管理网关的任务

本节说明管理门户服务器网关的以下任务：

• 创建网关配置文件

• 使用同一 LDAP 创建网关实例

创建网关配置文件

1. 以管理员身份登录到 Portal Server 管理控制台。

2. 单击“Secure Remote Access”选项卡并单击“新建配置文件”。

   将显示“新建配置文件”页。

3. 输入新网关配置文件的名称。

4. 从下拉列表中选择用于创建新配置文件的配置文件。

   默认情况下，您创建的任何新配置文件都基于预封装的默认配置文件。如果已创建一个自定义配置文件，则可以从下拉列表中选择该配置文件。新配置文件会继承所选配置文件的全部属性。

   用现有配置文件复制而成的新配置文件沿袭同一端口。更改新配置文件的端口，使其不与现有配置文件冲突。

5. 单击“确定”。

   新配置文件将被创建并在“配置文件”页中列出。

   ---

   注意 –

   确保更改该实例的端口以使其不与任何已占用的现有端口冲突。

   ---

6. 使用 Telnet 连接到需要创建实例的机器。该机器上已启动并运行默认网关实例。

7. 在立即配置模式下安装 AM-SDK。

8. 在立即配置模式下或稍后选择配置模式下，使用 UI 安装程序安装网关。

9. 将 /opt/SUNWportal/template/sra/GWConfig.properties.template 文件复制到临时位置。例如，/tmp。

10. 根据需要修改值。

    ---

    注 –

    该值应与新配置文件的网关实例中的端口号相匹配。

    ---

11. 完成后，运行以下命令：

    ./psadmin create-sra-instance -u amadmin -f <passwordfile> -S <template file location>.template -t gateway

12. 使用新的网关配置文件名重新启动网关以确保使更改生效：

    ./psadmin start-sra-instance –u amadmin – f <password file> –N <profile name>– t <gateway>

    有关启动和停止网关的详细信息，参见启动网关实例。要配置网关，参见第 8 章，配置 Secure Remote Access 网关

使用同一 LDAP 创建网关实例

1. 使用与第一个网关相同的字符串替换用于加密和解密密码的密钥。

   am.encryption.pwd= string_key_specified_in gateway-install

2. 替换作为应用程序验证模块共享密钥的密码：

   com.iplanet.am.service.secret= string_key_specified_in gateway-install

3. 在 /etc/opt/SUNWam/config/ums 中，修改 serverconfig.xml 中的以下区域，使其与第一个安装的 Portal Server 实例一致：

   <DirDN> cn=puser,ou=DSAME Users,dc=sun,dc=net</DirDN>

   <DirPassword> string_key_specified_in gateway-install</DirPassword>

   <DirDN>cn=dsameuser,ou=DSAME Users,dc=sun,dc=net</DirDN>

   <DirPassword>string_key_specified_in gateway-install </DirPassword>

4. 重新启动 Access Manager 服务。

启动网关实例

默认情况下，网关是以用户 noaccess 启动的。

1. 安装网关并创建所需的配置文件之后，请运行下面的命令启动网关：

   ./psadmin start-sra-instance –u amadmin – f <password file> –N <profile name> – t <gateway>

   default — 安装期间所创建的默认网关配置文件。可在以后创建自己的配置文件，然后用新的配置文件重新启动网关。参见创建网关配置文件。

   ---

   注 –

   以相应的配置文件名更换 <profile name> 以启动其他网关实例。

   重新启动服务器（在其中配置网关实例的机器）会重新启动所有网关实例。

   确保 /etc/opt/SUNWportal 目录中没有备份的配置文件。

   ---

2. 运行以下命令，检查网关是否在指定的端口上运行：

   netstat -an | grep port-number

   默认网关端口为 443。

停止网关

1. 请使用以下命令停止网关：

   ./psadmin stop-sra-instance –u amadmin – f <password file> –N <profile name> – t <gateway>

   ---

   注 –

   以相应的配置文件名更换 <profile name> 以启动其他网关实例。

   ---

2. 运行以下命令以验证是否有网关进程仍在运行：

   /usr/bin/ps -ef | grep entsys

使用管理控制台启动和停止网关

1. 登录 Portal Server 管理控制台。

2. 选择“Secure Remote Access”选项卡。

3. 单击“管理实例”子菜单。

4. 在“SRA 代理实例”下，选择一个实例。

   • 单击“启动”启动实例。

   • 单击“停止”停止实例。

用不同的配置文件重新启动网关

1. 重新启动网关：

   ./psadmin start-sra-instance –u amadmin – f <password file> –N <profile name> – t <gateway>

重新启动网关

1. 在终端窗口中，以超级用户身份连接并执行以下步骤之一：

   • 启动监视程序进程：

     ./psadmin sra-watchdog -u uid -f password-filename -t instance-type on

     [--adminuser | -u] uid	指定管理员的标识名 (DN) 或用户 ID。
     [-passwordfile | -f] password-filename	指定密码文件中的管理员密码。
     [--type | -t] instance-type	指定 Secure Remote Access 实例的类型。输入：gateway、nlproxy 或 rwproxy。

     有关监视程序命令的信息，参见 Sun Java System Portal Server Command Line Reference Guide。

     此操作在 crontab 实用程序中创建一个条目，并且监视程序进程当前处于活动状态。监视程序监控正在特定机器上运行的所有网关实例和网关端口，并在网关停机时重新启动它。

指定虚拟主机

1. 以超级用户身份登录并编辑所需网关实例的 platform.conf 文件：

   /etc/opt/SUNWportal/platform.conf.gateway-profile-name

2. 添加下列条目：

   gateway.virtualhost= fully-qualified-gateway-host gateway-ip-address fully- qualified-reverse-proxyhost

   gateway.enable.customurl=true（该值默认设置为 false。）

3. 重新启动网关：

   ./psadmin start-sra-instance –u amadmin – f <password file> –N <profile name>– t <gateway>

   如果未指定这些值，则网关以默认值执行正常操作。

指定代理

1. 在命令行中编辑以下文件：

   /etc/opt/SUNWportal/platform.conf.gateway-profile-name

2. 添加下列条目：

   http.proxyHost=proxy-host http.proxyPort=proxy-port http.proxySet=true

3. 重新启动网关以使用指定的代理处理发往服务器的请求：

   ./psadmin start-sra-instance –u amadmin – f <password file> –N <profile name>– t <gateway>

创建 Netlet 代理实例

1. 使用 Telnet 连接到需要创建实例的机器。该机器上已启动并运行默认网关实例。

2. 将 /opt/SUNWportal/template/sra/NLPConfig.properties.template 文件复制到临时位置。例如，/tmp。

3. 在新配置文件的文件中根据需要修改相应值。

4. 完成后，运行以下命令：

   ./psadmin create-sra-instance -u amadmin -f <passwordfile> -S <template file location>.template -t nlproxy

5. 以所需网关配置文件名启动 Netlet 代理的新实例以确保使更改生效：

   ./psadmin start-sra-instance –u amadmin – f <password file> –N <profile name> – t nlproxy

重新启动 Netlet 代理

1. 在终端窗口中，以超级用户身份连接并执行以下步骤之一：

   • 启动监视程序进程：

     psadmin sra-watchdog -u uid -f password-filename -t instance-type on

     输入 nlproxy 替换 instance-type。有关此命令的详细信息，参见 Sun Java Portal Server Command Line Reference Guide。

     此操作在 crontab 实用程序中创建一个条目，并且监视程序进程当前处于活动状态。监视程序监控 Netlet 代理端口，只要它停止运行就重新启动。

   • 手动启动 Netlet 代理：

     psadmin start-sra-instance -u uid -f password-filename -N sra-instance-name -t instance-type

     输入 nlproxy 替换 instance-type。此配置文件名与所需的 Netlet 代理实例相对应。有关此命令的详细信息，参见 Sun Java Portal Server Command Line Reference Guide。

创建重写器代理实例

1. 使用 Telnet 连接到需要创建实例的机器。该机器上已启动并运行默认网关实例。

2. 将 /opt/SUNWportal/template/sra/GWConfig.properties.template 文件复制到临时位置。例如，/tmp。

3. 在新配置文件的文件中根据需要修改相应值。

4. 完成后，运行以下命令：

   ./psadmin create-sra-instance -u amadmin -f <passwordfile> -S <template file location>.template -t rwproxy

5. 以所需网关配置文件名启动重写器代理的新实例以确保使更改生效：

   ./psadmin start-sra-instance –u amadmin – f <password file> –N <profile name> – t rwproxy

重新启动重写器代理

1. 在终端窗口中，以超级用户身份连接并执行以下步骤之一：

   • 启动监视程序进程：

     psadmin sra-watchdog -u uid -f password-filename -t instance-type on

     输入 rwproxy 替换 instance-type。有关此命令的详细信息，参见 Sun Java Portal Server Command Line Reference Guide。

     此操作在 crontab 实用程序中创建一个条目，并且监视程序进程当前处于活动状态。监视程序监控重写器代理端口，只要它停止运行就重新启动。

   • 手动启动重写器代理：

     start-sra-instance -u uid -f password-filename -N sra-instance-name -t instance-type

     输入 rwproxy 替换 instance-type。此配置文件名与所需的重写器代理实例相对应。有关此命令的详细信息，参见 Sun Java Portal Server Command Line Reference Guide。

启用反向代理

1. 以超级用户身份登录并编辑所需网关实例的 platform.conf 文件：

   /etc/opt/SUNWportal/platform.conf. gateway-profile-name

2. 添加下列条目：

   gateway.virtualhost= fully-qualified-gateway-host gateway-ip-address fully- qualified-reverse-proxyhost

   gateway.enable.customurl=true（该值默认设置为 false。）

   gateway.httpurl= http reverse-proxy-URL

   gateway.httpsurl=https reverse-proxy-URL

   gateway.httpurl 用于重写对端口处所收到请求的响应，该端口在网关配置文件中列为 HTTP 端口。

   gateway.httpsurl 用于重写对端口处所收到请求的响应，该端口在网关配置文件中列为 HTTPS 端口。

3. 重新启动网关：

   ./psadmin start-sra-instance –u amadmin – f <password file> –N <profile name> – t <gateway>

   如果未指定这些值，则网关以默认值执行正常操作。

向现有 PDC 实例添加验证模块

1. 以管理员身份登录到 Access Manager 管理控制台。

2. 选择所需的组织。

3. 在“查看”下拉框中选择“服务”。

   将显示这些服务。

4. 单击“验证配置”。

   将显示“服务实例列表”。

5. 单击 Gatewaypdc。

   将显示 Gatewaypdc 属性页。

6. 单击“编辑”。

   将显示“添加模块”页面。

7. 选择“模块名称”并将“标志”设置为“必填”。

8. 单击“确定”。

9. 添加一个或多个模块之后，单击“保存”。

10. 单击 gatewaypdc 属性页中的“保存”。

11. 重新启动网关以使更改生效：

    gateway-install-location/SUNWportal/bin/psadmin start-sra-instance –u amadmin – f <password file> –N <profile name>– t <gateway>

禁用浏览器高速缓存

1. 以超级用户身份登录并编辑所需网关实例的 platform.conf 文件：

   /etc/opt/SUNWportal/platform.conf.gateway-profile-name

2. 编辑以下行：

   gateway.allow.client.caching=true

   该值默认设置为 true。将该值更改为 false 可禁用客户机的浏览器高速缓存。

3. 重新启动网关：

   ./psadmin start-sra-instance –u amadmin – f <password file> –N <profile name> – t <gateway>

共享 LDAP 目录

1. 修改 AMConfig.properties 中的以下区域，使其与第一个安装的 Portal Server 和 Access Manager 服务器实例同步：

   # 将用于加密和解密密码的密钥。am.encryption.pwd=t/vnY9Uqjf12NbFywKuAaaHibwlDFNLO <== REPLACE THIS STRING WITH THE ONE FROM FIRST PORTAL INSTALL

   /* The following key is the shared secret for application auth module */ com.iplanet.am.service.secret=AQICxIPLNc0WWQRVlYZN0PnKgyvq3gTU8JA9 <== REPLACE THIS STRING WITH THE ONE FROM FIRST PORTAL INSTALL

2. 在 /etc/opt/SUNWam/config/ums 中，修改 serverconfig.xml 中的以下区域，以便与第一个安装的 Portal Server 和 Access Manager 服务器实例不同步：

   <DirDN> cn=puser,ou=DSAME Users,dc=sun,dc=net </DirDN> <DirPassword> AQICxIPLNc0WWQT22gQnGgnCp9rUf+FuaqpY <== REPLACE THIS STRING WITH THE ONE FROM FIRST PORTAL INSTALL </DirPassword> <DirDN> cn=dsameuser,ou=DSAME Users,dc=sun,dc=net </DirDN> <DirPassword> AQICxIPLNc0WWQT22gQnGgnCp9rUf+FuaqpY <== REPLACE THIS STRING WITH THE ONE FROM FIRST PORTAL INSTALL </DirPassword>

3. 重新启动 Access Manager 服务。