Access Manager 策略代理对 Web 服务器和 Web 代理服务器上的内容提供保护以防止未授权的侵入。它们基于管理员配置的策略来控制对服务和 Web 资源的访问。
代理对象定义了“策略代理”配置文件,并允许 Access Manager 存储与保护 Access Manager 资源的特定代理有关的验证及其他配置文件信息。通过 Access Manager 控制台,管理员可以查看、创建、修改和删除代理配置文件。
可以在代理对象创建页面定义代理用于通过 Access Manager 进行验证的 UID/密码。如果有多个使用相同 Access Manager 设置的 Web 容器,您可以选择为不同的代理启用多个 ID 并且可以从 Access Manager 单独将其启用和禁用。您也可以集中管理代理的一些首选项值,而不必在每台计算机上都编辑 AMAgent.properties。
单击“代理”选项卡。
单击“新建”。
输入以下字段的值:
名称。输入代理的名称或身份。此名称是代理用来登录的名称。不接受多字节用户名称。
密码。输入代理的密码。此密码必须与在 LDAP 验证过程中代理所使用的密码不同。
确认密码。确认密码。
设备状态。输入代理的设备状态。如果设置为“活动”,则代理可以通过进行验证并与 Access Manager 进行通信。如果设置为“不活动”,则代理不能通过 Access Manager 进行验证。
单击“创建”。
创建代理之后,您可以另外编辑以下字段:
说明。输入代理的简短说明。例如,可以输入代理实例名称或其保护的应用程序的名称。
代理关键字值。使用关键字/值对设置代理属性。Access Manager 使用此属性接收有关用户的证书声明的代理请求。当前仅一个属性有效,所有其他属性都将被忽略。请使用以下格式:
agentRootURL=protocol:// hostname:port/
条目必须准确,而且 agentRootURL 区分大小写。
代表所使用的协议,即 HTTP 或 HTTPS。
代表代理所驻留的计算机的主机名。此计算机也托管由代理保护的资源。
代表安装代理的端口号。代理侦听此端口上的接收通信,并拦截所有要访问主机资源的请求。
Cookie 劫持就是指冒名顶替者(可能是使用不可信应用程序的黑客)对 cookie 进行未授权的访问 。如果被劫持的 cookie 是会话 cookie,则根据系统的配置方式,cookie 劫持可能增加对受保护 Web 资源的未授权访问威胁。
Sun 文档提供标题为“Precautions Against Session-Cookie Hijacking in an Access Management Deployment”(在访问管理部署中防止会话 Cookie 劫持的预防措施)的技术说明,该说明介绍要对抗与会话 cookie 劫持相关的特定安全威胁可采取的预防措施参见以下文档:
《Technical Note: Precautions Against Cookie Hijacking in an Access Manager Deployment》