本章说明 Proxylet,它使用户能够通过网关访问内联网 Web 页而无需解析 Web 页。
Proxylet 是可以将自身设置为客户机上的代理服务器的 Java applet。Proxylet 读取并修改客户机上“代理自动配置”(Proxy Auto Config, PAC) 文件中的代理设置,以使代理设置指向本地代理服务器 (Proxylet)。
Proxylet 从网关继承传输模式。如果将网关配置为在 SSL 上运行,则 Proxylet 会在客户机和网关或目标服务器之间建立一个安全通道。对于加密,如果客户机 JVM 为 1.4 或更高版本,或者所需的 jar 文件位于客户机上,则 Proxylet 使用 JSSE API。否则使用 KSSL API。解密在客户机上进行。
在网关配置文件中指定定向到网关的 URL 的域和子域。如果 URL 不是网关处理的域的一部分,则请求将重定向到 Internet。如果一个特定 URL 域在网关配置文件中列出,则 Proxylet 会重置客户机代理设置以指向网关。
如果在网关处启用了“个人数字证书”(Personal Digital Certificate, PDC),则 Proxylet 支持客户端验证。要检查是否启用了 PDC,参见获取客户机信息。
Proxylet 是从 Portal Server 管理控制台中启用的,也可以在管理控制台中指定客户机 IP 地址或代理主机名和端口。如果启用了 Proxylet,则它将检查客户机的以下信息:
相应的浏览器权限
浏览器是否为 IE 6.0 sp2、IE 7 以及 Firefox 2.0
计算机或设备是否可以运行服务器应用程序
如果满足所有要求,则会下载 applet 并在客户机上启动。如果客户机没有安装 JRE 1.4.2 或更高版本,将自动使用 Proxylet 下载 JRE(如果您拥有 Internet 连接和管理权限)。
使用 Proxylet 时,它会从“代理自动配置”(Proxy Auto Configuration, PAC) 文件或代理配置列表检索代理设置。
确保用户了解当使用 Proxylet applet 时,必须禁用浏览器弹出式窗口拦截器。
Proxylet 支持 HTTPS,具有以下功能:
在客户端服务器执行解密。
可以访问以 SSL 模式运行的目标服务器。
客户机证书直接提交给目标服务器。
网关不支持基本验证单点登录 (SSO)。(网关不能在 http 报头中插入 SSO 信息。)
仅支持基于主机的访问控制,不支持基于 URL 的访问控制。
当前不支持网关之前的外部加速器和外部反向代理。
当 Portal Server 使用 HTTPS 时,此支持不适用于 Proxylet。
与重写器不同,Proxylet 很少或根本不需要进行安装后更改。与第三方软件(如 Microsoft Exchange Server)的集成非常简单。另外,Proxylet 不触及 Web 内容,因而网关性能得到了提高。由于 Proxylet 不会修改内容或更改数据,因此用户可以下载任何类型的内容,如 tar 和 gzip 文件。
有关启用和配置 Proxylet 的信息,参见第 13 章,配置 Proxylet。
如果用户没有相应的 Java 虚拟机 (Java Virtual Machine, JVM) 来运行 Proxylet,浏览器会连接到 Sun Web 站点以下载“Java 运行时环境”。如果用户的浏览器设置未包含正确的值,或用户正在使用直接代理设置而未访问至 Internet,则无法下载 Proxylet。