理伺服器。請參閱「啟用並建立 Netlet 代理伺服器清單」。

重新啟動 Netlet 代理伺服器

每次代理伺服器意外結束時您可以配置 Netlet 代理伺服器以重新啟動。您可以排程一個監視程式程序以監視 Netlet 代理伺服器，如果效能降低就重新啟動。

您也可以手動重新啟動 Netlet 代理伺服器。

   重新啟動 Netlet 代理伺服器

在終端機視窗中，以根使用者身分連接並執行下列其中之一：

啟動監視程式程序：

netlet-proxy-install-root/SUNWps/bin/netletd watchdog on

會在 crontab 中建立一個項目，而現在監視程式會啟動。監視程式會監視 Netlet 代理伺服器並在效能降低時開啟代理伺服器。

手動啟動 Netlet 代理伺服器：

netlet-proxy-install-root/SUNWps/bin/netletd -n gateway-profile-name start

其中 gateway-profile-name 是對應到所需閘道實例的設定檔名稱。

   配置 Netlet 代理伺服器監視程式

您可以配置監視程式監視 Netlet 代理伺服器狀態的時間間隔。時間間隔預設為 60 秒。若要執行此步驟，在 crontab 中編輯下面的行：

0-59 * * * * netlet-install-dir/bin/checkgw /var/opt/SUNWps/.gw 5 > /dev/null 2>&1

使用 Rewriter 代理伺服器

Rewriter 代理伺服器安裝在企業內部網路中。取代嘗試直接擷取資料內容，閘道會傳送所有請求給 Rewriter 代理伺服器，而 Rewriter 代理伺服器會獲取並傳回內容給閘道。

使用 Rewriter 代理伺服器有兩個優點：

若在閘道與伺服器之間架設防火牆，則防火牆必須僅能開啟兩個連接埠，一個位於閘道與 Rewriter 代理伺服器之間，另一個位於閘道與 Portal Server 之間。

在閘道和企業內部網路間的 HTTP 流量現在很安全，即使目的地伺服器僅支援 HTTP 通訊協定 (不支援 HTTPS)。

如果您沒有指定 Rewriter 代理伺服器，當使用者嘗試存取企業內部網路的其中一台電腦，閘道元件會直接連線至企業內部網路的電腦。

要啟用 Rewriter 代理伺服器，請參閱「啟用並建立 Rewriter 代理伺服器清單」。

建立 Rewriter 代理伺服器的實例

使用 rwpmultiinstance 程式檔以在 Portal Server 節點上建立 Rewriter 代理伺服器的新實例。最好在建立閘道設定檔之後執行此程式檔。

以根使用者身分登入並瀏覽下面的目錄：

rewriter-proxy-install-root/SUNWps/bin

執行多實例程式檔：

./rwpmultiinstance

回答 nlpmultiinstance 程式檔所問的問題：

What is the name of the new rewriter proxy instance? (新 Rewriter 代理伺服器實例的名稱為何?)

如果您有 Rewriter 代理伺服器且是在此節點上以同樣的名稱配置，系統會問您是否要使用相同的配置給此 Rewriter 代理伺服器實例。)

如果您的回答為是，請回答這兩個問題：

What port will the new rewriter proxy instance listen on? (新的 rewriter 代理伺服器實例將會使用哪個連接埠傾聽?)

Start the rewriter proxy after installation? (安裝後啟動 rewriter 代理伺服器?)

如果您的回答為否，則請回答下列問題：

What protocol will the new rewriter proxy instance use? (新的 rewriter 代理伺服器實例會使用什麼通訊協定?)

What port will the new rewriter proxy instance listen on? (新的 rewriter 代理伺服器實例將會使用哪個連接埠傾聽?)

What is the name of your organization? (您的組織名稱為何?)

What is the name of your division? (您的分部名稱為何?)

What is the name of your city or locality? (您的城市或地區名稱為何?)

What is the name of your state or province? (您的州名或省名為何?)

What is the two-letter country code? (您的兩個字母國碼為何?)

What is the password for the certificate Database? (您證書資料庫的密碼為何?)

What is the password for the logging user? (記錄使用者的密碼為何?)

Have you created the new rewriter proxy profile in the admin console? (您是否已經在管理主控台中建立新的 rewriter 代理伺服器設定檔?)

If you answered yes, start the rewriter proxy after installation? (如果您的回答為是，要在安裝後啟動 rewriter 代理伺服器?)

以請求的閘道設定檔名稱啟動 Rewriter 代理伺服器的新實例：

rewriter-proxy-install-root/SUNWps/bin/rwproxyd -n gateway-profile-name start

其中 gateway-profile-name 是對應到所需閘道實例的設定檔名稱。

啟用 Rewriter 代理伺服器

在 Identity Server 管理主控台中，在「SRA 配置」下透過閘道服務啟用 Rewriter 代理伺服器。請參閱「啟用並建立 Rewriter 代理伺服器清單」。

重新啟動 Rewriter 代理伺服器

每次代理伺服器意外結束時您可以配置 Rewriter 代理伺服器以重新啟動。您可以排程一個監視程式程序以監視 Rewriter 代理伺服器，如果效能降低就重新啟動。

您也可以手動重新啟動 Rewriter 代理伺服器。

   重新啟動 Rewriter 代理伺服器

在終端機視窗中，以根使用者身分連接並執行下列其中之一：

啟動監視程式程序：

rewriter-proxy-install-root/SUNWps/bin/rwproxd watchdog on

會在 crontab 中建立一個項目，而現在監視程式會啟動。監視程式會監視 Rewriter 代理伺服器並在效能降低時開啟代理伺服器。

手動啟動 Rewriter 代理伺服器：

rewriter-proxy-install-root/SUNWps/bin/rwproxd -n gateway-profile-name start

其中 gateway-profile-name 是對應到所需閘道實例的設定檔名稱。

   若要配置 Rewriter 代理伺服器監視程式

您可以配置監視程式監視 Rewriter 代理伺服器狀態的時間間隔。時間間隔預設為 60 秒。若要執行此步驟，在 crontab 中編輯下面的行：

0-59 * * * * rewriter-proxy-install-root/bin/checkgw /var/opt/SUNWps/.gw 5 > /dev/null 2>&1

使用含有閘道的反向代理伺服器

代理伺服器會傳送網際網路內容至企業內部網路，而反向代理伺服器則傳送企業內部網路內容至網際網路。某些反向代理伺服器的部署會配置為傳送網際網路內容以達成載入平衡與快取的效果。

若在閘道前面部署具有協力廠商反向代理伺服器，則回應必須以反向代理伺服器的 URL ( 非閘道的 URL) 重新寫入。因此需要下列配置。

   若要啟用反向代理伺服器

以根使用者身分登入並編輯所需閘道實例的 platform.conf 檔：

/etc/opt/SUNWps/platform.conf.gateway-profile-name

新增下列項目：

gateway.virtualhost=fully-qualified-gateway-host gateway-ip-address fully- qualified-reverse-proxyhost

gateway.enable.customurl=true (此值的預設值設定為 false。)

gateway.httpurl=http reverse-proxy-URL

gateway.httpsurl=https reverse-proxy-URL

gateway.httpurl 將用於覆寫在連接埠接收的回應，其中連接埠在閘道設定檔會列示為 HTTP 連接埠。

gateway.httpsurl 將用於覆寫在連接埠接收的回應，其中連接埠在閘道設定檔會列示為 HTTPS 連接埠。

重新啟動「閘道」：

gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start

如果不指定此值，則閘道會預設回一般的運作方式。

取得用戶端資訊

當閘道轉寄用戶端請求到任何內部伺服器時，閘道會新增 HTTP 標頭到 HTTP 請求。您可以使用這些標頭以取得額外的用戶端資訊並偵測閘道的出現狀態。

若要檢視 HTTP 標頭，請設定 platform.conf 檔案的項目為 gateway.error=message，然後使用 servlet API 中的 request.getHeader()。

第一欄列出標頭標籤，第二欄指定標頭的語法，第三欄則是標頭標籤的說明。

表 2-3 HTTP 標頭中的訊息

標頭

語法

說明

PS-GW-PDC

PS-GW-PDC:true/false

指出閘道上的 PDC 是否啟用。

PS-Netlet

PS-Netlet:enabled=true/false

指出閘道上的 Netlet 是否已經啟用或停用。

如果已經啟用，則加密選項會植入，指出閘道以 HTTPS (encryption=ssl) 或以 HTTP 模式 (encryption=plain) 執行。

例如：

PS-Netlet:enabled=false

Netlet 是停用的。

PS-Netlet:enabled=true; encryption=ssl

Netlet 使用在 SSL 模式中執行的閘道啟用。

當 Netlet 沒有啟用時，encryption=ssl/plain 並不會植入。

PS-GW-URL

PS-GW-URL:http(s)://gatewayURL(:port)

指出用戶端要連接的 URL。

如果是非標準的連接埠 (也就是說，閘道在 HTTP/HTTPS 模式中且連接埠不是 80/443)，則該「連接埠」也會被植入。

PS-GW-Rewriting-URL

PS-GW-URL:http(s)://gatewayURL(:port)/[SessionInfo]

指出閘道重新寫入所有頁面的 URL。

1. 當瀏覽器支援 cookie 時，此標頭的值會和 PS-GW-URL 標頭的值一樣。

2. 當瀏覽器不支援 cookies：

並且如果目的地主機在「轉寄 Cookie URL」清單中，則值是閘道重新寫入頁面 (含有編碼 SessionID 資訊) 到 URL 的實際 URL。

或，如果目的地主機不在「轉寄 Cookie URL」清單中，而 SessionInfo 字串是 "$SessionID"

注意：在回應部分，如果使用者的 Identity Server seeionID 變更 (如來自認證頁面的回應)，則會以該值重新寫入這些頁面 (此值並非是先前所指在標頭中的值)。

例如：

如果瀏覽器支援 cookies：

PS-GW-Rewriting-URL:
https://siroe.india.sun.com:10443/

如果瀏覽器不支援 cookies 但是終端伺服器在「轉寄 Cookie URL」清單中。

PS-GW-Rewriting-URL:
https://siroe.india.sun.com:10443/SessIDValCustomEncodedValue/

如果瀏覽器不支援 cookies 但是終端伺服器不在「轉寄 Cookie URL」清單中。

PS-GW-Rewriting-URL:
https://siroe.india.sun.com:10443/$SessionID

PS-GW-CLientIP

PS-GW-CLientIP: IP

這是閘道從 recievedSocket.getInetAddress().getHostAddress() 所取得的 IP

如果直接連到閘道的話，會提供用戶端的 IP。

注意：由於有 JSS/NSS 錯誤，目前這部分不提供。

使用認證鏈接

在認證的一般機制上，認證鏈接提供較高的安全性。您可以讓使用者認證一個以上的認證機制。

此處的程序說明僅適用於與在閘道上的 PDC 認證同時啟用認證鏈接。關於在閘道上沒有 PDC 認證的認證鏈結，請參考 Sun ONE Identity Server 管理員指南。

例如，如果您取得 PDC、Unix 和 Radius 認證模組，使用者將必須認證這三個模組以存取入口網站桌面。

備註

如果 PDC 啟用的話，它永遠都是第一個顯示在使用者面前的認證模組。

    新增認證模組到現有的 PDC 實例

以管理員的身份登入 Identity Server 管理主控台。

選擇組織。

從「檢視」功能表中選取「服務」。

此服務會顯示於左窗格中。

按一下「認證配置」旁邊的箭頭。

顯示「服務實例清單」。

按一下 gatewaypdc。

會顯示 Gatewaypdc 屬性頁面。

按一下「認證配置」前面的「編輯」。

會顯示「新增模組」。

選擇「模組名稱」並設定「旗標」為「需要」。選項會是空白的。

按一下「確定」。

新增一個或多個模組後按一下「儲存」。

在 gatewaypdc 屬性頁面中按一下「儲存」。

若要使變更生效，重新啟動閘道：

gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start

使用萬有字元證書

萬用字元證書接受含有萬用字元的單一證書，該證書必須位於擁有完全合格 DNS 名稱的主機中。

這允許證書在相同網域中維護多個主機的安全性。例如，*.domain.com 的證書可以用於 abc.domain.com 和 abc1.domain.com。事實上，此證書對於在 domain.com 網域中的任何主機都有效。

您需要在完全合格的主機名稱中指定一個 *。例如，如果完全合格的主機名稱是 abc.florizon.com，則將之指定為 *.florizon.com。現在，產生的證書對所有在 florizon.com 網域中的所有主機名稱都有效。

停用瀏覽器快取

當閘道元件僅使用網路瀏覽器從任何地方提供安全存取到後端公司資料時，用戶端在本機不能快取可能是必需條件。

您可以修改指定閘道在 platform.conf 中檔案的屬性，以停用透過閘道快取重新導向的頁面。

停用此選項對閘道效能有影響。每次入口桌面更新時，閘道必須擷取每個參照到頁面的東西，例如先前瀏覽器已經快取過的影像。然而，啟用這個功能後，遠端存取安全的內容將不會在用戶端留下快取過的足跡。如果企業網路是從網路咖啡館或類似的遠端位置 (不是在企業 IT 的控制下)，這個功能會比效能關係更為重要。

    停用瀏覽器快取

以根使用者身分登入並編輯所需閘道實例的 platform.conf 檔：

/etc/opt/SUNWps/platform.conf.gateway-profile-name

編輯下面的行：

gateway.allow.client.caching=true

此值的預設值設定為 true。變更此值為 false 以停止瀏覽器在用戶端快取。

重新啟動「閘道」：

gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start

自訂閘道服務使用者介面

本節討論可以編輯的幾個屬性檔案。您可以在管理主控台上編輯閘道服務的標籤、錯誤訊息或記錄資訊的順序。如果您嘗試為不同的本機自訂產品，這是非常有用的。

您可以自訂下列檔案：

portal-server-install-root/SUNWam/locale/srapGatewayAdminConsole.properties

portal-server-installl-dir/SUNWps/locale/srapGateway.properties

portal-server-install-root/SUNWps/web-src/WEB-INF/classes/srapgwadminmsg.properties

備註

如果您有不同的本機設定，您需要分別為這些檔案儲存備份在個別的 locale 目錄。

srapGatewayAdminConsole.properties 檔案

編輯這個檔案，以變更出現在管理主控台上閘道服務的欄位名稱。

srapGateway.properties 檔案

編輯這個檔案以：

自訂在閘道執行時可能會出現的錯誤訊息。

HTML-CharSets=ISO-8859-1 指定用於建立此檔案的字元集。

在大括號中的數字 (例如，{0}) 表示在執行期間會顯示的值。您可以變更和此數字有關的標籤，或視需要重新整理標籤。請確定標籤和將會顯示的訊息對應，因為數字是和訊息有關聯的。

自訂記錄資訊。

在預設情況下，srapGateway.properties 檔案位於portal-server-install-root/SUNWps/locale 目錄中。所有出現在閘道機器上的訊息 (閘道相關的訊息) 都記錄在此檔中，無論訊息的語言為何。

如果您需要變更出現在用戶端入口桌面上訊息的語言，請將此檔案複製到個別的本機目錄中，例如 portal-server-install-root/SUNWps/locale_en_US。

srapgwadminmsg.properties 檔案

編輯這個檔案以：

自訂出現在管理主控台上閘道服務之按紐的標籤。

自訂當您配置閘道時，會出現的狀態訊息和錯誤訊息。

使用聯合管理

聯合管理允許使用者聚集他們的本機識別，以使他們有一個網路識別。聯合管理使用網路識別以允許使用者登入服務提供者的網站，並且不需要重新認證他們的識別即可存取其他服務提供者的網站。這稱為單次登入。

可以在 Portal Server 上以開啟模式和安全模式配置聯合管理。Sun ONE Portal Server管理員指南說明如何在開啟模式下配置聯合管理。於安全模式中配置聯合管理之前，請使用安全遠端存取，以確定聯合管理可在開啟模式中運作。如果您想要您的使用者同時以開啟模式和安全模式在相同的瀏覽器中使用聯合管理，他們必須從瀏覽器清除 cookie 和快取。

請參閱 Sun ONE Identity Server Customization and API Guide 以瞭解有關聯合管理的詳細資訊。

聯合管理方案

使用者認證到一個初始的服務提供者。服務使用者是商業用途或是提供以網路為主之服務的非營利組織。此廣泛的種類可以包括網際網路入口網站、運輸提供者、金融機構、娛樂事業公司、圖書館、大學和政府行政機構。

服務提供者可以使用 cookie 以儲存使用者在用戶端瀏覽器的階段作業資訊。Cookie 也包含使用者的識別提供者。

識別提供者是在提供認證服務中指定的服務提供者。做為識別的管理服務，它們同時也維持並管理認證資訊。識別提供者所完成的認證，受到隸屬於它的所有伺服器提供者所認可。

當使用者程式存取不隸屬於該識別提供者的服務時，此識別提供者會將該 cookie 轉寄給獨立的服務提供者。此服務提供者之後便可存取在 cookie 中呼叫的識別提供者。

然而，無法在不同 DNS 的網域間讀取 cookie。因此使用「共用網域 Cookie 服務」以重新導向服務提供者到正確的識別提供者，因此使用者就可以啟用單次登入。

配置聯合管理資源

聯合資源、服務提供者、識別提供者和共同網域 Cookie 服務 (CDCS) 在其所存在的閘道中設定檔中配置。這部分說明如何配置三個方案：

當所有資源位在企業內部網路時。

當所有資源沒有位於企業內部網路，或識別提供者位於網際網路。

當所有資源沒有位於企業網路，或當企業提供者受到閘道保護，且識別提供者是協力廠商並位於網際網路。

配置 1

在此配置中，服務提供者、識別提供者和「共用網域 Cookie 服務」都部署在相同的企業內部網路中，而識別提供者並未發佈到網際網路網域名稱伺服器 Domain Name Server (DNS) 中。CDCS 為選填項目。

在此配置中，閘道指向服務提供者，也就是 Portal Server。此配置對 Portal Server 的多個實例都有效。

以管理員的身份登入 Identity Server 管理主控台。

選取管理主控台中的「服務配置」標籤。

按一下「SRA 配置」下「閘道」旁的箭頭。

將顯示「閘道」頁。

按一下您想要設定其屬性之「閘道設定檔」旁邊的「編輯 …」。

便會顯示「編輯閘道設定檔」頁面。

按一下「核心」標籤。

選取「啟用 Cookie 管理」核取方塊以啟用 cookie 管理。

捲動至「Portal Server 清單」欄位並輸入Portal Server名稱，如此您可以使用相對 URL，像是列於「未認證 URL」清單中的 /amserver 或 /portal/dt。例如：

http://idp-host:port/amserver/js

http://idp-host:port/amserver/UI/Login

http://idp-host:port/amserver/css

http://idp-host:port/amserver/SingleSignOnService

http://idp-host:port/amserver/UI/blank

http://idp-host:port/amserver/postLogin

http://idp-host:port/amserver/login_images

捲動到「Portal Server 清單」欄位並輸入 Portal Server 名稱。例如 /amserver。

按一下「儲存」。

按一下「安全性」標籤。

捲動到「未認證 URL」清單並新增「聯合資源」。例如：

/amserver/config/federation

/amserver/IntersiteTransferService

/amserver/AssertionConsumerservice

/amserver/fed_images

/amserver/preLogin

/portal/dt

按一下「新增」。

按一下「儲存」。

如果需要網路代理伺服器以連至在「未認證 URL」清單中的 URL，按一下「代理伺服器」標籤。

捲動到「網域和子網域的代理伺服器」欄位並輸入所需的網路代理伺服器。

按一下「新增」。

按一下「儲存」。

從終端機視窗中，重新啟動閘道：

gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start

配置 2

在此配置中識別提供者、識別提供者和共同網域 Cookie 提供者 (CDCP) 沒有部署於企業內部網路，或識別提供者是位於網際網路上的協力廠商。

在此配置中，閘道指向服務提供者，也就是 Portal Server。此配置對 Portal Server 的多個實例都有效。

以管理員的身份登入 Identity Server 管理主控台。

選取管理主控台中的「服務配置」標籤。

按一下「SRA 配置」下「閘道」旁的箭頭。

將顯示「閘道」頁。

按一下您想要設定其屬性之「閘道設定檔」旁邊的「編輯 …」。

便會顯示「編輯閘道設定檔」頁面。

按一下「核心」標籤。

選取「啟用 Cookie 管理」核取方塊以啟用 cookie 管理。

捲動至「Portal Server清單」欄位並輸入服務提供者Portal Server名稱，如此您可以使用相對 URL，像是列於「未認證 URL」清單中的 /amserver 或 /portal/dt。

http://idp-host:port/amserver/js

http://idp-host:port/amserver/UI/Login

http://idp-host:port/amserver/css

http://idp-host:port/amserver/SingleSignOnService

http://idp-host:port/amserver/UI/blank

http://idp-host:port/amserver/postLogin

http://idp-host:port/amserver/login_images

按一下「儲存」。

按一下「安全性」標籤。

捲動到「未認證 URL」清單並新增「聯合資源」。例如：

/amserver/config/federation

/amserver/IntersiteTransferService

/amserver/AssertionConsumerservice

/amserver/fed_images

/amserver/preLogin

/portal/dt

按一下「新增」。

按一下「儲存」。

如果需要網路代理伺服器以連至在「未認證 URL」清單中的 URL，按一下「代理伺服器」標籤。

捲動到「網域和子網域的代理伺服器」欄位並輸入所需的網路代理伺服器。

按一下「新增」。

按一下「儲存」。

從終端機視窗中，重新啟動閘道：

gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start

配置 3

在此配置中識別提供者、識別提供者和共同網域 Cookie 提供者 (CDCP) 沒有部署於企業內部網路，或服務提供者是位於網際網路上的協力廠商，且識別提供者受到閘道保護。

在此配置中，閘道指向識別提供者，也就是 Portal Server。

此配置對 Portal Server 的多個實例都有效。此配置在網路上是不太可能發生的，然而，一些企業網路在其企業內部網路可能會有這樣的配置，也就是說，識別提供者可能位於由防火牆保護的子網路中，而伺服器提供者可以在企業網路中直接存取。

以管理員的身份登入 Identity Server 管理主控台。

選取管理主控台中的「服務配置」標籤。

按一下「SRA 組態」下「閘道」旁的箭頭。

將顯示「閘道」頁。

按一下您想要設定其屬性之「閘道設定檔」旁邊的「編輯 …」。

便會顯示「編輯閘道設定檔」頁面。

按一下「核心」標籤。

選取「啟用 Cookie 管理」核取方塊以啟用 cookie 管理。

捲動至「Portal Server清單」欄位並輸入識別提供者Portal Server，如此您可以使用相對 URL，像是列於「未認證 URL」清單中的 /amserver 或 /portal/dt。

http://idp-host:port/amserver/js

http://idp-host:port/amserver/UI/Login

http://idp-host:port/amserver/css

http://idp-host:port/amserver/SingleSignOnService

http://idp-host:port/amserver/UI/blank

http://idp-host:port/amserver/postLogin

http://idp-host:port/amserver/login_images

按一下「儲存」。

按一下「安全性」標籤。

捲動到「未認證 URL」清單並新增「聯合資源」。例如：

/amserver/config/federation

/amserver/IntersiteTransferService

/amserver/AssertionConsumerservice

/amserver/fed_images

/amserver/preLogin

/portal/dt

按一下「新增」。

按一下「儲存」。

如果需要網路代理伺服器以連至在「未認證 URL」清單中的 URL，按一下「代理伺服器」標籤。

捲動到「網域和子網域的代理伺服器」欄位並輸入所需的網路代理伺服器。

按一下「新增」。

按一下「儲存」。

從終端機視窗中，重新啟動閘道：

gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start

上一頁      目錄      索引      下一頁

Copyright 2003 Sun Microsystems, Inc. 保留所有權利。


注意	不要指定相同的設定檔給在相同機器上執行的閘道不同實例。這將會造成衝突，因為連接埠號碼會一樣。不要在不同的設定檔 (建立給相同的閘道) 中指定相同的連接埠號碼。以同樣的連接埠執行相同閘道的多個實例會造成衝突。

項目	預設值	說明
gateway.user	noaccess	閘道以此使用者執行。閘道必須以根使用者啟始，在安裝後會遺失根使用者的特權而變成此使用者。
gateway.jdk.dir		這是閘道所使用之 JDK 目錄的位置。
gateway.dsame.agent		當閘道啟動要取得其設定檔時，這是閘道會聯絡的識別伺服器 URL。
portal.server. protocol portal.server.host portal.server.port		這是預設 Portal Server 安裝使用的通訊協定、主機和連接埠。


gateway.protocol gateway.host gateway.port		這是閘道的通訊協定、主機和連接埠。這些值與您在安裝時所指定的模式和連接埠相同。這些值用於建立通知 URL。
gateway.protocol gateway.host gateway.port		這是閘道的通訊協定、主機和連接埠。這些值與您在安裝時所指定的模式和連接埠相同。這些值用於建立通知 URL。
gateway.trust_all_ server_certs	true	這表示閘道必須相信所有的伺服器證書，或僅相信在閘道證書資料庫中的伺服器證書。
gateway.trust_all_ server_cert_domains	false	無論何時在閘道和伺服器之間都會有個 SSL 通訊，並且會提供伺服器證書給閘道。在預設情況下，閘道會檢查伺服器主機名稱是否與伺服器證書 CN 相同。如果屬性值設定為 true，則閘道會停用它收到之伺服器證書的網域名稱檢查。
gateway.virtualhost		如果閘道機器有配置多個主機名稱，您可以在此欄位指定不同的名稱和識別提供者位址。
gateway.virtualhost.defaultOrg=org		這會指定預設的 Org 給將登入的使用者。例如假設虛擬主機欄位項目如下所示： gateway.virtualhost=test.com employee.test.com Managers.test.com 含有預設的 org 項目為： test.com.defaultOrg = o=root,dc=test,dc=com employee.test.com.defaultOrg = o=employee,dc=test,dc=com Manager.test.com.defaultOrg = o=Manager,dc=test,dc=com 使用者可以使用 https://manager.test.com 而非https://test.com/o=Manager,dc=test,dc=com 以登入管理員的 org。注意：virtualhost 和 defaultOrg 在 platform.conf file 中區分大小寫，但用於 URL 時則沒有區分。
gateway. notification.url		閘道主機、通訊協定和連接埠的組合，用於建立通知 URL。用於從 Identity Server 接收階段作業通知。請確定通知 URL 和任何組織的名稱不相同。如果通知 URL 和組織名稱相同，則使用者在嘗試連結到該組織時會看到空白頁面而非登入的頁面。
gateway.retries		此數字是在啟動時，閘道嘗試連絡 Portal Server 的次數。
gateway.debug	error	設定閘道的除錯層級。除錯檔案位於 debug-directory/files。除錯檔案位置指定在 gateway.debug.dir 項目中。除錯層級為： error - 只會在除錯檔案中記錄幾個錯誤。在此種錯誤發生時，閘道通常會停止運作。 warning - 會記錄警告訊息。 message - 會記錄所有的除錯訊息。 on - 會在主控台顯示所有的除錯訊息。除錯檔案為： srapGateway.gateway-profile-name - 包含閘道的除錯訊息。 Gateway_to_from_server.gateway-profile-name - 在訊息模式下，此檔案包含閘道和內部伺服器之間所有的需求和回應標頭。要產生此檔案，請變更 /var/opt/SUNWps/debug 目錄的寫入權限。 Gateway_to_from_browser.gateway-profile-name - 在訊息模式下，此檔案包含閘道和內部伺服器之間所有的需求和回應標頭。要產生此檔案，請變更 /var/opt/SUNWps/debug 目錄的寫入權限。
gateway.debug.dir		這是所有除錯檔案產生的目錄。此目錄必須有足夠的權限，讓在 gateway.user 中提到的使用者寫入檔案。
gateway. logdelimiter		目前沒有使用。
gateway.external.ip		如果有多個地址的閘道機器 (一個閘道機器有多個 IP 位址) ，您需要在此指定外部的 IP 位址。此 IP 用於 Netlet 以執行 FTP。
gateway.certdir		它指定證書資料庫的位置。
gateway.allow. client.caching	true	允許或拒絕用戶端快取。如果允許，用戶端伺服器可以快取靜態頁面和影像以取得較佳的效能 (藉由減少的網路流量)。如果不允許，在用戶端的安全性會提高，像是沒有快取一樣，但是在較高網路負載的情況下時效能將會降低。
gateway.userProfile.cacheSize		這是在閘道上使用者設定檔項目被快取的數目。如果項目數量超過這個值，常用的項目會清除快取。
gateway.userProfile.cacheSleepTime		以秒為單位設定休息時間，以清除快取。
gateway.userProfile.cacheCleanupTime		超過以秒為單位的最大數字的時間後，會移除設定檔項目。
gateway. bindipaddress		在多地址閘道機器上，這是閘道連接其伺服器插槽的 IP 位址。
gateway.sockretries	3	目前沒有使用。
gateway.enable.accelerator	false	如果設定為 true，則允許支持外部加速器。
gateway.enable.customurl	false	如果設定為 true，則允許管理員指定一個自訂的 URL 讓閘道重新寫入頁面。
gateway.httpurl		輸入 HTTP reverseproxy URL 以設定自訂的 URL 讓閘道重新寫入頁面。
gateway.httpsurl		輸入 HTTPS reverseproxy URL 以設定自訂的 URL 讓閘道重新寫入頁面。
gateway.favicon		它指定閘道將為 favicon.ico 檔重新導向需求的 URL。此項目用於 Internet Explorer、Netscape 7.0 和更高的喜好設定或我的最愛中的「favorite icon」。如果此項目保持空白，閘道會傳送一個「404 頁面找不到」的訊息給瀏覽器。
gateway.logging.password		此欄位包含使用者「amService-srapGateway」的 LDAP 密碼，閘道會使用該密碼用以建立其應用程式階段作業。密碼可以是加密文字或一般文字。
http.proxyHost		代理伺服器主機會用於聯絡 Portal Server。
http.proxyPort		主機連接埠會用於聯絡 Portal Server。
http.proxySet		若需要代理伺服器，則屬性會設定為 true。若屬性設定為 false，則會忽略 http.proxyHost 與 http.proxyPort。


備註	重新啟動伺服器 (即為您已經配置閘道實例於其上的機器) 會重新啟動所有閘道已經配置的實例。確定在 /etc/opt/SUNWps 目錄中沒有舊的或備份的設定檔。


備註	監視程式功能不應該存在於 chroot 環境中。


備註	在 mkchroot script 開始執行後，不能按 Ctrl-C 加以終止。在執行 mkchroot script 後，錯誤事件請參閱「mkchroot Script 執行失敗」。


備註	需要管理 /safedir/chroot/etc 檔案 (例如 passwd 和 hosts)，像 /etc 檔案一樣，但僅包含在 chroot 樹中執行程式所需要的主機和帳號資訊。例如，如果您變更了系統的識別提供者地址，您同時也變更了 /safedir/chroot/etc/hosts 檔案。


備註	如果您正透過入口網站桌面的「書籤通道」存取該 URL，且您的情況不符合上述任何一項，閘道會傳送重新導向給瀏覽器。瀏覽器會使用自己的代理伺服器設定來存取該 URL。


備註	如果您沒有指定連接埠，預設是使用連接埠 8080。

號碼	「網域和子網域的代理伺服器」清單中的項目	代理伺服器	說明
1	com	p1	指定於清單中。
2	host1.com	p2	指定於清單中。
3	host2.com	p1	由於沒有指定代理伺服器給 host2，會使用主機的代理伺服器。
4	*.com	p3	指定於清單中。
5	sesta.com	p4	指定於清單中。
6	host5.sesta.com	p5	指定於清單中。
7	*.sesta.com	p6	指定於清單中。
8	florizon.com	直接	詳細資料，請參閱第 14 個項目的說明。
9	host6.florizon.com		詳細資料，請參閱第 14 個項目的說明。
10	abc.sesta.com	p8	指定於清單中。
11	host7.abc.sesta.com	p7	指定於清單中。
12	host8.abc.sesta.com	p8	指定於清單中。
13	*.abc.sesta.com	p9	指定於清單中。在 abc.sesta.com 網域下，除了 host7 和 host8 之外的主機，p9 會用作代理伺服器。
14	host6.florizon.com	p10	與第 9 個項目相同。第 9 個項目表示直接連線，而此項目表示應該使用代理伺服器 p10。若遇到像這樣有兩個項目的情況，含有代理伺服器資訊的項目視為是一個有效的項目。請忽略另一個項目。
15	host9.sesta.com	p11	指定於清單中。
16	siroe.com	直接	由於並沒有指定代理伺服器給 siroe.com，因此會嘗試直接連線。
17	host12.siroe.com	p12	指定於清單中。
18	host13.siroe.com	p13	指定於清單中。
19	host14.siroe.com	直接	由於並沒有指定代理伺服器給 host14 或給 siroe.com，因此會嘗試直接連線。
20	*.siroe.com	p14	請參閱第 23 個項目的說明。
21	host15.siroe.com	p15	指定於清單中。
22	host16.siroe.com	直接	由於並沒有指定代理伺服器給 host16 和給 siroe.com，因此會嘗試直接連線。
23	*.siroe.com	p16	與第 20 個項目類似。但是指定的代理伺服器不同。這種情形下，無法知道閘道的實際運作方式。可能會使用兩個代理伺服器。
24	*	p17	如果沒有其他的項目符合請求的 URL，就會使用 p17 作為代理伺服器。


備註	取代在「網域和子網域的代理伺服器」清單中分開代理伺服器項目，在清單中有個別的項目是比較簡單的。例如，取代如下的項目： sesta.com p1 \| red p2 \| * p3 您可以將其指定為： sesta.com p1 red.sesta.com p2 *.sesta.com p3 如此會簡化陷入重複項目或任何其他含糊的情況。


注意	在「網域和子網域的代理伺服器」清單中的 * 項目不會考慮重新寫入。例如，在範例表 2-2 中第 24 個項目就不被考慮。


備註	在「網域和子網域的代理伺服器」清單中您必須要有對應的項目。

標頭	語法	說明
PS-GW-PDC	PS-GW-PDC:true/false	指出閘道上的 PDC 是否啟用。
PS-Netlet	PS-Netlet:enabled=true/false	指出閘道上的 Netlet 是否已經啟用或停用。如果已經啟用，則加密選項會植入，指出閘道以 HTTPS (encryption=ssl) 或以 HTTP 模式 (encryption=plain) 執行。例如： PS-Netlet:enabled=false Netlet 是停用的。 PS-Netlet:enabled=true; encryption=ssl Netlet 使用在 SSL 模式中執行的閘道啟用。當 Netlet 沒有啟用時，encryption=ssl/plain 並不會植入。
PS-GW-URL	PS-GW-URL:http(s)://gatewayURL(:port)	指出用戶端要連接的 URL。如果是非標準的連接埠 (也就是說，閘道在 HTTP/HTTPS 模式中且連接埠不是 80/443)，則該「連接埠」也會被植入。
PS-GW-Rewriting-URL	PS-GW-URL:http(s)://gatewayURL(:port)/[SessionInfo]	指出閘道重新寫入所有頁面的 URL。 1. 當瀏覽器支援 cookie 時，此標頭的值會和 PS-GW-URL 標頭的值一樣。 2. 當瀏覽器不支援 cookies：並且如果目的地主機在「轉寄 Cookie URL」清單中，則值是閘道重新寫入頁面 (含有編碼 SessionID 資訊) 到 URL 的實際 URL。或，如果目的地主機不在「轉寄 Cookie URL」清單中，而 SessionInfo 字串是 "$SessionID" 注意：在回應部分，如果使用者的 Identity Server seeionID 變更 (如來自認證頁面的回應)，則會以該值重新寫入這些頁面 (此值並非是先前所指在標頭中的值)。例如：如果瀏覽器支援 cookies： PS-GW-Rewriting-URL: https://siroe.india.sun.com:10443/ 如果瀏覽器不支援 cookies 但是終端伺服器在「轉寄 Cookie URL」清單中。 PS-GW-Rewriting-URL: https://siroe.india.sun.com:10443/SessIDValCustomEncodedValue/ 如果瀏覽器不支援 cookies 但是終端伺服器不在「轉寄 Cookie URL」清單中。 PS-GW-Rewriting-URL: https://siroe.india.sun.com:10443/$SessionID
PS-GW-CLientIP	PS-GW-CLientIP: IP	這是閘道從 recievedSocket.getInetAddress().getHostAddress() 所取得的 IP 如果直接連到閘道的話，會提供用戶端的 IP。注意：由於有 JSS/NSS 錯誤，目前這部分不提供。


備註	如果 PDC 啟用的話，它永遠都是第一個顯示在使用者面前的認證模組。


備註	如果您有不同的本機設定，您需要分別為這些檔案儲存備份在個別的 locale 目錄。

第 2章 閘道

閘道簡介

建立閘道設定檔

建立閘道設定檔

了解 platform.conf 檔案

啟動和停止閘道

啟動閘道

停止閘道

重新啟動閘道

使用不同的設定檔重新啟動閘道

若要重新啟動閘道

配置閘道監視程式

指定代理伺服器以聯絡 Identity Server

若要指定代理伺服器

在 chroot 環境中執行閘道

安裝 chroot

mkchroot Script 執行失敗

在 chroot 環境中重新啟動閘道

在 chroot 環境中重新啟動閘道

建立閘道的多個實例

使用網路代理伺服器

網路代理伺服器配置

語法

範例

處理網路代理伺服器資訊

以「網域和子網域的代理伺服器」清單為基礎覆寫

預設網域與子網域

使用代理伺服器自動配置

使用範例 PAC 檔案

含有傳回 DIRECT 或 NULL 的範例

含有傳回 STARPROXY 的範例

使用 Netlet 代理伺服器

建立 Netlet 代理伺服器的實例

啟用 Netlet 代理伺服器

重新啟動 Netlet 代理伺服器

重新啟動 Netlet 代理伺服器

配置 Netlet 代理伺服器監視程式

使用 Rewriter 代理伺服器

建立 Rewriter 代理伺服器的實例

啟用 Rewriter 代理伺服器

重新啟動 Rewriter 代理伺服器

重新啟動 Rewriter 代理伺服器

若要配置 Rewriter 代理伺服器監視程式

使用含有閘道的反向代理伺服器

若要啟用反向代理伺服器

取得用戶端資訊

使用認證鏈接

新增認證模組到現有的 PDC 實例

使用萬有字元證書

停用瀏覽器快取

停用瀏覽器快取

自訂閘道服務使用者介面

srapGatewayAdminConsole.properties 檔案

srapGateway.properties 檔案

srapgwadminmsg.properties 檔案

使用聯合管理

聯合管理方案

配置聯合管理資源

配置 1

配置 2

配置 3

第 2章
閘道