第 8 章 配置 Secure Remote Access 网关

本章说明如何从 Sun Java System Portal Server 管理控制台配置网关属性。

本章包含以下各节：

• 配置配置文件核心选项

• 配置部署选项

• 配置安全性选项

• 配置性能选项

• 配置重写器选项

• 配置解析器至 MIME 类型的映射

• 配置 URI 到规则集的映射

• 配置个人数字证书验证

• 使用命令行选项配置网关属性

开始之前

• 要创建网关配置文件，参见创建网关配置文件

配置配置文件核心选项

本节说明以下任务：

• 配置启动模式

• 配置核心组件

配置启动模式

如果安装时选择在 HTTPS 模式下运行网关，安装完成后，网关将以 HTTPS 模式运行。在 HTTPS 模式中，网关接受来自浏览器的 SSL 连接，而拒绝非 SSL 连接。不过，您也可以将网关配置为在 HTTP 模式下运行。这样将提高网关性能，因为管理 SSL 会话以及加密、解码 SSL 通信的开销均未涉及到。

配置启动模式

1. 以管理员身份登录到 Portal Server 管理控制台。

2. 选择“Secure Remote Access”选项卡，然后单击配置文件名称以修改其属性。

3. 选择“核心”选项卡。

4. 修改以下属性：

   HTTP 连接

   选中“HTTP 连接”复选框以使网关能够接受非 SSL 连接。

   HTTP 端口

   输入 HTTP 端口号。默认值为 80。

   HTTPS 连接

   选中“HTTPS 连接”复选框以使网关能够接受 SSL 连接。默认情况下，此选项已选中。

   HTTPS 端口

   输入 HTTPS 端口号。默认值为 443。

   ---

   注 –

   可使用《Sun Java System Portal Server 7.2 Command-Line Reference》中的“psadmin set-attribute”（参见《Sun Java System Portal Server 7.2 Command-Line Reference》）修改以下属性

   /space/PS/portal/bin/psadmin set-attribute -u amadmin -f /space/PS/portal/bin/ps_password -p portal1 -m gateway --gateway-profile profileID -a sunPortalGatewayDomainsAndRulesets -A $entry

   • sunPortalGatewayDefaultDomainAndSubdomains=Default Domains

   • sunPortalGatewayLoggingEnabled=Enable Logging

   • sunPortalGatewayEProxyPerSessionLogging=Enable per Session Logging

   • sunPortalGatewayEProxyDetailedPerSessionLogging=Enable Detailed per Session Logging

   • sunPortalGatewayNetletLoggingEnabled=Enable Netlet Logging

   • sunPortalGatewayEnableMIMEGuessing=Enable MIME Guessing

   • sunPortalGatewayParserToURIMap=Parser to URI Mappings

   • sunPortalGatewayEnableObfuscation=Enable Masking

   • sunPortalGatewayObfuscationSecretKey=Seed String for Masking

   • sunPortalGatewayNotToObscureURIList=URIs not to Mask

   • sunPortalGatewayUseConsistentProtocolForGateway=Make Gateway protocol Same as Original URI Protocol

   • sunPortalGatewayEnableCookieManager=Store External Server Cookies

   • sunPortalGatewayMarkCookiesSecure=Mark Cookies as secure

   ---

5. 从终端窗口中重新启动网关：

   ./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway

配置核心组件

Netlet 使用户可以在不安全的网络上（如 Internet）安全地运行常用 TCP/IP 服务。您可以运行 TCP/IP 应用程序（如 Telnet 和 SMTP）、HTTP 应用程序和任何使用固定端口的应用程序。如果启用了 Netlet，网关就需要判断接收的通信是 Netlet 通信还是 Portal Server 通信。由于网关假定所有接收的通信都是 HTTP 通信或 HTTPS 通信，所以禁用 Netlet 可以减少此类开销。只有在确信不需要与 Portal Server 一同使用任何应用程序时，才可以禁用 Netlet。

配置组件

1. 以管理员身份登录到 Portal Server 管理控制台。

2. 选择“Secure Remote Access”选项卡，然后单击配置文件名称以修改其属性。

3. 选择“核心”选项卡。

4. 修改以下属性：

   属性名称	描述
   Netlet	选中“启用”复选框以启动 Netlet 服务。默认情况下，此选项已选中。
   Proxylet	选中“启用”复选框以启动 Proxylet 服务。默认情况下，此选项已选中。

5. 使用以下命令选项从终端窗口中重新启动网关：

   ./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway

配置基本选项

关于 Cookie 管理属性

许多网站使用 cookie 对用户会话进行跟踪和管理。当网关向网站发送在 HTTP 报头中设置 cookie 的请求时，网关以下述方式丢弃或传送这些 cookie：

• 如果未在网关服务中选中“启用 Cookie 管理”属性，则不会重写 cookie。因此，来自浏览器的 cookie 可能不会到达内联网主机，反之亦然。

• 如果选择了“启用 Cookie 管理”属性，网关将重写 cookie。网关会确保来自浏览器的 cookie 到达内联网的目标主机，反之亦然。

此设置不会应用于 Portal Server 用来跟踪 Portal Server 用户会话的 cookie。该设置由“用户会话 Cookie 被转发到的 URL”URL 选项配置控制。

此设置适用于用户可以访问的所有网站（即不能选择丢弃某些网站的 cookie，而保留其他网站的 cookie）。

---

注 –

即使在无 cookie 的网关中，也不要从“Cookie 域”列表中删除 URL。有关“Cookie 域”列表的信息，参见 Access Manager 管理指南。

---

关于 HTTP 基本验证属性

HTTP 基本验证可在网关服务中设置。

网站可以使用“HTTP 基本验证”，要求访问者在浏览网站之前输入用户名和密码（HTTP 响应代码为 401 和 WWW-authenticate：BASIC），从而获得保护。Portal Server 可以保存用户名和密码，这样用户再次访问受 BASIC 保护的 Web 站点时，就不需要重新输入他们的凭证。这些凭证存储在 Directory Server 的用户配置文件中。

此设置不决定用户能否访问受 BASIC 保护的站点，而只确定是否将用户输入的凭证保存在该用户的配置文件中。

此设置适用于用户可以访问的所有网站（即 HTTP 基本验证高速缓冲功能不能对某些网站可用，而对其他网站不可用）。

---

注 –

如果 Microsoft Internet Information Server (IIS) 是通过 Windows NT 质询/响应（HTTP 响应代码为 401，WWW-Authenticate：NTLM）而不是 BASIC 验证进行保护，则不支持浏览由其提供的 URL。

---

您也可使用管理控制台中的“访问控制”服务来启用单点登录。

关于 Portal Server 属性

可以为网关配置多个 Portal Server 以为请求提供服务。安装网关时，可能已经指定需要和网关协同工作的 Portal Server。默认情况下，此 Portal Server 会在 Portal Server 字段中列出。可向列表中添加更多的 Portal Server，格式为 http://portal- server-name:port number。网关会以循环方式尝试联系每个 Portal Server 来为请求提供服务。

关于“用户会话 Cookie 转发到的 URL”属性

portal server 利用 cookie 跟踪用户会话。当网关向服务器提出 HTTP 请求时（例如，当调用桌面 servlet 以生成用户桌面页时），此 cookie 将被转发到服务器。服务器上的应用程序使用该 cookie 来确认并标识用户。

Portal Server 的 cookie 不会被转发到向该服务器以外的其他机器发出的 HTTP 请求，除非在“用户会话 Cookie 转发到的 URL”列表中指定了那些机器上的 URL。因此向此列表中添加 URL 可使 servlet 和 CGI 接收 Portal Server 的 cookie，并使用 API 来标识用户。

URL 使用隐含的后缀通配符进行匹配。例如，列表的默认条目：

http://server:8080

会使 cookie 被转发到所有以 http://server:8080 开始的 URL。

添加：

http://newmachine.eng.siroe.com/subdir

会使 cookie 被转发到所有开头与该字符串完全相同的 URL。

在此例中，cookie 不会转发到任何以“http://newmachine.eng/subdir”开始的 URL，因为该字符串的开头部分与转发列表中的字符串不完全相同。要将 cookie 转发到以这个改变的机器名开始的 URL，必须向转发列表添加新的条目。

同样，cookie 也不会转发到以“https://newmachine.eng.siroe.com/subdir”开始的 URL，除非向列表中添加相应的条目。

关于“从 URL 获取会话”属性

选择“从 URL 获取会话”选项后，不管是否支持 cookie，会话信息都会作为 URL 的一部分进行编码。这意味着网关使用在 URL 中找到的会话信息进行验证，而不使用客户机浏览器发出的会话 cookie。

配置基本选项

1. 以管理员身份登录到 Portal Server 管理控制台。

2. 选择“Secure Remote Access”选项卡，然后单击配置文件名称以修改其属性。

3. 选择“核心”选项卡。

4. 修改以下属性：

   属性名称	描述
   Cookie 管理	选中“启用”复选框以启用 cookie 管理。  默认情况下，此选项已选中。
   HTTP 基本验证	选中“启用 HTTP 基本验证”复选框，以启用 HTTP 基本验证。
   Portal Server	在字段中以 http://portal-server-name:port-number 格式输入 Portal Server，然后单击“添加”。 重复此步骤以将更多 Portal Server 添加到 Portal Server 列表中。
   用户会话 Cookie 转发到的 URL	输入“用户会话 Cookie 转发到的 URL”，然后单击“添加”。  重复此步骤以将更多 URL 添加到“用户会话 Cookie 转发到的 URL”列表中。
   网关最低验证级别	输入验证级别。  默认情况下，会添加星号以允许在所有级别下进行验证。
   从 URL 获取会话	选择“是”以从 URL 检索有关会话的信息。  默认情况下，“否”选项已选中。

配置部署选项

配置代理设置

配置代理设置

1. 以管理员身份登录到 Portal Server 管理控制台。

2. 选择“Secure Remote Access”选项卡，然后单击配置文件名称以修改其属性。

3. 选择“部署”选项卡。

4. 修改以下属性：

   属性名称	描述
   使用代理	选中“使用代理服务器”复选框以启用 Web 代理。
   Web 代理 URL	在“使用 Web 代理 URL”编辑框中，使用 http://host name.subdomain.com 格式输入所需的 URL，然后单击“添加”。 该 URL 添加到“使用 Webproxy URL”列表中。	可以指定即使在禁用“使用代理”选项时，网关也只能通过在“域和子域代理”列表中列出的 Web 代理与某些 URL 联络。您需要在“使用 Webproxy URL”字段中指定这些 URL。有关该值如何影响代理使用的详细信息，参见指定与 Access Manager 联络的代理。
   域和子域代理	即会将该条目添加到“域和子域代理”列表框中。  输入代理信息的格式如下：  domainname proxy1:port1|subdomain1 proxy2:port2|subdomain2 proxy3:port3|* proxy4:port4 * 表示在 * 后定义的代理需要用于所有域和子域，特别指出的除外。  如果未指定代理端口，默认使用端口 8080。	有关如何将代理信息应用到各主机的详细信息，参见指定与 Access Manager 联络的代理。
   代理密码列表	在“代理密码列表”字段中，输入每个代理服务器的相应信息，然后单击“添加”。  输入代理信息的格式如下：  proxyserver|username|password proxyserver 与在“域和子域的代理”列表中定义的代理服务器相对应。	如果代理服务器访问某些或所有站点需要验证，则您需要指定所需的用户名和密码，以便网关验证至特定的代理服务器。
   自动代理配置支持	选中“启用自动代理配置支持”复选框以启用 PAC 支持。	如果您选择了“启用自动代理配置”选项，“域和子域代理”字段中的信息将被忽略。网关仅对内联网配置使用“代理自动配置”(Proxy Automatic Configuration, PAC) 文件。有关 PAC 文件的信息，参见使用自动代理配置。
   自动代理配置文件位置	在“位置”字段中，输入 PAC 文件的名称和位置。

配置重写器代理和 Netlet 代理

关于 NetLet 代理

Netlet 代理通过将安全隧道从客户机，经网关扩展到内联网中的 Netlet 代理，提高了网关和内联网之间 Netlet 通信的安全性。如果已启用 Netlet 代理，Netlet 信息包将由 Netlet 代理解码，然后发送到目标服务器。这将减少需要在防火墙中打开的端口数量。

关于重写器代理

重写器代理可以使网关和内联网之间安全地进行 HTTP 通信。如果未指定重写器代理，那么当用户试图访问内联网中的机器时，网关组件将会直接连接到内联网。重写器代理在安装后不会自动运行。您需要执行以下步骤启用“重定器”代理。

配置重写器代理和 Netlet 代理

1. 以管理员身份登录到 Portal Server 管理控制台。

2. 选择“Secure Remote Access”选项卡，然后单击配置文件名称以修改其属性。

   ---

   注 –

   确保重写器代理和网关使用相同的网关配置文件。

   ---

3. 选择“部署”选项卡。

4. 修改以下属性：

   属性名称	描述
   重写器代理	选中“重写器代理”复选框以启用重写器代理服务。
   重写器代理列表	在“重写器代理”编辑框中，使用 hostname:port 格式输入主机和端口。 提示 – 要确定所需端口是否可用或未使用，在命令行中输入： netstat -a | grep port-number | wc -l port-number 是所需的端口。 单击“添加”。
   Netlet 代理	选中“启用 Netlet 代理”复选框以启用 Netlet 代理服务。
   Netlet 代理主机	在“Netlet 代理主机”字段中，使用 hostname:port 格式输入 Netlet 代理主机和端口。 提示 – 要确定所需端口是否可用或未使用，在命令行中输入： netstat -a | grep port-number | wc -l port-number 是所需的端口。 单击“添加”。
   通过 Web 代理服务器的 Netlet 隧道	选中“启用通过 Web 代理服务器的 Netlet 隧道”复选框以启用隧道。

5. 在服务器上运行 portal-server-install-root/SUNWportal/bin/certadmin 创建重写器代理证书。

   只有当您在安装重写器代理过程中未选择创建证书时，才需要执行此步骤。

6. 以根用户身份登录至安装重写器代理的机器，并启动重写器代理：

   rewriter-proxy-install-root/SUNWportal/bin/rwproxyd -n gateway-profile-name start

7. 以根用户的身份登录至安装网关的机器，并重新启动网关：

   ./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway

配置安全性选项

配置 PDC 和非验证 URL

配置 PDC 和非验证 URL

1. 以管理员身份登录到 Portal Server 管理控制台。

2. 选择“Secure Remote Access”选项卡，然后单击配置文件名称以修改其属性。

3. 选择“安全”选项卡。

4. 修改以下属性：

   属性名称	描述
   已启用证书的网关主机	将网关名添加到“已启用证书的网关”主机。 以 host1.sesta.com 格式添加网关。 单击“添加”。
   免验证 URL	可以指定某些 URL 不需要验证。它们通常是包含图像的目录。  在“免验证 URL”字段中，使用 folder/subfolder 格式输入所需的文件夹路径。 未全限定的 URL（例如，/images）被视为门户 URL。  要添加非门户 URL，请完全限定该 URL，并单击“添加”将此条目添加到“免验证 URL”列表中。
   信任的 SSL 域	在“信任的 SSL 域”字段中，输入域名，然后单击“添加”。

配置 TLS 和 SSL 选项

配置 TLS 和 SSL 选项

1. 以管理员身份登录到 Portal Server 管理控制台。

2. 选择“Secure Remote Access”选项卡，然后单击配置文件名称以修改其属性。

3. 选择“安全”选项卡。

4. 修改以下属性：

   属性名称	描述
   40 位加密	如果要允许 40 位（弱）“加密套接字层”(SSL) 连接，请选择此选项。如果没有选择此选项，则只支持 128 位连接。  如果禁用此选项，用户需要确保浏览器的配置支持所需的连接类型。  注 – 对于 Netscape Navigator 4.7x，用户需要执行以下操作： 在“通信器”菜单中，选择“工具”下的“安全性信息”。 在左侧窗格中单击“导航器”链接。 在“高级安全性 (SSL) 配置”下单击“配置 SSL v2”或“配置 SSL v3”。 启用所需的密码。
   Null 密码	选中“启用空密码”复选框以启用空密码。
   SSL 密码选择	Secure Remote Access 支持许多标准密码。您可选择支持所有预封装的密码或单独选择所需的密码。您可以为每个网关实例指定特定的 SSL 密码。只要客户机站点中存在任一选定的密码，SSL 信号交换即可成功。
   SSL 2.0 版本	选中“启用 SSL 2.0 版本”复选框以启用 2.0 版本。默认情况下，此选项已启用。  您可以启用或禁用 SSL 2.0 版本。禁用 SSL 2.0 意味着仅支持 SSL 2.0 之前版本的浏览器会无法验证到 Secure Remote Access。这将确保更高级别的安全性。
   SSL2 密码	选中“启用 SSL 密码选择”复选框选项。  您可以从 SSL 密码列表中选择所需的密码。
   SSL 3.0 版本	您可以启用或禁用 SSL 3.0 版本。禁用 SSL 3.0 意味着仅支持 SSL 3.0 的浏览器会无法验证到 SRA 软件。这将确保更高级别的安全性。  选中“启用 SSL 3.0 版本”复选框以启用 3.0 版本。
   SSL3 密码	选中“启用 SSL 密码选择”复选框选项。  您可以从 SSL3 密码列表中选择所需的密码。
   TLS 密码	选中“启用 SSL 密码选择”复选框选项。  您可以从 TLS 密码列表中选择所需的密码。

配置性能选项

配置超时和重试

配置超时和重试

1. 以管理员身份登录到 Portal Server 管理控制台。

2. 选择“Secure Remote Access”选项卡，然后单击配置文件名称以修改其属性。

3. 选择“性能”选项卡。

4. 修改以下属性：

   属性名称	描述
   服务器重试时间间隔（秒）	指定在无法使用 Portal Server、重写器代理或 Netlet 代理时（如崩溃或关机），尝试启动它们的各个请求之间的时间间隔（以秒为单位）。
   网关超时时间（秒）	指定一个以秒为单位的时间间隔，如超过此值，网关与浏览器的连接就会超时。  在“网关超时”字段中，指定所需的时间间隔（以秒为单位）。
   高速缓存套接字超时时间（秒）	指定一个以秒为单位的时间间隔，如超过此值，网关与 Portal Server 的连接就会超时。

配置 HTTP 选项

配置 HTTP 选项

1. 以管理员身份登录到 Portal Server 管理控制台。

2. 选择“Secure Remote Access”选项卡，然后单击配置文件名称以修改其属性。

3. 选择“性能”选项卡。

4. 修改以下属性：

   属性名称	描述
   线程组合容量最大值	指定所需的线程数。  可以指定网关线程池中可以预创建的最大线程数。
   持久性 HTTP 连接	选中“启用持久性 HTTP 连接”复选框，以启用 HTTP 连接。  可在网关处启用 HTTP 持久性连接，以防止为 Web 页面中的所有对象（如图像和样式表）打开套接字。
   每个持久连接的最大请求数目	输入最大请求数目。
   持久套接字连接超时时间（秒）	输入所需的超时时间（以秒为单位）。
   反映周转时间的宽限超时时间（秒）	输入所需的宽限超时时间（以秒为单位）。  这是客户机（浏览器）与网关之间的网络通信的往返时间。  浏览器发送请求后，该请求到达网关所花费的时间 网关发送响应与浏览器实际收到响应之间的时间 这取决于网络状况和客户机的连接速度等因素。
   最大连接队列长度	指定网关可接受的最大并发连接数量。  指定所需的连接数。

监视 Secure Remote Access 性能

监视可让管理员评估 Secure Remote Access 各种组件的性能。

监视 Secure Remote Access 性能

1. 登录到 Portal Server 管理控制台。

2. 选择“Secure Remote Access”选项卡，然后单击子菜单中的“监视”。

3. 在“监视”页内，从下拉式菜单中选择一个代理实例。

4. 在“MBean”表中选择属性以查看性能值。

配置重写器选项

配置基本选项

配置基本选项

1. 以管理员身份登录到 Portal Server 管理控制台。

2. 选择“Secure Remote Access”选项卡，然后单击配置文件名称以修改其属性。

3. 选择“重写器”选项卡。

4. 修改以下属性：

   属性名称	描述
   重写全部 URI	选中“启用所有 URI 的重写”复选框使网关重写所有 URL。  如果您启用了网关服务中的“启用全部 URL 重写”选项， 重写器会重写任何 URL，而不检查“域和子域代理”列表中的条目。“域和子域代理”列表中的条目将被忽略。
   禁止重写的 URI	在编辑框中添加 URI。  注 – 向该列表中添加 #* 可重写 URI（即使规则集中包含 href 规则）。

配置 URI 到规则集的映射

规则集是在 Portal Server 管理控制台中，在Portal Server 配置下的重写器服务中创建的。有关详细信息，参见 Portal Server 管理指南。

创建了规则集之后，可使用“将 URI 映射至规则集”字段将某个域与此规则集相关联。默认情况下，会将以下两个条目添加到“将 URI 映射至规则集”字段中：

• *://*.Sun.COM/portal/*|default_gateway_ruleset

  其中，sun.com 是门户的安装域，/portal 是门户的安装环境

• *|generic_ruleset

这表示默认域的所有页都应用默认网关规则集。对于其他所有页，将会应用一般规则集。默认网关规则集和一般规则集都是预封装的规则集。

---

注 –

对于所有在桌面上显示的内容，不管内容取自何处，均使用默认域规则集。

例如，假定将桌面配置为凑集来自 URL yahoo.com 的内容。Portal Server 位于 sesta.com 中。sesta.com 的规则集将会应用至获取的内容。

---

---

注 –

为其指定规则集的域必须在“域和子域代理”列表中列出。

---

配置 URI 到规则集的映射

1. 以管理员身份登录到 Portal Server 管理控制台。

2. 选择“Secure Remote Access”选项卡，然后单击配置文件名称以修改其属性。

3. 选择“重写器”选项卡。

4. 修改以下属性：

   属性名称

   描述

   URI

   在“将 URI 映射至规则集”字段中，输入所需的域或主机名和规则集，然后单击“添加”。  会将此条目添加到“将 URI 映射至规则集”字段中。  指定域或主机名以及规则集时采用的格式如下：  domain-name|ruleset-name 例如：  eng.sesta.com|default 注 – 规则集应用优先顺序为 hostname-subdomain-domain。 例如，基于域的规则集列表中有下列条目： sesta.com|ruleset1 eng.sesta.com|ruleset2 host1.eng.sesta.com|ruleset3 ruleset3 将应用于 host1 上的所有页。 除了从 host1 中检索到的页之外，ruleset2 将应用于 eng 子域中的所有页。 除了从 eng 子域和 host1 中检索到的页之外，ruleset1 将应用于 sesta.com 域中的所有页。

配置解析器至 MIME 类型的映射

重写器有 4 个不同的解析器，可用来根据内容类型（HTML、JAVASCRIPT、CSS 和 XML）对网页进行解析。默认情况下，这些解析器与常见的 MIME 类型相关联。您可以在网关服务的“将解析器映射至 MIME 类型”字段中，将新的 MIME 类型与这些解析器相关联。这会将重写器功能扩展到其他 MIME 类型。

使用分号或逗号分隔多个条目（“;”或“,”）

例如：

HTML=text/html;text/htm;text/x-component;text/wml; text/vnl/wap.wml

它表示会将含有上述 MIME 的任何内容发送到“HTML 重写器”，并且会应用“HTML 规则”来重写这些 URL。

---

提示 –

从 MIME 映射列表中删除不必要的解析器可以提高操作速度。例如，如果您确信来自某个内联网的内容不含有任何 JavaScript，则可从 MIME 映射列表中删除 JAVASCRIPT 条目。

---

配置解析器至 MIME 类型的映射

1. 以管理员身份登录到 Portal Server 管理控制台。

2. 选择“Secure Remote Access”选项卡，然后单击配置文件名称以修改其属性。

3. 选择“重写器”选项卡。

4. 修改以下属性：

   属性名称	描述
   解析器	在“将解析器映射至 MIME 类型”字段中，将所需的 MIME 类型添加到编辑框中。可使用分号或逗号分隔多个条目。 以 HTML=text/html;text/htm 格式指定该条目 单击“添加”，将所需条目添加到列表中。

配置个人数字证书验证

PDC 由“认证机构”(CA) 发放，并使用该认证机构的私有密钥签名。颁发证书之前，CA 将对请求主体的身份进行验证。因此，PDC 的出现提供了一种功能强大的验证机制。

PDC 含有所有者的公共密钥、所有者名称、到期日期、发放“数字证书”的认证机构名称、序列号以及可能包含的其他信息。

用户可以将 PDC 和编码设备（如 Smart 卡和 Java 卡）用于 Portal Server 中的验证。编码设备与卡中存储的 PDC 具有等效的电子效力。如果用户使用上述任一机制登录，将不会显示登录屏幕和验证屏幕。

PDC 验证过程涉及以下步骤：

1. 用户在浏览器中键入一个连接请求，例如 https://my.sesta.com。

   对此请求的响应取决于到 my.sesta.com 的网关是否已经配置为接受证书。

   ---

   注 –

   当网关被配置成接受证书时，它仅接受以证书方式进行的登录，而拒绝其他所有类型的登录。

   ---

   网关检查证书是否由已知的“认证机构”发放，是否尚未过期，以及是否未经篡改。如果证书有效，网关将允许用户进入验证过程的下一步。

2. 网关将证书传递给服务器中的 PDC 验证模块。

配置 PDC 和编码设备

1. 将以下行添加到 Portal Server 机器的 /etc/opt/SUNWam/config/AMConfig.properties 文件中：com.iplanet.authentication.modules.cert.gwAuthEnable=yes。

2. 将“必要的证书”导入希望启用 PDC 的网关的证书数据库。要配置证书，参见在网关机器上导入根 CA 证书

3. 以管理员身份登录到 Access Manager 管理控制台，然后执行以下操作：

   1. 选择“身份管理”选项卡，然后选择一个“组织”。

   2. 从“视图”下拉式菜单中单击组织的“服务”。

   3. 单击“添加”注册证书。

4. 从 Access Manager 管理控制台，执行以下操作：

   1. 选择所需的组织，然后单击“证书”旁边的箭头。

   2. 在“信任的远程主机”列表框中，突出显示“无”，然后单击“删除”。

   3. 在文本字段中输入任何内容，然后单击“添加”。

   4. 单击“保存”。

5. 从 Access Manager 管理控制台，执行以下操作：

   1. 选择所需的组织，然后从“视图”下拉式菜单中选择“服务”。

      将显示服务列表。

   2. 单击“验证配置”核心服务旁边的箭头，然后单击“新建”。

      将显示“新建服务实例”页面。

   3. 输入服务实例名称 gatewaypdc。

   4. 单击“提交”。

      将显示 gatewaypdc“服务实例列表”。

   5. 单击 gatewaypdc 编辑服务。

      将显示 gatewaypdc 显示属性页。

   6. 单击“验证配置”旁边的“编辑”链接，然后单击“添加”。

      将显示“添加模块”页面。

   7. 从“模块名称”字段中选择“证书”并选择“必需”作为执行标准，然后单击“确定”。

   8. 单击“确定”完成操作。

6. 从 Access Manager 管理控制台，执行以下操作：

   1. 单击“核心”旁的箭头。

   2. 在“组织验证”模块列表框中，选择 gatewaypdc。

   3. 从“用户配置文件”下拉式菜单中选择“动态”。

   4. 单击“保存”以完成修改。

7. 以管理员身份登录到 Portal Server 管理控制台，然后执行以下操作：

   1. 选择“Secure Remote Access”选项卡，然后选择相应的网关配置文件。

   2. 选择“安全”选项卡。

   3. 在“已启用证书的网关主机”列表框中，添加网关名称。

   4. 单击“保存”。

8. 从终端窗口中重新启动网关配置文件：

   ./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway

9. 将 CA 签发的客户机证书安装到必须访问启用了 PDC 网关的浏览器。

10. 将客户机证书安装到 JVM 密钥库中。可通过如下所示的方式：从 Windows 机器的“开始”>“设置”>“控制面板”>“Java”来访问 JVM 控制面板。

    将以下内容添加到 Applet 运行时参数：

    • Djavax.net.ssl.keyStore=Path to Keystore

    • Djavax.net.ssl.keyStorePassword=password

    • Djavax.net.ssl.keyStoreType=type

11. 访问您的网关配置文件和组织：

    https://gateway:instance-port/YourOrganization

    如果没有提示您输入用户名和密码，则应该使用证书名称登录。

在网关机器上导入根 CA 证书

1. 在网关机器上导入根 CA 证书。

   1. <Gateway-Install-Dir>/SUNWportal/bin/certadmin -n <gw-profile-name>

      此时会列出 Certadmin 菜单。

   2. 选择选项 3。输入证书的路径。

   有关详细信息，参见第 10 章，使用证书。

2. 生成一个“证书签名请求”以提交到 CA。

   1. <Gateway-Install-Dir>/SUNWportal/bin/certadmin -n <gw-profile-name>

      此时会列出 Certadmin 菜单。

   2. 选择选项 2。输入相应的信息。

   3. 保存该文件。

3. 将“证书签名请求”提交到 CA 并使其获得批准。在 CA 签名后保存证书响应。

4. 在获得 CA 批准后导入“服务器证书”。

   1. <Gateway-Install-Dir>/SUNWportal/bin/certadmin -n <gw-profile-name>

      此时会列出 Certadmin 菜单。

   2. 选择选项 4。

   3. 指定包含“服务器证书”的文件的位置。

5. 在 Portal Server 机器上导入根 CA 证书。

使用命令行选项配置网关属性

本节为以下任务提供命令行选项，以从终端窗口中配置网关属性：

• 管理外部服务器 Cookie 的存储

• 启用将 Cookie 标记为安全

• 创建不使用的代理 URL 列表

• 管理 URI 映射的规则集

• 指定默认域

• 管理 MIME 推测

• 创建要解析的 URI 映射列表

• 管理屏蔽

• 指定屏蔽种子字符串

• 创建禁止屏蔽的 URI 列表

• 使网关协议与原始 URI 协议相同

管理外部服务器 Cookie 的存储

当启用“存储外部服务器 Cookie”选项时，网关存储并管理通过网关访问的任何第三方应用程序或服务器的 cookie。尽管应用程序或服务器不能服务于 cookieless 设备或依赖于 cookie 进行状态管理，网关也会透明地屏蔽应用程序或服务器，使其不知道网关正服务于 cookieless 设备。

有关 cookieless 设备和客户机检测的信息，参见《Access Manager 自定义和 API 指南》

键入以下命令并按 Enter 键以管理外部服务器 cookie 的存储。

• 启用：

  PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a CookieManagement true

• 禁用：

  PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a CookieManagement false

• 获取属性值：

  PS_INSTALL_DIR /bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a CookieManagement

另请参见

《Sun Java System Portal Server 7.2 Command-Line Reference》中的“psadmin set-attribute”和《Sun Java System Portal Server 7.2 Command-Line Reference》中的“psadmin get-attribute”

启用将 Cookie 标记为安全

将 cookie 标记为安全 cookie 时，浏览器以额外的安全对待该 cookie。安全的实现方式取决于浏览器。如果要使用此功能，必须启用“启用 Cookie 管理”属性。

键入以下命令并按 Enter 键以将 cookie 标记为安全。

• 启用：

  PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a MarkCookiesSecure true

• 禁用：

  PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a MarkCookiesSecure false

• 获取属性值：

  PS_INSTALL_DIR /bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a MarkCookiesSecure

另请参见

《Sun Java System Portal Server 7.2 Command-Line Reference》中的“psadmin set-attribute”和《Sun Java System Portal Server 7.2 Command-Line Reference》中的“psadmin get-attribute”

创建不使用的代理 URL 列表

网关会尝试直接连接到在“不可使用 Webproxy URL”列表中列出的 URL。Webproxy 将不用于连接到这些 URL。

键入以下命令并按 Enter 键以管理不使用的代理 URL。

---

注 –

如果有多个 URL，请使用空格分隔每个 URL。

---

• 指定不使用的 URL：

  PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a DontUseWebProxyURL -A "LIST_OF_URLS"

• 添加到现有 URL 列表：

  PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a DontUseWebProxyURL -A "LIST_OF_URLS"

• 从现有 URL 列表中删除：

  PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a DontUseWebProxyURL -E "LIST_OF_URLS"

• 获取现有 URL 列表：

  PS_INSTALL_DIR /bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a DontUseWebProxyURL

另请参见

《Sun Java System Portal Server 7.2 Command-Line Reference》中的“psadmin set-attribute”和《Sun Java System Portal Server 7.2 Command-Line Reference》中的“psadmin get-attribute”

管理 URI 映射的规则集

Secure Remote Access 支持 Microsoft Exchange 2000 SP3 安装和 Outlook Web Access (OWA) 的 MS Exchange 2003。

添加 URI 到现有列表：

PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile default -a DomainsAndRulesets -A "URI|RULE_SET_NAME URI|RULE_SET_NAME"

从现有列表中删除 URI：

PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile default -a DomainsAndRulesets -E "URI|RULE_SET_NAME URI|RULE_SET_NAME"

获取现有列表：

PS_INSTALL_DIR /bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a DomainsAndRulesets

键入以下命令并按 Enter 键以管理 Outlook Web Access 的规则集。

• 添加规则集：

  PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile default -a DomainsAndRulesets -A "EXCHANGE2000_SERVER_NAME exchange_2000sp3_owa_ruleset"

• 删除规则集：

  PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile default -a DomainsAndRulesets -E "EXCHANGE2000_SERVER_NAME exchange_2000sp3_owa_ruleset"

• 设置 URI 至规则集的映射的列表：

  PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a DomainsAndRulesets "URI| RULE_SET_NAME URI|RULE_SET_NAME "

另请参见

《Sun Java System Portal Server 7.2 Command-Line Reference》中的“psadmin set-attribute”和《Sun Java System Portal Server 7.2 Command-Line Reference》中的“psadmin get-attribute”

指定默认域

当 URL 仅包含不带域和子域的主机名时，才会用到默认域。在这种情况下，网关假定主机名在默认域列表中，并进行相应处理。

例如，如果 URL 中的主机名为 host1，并且将默认的域和子域指定为 red.sesta.com，则主机名会被解析为 host1.red.sesta.com。

键入以下命令并按 Enter 键以指定默认域。

• 设置默认域：

  PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a DefaultDomainsAndSubdomains "DOMAIN_NAME"

• 获取默认域：

  PS_INSTALL_DIR /bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a DefaultDomainsAndSubdomains

另请参见

《Sun Java System Portal Server 7.2 Command-Line Reference》中的“psadmin set-attribute”和《Sun Java System Portal Server 7.2 Command-Line Reference》中的“psadmin get-attribute”

管理 MIME 推测

重写器根据页面的 MIME 类型选择解析器。某些 Web 服务器（如 WebLogic 和 Oracle）不发送 MIME 类型。要回避这个问题，可通过在“将解析器映射至 URI”列表框中添加数据来启用 MIME 推测功能。

键入以下命令并按 Enter 键以管理 MIME 推测。

• 启用 MIME 推测：

  PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a EnableMIMEGuessing true

• 禁用 MIME 推测：

  PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a EnableMIMEGuessing false

• 获取值：

  PS_INSTALL_DIR/bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a EnableMIMEGuessing

另请参见

《Sun Java System Portal Server 7.2 Command-Line Reference》中的“psadmin set-attribute”和《Sun Java System Portal Server 7.2 Command-Line Reference》中的“psadmin get-attribute”

创建要解析的 URI 映射列表

如果启用了“MIME 推测”复选框，并且服务器尚未发送 MIME 类型，可使用该列表框将解析器映射到 URI。

多个 URI 以分号进行分隔。

例如，HTML=*.html; *.htm;*Servlet。这意味着会使用“HTML 重写器”来重写具有 html、htm 或 Servlet 扩展名的任何页的内容。

键入以下命令并按 Enter 键以创建要解析的 URI 映射列表。

• 设置要解析的 URI 映射列表：

  PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a MIMEMap

• 添加到现有列表：

  PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a MIMEMap -A LIST

• 从现有列表中删除：

  PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a MIMEMap -E LIST

• 获取现有列表：

  PS_INSTALL_DIR /bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME-a MIMEMap

另请参见

《Sun Java System Portal Server 7.2 Command-Line Reference》中的“psadmin set-attribute”

管理屏蔽

屏蔽功能允许重写器重写 URI 以便使人们看不到页的内联网 URL。

键入以下命令并按 Enter 键以管理屏蔽。

• 启用屏蔽：

  PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a EnableObfuscation true

• 禁用屏蔽：

  PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a EnableObfuscation false

• 获取值：

  PS_INSTALL_DIR/bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a EnableObfuscation

另请参见

《Sun Java System Portal Server 7.2 Command-Line Reference》中的“psadmin set-attribute”和《Sun Java System Portal Server 7.2 Command-Line Reference》中的“psadmin get-attribute”

指定屏蔽种子字符串

种子字符串用于屏蔽 URI。该字符串由屏蔽算法生成。

---

注 –

如果该种子字符串已更改或是重启了网关，则可能无法为屏蔽后的 URI 加书签。

---

键入以下命令并按 Enter 键以指定屏蔽种子字符串。

• 设置屏蔽种子字符串：

  PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a ObfuscationSecretKey SECRET_KEY

• 获取值：

  PS_INSTALL_DIR/bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a ObfuscationSecretKey

另请参见

《Sun Java System Portal Server 7.2 Command-Line Reference》中的“psadmin set-attribute”和《Sun Java System Portal Server 7.2 Command-Line Reference》中的“psadmin get-attribute”

创建禁止屏蔽的 URI 列表

一些应用程序（如 applet）需要一个 Internet URI，而且不能对其进行屏蔽。要指定这些应用程序，可将 URI 添加到列表框中。

例如，当您将 */Applet/Param* 添加到列表框中后，如果内容 URI http://abc.com/Applet/Param1.html 与规则集中的规则匹配，则不会屏蔽该 URL。

---

注 –

如果有多个 URI，请使用空格分隔每个 URI。

---

键入以下命令并按 Enter 键以创建禁止屏蔽的 URI 列表。

• 设置禁止屏蔽的 URI 列表：

  PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a NotToObscureURIList LIST_OF_URI

• 添加到现有列表：

  PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a NotToObscureURIList -A LIST_OF_URI

• 从现有列表中删除：

  PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a NotToObscureURIList -E LIST_OF_URI

• 获取现有值：

  PS_INSTALL_DIR /bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a NotToObscureURIList

另请参见

《Sun Java System Portal Server 7.2 Command-Line Reference》中的“psadmin set-attribute”和《Sun Java System Portal Server 7.2 Command-Line Reference》中的“psadmin get-attribute”

使网关协议与原始 URI 协议相同

当网关同时运行于 HTTP 和 HTTPS 模式下时，您可以允许重写器使用一致的协议来访问 HTML 内容中引用的资源。

例如，如果原始 URL 是 http://intranet.com/Public.html，则添加 http 网关。如果原始 URL 是 https://intranet.com/Public.html，则添加 https 网关。

---

注 –

这只适用于静态 URI，不适用于 Javascript 中生成的动态 URI。

---

键入以下命令并按 Enter 键以使网关协议与原始 URI 协议一致。

• 启用：

  PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a UseConsistentProtocolForGateway true

• 禁用：

  PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a UseConsistentProtocolForGateway false

• 获取值：

  PS_INSTALL_DIR/bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a UseConsistentProtocolForGateway

另请参见

《Sun Java System Portal Server 7.2 Command-Line Reference》中的“psadmin set-attribute”和《Sun Java System Portal Server 7.2 Command-Line Reference》中的“psadmin get-attribute”