test

Sun Java System Portal Server Secure Remote Access 7.2 管理指南

配置配置文件核心选项

本节说明以下任务:

配置启动模式

如果安装时选择在 HTTPS 模式下运行网关,安装完成后,网关将以 HTTPS 模式运行。在 HTTPS 模式中,网关接受来自浏览器的 SSL 连接,而拒绝非 SSL 连接。不过,您也可以将网关配置为在 HTTP 模式下运行。这样将提高网关性能,因为管理 SSL 会话以及加密、解码 SSL 通信的开销均未涉及到。

Procedure配置启动模式

  1. 以管理员身份登录到 Portal Server 管理控制台。

  2. 选择“Secure Remote Access”选项卡,然后单击配置文件名称以修改其属性。

  3. 选择“核心”选项卡。

  4. 修改以下属性:

    HTTP 连接

    选中“HTTP 连接”复选框以使网关能够接受非 SSL 连接。

    HTTP 端口

    输入 HTTP 端口号。默认值为 80。

    HTTPS 连接

    选中“HTTPS 连接”复选框以使网关能够接受 SSL 连接。默认情况下,此选项已选中。

    HTTPS 端口

    输入 HTTPS 端口号。默认值为 443。

    注 –

    可使用《Sun Java System Portal Server 7.2 Command-Line Reference》中的“psadmin set-attribute”(参见《Sun Java System Portal Server 7.2 Command-Line Reference》)修改以下属性

    /space/PS/portal/bin/psadmin set-attribute -u amadmin -f /space/PS/portal/bin/ps_password -p portal1 -m gateway --gateway-profile profileID -a sunPortalGatewayDomainsAndRulesets -A $entry

    • sunPortalGatewayDefaultDomainAndSubdomains=Default Domains

    • sunPortalGatewayLoggingEnabled=Enable Logging

    • sunPortalGatewayEProxyPerSessionLogging=Enable per Session Logging

    • sunPortalGatewayEProxyDetailedPerSessionLogging=Enable Detailed per Session Logging

    • sunPortalGatewayNetletLoggingEnabled=Enable Netlet Logging

    • sunPortalGatewayEnableMIMEGuessing=Enable MIME Guessing

    • sunPortalGatewayParserToURIMap=Parser to URI Mappings

    • sunPortalGatewayEnableObfuscation=Enable Masking

    • sunPortalGatewayObfuscationSecretKey=Seed String for Masking

    • sunPortalGatewayNotToObscureURIList=URIs not to Mask

    • sunPortalGatewayUseConsistentProtocolForGateway=Make Gateway protocol Same as Original URI Protocol

    • sunPortalGatewayEnableCookieManager=Store External Server Cookies

    • sunPortalGatewayMarkCookiesSecure=Mark Cookies as secure

  5. 从终端窗口中重新启动网关:

    ./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway 


    
    		

    

    

    6. 



配置核心组件


Netlet 使用户可以在不安全的网络上(如 Internet)安全地运行常用 TCP/IP 服务。您可以运行 TCP/IP 应用程序(如 Telnet 和 SMTP)、HTTP 应用程序和任何使用固定端口的应用程序。如果启用了 Netlet,网关就需要判断接收的通信是 Netlet 通信还是 Portal Server 通信。由于网关假定所有接收的通信都是 HTTP 通信或 HTTPS 通信,所以禁用 Netlet 可以减少此类开销。只有在确信不需要与 Portal Server 一同使用任何应用程序时,才可以禁用 Netlet。



Procedure配置组件


    


  1. 

    以管理员身份登录到 Portal Server 管理控制台。
    


    2. 


  2. 

    选择“Secure Remote Access”选项卡,然后单击配置文件名称以修改其属性。
    


    3. 


  3. 

    选择“核心”选项卡。
    


    4. 


  4. 

    修改以下属性:
    



    


    


    属性名称 
    

    		

    描述 
    

    		

    

    


    


    Netlet 
    

    		

    选中“启用”复选框以启动 Netlet 服务。默认情况下,此选项已选中。 
    

    		

    


    


    Proxylet 
    

    		

    选中“启用”复选框以启动 Proxylet 服务。默认情况下,此选项已选中。 
    

    		

    

    

    


     

    

     

    

    5. 


  5. 

    使用以下命令选项从终端窗口中重新启动网关:
    


    
./psadmin start-sra-instance -u amadmin -f passwordfile -N  profilename -t gateway

    


    6. 



配置基本选项


关于 Cookie 管理属性


许多网站使用 cookie 对用户会话进行跟踪和管理。当网关向网站发送在 HTTP 报头中设置 cookie 的请求时,网关以下述方式丢弃或传送这些 cookie:



此设置不会应用于 Portal Server 用来跟踪 Portal Server 用户会话的 cookie。该设置由“用户会话 Cookie 被转发到的 URL”URL 选项配置控制。


此设置适用于用户可以访问的所有网站(即不能选择丢弃某些网站的 cookie,而保留其他网站的 cookie)。


注 – 
即使在无 cookie 的网关中,也不要从“Cookie 域”列表中删除 URL。有关“Cookie 域”列表的信息,参见 Access Manager 管理指南




关于 HTTP 基本验证属性


HTTP 基本验证可在网关服务中设置。


网站可以使用“HTTP 基本验证”,要求访问者在浏览网站之前输入用户名和密码(HTTP 响应代码为 401 和 WWW-authenticate:BASIC),从而获得保护。Portal Server 可以保存用户名和密码,这样用户再次访问受 BASIC 保护的 Web 站点时,就不需要重新输入他们的凭证。这些凭证存储在 Directory Server 的用户配置文件中。


此设置不决定用户能否访问受 BASIC 保护的站点,而只确定是否将用户输入的凭证保存在该用户的配置文件中。


此设置适用于用户可以访问的所有网站(即 HTTP 基本验证高速缓冲功能不能对某些网站可用,而对其他网站不可用)。


注 – 
如果 Microsoft Internet Information Server (IIS) 是通过 Windows NT 质询/响应(HTTP 响应代码为 401,WWW-Authenticate:NTLM)而不是 BASIC 验证进行保护,则不支持浏览由其提供的 URL。




您也可使用管理控制台中的“访问控制”服务来启用单点登录。


关于 Portal Server 属性


可以为网关配置多个 Portal Server 以为请求提供服务。安装网关时,可能已经指定需要和网关协同工作的 Portal Server。默认情况下,此 Portal Server 会在 Portal Server 字段中列出。可向列表中添加更多的 Portal Server,格式为 http://portal- server-name:port number。网关会以循环方式尝试联系每个 Portal Server 来为请求提供服务。


关于“用户会话 Cookie 转发到的 URL”属性


portal server 利用 cookie 跟踪用户会话。当网关向服务器提出 HTTP 请求时(例如,当调用桌面 servlet 以生成用户桌面页时),此 cookie 将被转发到服务器。服务器上的应用程序使用该 cookie 来确认并标识用户。


Portal Server 的 cookie 不会被转发到向该服务器以外的其他机器发出的 HTTP 请求,除非在“用户会话 Cookie 转发到的 URL”列表中指定了那些机器上的 URL。因此向此列表中添加 URL 可使 servlet 和 CGI 接收 Portal Server 的 cookie,并使用 API 来标识用户。


URL 使用隐含的后缀通配符进行匹配。例如,列表的默认条目:


http://server:8080


会使 cookie 被转发到所有以 http://server:8080 开始的 URL。


添加:


http://newmachine.eng.siroe.com/subdir


会使 cookie 被转发到所有开头与该字符串完全相同的 URL。


在此例中,cookie 不会转发到任何以“http://newmachine.eng/subdir”开始的 URL,因为该字符串的开头部分与转发列表中的字符串不完全相同。要将 cookie 转发到以这个改变的机器名开始的 URL,必须向转发列表添加新的条目。


同样,cookie 也不会转发到以“https://newmachine.eng.siroe.com/subdir”开始的 URL,除非向列表中添加相应的条目。


关于“从 URL 获取会话”属性


选择“从 URL 获取会话”选项后,不管是否支持 cookie,会话信息都会作为 URL 的一部分进行编码。这意味着网关使用在 URL 中找到的会话信息进行验证,而不使用客户机浏览器发出的会话 cookie。



Procedure配置基本选项


    


  1. 

    以管理员身份登录到 Portal Server 管理控制台。
    


    2. 


  2. 

    选择“Secure Remote Access”选项卡,然后单击配置文件名称以修改其属性。
    


    3. 


  3. 

    选择“核心”选项卡。
    


    4. 


  4. 

    修改以下属性:
    



    


    


    属性名称 
    

    		

    描述 
    

    		

    

    


    


    Cookie 管理 
    

    		

    选中“启用”复选框以启用 cookie 管理。 
    

    默认情况下,此选项已选中。 
    

    		

    


    


    HTTP 基本验证 
    

    		

    选中“启用 HTTP 基本验证”复选框,以启用 HTTP 基本验证。 
    

    		

    


    


    Portal Server 
    

    		

    在字段中以 http://portal-server-name:port-number 格式输入 Portal Server,然后单击“添加”。
    

    重复此步骤以将更多 Portal Server 添加到 Portal Server 列表中。 
    

    		

    


    


    用户会话 Cookie 转发到的 URL 
    

    		

    输入“用户会话 Cookie 转发到的 URL”,然后单击“添加”。 
    

    重复此步骤以将更多 URL 添加到“用户会话 Cookie 转发到的 URL”列表中。 
    

    		

    


    


    网关最低验证级别 
    

    		

    输入验证级别。 
    

    默认情况下,会添加星号以允许在所有级别下进行验证。 
    

    		

    


    


    从 URL 获取会话 
    

    		

    选择“是”以从 URL 检索有关会话的信息。 
    

    默认情况下,“否”选项已选中。 
    

    		

    

    

    


     

    

     

    

    5.