本附录说明可通过每个 Portal Server Secure Remote Access 组件的 Portal Server 管理控制台为 Sun Java System Portal Server Secure Remote Access 配置的属性:
访问控制服务列出了“访问控制”服务属性。
表 A–1 访问控制服务属性
属性 |
默认值 |
描述 |
---|---|---|
拒绝的 URL |
|
最终用户不能通过网关访问的 URL 列表。 |
允许的 URL |
* |
最终用户可通过网关访问的 URL 列表。 |
禁用单点登录主机 |
禁用一列主机的单点登录。 |
|
启用每个会话的单点登录 |
启用会话的单点登录。 |
|
允许的验证级别 |
* |
表示对验证的信任程度使用星号以允许所有验证级别。有关验证级别的信息,参见 Access Manager 管理指南。 |
单击网关服务时,右侧窗格将显示一个用于创建新配置文件的按钮和一个所有已创建的网关配置文件的列表。
如果单击“新建”,下一个窗格会提示您输入新网关配置文件名。可选择使用默认模板或者使用先前创建的网关配置文件作为模板。
如果单击所列出的网关配置文件名之一,将提供一个标签列表。分别是:
核心列出网关服务核心属性。
表 A–2 网关服务核心属性
属性 |
默认值 |
描述 |
---|---|---|
启用 HTTPS 连接 |
|
启用 HTTPS 连接。 |
HTTPS 端口 |
443 |
指定 HTTPS 端口。 |
启用 HTTP 连接 |
* |
启用 HTTP 连接。 |
HTTP 端口 |
80 |
指定 HTTP 端口。 |
启用重写器代理 |
* |
实现网关与内部网之间的安全 HTTP 通信。重写器代理和网关使用相同的网关配置文件。 |
重写器代理列表 |
重写器代理列表。若重写器代理有多个实例,则以格式 host-name:port 输入每个实例的详细信息。 |
|
启用 Netlet |
选中 |
启用 TCP/IP(例如 Telnet 和 SMTP)、HTTP 应用程序和固定端口应用程序的安全。 |
启用 Proxylet |
选中 |
启用客户机上的 Proxylet 下载。 |
启用 Netlet 代理 |
通过将安全隧道从客户机经网关扩展到驻留在内联网中的 Netlet 代理,增强网关和内联网之间 Netlet 通信的安全性。如果不想通过 Portal Server 使用应用程序,则可禁用此选项。 |
|
Netlet 代理主机 |
以如下格式列出“Netlet 代理主机”:hostname:port |
|
启用 Cookie 管理 |
跟踪和管理允许用户访问的所有网站的用户会话。(对 Portal Server 用来跟踪 Portal Server 用户会话的 cookie 不适用)。 |
|
启用持久的 HTTP 连接 |
选中 |
可在网关处启用 HTTP 持久性连接,以防止为 Web 页面中的所有对象(如图像和样式表)打开套接字。 |
每个持久性连接的最大请求数量 |
10 |
指定每个持久性连接的请求数量。 |
持久套接字连接超时 |
50 |
指定套接字关闭之前需要的时间长短。 |
Grace 超时,以解决周转时间 |
20 |
指定浏览器在发送请求之后该请求到达网关需要的宽限时间,以及网关发送响应和浏览器实际接收到响应之间的时间。 |
用户会话 Cookie 转发到的 URL |
可使 servlet 和 CGI 接收 Portal Server 的 cookie 并使用 API 来标识用户。 |
|
最大连接队列长度 |
50 |
指定网关可接受的最大并发连接数量。 |
网关超时时间(秒) |
120 |
指定网关与浏览器连接超时前的时间间隔(以秒为单位)。 |
线程组合容量最大值 |
200 |
指定可在网关线程池中预先创建的最大线程数。 |
高速缓存套接字超时 |
200 |
指定网关与 Portal Server 连接超时前的时间间隔(以秒为单位)。 |
Portal Server |
以 http:// portal server name:port -number 的格式指定 Portal Server。网关试图以循环方式联络每个列出的 Portal Server 来为请求提供服务。 |
|
服务器重试时间间隔(秒) |
120 |
指定在 Portal Server、重写器代理或 Netlet 代理不可用(如,崩溃或死机)之后,尝试启动它们的请求之间的时间间隔。 |
存储外部服务器 Cookie |
允许网关存储和管理通过网关访问的任何第三方应用程序或服务器的 cookie。 |
|
从 URL 获取会话信息 |
无论支持 cookie 与否,均将会话信息作为 URL 的一部分进行编码。网关使用在 URL 中找到的会话信息进行验证,而不使用客户机浏览器发出的会话 cookie。 |
代理列出网关服务代理属性。
表 A–3 网关服务代理属性
属性 |
默认值 |
描述 |
---|---|---|
使用代理 |
启用网络代理的应用。 |
|
使用 Webproxy URL |
列出网关只能通过“域和子域的代理”列表中列出的 Web 代理进行联系的 URL(即使禁用“使用代理服务器”选项)。 |
|
不可使用 Webproxy URL |
列出网关可以直接连接到的 URL。 |
|
域和子域代理 |
iportal.com sun.com |
指定用于联系特定域中的特定子域的代理。 |
代理密码列表 |
如果指定代理服务器需要验证才能访问某些或所有站点,则指定网关向该代理服务器进行验证所需的服务器名、用户名和密码。 |
|
启用自动代理配置支持 |
指定“域和子域的代理”字段中的信息将被忽略。 |
|
自动代理配置文件位置 |
指定要用于 PAC 支持的文件的位置。 |
|
启用通过网络代理开通 Netlet 隧道 |
将安全隧道从客户机经由网关扩展到驻留在内部网中的网络代理。 |
安全列出网关服务安全属性。
表 A–4 网关服务安全属性
属性 |
默认值 |
描述 |
---|---|---|
启用 HTTP 基本验证 |
选中 |
保存用户名和密码,这样用户在重新访问受 BASIC 保护的网站时,就无需重新输入其身份验证信息。 |
免验证 URL |
/portal/desktop/images /amserver/login_images /portal/desktop/css /amserver/jss /amconsole/console/css /portal/searchadmin/console/js /amconsole/console/js /amserver/css |
指定不需要任何验证的 URL,如包含图像的目录。 |
已启用证书的网关主机 |
列出启用证书的网关主机。 |
|
允许 40 位加密 |
允许 40 位(弱)“加密套接字层”(SSL) 连接。如果没有选择此选项,则只支持 128 位连接。 |
|
启用 SSL 2.0 版本 |
选中 |
启用 SSL 2.0 版本。 禁用 SSL 2.0 意味着仅支持较早 SSL 2.0 的浏览器不能向 SRA 进行验证。这将确保更高级别的安全性。 |
启用 SSL 密码选择 |
启用 SSL 密码选择。您可选择支持所有预封装的密码,或者可以单独选择所需的密码。您可以为每个网关实例指定特定的 SSL 密码。 |
|
SSL2 密码 |
列出 SSL 2 版本的密码以供选择。 |
|
SSL3 密码 |
列出可以选择的 SSL 3.0 版密码。 |
|
TLS 密码 |
列出 TLS 密码。 |
|
启用 SSL 3.0 版本 |
选中 |
启用 SSL 3.0 版本。 禁用 SSL 3.0 意味着仅支持 SSL 3.0 的浏览器不能向 SRA 进行验证。这将确保更高级别的安全性。 |
启用空密码 |
启用空密码。 |
|
信任的 SSL 域 |
列出信任的 SSL 域。 |
|
把 Cookie 标记为安全 |
将 cookie 标记为安全。必须启用“启用 Cookie 管理”选项。 |
重写器标签有两个子部分:
基本列出网关服务重写器基本属性。
表 A–5 网关服务重写器属性-基本
属性 |
默认值 |
描述 |
---|---|---|
启用全部 URI 重写 |
指定重写所有 URI,但不检查“域和子域代理”列表中的条目。 |
|
将 URI 映射至规则集 |
*://*.iportal.com*/portal/* |default_gateway_ruleset */portal/NetFileOpenFileServlet* |null_ruleset *|generic_ruleset REPLACE_WITH_IPLANET_MAIL_SERVER_NAME|iplanet_mail_ruleset REPLACE_WITH_EXCHANGE_SERVER_ NAMEexchange_2000sp3_owa_ruleset *://*.iportal.com*/amconsole/*|default_gateway_ruleset REPLACE_WITH_INOTES_SERVER_NAME|inotes_ruleset http*://*/portal/NetFileController*|null_ruleset |
使用“将 URI 映射至规则集”列表将域与规则集相关联。规则集是在 Access Manager 管理控制台中的 Portal Server 配置下创建的。 |
将解析器映射到 MINE 类型 |
JAVASCRIPT=application/x-java XML=text/xml HTML=text/html;text/htm;text/x-component;text/wml;text/vnd.wap.wml CSS=text/css |
将新的 MIME 类型与 HTML、JAVASCRIPT、CSS 或 XML 相关联。使用分号或逗号分隔多个条目。 |
禁止重写的 URI |
列出禁止重写的 URI。注释:向该列表中添加 #* 可重写 URI(即使规则集中包含 href 规则)。 |
|
默认域 |
将主机名解析为默认域和子域。这是在安装期间指定的 |
高级列出网关服务重写器高级属性。
表 A–6 网关服务重写器属性-高级
属性 |
默认值 |
描述 |
---|---|---|
启用 MIME 推测 |
未发送 MIME 时,启用 MIME 推测。必须将数据添加到“将解析器映射至 URI”列表框中。 |
|
将解析器映射至 URI 映射 |
将解析器映射到 URI。多个 URI 以分号进行分隔。 例如,HTML=*.html; *.htm;*Servlet 它表示会使用重写器来重写具有 html、htm 或 Servlet 扩展名的任何页的内容。 |
|
启用屏蔽 |
允许重写器重写 URI 以便使人们看不到页的“内部网 URL”。 |
|
用于屏蔽的种子字符串 |
指定用于屏蔽 URI 的种子字符串。此随机字符串由屏蔽算法生成。 |
|
禁止屏蔽的 URI |
指定不进行屏蔽的 Internet URI。应用程序(如 applet)需要 Internet URI 时,使用此项。 例如,如果添加了 */Applet/Param* 到列表框中,则当内容 URI http://abc.com/Applet/Param1.html 在规则集的规则中匹配时,将不会屏蔽此 URI。 |
|
使网关协议与原始 URI 协议相同 |
启用重写器以使用一致的协议访问 HTML 内容中的引用资源。 这样做只适用于静态 URI,不适用于 Javascript 中生成的动态 URI。 |
单击“NetFile 服务”时,右侧窗格显示选项卡。分别是:
“主机”标签有两个子部分:
配置列出 NetFile 主机配置属性。
表 A–7 NetFile 服务主机配置属性
属性 |
默认值 |
描述 |
OS 字符集 |
Unicode(UTF-8) |
指定与主机进行通信时用作默认编码的字符集。 |
主机侦测顺序 |
WIN、NETWARE、FTP、NFS |
指定主机侦测顺序。 |
通用主机 |
指定所有远程 NetFile 用户均可通过 NetFile 使用的主机。 |
|
默认域 |
指定 NetFile 联络允许主机时需要使用的默认域。 |
|
默认 Microsoft Windows 域/工作组 |
指定用户要访问的 Windows 主机的默认 Microsoft Windows 域或工作组。 |
|
默认 WINS/DNS 服务器 |
指定 NetFile 用于访问 windows 主机的 WINS/DNS 服务器。 |
访问列出 NetFile 服务主机访问属性。
表 A–8 NetFile 服务主机访问属性
属性 |
默认值 |
描述 |
---|---|---|
允许访问 Windows 主机 |
选中 |
允许访问 Microsoft Windows 主机。 |
允许访问 FTP 主机 |
选中 |
允许访问 FTP 主机。 |
允许访问 NFS 主机 |
选中 |
允许访问 NFS 主机。 |
允许访问 Netware 主机 |
选中 |
允许访问 Netware 主机。 |
允许的主机 |
* |
指定用户可通过 NetFile 访问的主机。 |
拒绝的主机 |
指定用户不能通过 NetFile 访问的主机。 |
如果您在用户开始使用 NetFile 后禁用了这些选项,则仅当用户从 NetFile 中注销并重新登录时,此更改才会生效。
权限列出 NetFile 服务权限属性。
表 A–9 NetFile 服务权限属性
属性 |
默认值 |
描述 |
---|---|---|
允许文件重命名 |
选中 |
允许用户重命名文件。 |
允许删除文件/文件夹 |
选中 |
允许用户删除文件和文件夹。 |
允许文件上载 |
选中 |
允许用户上载文件。 |
允许文件/文件夹下载 |
选中 |
允许用户下载文件和文件夹。 |
允许文件搜索 |
选中 |
允许用户进行搜索。 |
允许文件邮件 |
选中 |
允许邮寄文件。 |
允许文件压缩 |
选中 |
允许文件压缩。 |
允许改变用户 Id |
选中 |
允许用户使用不同的 ID。 |
允许改变 Windows 域 |
选中 |
允许用户更改 Microsoft Windows 域。 |
视图列出 NetFile 服务视图属性。
表 A–10 NetFile 服务视图属性
属性 |
默认值 |
描述 |
---|---|---|
窗口大小 |
700|400 |
在用户桌面上以像素为单位指定 NetFile 窗口的大小。如果输入了无效值,NetFile 会使用默认值。 |
窗口位置 |
100|50 |
指定 NetFile 窗口在用户桌面上的显示位置。如果输入了无效值,NetFile 会使用默认值。 |
“操作”标签有下列子部分:
通信量列出 NetFile 服务操作通信属性。
表 A–11 NetFile 服务操作 - 通信属性
属性 |
默认值 |
描述 |
---|---|---|
临时目录位置 |
/tmp |
指定各种 NetFile 文件操作的临时目录。 确保运行 Web 服务器的 ID(如 nobody 或 noaccess)对所指定的目录具有 rwx 权限。还要确保此 ID 对于到所需临时目录的完整路径具有 rx 权限。 最好为 NetFile 创建一个单独的临时目录。如果所指定的临时目录对于 Portal Server 的所有模块来说是公用目录,磁盘空间可能很快就会用完。如果临时目录没有空间,NetFile 便无法工作。 |
文件上载限制 (MB) |
5 |
指定可以上载的最大文件大小。如果输入无效值,NetFile 会将其重置为默认值。请确保输入整数值。 可为不同用户指定不同的文件上载大小限制。 |
搜索列出 NetFile 服务操作搜索属性。
表 A–12 NetFile 服务操作 - 搜索属性
属性 |
默认值 |
描述 |
---|---|---|
搜索目录限制 |
100 |
指定单个搜索操作中可搜索的最大目录数。 |
压缩列出 NetFile 服务操作压缩属性。
表 A–13 NetFile 服务操作 - 压缩属性
属性 |
默认值 |
描述 |
---|---|---|
默认压缩类型 |
Zip |
指定 Zip 或 Gzip 压缩类型。 |
默认压缩级别 |
6 |
指定压缩级别,1 和 9 之间的一个数字。 |
常规列出 Netfile 服务常规属性。
表 A–14 NetFile 服务-常规属性
属性 |
默认值 |
描述 |
---|---|---|
MIME 类型配置文件位置 |
/opt/S1PS62/SUNWportal/samples/config/netfile |
指定要发送到客户机浏览器的响应内容类型。 |
Netlet 服务列出 Netlet 服务属性。
表 A–15 Netlet 服务属性
属性 |
默认值 |
描述 |
---|---|---|
Netlet 规则 |
选择添加或删除规则。 |
|
如果添加规则,下列九个属性是必需的: | ||
--规则名称 |
为规则指定唯一名称。 |
|
--加密密码 |
指定所需密码。 |
|
--URL |
指定要调用的应用程序的 URL。 |
|
--下载 Applet |
需要下载 applet 时指定。如果使用 applet,相关编辑框中的语法为: local-port:server-host:server-port |
|
--扩展会话 |
确保与该规则相对应的 Netlet 会话运行期间,延长 Portal Server 会话时间。 |
|
--将本地端口映射至目标服务器端口 |
指定本地端口、目标主机和目标端口。输入这些值(在此表的后三行中)之后,单击添加,使其出现在列表中。 |
|
--本地端口 |
指定 Netlet 进行侦听时所在的本地端口。对于 FTP 规则,本地端口值必须是 30021。 |
|
--目标主机 |
静态规则包含用于 Netlet 连接的目标机器的主机名。 动态规则包含单词 "TARGET"。 |
|
--目标端口 |
指定目标主机上的端口。 |
|
默认本地 VM 密码 |
为 Netlet 规则指定默认密码。在使用不包含密码的现有规则时,此功能非常有用。 |
|
默认 Java Plugin 密码 |
为 Netlet 规则指定默认密码。在使用不包含密码的现有规则时,此功能非常有用。 |
|
默认回环端口 |
58000 |
当通过 Netlet 下载 applet 时,指定用于客户机的端口。在 Netlet 规则中,可以覆盖默认值。 |
连接时重新验证 |
确保用户在每次需要建立 Netlet 连接时,均输入 Netlet 密码。 |
|
显示连接时弹出警告 |
选中 |
当用户在 Netlet 上运行应用程序或是有入侵者企图通过侦听端口获得桌面的访问权时,显示消息。 |
在端口警告对话框中显示复选框 |
选中 |
当 Netlet 尝试连接到用户标准“Portal 桌面”上的目标主机时,为用户提供禁止“弹出警告对话框”的选项。 |
保活间隔(分钟) |
0 |
如果客户机是通过 Web 代理连接到网关的,则会因代理超时而断开空闲的 Netlet 连接。为防止出现这种情况,此参数的给定值应小于代理超时值。 |
门户注销时中止 Netlet |
选中 |
用户从 Portal Server 注销时,确保所有连接均终止。 |
Netlet 访问规则 |
* |
为某些组织、角色或用户定义对特定 Netlet 规则的访问。 |
Netlet 拒绝规则 |
拒绝某些组织、角色或用户对特定 Netlet 规则的访问。 |
|
允许的主机 |
* |
为某些组织、角色或用户定义对特定主机的访问。 |
拒绝的主机 |
拒绝对组织内特定主机的访问。 |
Proxylet 服务列出 Proxylet 服务属性。
表 A–16 Proxylet 服务属性
属性 |
默认值 |
描述 |
---|---|---|
自动下载 Proxylet Applet |
如果选中复选框,用户登录时 Proxylet 会被下载到客户机上。 |
|
默认 Proxylet Applet 绑定 IP |
127.0.0.1 |
Proxylet Applet 驻留的 IP 地址。 |
默认 Proxylet Applet 端口 |
58081 |
这是 Proxylet 进行侦听的端口。 |