可使用 Portal Server 管理控制台中“Secure Remote Access”选项卡下的可用选项来设置大部分属性。默认情况下,所创建的任何组织或用户均会继承这些值。
您可在组织级别、角色级别和用户级别配置与 Secure Remote Access 有关的属性,以下情况除外:
不能在用户级别设置“冲突解决方案级别”。参见设置冲突解决方案。
只能在组织级别设置“MIME 类型配置文件位置”属性。
在组织级别设置的值会由该组织下的所有角色和用户继承。在用户级别设置的值会覆盖在组织级别或角色级别设置的相应值。
您可在“服务配置”级别对属性值进行更改。只有添加了新的组织后,才反映这些新的属性值。
本节包括以下章节:
本章说明如何从 Sun Java System Portal Server 管理控制台中允许或拒绝用户的访问。
您可以使用此字段指定最终用户无法通过网关访问的 URL 列表。网关会在检查“允许的 URL”列表之前先检查“拒绝的 URL”列表。
可指定最终用户能够通过网关访问的所有 URL。默认情况下,此列表有一通配符项 (*),表示可以访问所有 URL。如果要允许访问所有 URL,仅限制访问特定 URL,可将受限 URL 添加到“拒绝的 URL”列表中。用同样的方法,如果希望仅允许访问特定 URL,则将“拒绝的 URL”字段留为空白,在“允许的 URL”字段中指定所需的 URL。
SRA 软件中的“访问控制”服务允许您控制各个主机的单点登录功能。为使单点登录功能可用,必须在“网关”服务中启用“启用 HTTP 基本验证”选项。
通过“访问控制”服务,可禁用某些主机的单点登录功能。这意味着最终用户在每次连接到需要 HTTP 基本验证的主机时都需要进行验证,除非启用“每个会话的单点登录”功能。
如果某台主机的单点登录功能已被禁用,则用户可在单个 Portal Server 会话中重新连接到该主机。例如,假定已禁用至 abc.sesta.com 的单点登录。用户第一次连接到此站点时,需要进行验证。用户可以浏览其他页面,并稍后返回此页面,如果该页面在同一 Portal Server 会话中,则无需验证。
以管理员身份登录到 Portal Server 管理控制台。
选择“Secure Remote Access”选项卡。
选择“访问控制”选项卡。
修改以下属性:
属性名称 |
描述 |
---|---|
COS 优先 |
指定用于确定属性值继承性的值。有关此属性的详细信息,参见 Sun Java System Directory Server 管理指南。 |
每个会话的单点登录 |
选中“启用”复选框以启用单点登录会话。 |
禁用单点登录主机 |
以 abc.siroe.com 格式输入主机名。 |
允许的验证级别 |
输入允许的验证级别。用星号可表示允许所有级别。默认值为星号。 |
允许/拒绝访问的 URL |
在 URL 字段中输入允许或拒绝通过网关访问的 URL。输入 URL 的格式为:http://abc.siroe.com。在“操作”下拉列表下,单击相应的“允许”或“拒绝”选项。 也可以使用正则表达式,如 http://*.siroe.com。在这种情况下,用户不能访问 siroe.com 域中的所有主机。 在检查允许的 URL 列表之前,网关会首先检查已拒绝访问的 URL。 注 – 默认情况下,“允许的 URL”字段具有一个 *,它表示可通过网关访问所有的 URL。 |
安装 SRA 时,默认情况下“访问控制”服务并非对所有用户均可用。该服务仅适用于安装期间默认创建的 amadmin 用户。没有此服务,其他用户便无法通过网关访问桌面。以 amadmin 身份登录,并将此项服务指定给所有用户。
单击“保存”以完成修改。
本章说明如何从 Sun Java System Portal Server 管理控制台配置网关属性。
本章包含以下各节:
开始之前
要创建网关配置文件,参见创建网关配置文件
本节说明以下任务:
如果安装时选择在 HTTPS 模式下运行网关,安装完成后,网关将以 HTTPS 模式运行。在 HTTPS 模式中,网关接受来自浏览器的 SSL 连接,而拒绝非 SSL 连接。不过,您也可以将网关配置为在 HTTP 模式下运行。这样将提高网关性能,因为管理 SSL 会话以及加密、解码 SSL 通信的开销均未涉及到。
以管理员身份登录到 Portal Server 管理控制台。
选择“Secure Remote Access”选项卡,然后单击配置文件名称以修改其属性。
选择“核心”选项卡。
修改以下属性:
选中“HTTP 连接”复选框以使网关能够接受非 SSL 连接。
输入 HTTP 端口号。默认值为 80。
选中“HTTPS 连接”复选框以使网关能够接受 SSL 连接。默认情况下,此选项已选中。
输入 HTTPS 端口号。默认值为 443。
可使用《Sun Java System Portal Server 7.2 Command-Line Reference》中的“psadmin set-attribute”(参见《Sun Java System Portal Server 7.2 Command-Line Reference》)修改以下属性
/space/PS/portal/bin/psadmin set-attribute -u amadmin -f /space/PS/portal/bin/ps_password -p portal1 -m gateway --gateway-profile profileID -a sunPortalGatewayDomainsAndRulesets -A $entry
sunPortalGatewayDefaultDomainAndSubdomains=Default Domains
sunPortalGatewayLoggingEnabled=Enable Logging
sunPortalGatewayEProxyPerSessionLogging=Enable per Session Logging
sunPortalGatewayEProxyDetailedPerSessionLogging=Enable Detailed per Session Logging
sunPortalGatewayNetletLoggingEnabled=Enable Netlet Logging
sunPortalGatewayEnableMIMEGuessing=Enable MIME Guessing
sunPortalGatewayParserToURIMap=Parser to URI Mappings
sunPortalGatewayEnableObfuscation=Enable Masking
sunPortalGatewayObfuscationSecretKey=Seed String for Masking
sunPortalGatewayNotToObscureURIList=URIs not to Mask
sunPortalGatewayUseConsistentProtocolForGateway=Make Gateway protocol Same as Original URI Protocol
sunPortalGatewayEnableCookieManager=Store External Server Cookies
sunPortalGatewayMarkCookiesSecure=Mark Cookies as secure
从终端窗口中重新启动网关:
./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway
|
Netlet 使用户可以在不安全的网络上(如 Internet)安全地运行常用 TCP/IP 服务。您可以运行 TCP/IP 应用程序(如 Telnet 和 SMTP)、HTTP 应用程序和任何使用固定端口的应用程序。如果启用了 Netlet,网关就需要判断接收的通信是 Netlet 通信还是 Portal Server 通信。由于网关假定所有接收的通信都是 HTTP 通信或 HTTPS 通信,所以禁用 Netlet 可以减少此类开销。只有在确信不需要与 Portal Server 一同使用任何应用程序时,才可以禁用 Netlet。
以管理员身份登录到 Portal Server 管理控制台。
选择“Secure Remote Access”选项卡,然后单击配置文件名称以修改其属性。
选择“核心”选项卡。
修改以下属性:
属性名称 |
描述 |
---|---|
Netlet |
选中“启用”复选框以启动 Netlet 服务。默认情况下,此选项已选中。 |
Proxylet |
选中“启用”复选框以启动 Proxylet 服务。默认情况下,此选项已选中。 |
使用以下命令选项从终端窗口中重新启动网关:
./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway
许多网站使用 cookie 对用户会话进行跟踪和管理。当网关向网站发送在 HTTP 报头中设置 cookie 的请求时,网关以下述方式丢弃或传送这些 cookie:
如果未在网关服务中选中“启用 Cookie 管理”属性,则不会重写 cookie。因此,来自浏览器的 cookie 可能不会到达内联网主机,反之亦然。
如果选择了“启用 Cookie 管理”属性,网关将重写 cookie。网关会确保来自浏览器的 cookie 到达内联网的目标主机,反之亦然。
此设置不会应用于 Portal Server 用来跟踪 Portal Server 用户会话的 cookie。该设置由“用户会话 Cookie 被转发到的 URL”URL 选项配置控制。
此设置适用于用户可以访问的所有网站(即不能选择丢弃某些网站的 cookie,而保留其他网站的 cookie)。
即使在无 cookie 的网关中,也不要从“Cookie 域”列表中删除 URL。有关“Cookie 域”列表的信息,参见 Access Manager 管理指南。
HTTP 基本验证可在网关服务中设置。
网站可以使用“HTTP 基本验证”,要求访问者在浏览网站之前输入用户名和密码(HTTP 响应代码为 401 和 WWW-authenticate:BASIC),从而获得保护。Portal Server 可以保存用户名和密码,这样用户再次访问受 BASIC 保护的 Web 站点时,就不需要重新输入他们的凭证。这些凭证存储在 Directory Server 的用户配置文件中。
此设置不决定用户能否访问受 BASIC 保护的站点,而只确定是否将用户输入的凭证保存在该用户的配置文件中。
此设置适用于用户可以访问的所有网站(即 HTTP 基本验证高速缓冲功能不能对某些网站可用,而对其他网站不可用)。
如果 Microsoft Internet Information Server (IIS) 是通过 Windows NT 质询/响应(HTTP 响应代码为 401,WWW-Authenticate:NTLM)而不是 BASIC 验证进行保护,则不支持浏览由其提供的 URL。
您也可使用管理控制台中的“访问控制”服务来启用单点登录。
可以为网关配置多个 Portal Server 以为请求提供服务。安装网关时,可能已经指定需要和网关协同工作的 Portal Server。默认情况下,此 Portal Server 会在 Portal Server 字段中列出。可向列表中添加更多的 Portal Server,格式为 http://portal- server-name:port number。网关会以循环方式尝试联系每个 Portal Server 来为请求提供服务。
portal server 利用 cookie 跟踪用户会话。当网关向服务器提出 HTTP 请求时(例如,当调用桌面 servlet 以生成用户桌面页时),此 cookie 将被转发到服务器。服务器上的应用程序使用该 cookie 来确认并标识用户。
Portal Server 的 cookie 不会被转发到向该服务器以外的其他机器发出的 HTTP 请求,除非在“用户会话 Cookie 转发到的 URL”列表中指定了那些机器上的 URL。因此向此列表中添加 URL 可使 servlet 和 CGI 接收 Portal Server 的 cookie,并使用 API 来标识用户。
URL 使用隐含的后缀通配符进行匹配。例如,列表的默认条目:
http://server:8080
会使 cookie 被转发到所有以 http://server:8080 开始的 URL。
添加:
http://newmachine.eng.siroe.com/subdir
会使 cookie 被转发到所有开头与该字符串完全相同的 URL。
在此例中,cookie 不会转发到任何以“http://newmachine.eng/subdir”开始的 URL,因为该字符串的开头部分与转发列表中的字符串不完全相同。要将 cookie 转发到以这个改变的机器名开始的 URL,必须向转发列表添加新的条目。
同样,cookie 也不会转发到以“https://newmachine.eng.siroe.com/subdir”开始的 URL,除非向列表中添加相应的条目。
选择“从 URL 获取会话”选项后,不管是否支持 cookie,会话信息都会作为 URL 的一部分进行编码。这意味着网关使用在 URL 中找到的会话信息进行验证,而不使用客户机浏览器发出的会话 cookie。
以管理员身份登录到 Portal Server 管理控制台。
选择“Secure Remote Access”选项卡,然后单击配置文件名称以修改其属性。
选择“核心”选项卡。
修改以下属性:
属性名称 |
描述 |
---|---|
Cookie 管理 |
选中“启用”复选框以启用 cookie 管理。 默认情况下,此选项已选中。 |
HTTP 基本验证 |
选中“启用 HTTP 基本验证”复选框,以启用 HTTP 基本验证。 |
Portal Server |
在字段中以 http://portal-server-name:port-number 格式输入 Portal Server,然后单击“添加”。 重复此步骤以将更多 Portal Server 添加到 Portal Server 列表中。 |
用户会话 Cookie 转发到的 URL |
输入“用户会话 Cookie 转发到的 URL”,然后单击“添加”。 重复此步骤以将更多 URL 添加到“用户会话 Cookie 转发到的 URL”列表中。 |
网关最低验证级别 |
输入验证级别。 默认情况下,会添加星号以允许在所有级别下进行验证。 |
从 URL 获取会话 |
选择“是”以从 URL 检索有关会话的信息。 默认情况下,“否”选项已选中。 |
以管理员身份登录到 Portal Server 管理控制台。
选择“Secure Remote Access”选项卡,然后单击配置文件名称以修改其属性。
选择“部署”选项卡。
修改以下属性:
属性名称 |
描述 | ||
---|---|---|---|
使用代理 |
选中“使用代理服务器”复选框以启用 Web 代理。 | ||
Web 代理 URL |
在“使用 Web 代理 URL”编辑框中,使用 http://host name.subdomain.com 格式输入所需的 URL,然后单击“添加”。 该 URL 添加到“使用 Webproxy URL”列表中。 |
可以指定即使在禁用“使用代理”选项时,网关也只能通过在“域和子域代理”列表中列出的 Web 代理与某些 URL 联络。您需要在“使用 Webproxy URL”字段中指定这些 URL。有关该值如何影响代理使用的详细信息,参见指定与 Access Manager 联络的代理。 |
|
域和子域代理 |
即会将该条目添加到“域和子域代理”列表框中。 输入代理信息的格式如下:
* 表示在 * 后定义的代理需要用于所有域和子域,特别指出的除外。 如果未指定代理端口,默认使用端口 8080。 |
有关如何将代理信息应用到各主机的详细信息,参见指定与 Access Manager 联络的代理。 |
|
代理密码列表 |
在“代理密码列表”字段中,输入每个代理服务器的相应信息,然后单击“添加”。 输入代理信息的格式如下: proxyserver|username|password proxyserver 与在“域和子域的代理”列表中定义的代理服务器相对应。 |
如果代理服务器访问某些或所有站点需要验证,则您需要指定所需的用户名和密码,以便网关验证至特定的代理服务器。 |
|
自动代理配置支持 |
选中“启用自动代理配置支持”复选框以启用 PAC 支持。 |
如果您选择了“启用自动代理配置”选项,“域和子域代理”字段中的信息将被忽略。网关仅对内联网配置使用“代理自动配置”(Proxy Automatic Configuration, PAC) 文件。有关 PAC 文件的信息,参见使用自动代理配置。 |
|
自动代理配置文件位置 |
在“位置”字段中,输入 PAC 文件的名称和位置。 |
关于 NetLet 代理
Netlet 代理通过将安全隧道从客户机,经网关扩展到内联网中的 Netlet 代理,提高了网关和内联网之间 Netlet 通信的安全性。如果已启用 Netlet 代理,Netlet 信息包将由 Netlet 代理解码,然后发送到目标服务器。这将减少需要在防火墙中打开的端口数量。
关于重写器代理
重写器代理可以使网关和内联网之间安全地进行 HTTP 通信。如果未指定重写器代理,那么当用户试图访问内联网中的机器时,网关组件将会直接连接到内联网。重写器代理在安装后不会自动运行。您需要执行以下步骤启用“重定器”代理。
以管理员身份登录到 Portal Server 管理控制台。
选择“Secure Remote Access”选项卡,然后单击配置文件名称以修改其属性。
确保重写器代理和网关使用相同的网关配置文件。
选择“部署”选项卡。
修改以下属性:
在服务器上运行 portal-server-install-root/SUNWportal/bin/certadmin 创建重写器代理证书。
只有当您在安装重写器代理过程中未选择创建证书时,才需要执行此步骤。
以根用户身份登录至安装重写器代理的机器,并启动重写器代理:
rewriter-proxy-install-root/SUNWportal/bin/rwproxyd -n gateway-profile-name start |
以根用户的身份登录至安装网关的机器,并重新启动网关:
./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway |
以管理员身份登录到 Portal Server 管理控制台。
选择“Secure Remote Access”选项卡,然后单击配置文件名称以修改其属性。
选择“安全”选项卡。
修改以下属性:
以管理员身份登录到 Portal Server 管理控制台。
选择“Secure Remote Access”选项卡,然后单击配置文件名称以修改其属性。
选择“安全”选项卡。
修改以下属性:
以管理员身份登录到 Portal Server 管理控制台。
选择“Secure Remote Access”选项卡,然后单击配置文件名称以修改其属性。
选择“性能”选项卡。
修改以下属性:
属性名称 |
描述 |
---|---|
服务器重试时间间隔(秒) |
指定在无法使用 Portal Server、重写器代理或 Netlet 代理时(如崩溃或关机),尝试启动它们的各个请求之间的时间间隔(以秒为单位)。 |
网关超时时间(秒) |
指定一个以秒为单位的时间间隔,如超过此值,网关与浏览器的连接就会超时。 在“网关超时”字段中,指定所需的时间间隔(以秒为单位)。 |
高速缓存套接字超时时间(秒) |
指定一个以秒为单位的时间间隔,如超过此值,网关与 Portal Server 的连接就会超时。 |
以管理员身份登录到 Portal Server 管理控制台。
选择“Secure Remote Access”选项卡,然后单击配置文件名称以修改其属性。
选择“性能”选项卡。
修改以下属性:
监视可让管理员评估 Secure Remote Access 各种组件的性能。
登录到 Portal Server 管理控制台。
选择“Secure Remote Access”选项卡,然后单击子菜单中的“监视”。
在“监视”页内,从下拉式菜单中选择一个代理实例。
在“MBean”表中选择属性以查看性能值。
以管理员身份登录到 Portal Server 管理控制台。
选择“Secure Remote Access”选项卡,然后单击配置文件名称以修改其属性。
选择“重写器”选项卡。
修改以下属性:
属性名称 |
描述 |
---|---|
重写全部 URI |
选中“启用所有 URI 的重写”复选框使网关重写所有 URL。 如果您启用了网关服务中的“启用全部 URL 重写”选项, 重写器会重写任何 URL,而不检查“域和子域代理”列表中的条目。“域和子域代理”列表中的条目将被忽略。 |
禁止重写的 URI |
在编辑框中添加 URI。 注 – 向该列表中添加 #* 可重写 URI(即使规则集中包含 href 规则)。 |
规则集是在 Portal Server 管理控制台中,在Portal Server 配置下的重写器服务中创建的。有关详细信息,参见 Portal Server 管理指南。
创建了规则集之后,可使用“将 URI 映射至规则集”字段将某个域与此规则集相关联。默认情况下,会将以下两个条目添加到“将 URI 映射至规则集”字段中:
*://*.Sun.COM/portal/*|default_gateway_ruleset
其中,sun.com 是门户的安装域,/portal 是门户的安装环境
*|generic_ruleset
这表示默认域的所有页都应用默认网关规则集。对于其他所有页,将会应用一般规则集。默认网关规则集和一般规则集都是预封装的规则集。
对于所有在桌面上显示的内容,不管内容取自何处,均使用默认域规则集。
例如,假定将桌面配置为凑集来自 URL yahoo.com 的内容。Portal Server 位于 sesta.com 中。sesta.com 的规则集将会应用至获取的内容。
为其指定规则集的域必须在“域和子域代理”列表中列出。
以管理员身份登录到 Portal Server 管理控制台。
选择“Secure Remote Access”选项卡,然后单击配置文件名称以修改其属性。
选择“重写器”选项卡。
修改以下属性:
重写器有 4 个不同的解析器,可用来根据内容类型(HTML、JAVASCRIPT、CSS 和 XML)对网页进行解析。默认情况下,这些解析器与常见的 MIME 类型相关联。您可以在网关服务的“将解析器映射至 MIME 类型”字段中,将新的 MIME 类型与这些解析器相关联。这会将重写器功能扩展到其他 MIME 类型。
使用分号或逗号分隔多个条目(“;”或“,”)
例如:
HTML=text/html;text/htm;text/x-component;text/wml; text/vnl/wap.wml
它表示会将含有上述 MIME 的任何内容发送到“HTML 重写器”,并且会应用“HTML 规则”来重写这些 URL。
从 MIME 映射列表中删除不必要的解析器可以提高操作速度。例如,如果您确信来自某个内联网的内容不含有任何 JavaScript,则可从 MIME 映射列表中删除 JAVASCRIPT 条目。
以管理员身份登录到 Portal Server 管理控制台。
选择“Secure Remote Access”选项卡,然后单击配置文件名称以修改其属性。
选择“重写器”选项卡。
修改以下属性:
属性名称 |
描述 |
---|---|
解析器 |
|
PDC 由“认证机构”(CA) 发放,并使用该认证机构的私有密钥签名。颁发证书之前,CA 将对请求主体的身份进行验证。因此,PDC 的出现提供了一种功能强大的验证机制。
PDC 含有所有者的公共密钥、所有者名称、到期日期、发放“数字证书”的认证机构名称、序列号以及可能包含的其他信息。
用户可以将 PDC 和编码设备(如 Smart 卡和 Java 卡)用于 Portal Server 中的验证。编码设备与卡中存储的 PDC 具有等效的电子效力。如果用户使用上述任一机制登录,将不会显示登录屏幕和验证屏幕。
PDC 验证过程涉及以下步骤:
用户在浏览器中键入一个连接请求,例如 https://my.sesta.com。
对此请求的响应取决于到 my.sesta.com 的网关是否已经配置为接受证书。
当网关被配置成接受证书时,它仅接受以证书方式进行的登录,而拒绝其他所有类型的登录。
网关检查证书是否由已知的“认证机构”发放,是否尚未过期,以及是否未经篡改。如果证书有效,网关将允许用户进入验证过程的下一步。
网关将证书传递给服务器中的 PDC 验证模块。
将以下行添加到 Portal Server 机器的 /etc/opt/SUNWam/config/AMConfig.properties 文件中:com.iplanet.authentication.modules.cert.gwAuthEnable=yes。
将“必要的证书”导入希望启用 PDC 的网关的证书数据库。要配置证书,参见在网关机器上导入根 CA 证书
以管理员身份登录到 Access Manager 管理控制台,然后执行以下操作:
从 Access Manager 管理控制台,执行以下操作:
从 Access Manager 管理控制台,执行以下操作:
从 Access Manager 管理控制台,执行以下操作:
以管理员身份登录到 Portal Server 管理控制台,然后执行以下操作:
从终端窗口中重新启动网关配置文件:
./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway
将 CA 签发的客户机证书安装到必须访问启用了 PDC 网关的浏览器。
将客户机证书安装到 JVM 密钥库中。可通过如下所示的方式:从 Windows 机器的“开始”>“设置”>“控制面板”>“Java”来访问 JVM 控制面板。
将以下内容添加到 Applet 运行时参数:
Djavax.net.ssl.keyStore=Path to Keystore
Djavax.net.ssl.keyStorePassword=password
Djavax.net.ssl.keyStoreType=type
访问您的网关配置文件和组织:
https://gateway:instance-port/YourOrganization
如果没有提示您输入用户名和密码,则应该使用证书名称登录。
在网关机器上导入根 CA 证书。
<Gateway-Install-Dir>/SUNWportal/bin/certadmin -n <gw-profile-name>
此时会列出 Certadmin 菜单。
选择选项 3。输入证书的路径。
有关详细信息,参见第 10 章,使用证书。
生成一个“证书签名请求”以提交到 CA。
将“证书签名请求”提交到 CA 并使其获得批准。在 CA 签名后保存证书响应。
在获得 CA 批准后导入“服务器证书”。
在 Portal Server 机器上导入根 CA 证书。
本节为以下任务提供命令行选项,以从终端窗口中配置网关属性:
当启用“存储外部服务器 Cookie”选项时,网关存储并管理通过网关访问的任何第三方应用程序或服务器的 cookie。尽管应用程序或服务器不能服务于 cookieless 设备或依赖于 cookie 进行状态管理,网关也会透明地屏蔽应用程序或服务器,使其不知道网关正服务于 cookieless 设备。
有关 cookieless 设备和客户机检测的信息,参见《Access Manager 自定义和 API 指南》
键入以下命令并按 Enter 键以管理外部服务器 cookie 的存储。
启用:
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a CookieManagement true
禁用:
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a CookieManagement false
获取属性值:
PS_INSTALL_DIR /bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a CookieManagement
《Sun Java System Portal Server 7.2 Command-Line Reference》中的“psadmin set-attribute”和《Sun Java System Portal Server 7.2 Command-Line Reference》中的“psadmin get-attribute”
将 cookie 标记为安全 cookie 时,浏览器以额外的安全对待该 cookie。安全的实现方式取决于浏览器。如果要使用此功能,必须启用“启用 Cookie 管理”属性。
键入以下命令并按 Enter 键以将 cookie 标记为安全。
启用:
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a MarkCookiesSecure true
禁用:
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a MarkCookiesSecure false
获取属性值:
PS_INSTALL_DIR /bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a MarkCookiesSecure
《Sun Java System Portal Server 7.2 Command-Line Reference》中的“psadmin set-attribute”和《Sun Java System Portal Server 7.2 Command-Line Reference》中的“psadmin get-attribute”
网关会尝试直接连接到在“不可使用 Webproxy URL”列表中列出的 URL。Webproxy 将不用于连接到这些 URL。
键入以下命令并按 Enter 键以管理不使用的代理 URL。
如果有多个 URL,请使用空格分隔每个 URL。
指定不使用的 URL:
PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a DontUseWebProxyURL -A "LIST_OF_URLS"
添加到现有 URL 列表:
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a DontUseWebProxyURL -A "LIST_OF_URLS"
从现有 URL 列表中删除:
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a DontUseWebProxyURL -E "LIST_OF_URLS"
获取现有 URL 列表:
PS_INSTALL_DIR /bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a DontUseWebProxyURL
《Sun Java System Portal Server 7.2 Command-Line Reference》中的“psadmin set-attribute”和《Sun Java System Portal Server 7.2 Command-Line Reference》中的“psadmin get-attribute”
Secure Remote Access 支持 Microsoft Exchange 2000 SP3 安装和 Outlook Web Access (OWA) 的 MS Exchange 2003。
添加 URI 到现有列表:
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile default -a DomainsAndRulesets -A "URI|RULE_SET_NAME URI|RULE_SET_NAME"
从现有列表中删除 URI:
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile default -a DomainsAndRulesets -E "URI|RULE_SET_NAME URI|RULE_SET_NAME"
获取现有列表:
PS_INSTALL_DIR /bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a DomainsAndRulesets
键入以下命令并按 Enter 键以管理 Outlook Web Access 的规则集。
添加规则集:
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile default -a DomainsAndRulesets -A "EXCHANGE2000_SERVER_NAME exchange_2000sp3_owa_ruleset"
删除规则集:
PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile default -a DomainsAndRulesets -E "EXCHANGE2000_SERVER_NAME exchange_2000sp3_owa_ruleset"
设置 URI 至规则集的映射的列表:
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a DomainsAndRulesets "URI| RULE_SET_NAME URI|RULE_SET_NAME "
《Sun Java System Portal Server 7.2 Command-Line Reference》中的“psadmin set-attribute”和《Sun Java System Portal Server 7.2 Command-Line Reference》中的“psadmin get-attribute”
当 URL 仅包含不带域和子域的主机名时,才会用到默认域。在这种情况下,网关假定主机名在默认域列表中,并进行相应处理。
例如,如果 URL 中的主机名为 host1,并且将默认的域和子域指定为 red.sesta.com,则主机名会被解析为 host1.red.sesta.com。
键入以下命令并按 Enter 键以指定默认域。
设置默认域:
PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a DefaultDomainsAndSubdomains "DOMAIN_NAME"
获取默认域:
PS_INSTALL_DIR /bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a DefaultDomainsAndSubdomains
《Sun Java System Portal Server 7.2 Command-Line Reference》中的“psadmin set-attribute”和《Sun Java System Portal Server 7.2 Command-Line Reference》中的“psadmin get-attribute”
重写器根据页面的 MIME 类型选择解析器。某些 Web 服务器(如 WebLogic 和 Oracle)不发送 MIME 类型。要回避这个问题,可通过在“将解析器映射至 URI”列表框中添加数据来启用 MIME 推测功能。
键入以下命令并按 Enter 键以管理 MIME 推测。
启用 MIME 推测:
PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a EnableMIMEGuessing true
禁用 MIME 推测:
PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a EnableMIMEGuessing false
获取值:
PS_INSTALL_DIR/bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a EnableMIMEGuessing
《Sun Java System Portal Server 7.2 Command-Line Reference》中的“psadmin set-attribute”和《Sun Java System Portal Server 7.2 Command-Line Reference》中的“psadmin get-attribute”
如果启用了“MIME 推测”复选框,并且服务器尚未发送 MIME 类型,可使用该列表框将解析器映射到 URI。
多个 URI 以分号进行分隔。
例如,HTML=*.html; *.htm;*Servlet。这意味着会使用“HTML 重写器”来重写具有 html、htm 或 Servlet 扩展名的任何页的内容。
键入以下命令并按 Enter 键以创建要解析的 URI 映射列表。
设置要解析的 URI 映射列表:
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a MIMEMap
添加到现有列表:
PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a MIMEMap -A LIST
从现有列表中删除:
PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a MIMEMap -E LIST
获取现有列表:
PS_INSTALL_DIR /bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME-a MIMEMap
《Sun Java System Portal Server 7.2 Command-Line Reference》中的“psadmin set-attribute”
屏蔽功能允许重写器重写 URI 以便使人们看不到页的内联网 URL。
键入以下命令并按 Enter 键以管理屏蔽。
启用屏蔽:
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a EnableObfuscation true
禁用屏蔽:
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a EnableObfuscation false
获取值:
PS_INSTALL_DIR/bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a EnableObfuscation
《Sun Java System Portal Server 7.2 Command-Line Reference》中的“psadmin set-attribute”和《Sun Java System Portal Server 7.2 Command-Line Reference》中的“psadmin get-attribute”
种子字符串用于屏蔽 URI。该字符串由屏蔽算法生成。
如果该种子字符串已更改或是重启了网关,则可能无法为屏蔽后的 URI 加书签。
《Sun Java System Portal Server 7.2 Command-Line Reference》中的“psadmin set-attribute”和《Sun Java System Portal Server 7.2 Command-Line Reference》中的“psadmin get-attribute”
一些应用程序(如 applet)需要一个 Internet URI,而且不能对其进行屏蔽。要指定这些应用程序,可将 URI 添加到列表框中。
例如,当您将 */Applet/Param* 添加到列表框中后,如果内容 URI http://abc.com/Applet/Param1.html 与规则集中的规则匹配,则不会屏蔽该 URL。
如果有多个 URI,请使用空格分隔每个 URI。
键入以下命令并按 Enter 键以创建禁止屏蔽的 URI 列表。
设置禁止屏蔽的 URI 列表:
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a NotToObscureURIList LIST_OF_URI
添加到现有列表:
PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a NotToObscureURIList -A LIST_OF_URI
从现有列表中删除:
PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a NotToObscureURIList -E LIST_OF_URI
获取现有值:
PS_INSTALL_DIR /bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a NotToObscureURIList
《Sun Java System Portal Server 7.2 Command-Line Reference》中的“psadmin set-attribute”和《Sun Java System Portal Server 7.2 Command-Line Reference》中的“psadmin get-attribute”
当网关同时运行于 HTTP 和 HTTPS 模式下时,您可以允许重写器使用一致的协议来访问 HTML 内容中引用的资源。
例如,如果原始 URL 是 http://intranet.com/Public.html,则添加 http 网关。如果原始 URL 是 https://intranet.com/Public.html,则添加 https 网关。
这只适用于静态 URI,不适用于 Javascript 中生成的动态 URI。
键入以下命令并按 Enter 键以使网关协议与原始 URI 协议一致。
启用:
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a UseConsistentProtocolForGateway true
禁用:
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a UseConsistentProtocolForGateway false
获取值:
PS_INSTALL_DIR/bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a UseConsistentProtocolForGateway
《Sun Java System Portal Server 7.2 Command-Line Reference》中的“psadmin set-attribute”和《Sun Java System Portal Server 7.2 Command-Line Reference》中的“psadmin get-attribute”
突出显示此处的内容。
本章包括以下各节:
有关重写器规则的详细信息,参见定义基于语言的规则
有关重写器问题的详细信息,参见使用调试日志排除故障。
有关重写器示例,参见工作示例。
创建了规则集之后,可使用“将 URI 映射至规则集”字段将某个域与此规则集相关联。默认情况下,会将以下两个条目添加到“将 URI 映射至规则集”字段中:
*://*.Sun.COM/portal/*|default_gateway_ruleset
其中,sun.com 是门户的安装域,/portal 是门户的安装环境
此条目表示,对于域为 sun.com 的门户目录中的所有页,都会应用 default_gateway_ruleset。对于其他所有页,将会应用一般规则集。default_gateway_ruleset 和 generic_ruleset 是预先封装的规则集。
对于标准 Portal 桌面上出现的所有内容,不管内容取自何处,均会使用 default_gateway_ruleset 的规则集。
例如,假定将标准 Portal 桌面配置为凑集来自 URL yahoo.com 的内容。Portal Server 位于 sesta.com 中。sesta.com 的规则集将会应用至获取的内容。
为其指定规则集的域必须在“域和子域代理”列表中列出。
可以在规则集中使用星号来映射全限定 URI 或部分 URI。
例如,可以将 java_index_page_ruleset 应用于 index.html 页,如下所示:
www.sun.com/java/index.html/java_index_page_ruleset
也可以将 java 目录中的所有页应用于 java_directory_ruleset,如下所示:
www.sun.com/java/* /java_directory_ruleset
使用“重写器”选项卡下的网关服务,可以在两类(“基本”和“高级“)范围内执行下列任务:
基本任务
如果您启用了网关服务中的“启用全部 URL 重写”选项, 重写器会重写任何 URL,而不检查“域和子域代理”列表中的条目。“域和子域代理”列表中的条目将被忽略。
以管理员身份登录到 Portal Server 管理控制台。
选择“Secure Remote Access”选项卡,然后选择您要修改其属性的网关配置文件。
选择“重写器”选项卡。
在“基本选项”下,选中“启用所有 URI 的重写”复选框以使网关能够重写所有 URL。
单击“保存”以完成修改。
从终端窗口中重新启动网关:
./psadmin start-sra-instance –u amadmin – f <password file> –N <profile name>– t <gateway> |
以管理员身份登录到 Portal Server 管理控制台。
选择“Secure Remote Access”选项卡,然后选择您要设置其属性的网关配置文件。
选择“重写器”选项卡。
在“基本选项”下,于“添加”文本字段中输入 URI,然后单击“添加”。
URI 值会显示在“禁止重写的 URI”框中。
向该列表中添加 #* 可重写 URI(即使规则集中包含 href 规则)。
单击“保存”以完成修改。
从终端窗口中重新启动网关:
./psadmin start-sra-instance –u amadmin – f <password file> –N <profile name>– t <gateway> |
以管理员身份登录到 Portal Server 管理控制台。
选择“Secure Remote Access”选项卡,然后选择您要设置其属性的网关配置文件。
选择“重写器”选项卡。
在“重写器选项”下,单击“将 URI 映射至规则集”,然后单击“添加行”。
在 URI 字段中输入所需的域或主机名,然后在“规则集”字段中输入该域相应的规则集。
会将此条目添加到“将 URI 映射至规则集”列表中。指定域或主机名以及规则集时采用的格式如下:
domain name|ruleset name |
例如:
eng.sesta.com|default |
单击“保存”以完成操作。
从终端窗口中重新启动网关:
./psadmin start-sra-instance –u amadmin – f <password file> –N <profile name>– t <gateway> |
重写器有四个不同的解析器,用于根据内容类型对 Web 页进行解析:HTML、JAVASCRIPT、CSS 和 XML。默认情况下,这些解析器与常见的 MIME 类型相关联。您可以在网关服务的“将解析器映射至 MIME 类型”字段中,将新的 MIME 类型与这些解析器相关联。这会将重写器功能扩展到其他 MIME 类型。
使用分号或逗号分隔多个条目(“;”或“,”)。例如:
HTML=text/html;text/htm;text/x-component;text/wml; text/vnl/wap.wml
它表示会将含有上述 MIME 的任何内容发送到 HTML 重写器,并且会应用 HTML 规则来重写这些 URL。
从 MIME 映射列表中删除不必要的解析器可以提高操作速度。例如,如果您确信来自某个内联网的内容不会含有任何 JavaScript,便可从 MIME 映射列表中删除 JAVASCRIPT 条目。
以管理员身份登录到 Portal Server 管理控制台。
选择“Secure Remote Access”选项卡,然后选择您要设置其属性的网关配置文件。
选择“重写器”选项卡。
在“重写器选项”下,单击“将解析器映射至 MIME 类型”。
以 HTML=text/html;text/htm 格式指定该条目
单击“添加行”以将该条目添加到列表中。在“MIME 类型”字段中,输入解析器值以及要映射到的相应 MIME 值。
单击“保存”以完成修改。
从终端窗口中重新启动网关:
./psadmin start-sra-instance –u amadmin – f <password file> –N <profile name>– t <gateway> |
当 URL 仅包含没有域和子域的主机名时,默认的域和子域会非常有用。在这种情况下,网关将假定主机名在默认的域和子域中,并进行相应处理。
例如,如果 URL 中的主机名为 host1,并且将默认的域和子域指定为 red.sesta.com,则主机名会被解析为 host1.red.sesta.com。
以管理员身份登录到 Portal Server 管理控制台。
选择“Secure Remote Access”选项卡,然后选择您要设置其属性的网关配置文件。
选择“部署”选项卡。
在“域和子域的代理”字段中,键入所需的域名(不包括代理)。
单击“保存”以完成修改。
从终端窗口中重新启动网关:
./psadmin start-sra-instance –u amadmin – f <password file> –N <profile name>– t <gateway> |
本章介绍证书管理并说明如何安装自签名证书和来自“证书授权机构”的证书。
本章说明以下主题:
Sun Java System Portal Server Secure Remote Access 软件为远程用户提供基于证书的验证。SRA 使用“安全套接字层”(SSL) 来实现安全通信。SSL 协议可在两台机器之间实现安全通信。
SSL 证书使用公共和私有密钥对提供加密和解密功能。
证书的两种类型为:
自签名证书(也称为根 CA 证书)
由证书授权机构 (CA) 签发的证书
默认情况下,当安装网关时,将会生成并安装自签名证书。
在安装后,您可随时生成、获取或替换证书。
SRA 还支持用“个人数字证书”(Personal Digital Certificates, PDC) 进行客户机验证。PDC 是一个通过 SSL 客户机验证来验证用户的机制。进行 SSL 客户机验证时,SSL 信号交换将在网关结束。网关提取用户的 PDC 并将其传递给已验证的服务器。该服务器使用 PDC 验证用户。要将 PDC 与验证链一起配置,参见使用验证链。
SRA 提供了一个名为 certadmin 的工具,可使用它来管理 SSL 证书。参见 certadmin 脚本。
在 SSL 应用程序中,证书弹出式窗口很常见。建议用户接受警告并继续进行。
证书相关文件位于 /etc/opt/SUNWportal/cert/ gateway-profile-name。默认情况下,此目录包含 5 个文件。
证书文件列出了这些文件及其说明。
表 10–1 证书文件
文件名 |
类型 |
描述 |
---|---|---|
cert8.db、key3.db、secmod.db |
二进制 |
包含证书、密钥和加密模块的数据。 可使用 certadmin 脚本处理。 如有必要,可在 Portal Server 主机和网关组件或网关之间共享这些文件。 |
.jsspass |
隐藏文本文件 |
包含 SRA 密钥数据库的加密密码。 |
.nickname |
隐藏文本文件 |
以 token-name:certificate-name 格式存储网关需要使用的令牌和证书的名称。 如果您使用的是默认令牌(默认内部软件加密模块上的令牌),则省略令牌名。多数情况下,.nickname 文件仅存储证书名。 作为管理员,您可在此文件中修改证书名。您指定的证书此时由网关使用。 |
证书的信任属性表明以下信息:
该证书(如客户机或服务器证书)是否由“委托 CA”发放。
证书(如根证书)是否可受委托作为服务器或客户机证书的签发人。
按如下顺序表示每一证书的三种可用委托类别:“SSL、电子邮件、对象签名”。对于网关,仅第一种类别有用。在每一类别位置中,将使用多个或不使用任何信任属性代码。
类别的属性代码以逗号分隔,并且整个属性组由引号括在其中。例如,在网关安装期间生成并安装的自签名证书被标记为 "u,u,u",它表示该证书是服务器证书(用户证书),而不是根 CA 证书。
证书的信任属性列出了可能的属性值及每个值的含义。
表 10–2 证书的信任属性
属性 |
描述 |
---|---|
p |
有效同级 |
P |
委托同级(暗示 p) |
c |
有效 CA |
T |
签发客户机证书的委托 CA(暗示 c) |
C |
签发服务器证书的委托 CA(仅限 SSL)(暗示 c) |
u |
证书可用于验证或签名 |
w |
发送警告(当证书在该环境中使用时,与其他属性一起使用以包括警告) |
证书数据库中包括大多数众所周知的公共 CA。有关修改公共 CA 的信任属性的信息,参见修改证书的信任属性。
CA 信任属性列出了最常见“证书授权机构”及其信任属性。
表 10–3 公共证书授权机构
证书授权机构名 |
信任属性 |
Verisign/RSA Secure Server CA |
CPp,CPp,CPp |
VeriSign Class 4 Primary CA |
CPp,CPp,CPp |
GTE CyberTrust Root CA |
CPp,CPp,CPp |
GTE CyberTrust Global Root |
CPp,CPp,CPp |
GTE CyberTrust Root 5 |
CPp,CPp,CPp |
GTE CyberTrust Japan Root CA |
CPp,CPp,CPp |
GTE CyberTrust Japan Secure Server CA |
CPp,CPp,CPp |
Thawte Personal Basic CA |
CPp,CPp,CPp |
Thawte Personal Premium CA |
CPp,CPp,CPp |
Thawte Personal Freemail CA |
CPp,CPp,CPp |
Thawte Server CA |
CPp,CPp,CPp |
Thawte Premium Server CA |
CPp,CPp,CPp |
American Express CA |
CPp,CPp,CPp |
American Express Global CA |
CPp,CPp,CPp |
Equifax Premium CA |
CPp,CPp,CPp |
Equifax Secure CA |
CPp,CPp,CPp |
BelSign Object Publishing CA |
CPp,CPp,CPp |
BelSign Secure Server CA |
CPp,CPp,CPp |
TC TrustCenter, Germany, Class 0 CA |
CPp,CPp,CPp |
C TrustCenter, Germany, Class 1 CA |
CPp,CPp,CPp |
TC TrustCenter, Germany, Class 2 CA |
CPp,CPp,CPp |
TC TrustCenter, Germany, Class 3 CA |
CPp,CPp,CPp |
TC TrustCenter, Germany, Class 4 CA |
CPp,CPp,CPp |
ABAecom (sub., Am. Bankers Assn.) Root CA |
CPp,CPp,CPp |
Digital Signature Trust Co. Global CA 1 |
CPp,CPp,CPp |
Digital Signature Trust Co. Global CA 3 |
CPp,CPp,CPp |
Digital Signature Trust Co. Global CA 2 |
CPp,CPp,CPp |
Digital Signature Trust Co. Global CA 4 |
CPp,CPp,CPp |
Deutsche Telekom AG Root CA |
CPp,CPp,CPp |
Verisign Class 1 Public Primary Certification Authority |
CPp,CPp,CPp |
Verisign Class 2 Public Primary Certification Authority |
CPp,CPp,CPp |
Verisign Class 3 Public Primary Certification Authority |
CPp,CPp,CPp |
Verisign Class 1 Public Primary Certification Authority - G2 |
CPp,CPp,CPp |
Verisign Class 2 Public Primary Certification Authority - G2 |
CPp,CPp,CPp |
Verisign Class 3 Public Primary Certification Authority - G2 |
CPp,CPp,CPp |
Verisign Class 4 Public Primary Certification Authority - G2 |
CPp,CPp,CPp |
GlobalSign Root CA |
CPp,CPp,CPp |
GlobalSign Partners CA |
CPp,CPp,CPp |
GlobalSign Primary Class 1 CA |
CPp,CPp,CPp |
GlobalSign Primary Class 2 CA |
CPp,CPp,CPp |
GlobalSign Primary Class 3 CA |
CPp,CPp,CPp |
ValiCert Class 1 VA |
CPp,CPp,CPp |
ValiCert Class 2 VA |
CPp,CPp,CPp |
ValiCert Class 3 VA |
CPp,CPp,CPp |
Thawte Universal CA Root |
CPp,CPp,CPp |
Verisign Class 1 Public Primary Certification Authority - G3 |
CPp,CPp,CPp |
Verisign Class 2 Public Primary Certification Authority - G3 |
CPp,CPp,CPp |
Verisign Class 3 Public Primary Certification Authority - G3 |
CPp,CPp,CPp |
Verisign Class 4 Public Primary Certification Authority - G3 |
CPp,CPp,CPp |
Entrust.net Secure Server CA |
CPp,CPp,CPp |
Entrust.net Secure Personal CA |
CPp,CPp,CPp |
Entrust.net Premium 2048 Secure Server CA |
CPp,CPp,CPp |
ValiCert OCSP Responder |
CPp,CPp,CPp |
Baltimore CyberTrust Code Signing Root |
CPp,CPp,CPp |
Baltimore CyberTrust Root |
CPp,CPp,CPp |
Baltimore CyberTrust Mobile Commerce Root |
CPp,CPp,CPp |
Equifax Secure Global eBusiness CA |
CPp,CPp,CPp |
Equifax Secure eBusiness CA 1 |
CPp,CPp,CPp |
Equifax Secure eBusiness CA 2 |
CPp,CPp,CPp |
Visa International Global Root 1 |
CPp,CPp,CPp |
Visa International Global Root 2 |
CPp,CPp,CPp |
Visa International Global Root 3 |
CPp,CPp,CPp |
Visa International Global Root 4 |
CPp,CPp,CPp |
Visa International Global Root 5 |
CPp,CPp,CPp |
beTRUSTed Root CA |
CPp,CPp,CPp |
Xcert Root CA |
CPp,CPp,CPp |
Xcert Root CA 1024 |
CPp,CPp,CPp |
Xcert Root CA v1 |
CPp,CPp,CPp |
Xcert Root CA v1 1024 |
CPp,CPp,CPp |
Xcert EZ |
CPp,CPp,CPp |
CertEngine CA |
CPp,CPp,CPp |
BankEngine CA |
CPp,CPp,CPp |
FortEngine CA |
CPp,CPp,CPp |
MailEngine CA |
CPp,CPp,CPp |
TraderEngine CA |
CPp,CPp,CPp |
USPS Root |
CPp,CPp,CPp |
USPS Production 1 |
CPp,CPp,CPp |
AddTrust Non-Validated Services Root |
CPp,CPp,CPp |
AddTrust External Root |
CPp,CPp,CPp |
AddTrust Public Services Root |
CPp,CPp,CPp |
AddTrust Qualified Certificates Root |
CPp,CPp,CPp |
Verisign Class 1 Public Primary OCSP Responder |
CPp,CPp,CPp |
Verisign Class 2 Public Primary OCSP Responder |
CPp,CPp,CPp |
Verisign Class 3 Public Primary OCSP Responder |
CPp,CPp,CPp |
Verisign Secure Server OCSP Responder |
CPp,CPp,CPp |
Verisign Time Stamping Authority CA |
CPp,CPp,CPp |
Thawte Time Stamping CA |
CPp,CPp,CPp |
E-Certify CA |
CPp,CPp,CPp |
E-Certify RA |
CPp,CPp,CPp |
Entrust.net Global Secure Server CA |
CPp,CPp,CPp |
Entrust.net Global Secure Personal CA |
CPp,CPp,CPp |
您可使用 certadmin 脚本完成以下证书管理任务:
您需要为每个服务器与网关之间的 SSL 通信生成证书。
以超级用户身份,在您要为其生成证书的网关机器上运行 certadmin 脚本:
portal-server-install-root/SUNWportal/bin/certadmin -n gateway-profile-name |
显示证书管理菜单。
1) Generate Self-Signed Certificate 2) Generate Certificate Signing Request (CSR) 3) Add Root CA Certificate 4) Install Certificate From Certificate Authority (CA) 5) Delete Certificate 6) Modify Trust Attributes of Certificate (e.g., for PDC) 7) List Root CA Certificates 8) List All Certificates 9) Print Certificate Content 10) Quit choice: [10] 1 |
选择证书管理菜单上的选项 1。
证书管理脚本询问您是否要保留现有数据库文件。
输入组织特定信息、令牌名和证书名。
对于通配符证书,在主机的全限定 DNS 名中指定一个 *。例如,如果主机的全限定 DNS 名为 abc.sesta.com,则将其指定为 *.sesta.com。现在,生成的证书对 sesta.com 域中的所有主机名均有效。
What is the fully-qualified DNS name of this host? [host_name.domain_name] What is the name of your organization (ex: Company)? [] What is the name of your organizational unit (ex: division)? [] What is the name of your City or Locality? [] What is the name (no abbreviation please) of your State or Province? [] What is the two-letter country code for this unit? [] Token name is needed only if you are not using the default internal (software) cryptographic module, for example, if you want to use a crypto card (Token names could be listed using: modutil -dbdir /etc/opt/SUNWportal/cert/gateway-profile-name -list); Otherwise, just hit Return below. Please enter the token name. [] Enter the name you like for this certificate? Enter the validity period for the certificate (months) [6] A self-signed certificate is generated and the prompt returns. |
令牌名(默认值为空)和证书名存储在 /etc/opt/SUNWportal/cert/ gateway-profile-name 下面的 .nickname 文件中。
重新启动网关以使证书生效:
./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway |
需先生成包含 CA 所需信息的证书签名请求,方可从 CA 定购证书。
以超级用户身份,运行 certadmin 脚本:
portal-server-install-root/SUNWportal/bin/certadmin -n gateway-profile-name |
显示证书管理菜单。
1) Generate Self-Signed Certificate 2) Generate Certificate Signing Request (CSR) 3) Add Root CA Certificate 4) Install Certificate From Certificate Authority (CA) 5) Delete Certificate 6) Modify Trust Attributes of Certificate (e.g., for PDC) 7) List Root CA Certificates 8) List All Certificates 9) Print Certificate Content 10) Quit choice: [10] 2 |
选择证书管理菜单上的选项 2。
脚本会提示您输入组织特定信息、令牌名以及 Web 站点管理员的电子邮件和电话号码。
确保指定主机的全限定 DNS 名。
What is the fully-qualified DNS name of this host? [snape.sesta.com] What is the name of your organization (ex: Company)? [] What is the name of your organizational unit (ex: division)? [] What is the name of your City or Locality? [] What is the name (no abbreviation please) of your State or Province? [] What is the two-letter country code for this unit? [] Token name is needed only if you are not using the default internal (software) cryptographic module, for example, if you want to use a crypto card (Token names could be listed using: modutil -dbdir /etc/opt/SUNWportal/cert -list); Otherwise, just hit Return below. Please enter the token name [] Now input some contact information for the webmaster of the machine that the certificate is to be generated for. What is the email address of the admin/webmaster for this server [] ? What is the phone number of the admin/webmaster for this server [] ? |
键入全部所需信息。
请勿将 Web 站点管理员的电子邮件和电话号码留为空白。此信息对于获取有效 CSR 是必需的。
会产生 CSR 并将其存储在 portal-server-install-root /SUNWportal/bin/csr.hostname.datetimestamp 文件中。CSR 也会打印在屏幕上。当您从 CA 定购证书时,可直接复制并粘贴 CSR。
如果客户机站点所提交的经 CA 签名的证书不为网关证书数据库所知,则 SSL 握手将会失败。
为防止出现此情况,您需要向证书数据库中添加根 CA 证书。这将确保使 CA 为网关所知。
浏览到 CA 的 Web 站点并获取该 CA 的根证书。当您使用 certadmin 脚本时,要指定根 CA 证书的文件名和路径。
以超级用户身份,运行 certadmin 脚本。
portal-server-install-root/SUNWportal/bin/certadmin -n gateway-profile-name |
显示证书管理菜单。
1) Generate Self-Signed Certificate 2) Generate Certificate Signing Request (CSR) 3) Add Root CA Certificate 4) Install Certificate From Certificate Authority (CA) 5) Delete Certificate 6) Modify Trust Attributes of Certificate (e.g., for PDC) 7) List Root CA Certificates 8) List All Certificates 9) Print Certificate Content 10) Quit choice: [10] 3 |
选择证书管理菜单上的选项 3。
输入包含根证书的文件名,并输入证书名。
根 CA 证书会被添加到证书数据库。
在安装网关过程中,默认情况下将创建并安装自签名证书。在安装之后,您可随时安装由供应商(提供官方证书授权机构 (CA) 服务)或您公司的 CA 签名的 SSL 证书。
此项任务涉及三个步骤:
在生成证书签名请求 (CSR) 后,您需要使用 CSR 从 CA 定购证书。
转到证书授权机构的 Web 站点,并定购您的证书。
提供 CA 所需的 CSR。提供 CA 所需的其他信息(如果需要)。
您会收到来自 CA 的证书。将其保存到文件中。在文件中需包括连同证书在内的 "BEGIN CERTIFICATE" 和 "END CERTIFICATE" 行。
以下示例省略了实际的证书数据。
-----BEGIN CERTIFICATE----- The certificate contents... ----END CERTIFICATE----- |
使用 certadmin 脚本,在 /etc/opt/SUNWportal/cert/ gateway-profile-name 下的本地数据库文件中安装从 CA 获取的证书。
以超级用户身份,运行 certadmin 脚本。
portal-server-install-root/SUNWportal/bin/certadmin -n gateway-profile-name |
显示证书管理菜单。
1) Generate Self-Signed Certificate 2) Generate Certificate Signing Request (CSR) 3) Add Root CA Certificate 4) Install Certificate From Certificate Authority (CA) 5) Delete Certificate 6) Modify Trust Attributes of Certificate (e.g., for PDC) 7) List Root CA Certificates 8) List All Certificates 9) Print Certificate Content 10)Quit choice: [10] 4 |
选择证书管理菜单上的选项 4。
脚本要求您输入证书文件名、证书名和令牌名。
What is the name (including path) of file that contains the certificate? Please enter the token name you used when creating CSR for this certificate. [] |
提供全部所需的信息。
证书被安装在 /etc/opt/SUNWportal/cert/gateway-profile-name 中,并且返回屏幕提示。
重新启动网关以使证书生效:
./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway |
通过使用证书管理脚本可删除证书。
以超级用户身份,运行 certadmin 脚本。
portal-server-install-root/SUNWportal/bin/certadmin -n |
其中,gateway-profile-name 是网关实例名。
显示证书管理菜单。
1) Generate Self-Signed Certificate 2) Generate Certificate Signing Request (CSR) 3) Add Root CA Certificate 4) Install Certificate From Certificate Authority (CA) 5) Delete Certificate 6) Modify Trust Attributes of Certificate (e.g., for PDC) 7) List Root CA Certificates 8) List All Certificates 9) Print Certificate Content 10)Quit choice: [10] 5 |
选择证书管理菜单上的选项 5。
输入要删除证书的名称。
证书的信任属性需要修改的一种情况便是,同时使用客户机验证和网关。PDC(个人数字证书)是客户机验证的一个示例。签发 PDC 的 CA 必须要受网关委托,并且必须将 CA 证书标记为 "T" 以满足 SSL。
如果安装网关与 HTTPS 站点进行通信,则 HTTPS 站点服务器证书的 CA 必须要受网关委托,并且必须将 CA 证书标记为 "C" 以满足 SSL。
以超级用户身份,运行 certadmin 脚本。
gateway-install-root/SUNWportal/bin/certadmin -n gateway-profile-name |
其中,gateway-profile-name 是网关实例名。
显示证书管理菜单。
1) Generate Self-Signed Certificate 2) Generate Certificate Signing Request (CSR) 3) Add Root CA Certificate 4) Install Certificate From Certificate Authority (CA) 5) Delete Certificate 6) Modify Trust Attributes of Certificate (e.g., for PDC) 7) List Root CA Certificates 8) List All Certificates 9) Print Certificate Content 10)Quit choice: [10] 6 |
选择证书管理菜单上的选项 6。
输入证书名。例如,Thawte Personal Freemail CA。
Please enter the name of the certificate? Thawte Personal Freemail CA |
输入证书的信任属性。
Please enter the trust attribute you want the certificate to have [CT,CT,CT] |
证书信任属性将被更改。
通过使用证书管理脚本可查看所有根 CA 证书。
以超级用户身份,运行 certadmin 脚本。
portal-server-install-root/SUNWportal/bin/certadmin -n gateway-profile-name |
其中,gateway-profile-name 是网关实例名。
显示证书管理菜单。
1) Generate Self-Signed Certificate 2) Generate Certificate Signing Request (CSR) 3) Add Root CA Certificate 4) Install Certificate From Certificate Authority (CA) 5) Delete Certificate 6) Modify Trust Attributes of Certificate (e.g., for PDC) 7) List Root CA Certificates 8) List All Certificates 9) Print Certificate Content 10)Quit choice: [10] 7 |
选择证书管理菜单上的选项 7。
显示所有根 CA 证书。
通过使用证书管理脚本可查看所有证书及其相应的信任属性。
以超级用户身份,运行 certadmin 脚本。
portal-server-install-root /SUNWportal/bin/certadmin -n gateway-profile-name |
其中,gateway-profile-name 是网关实例名。
显示证书管理菜单。
1) Generate Self-Signed Certificate 2) Generate Certificate Signing Request (CSR) 3) Add Root CA Certificate 4) Install Certificate From Certificate Authority (CA) 5) Delete Certificate 6) Modify Trust Attributes of Certificate (e.g., for PDC) 7) List Root CA Certificates 8) List All Certificates 9) Print Certificate Content 10)Quit choice: [10] 8 |
选择证书管理菜单上的选项 8。
显示所有 CA 证书。
通过使用证书管理脚本可打印证书。
以超级用户身份,运行 certadmin 脚本。
portal-server-install-root/SUNWportal/bin/certadmin -n gateway-profile-name |
其中,gateway-profile-name 是网关实例名。
显示证书管理菜单。
1) Generate Self-Signed Certificate 2) Generate Certificate Signing Request (CSR) 3) Add Root CA Certificate 4) Install Certificate From Certificate Authority (CA) 5) Delete Certificate 6) Modify Trust Attributes of Certificate (e.g., for PDC) 7) List Root CA Certificates 8) List All Certificates 9) Print Certificate Content 10)Quit choice: [10] 9 |
选择证书管理菜单上的选项 9。
输入证书名。
本章说明如何从 Sun Java System Portal Server 管理控制台配置 Netlet 属性。可在组织级别配置的所有属性也可以在用户级别配置。有关组织、角色和用户级别属性的详细信息,参见《Access Manager 管理指南》。
本章包括以下各节:
您可以执行以下任务配置 Netlet:
以管理员身份登录到 Portal Server 管理控制台。
选择“Secure Remote Access”选项卡,然后选择“Netlet”选项卡。
从“选择 DN”列表中为用户或组织选择一个 DN 或添加一个 DN。
修改以下属性:
属性名称 |
描述 |
---|---|
COS 优先 |
指定用于确定属性值继承性的值。有关此属性的详细信息,参见《Sun Java System Directory Server 管理指南》。 |
启动 Netlet 使用 |
选择 Java Webstart 或 Applet 选项模式来启动 Netlet 服务。 |
默认回环端口 |
指定通过 Netlet 下载 applet 时使用的本机上的端口。使用的默认值为 58000,除非在 Netlet 规则中取代了该值。 输入所需的端口号。 |
保活间隔(秒) |
如果客户机是通过 Web 代理连接到网关的,则会因代理超时而断开空闲的 Netlet 连接。要阻止出现该情况,请输入小于代理超时的值。 |
单击“保存”以完成修改。
以管理员身份登录到 Portal Server 管理控制台。
选择“Secure Remote Access”选项卡,然后选择“Netlet”选项卡。
从“选择 DN”列表中为用户或组织选择一个 DN 或添加一个 DN。
修改以下属性:
属性名称 |
描述 |
---|---|
门户注销时中止 Netlet |
选择“是”以确保在用户从 Portal Server 中注销时终止所有连接。这将确保更高的安全性。默认情况下,此选项已选中。 选择“否”以确保即使在用户已从 Portal Server 桌面中注销后,活动的 Netlet 连接仍会起作用。 注 – 当选择“否”选项后,将不允许用户从 Portal Server 中注销后再建立新的 Netlet 连接。而是只保持现有的连接。 |
连接时重新验证 |
选择“是”以指定通过 Netlet 下载 Applet 时使用的本机上的端口。默认值为 58000,除非在 Netlet 规则中取代了该值。默认情况下,“否”选项已选中。 |
显示连接时弹出警告 |
如果选择“是”,则当其他用户试图通过侦听端口连接到 Netlet 并且用户正使用 Netlet 运行应用程序时,会在用户桌面上显示弹出式警告对话框。默认情况下,“是”选项已选中。 |
在端口警告对话框中显示复选框 |
如果选择“是”,则当 Netlet 试图通过本机上可用的端口连接到目标主机时(如果已在管理控制台中启用),会在用户桌面上显示弹出式警告对话框。默认情况下,“是”选项已选中。 |
Netlet 规则 |
创建全局级别的 Netlet 规则。您新创建的任何组织都会继承这些规则。有关创建、修改和删除 Netlet 规则的详细信息,参见创建、修改或删除 Netlet 规则 |
默认本地 VM 密码 |
从下拉框中选择 Netlet 规则的默认密码。在使用不包含密码的现有规则时,此功能非常有用。有关详细信息,参见向后兼容性一节。 |
默认 Java 插件密码 |
从下拉框中选择默认的 Java 插件密码。有关支持的密码列表,参见支持的密码。 |
允许/拒绝的主机 |
选择主机地址复选框,然后根据用户或组织类型选择允许访问的主机,并从下拉框中选择“允许”或“拒绝”选项。
添加新主机: 注 – 删除现有的主机:从“主机”列表中,选择该主机并单击“删除”。 您可以定义允许或拒绝特定组织、角色或用户对特定主机的访问。例如,您可以建立一个含有五个主机的“允许”列表,使用户可以远程登录到这些主机。可拒绝访问组织内的特定主机。为每一规则指定一个唯一的本地端口。 注 – 该字段中的星号 (*) 表示指定域中的所有主机都是可以访问的。例如,如果指定 *.sesta.com,则用户可以执行 sesta.com 域中的所有 Netlet 目标。也可以指定一个含有通配符的 IP 地址,例如 xxx.xxx.xxx.*。 |
访问/拒绝 Netlet 规则 |
选择 Nelet 规则,然后从下拉框中选择“允许”或“拒绝”选项。 可为某些组织、角色或用户定义对特定 Netlet 规则的访问。 可拒绝某些组织、角色或用户定义访问特定的 Netlet 规则。 注 – 该字段中的星号 (*) 表示所有已定义的 Netlet 规则都可用于所选组织。 |
单击“保存”以完成修改。
还可以在组织、角色或用户级别创建新规则或修改现有规则。您新创建的任何组织都会继承这些规则。
以管理员身份登录到 Portal Server 管理控制台。
选择“Secure Remote Access”选项卡,然后选择“Netlet”选项卡。
从“选择 DN”列表中为用户或组织选择一个 DN 或添加一个 DN。
在“高级”>“Netlet 规则”下,单击“新建规则”。
在“规则名称”字段中输入规则名称。
从可用密码列表中选择“其他”,然后在“加密密码”列表下,选择一个或多个加密密码,或选择“默认”以保留默认的加密密码。
在使用不包含密码的现有规则时,此功能非常有用。有关信息,参见“向后兼容性”一节。有关密码的更详细信息,参见“指定默认加密密码”。
在“远程应用程序 URL”字段中,输入指向要调用的应用程序的 URL。
如果需要下载某个 applet,请选中“客户机端口”复选框。在“客户机端口”、“服务器主机”和“服务器端口”字段中,输入客户机端口号、服务器主机地址和服务器端口号。为每一规则指定一个唯一的本地端口。
默认情况下,“启用下载 Applet”框已禁用。仅当需要从 Portal Server 主机以外的某个主机下载 applet 时,才会指定 applet 详细信息。有关详细信息,参见从远程主机下载 Applet。
选中“启用扩展会话”复选框,确保在此规则相应的 Netlet 会话运行期间延长 Portal Server 会话时间。
在“映射本地端口到目标服务器端口”下,执行以下操作:
单击“保存”以完成修改。
规则名称会显示在 Netlet 主页中。
可以在用户级别配置以下属性:
浏览器代理类型
浏览器代理主机
浏览器代理端口
浏览器代理忽略列表
如果您没有在管理控制台中指定这些值以及 Netlet 无法确定浏览器代理的设置,则在首次通过 Netlet 建立连接时,将会请求用户提供该信息。该信息被存储起来并由用户在将来建立连接时使用。
Netlet 无法在下列情况下确定浏览器代理设置:
用户使用的是装有 Java 插件(1.4.0 版本以下)的 Internet Explorer 4.x、5.x 或 6.x,已在“Java 插件控制面板”的“代理”选项卡中启用了“使用浏览器设置”选项,并且已在 Internet Explorer 的“局域网设置”对话框的“使用自动配置脚本”字段中指定了一个附加产品或 INS 文件。
用户使用的是装有 Java 插件(1.3.1_01 版或更高版本)的 Netscape 6.2,并且已在“Java 插件控制面板”的“代理”选项卡中启用了“使用浏览器设置”选项。
在这两种情况下,Netlet 有可能无法确定浏览器设置,因而会请求用户提供以下信息:
浏览器代理类型
该属性可取的值为“直接”或“手动”。如果用户从下拉列表中选择“直接”,Netlet 会直接连接到网关主机。
浏览器代理主机
指定所需的代理主机,Netlet 需要通过该主机进行连接。
浏览器代理端口
指定代理主机上的端口,Netlet 需要通过该端口进行连接。
浏览器代理忽略列表(以逗号分隔)
指定不想让 Netlet 通过代理进行连接的主机。该列表可以包含多个以逗号分隔的主机名。
本章说明如何配置客户机浏览器的 Java 插件,以使 Netlet 能够与 PDC 一起使用。
仅具有 JSSE 的“虚拟机”(VM) 才支持具有 PDC 的 Netlet。
此处应为简介文本。
在 Portal Server 机器中 /ect/opt/SUNWam/config/AMConfig.properties 文件的任意位置添加 com.iplanet.authentication.modules.cert.gwAuthEnable=yes。
将需要的证书导入希望启用 PDC 的网关的证书数据库。
在网关机器上导入根 CA 证书。
将 CA 证书添加到您的网关配置文件。
创建您自己的网关配置文件以测试 PDC。
执行以下步骤以将证书添加到网关配置文件中。
生成一个“证书签名请求”以提交到 CA。
执行以下步骤以生成“证书签名请求”:
将“证书签名请求”提交到 CA 并使其获得批准。
在 CA 签名后保存证书签名响应。
导入 CA 批准的“服务器证书”。
执行以下步骤以导入“服务器证书”:
将“根 CA 证书”导入到 Portal Server 机器。
本章说明如何从 Sun Java System Portal Server 管理控制台配置 Proxylet。
本章包含以下各节:
选中“部署”选项下的“自动下载 Proxylet Applet”复选框,可将 Proxylet 配置成在用户登录时自动启动。如果未选中“自动下载 Proxylet”复选框,用户可单击标准 Portal 桌面的 Proxylet 频道中的“启动 Proxylet”链接,以在需要时获取 Proxylet。
以管理员身份登录到 Portal Server 管理控制台。
选择“Secure Remote Access”选项卡,然后选择“Proxylet”选项卡。
从“选择 DN”列表框中选择相应的 DN,或为特定用户或组织添加现有的 DN。
在 Proxylet 页下,执行以下操作:
属性名称 |
描述 |
---|---|
COS 优先 |
从选项列表中选择 Proxylet 通信服务的等级。 |
自动下载 Proxylet Applet |
单击“是”以自动将 Proxylet applet 下载到客户机。以下是下载 Proxylet applet 的基本要求: |
客户机可以运行服务器应用程序 |
|
客户机 Java 版本为 1.4 和更高版本 |
|
浏览器为 IE 6.0 sp2 或 Firefox 2.0 |
|
正确的浏览器权限 |
|
通过 Proxylet 刷新门户 |
如果想要在启动 Proxylet 后刷新 Portal 桌面,并使通信通过 Proxylet,则单击“是”。如果启用了“在 Proxylet 启动后刷新门户”和“自动下载 Proxylet Applet”,则“应用程序 Url”不会起作用。 |
启动模式 |
选择 Java Web Start 或 Applet. |
默认 Proxylet Applet 绑定 IP |
键入 Proxylet 绑定和用于侦听浏览器请求的 IP 地址。 |
默认 Proxylet Applet 端口 |
键入 Proxylet 用于侦听浏览器请求的端口号。 |
自动代理配置文件位置 |
键入包含代理设置的配置文件的位置,此代理设置可来自代理自动配置 (Proxy Auto Configuration, PAC) 文件或代理配置列表。 |
在“Proxylet 规则”选项中,请执行以下操作:
单击“保存”以完成修改。
请求(如 HTTP、FTP 等)会通过 Proxylet 服务。Proxylet 规则使管理员能够根据协议、主机或端口指定到域的映射。使用 Proxylet 规则,您可以在代理自动配置 (Proxy Auto Configuration, PAC) 文件中指定域设置和代理设置。例如,您可以创建规则,使所有 FTP 通信量通过 Netlet 发送,所有 HTTP 通信量通过 Proxylet 发送。您可以配置需要通过 Proxylet 服务提交的预定义应用程序。这可以根据用户或组织首选项完成。为 Proxylet 添加要处理的应用程序后,用户桌面便会变得易于管理并提供更好的性能。
确保已启用 Proxylet 选项。有关启用 Proxylet 的详细信息,参见“网关配置文件”一章。
以管理员身份登录到 Portal Server 管理控制台。
选择“Portal”选项卡,然后选择要修改的门户实例。
将会显示“桌面”页。
从“选择 DN”列表框中选择相应的 DN,或为特定用户或组织添加现有的 DN。
单击“管理容器和频道”链接。
将会显示“管理容器和频道”页。
从左侧窗格中选择 Proxylet。
从右侧窗格中选择 Appurls 链接。
在“属性”向导中,输入应用程序名称和值。根据需要修改应用程序的属性。例如,输入应用程序的相应名称和 http://www.example.com。
单击“关闭”以完成操作。
现在,用户或在组织级别可以查看 Portal 桌面上的应用程序链接。
您可以在 Java Web Start 或 Applet 模式下从 Portal 桌面启动 Proxylet。
以 proxylet 用户身份登录到 Portal 桌面。
在“扉页”中,转至 Proxylet 频道并单击“编辑”图标。
从“启动模式”列表框中选择“Java Web Start”或“Applet”选项。
单击“已完成”。
要调用 Proxylet,请从“Proxylet 频道”中选择应用程序。这会在 Java Web Start 或 Applet 模式下启动应用程序。
如果选择了“自动下载”,请单击 Proxylet 频道下的应用程序。
在用户首选项的基础上,会根据 Java Web Start 或 Applet 模式的选择来显示 Proxylet 控制台。接受所有证书并继续使用应用程序。
本章说明如何从 Sun Java System Portal Server 管理控制台配置 NetFile。
本章包含以下各节:
本节包含以下任务:
以管理员身份登录到 Portal Server 管理控制台。
选择“Secure Remote Access”选项卡,然后选择“Netfile”选项卡。
从“选择 DN”列表中为用户或组织选择一个 DN 或添加一个 DN。
修改以下属性:
属性名称 |
描述 |
---|---|
COS 优先 |
指定用于确定属性值继承性的值。有关此属性的详细信息,参见《Sun Java System Directory Server 管理指南》。 |
域/主机首选项 |
输入 NetFile 联络允许主机时所需的默认域。 仅当用户在使用 NetFile 添加主机时指定的不是全限定主机名时,该默认域值才适用。 注 – 确保“默认域”字段不为空,并且其中包含有效的域名。 |
默认 WINS/DNS 服务器 |
输入 NetFile 用于访问 Microsoft Windows 主机的 WINS/DNS 服务器主机地址。 注 – 用户可以在添加机器时指定不同的值来覆盖该值。 |
主机侦测顺序 |
使用“上移”和“下移”按钮指定主机侦测顺序。 |
通用主机 |
输入主机名或全限定名称,然后单击“添加”。 如果您提供的主机名与用户配置的主机名匹配,则会合并这两组信息,并且用户指定的值会覆盖您指定的值。 配置一个主机列表,使所有远程 NetFile 用户都可以通过 NetFile 访问该列表中的主机。 |
例如,假定您已经配置了 4 个通用主机 - sesta、siroe、florizon 和 abc。某位用户配置了 3 个主机,其中两个为 sesta 和 siroe。在这种冲突情况下,用户指定的值会覆盖管理员指定的值。在用户的 NetFile 中也会列出 florizon 和 abc,而且用户可对这些主机执行各种操作。即使您已将 florizon 列入“拒绝的主机列表”, florizon 仍会在用户的 NetFile 中列出,只是不能对 florizon 执行任何操作。
主机类型— 如果用户已添加了一个“通用主机”列表中列出的主机,则用户设置优先。如果存在类型冲突,不会为该用户添加管理员所添加的共享。如果用户与管理员所添加的共享相同,则会添加此共享,但用户设置的密码优先。
单击“保存”以完成修改。
以管理员身份登录到 Portal Server 管理控制台。
选择“Secure Remote Access”选项卡,然后选择“Netfile”选项卡。
从“选择 DN”列表中为用户或组织选择一个 DN 或添加一个 DN。
单击“访问权限”并修改以下属性:
属性名称 |
描述 |
---|---|
访问 Windows 主机 |
选中“允许”复选框以确保用户有访问 Windows 主机的权限。 默认情况下,“允许”复选框已选中。 |
访问 FTP 主机 |
选中“允许”复选框以确保用户有访问 FTP 主机的权限。 |
访问 NFS 主机 |
选中“允许”复选框以确保用户有访问 NFS 主机的权限。 |
访问 Netware 主机 |
选中“允许”复选框以确保用户有访问 Netware 主机的权限。 |
单击“保存”以完成修改。
以管理员身份登录到 Portal Server 管理控制台。
选择“Secure Remote Access”选项卡,然后选择“Netfile”选项卡。
从“选择 DN”列表中为用户或组织选择一个 DN 或添加一个 DN。
默认情况下,由于允许/拒绝主机列表中有 * 条目,所以允许用户通过 NetFile 访问所有主机。如果您想要改变这种情况,可在列表中删除 * 条目,然后只在其中指定用户需要通过 NetFile 来进行访问的那些主机。另一种做法是,保留此处的 * 条目,而在“拒绝的主机”列表中指定想要拒绝访问的主机。在这种情况下,除了“拒绝的主机”列表中指定的主机以外,允许访问所有主机。
如果您拒绝访问某一主机而某位用户已将此主机添加到 NetFile 窗口中,被拒绝的主机仍会在该用户的 NetFile 窗口中显示。但该用户不能对该主机执行任何操作。在 NetFile Java2 中,被拒绝的主机在应用程序中显示时标有红色的叉,指示它们是不可访问的。如果“允许的主机”列表和“拒绝的主机”列表均为空,则不允许访问任何主机。
单击“保存”以完成修改。
以管理员身份登录到 Portal Server 管理控制台。
选择“Secure Remote Access”选项卡,然后选择“Netfile”选项卡。
从“选择 DN”列表中为用户或组织选择一个 DN 或添加一个 DN。
修改以下属性:
属性名称 |
描述 |
---|---|
默认压缩类型 |
从下拉框中选择 ZIP 或 GZ 作为默认文件压缩格式。 |
默认压缩级别 |
从下拉框中选择默认的压缩级别。默认值为 6。 |
临时目录位置 |
输入临时文件的位置。如果所指定的临时目录在服务器上不存在,则会创建它。 有些文件操作(例如邮寄文件)需要一个临时目录。默认的临时目录是 /tmp。在执行完所需操作后,会删除这些临时文件。 注 – 确保运行 Web 服务器的 ID(如 nobody 或 noaccess)对所指定的目录具有 rwx 权限。还要确保此 ID 对于到所需临时目录的完整路径具有 rx 权限。 提示 – 最好为 NetFile 创建一个单独的临时目录。如果所指定的临时目录对于 Portal Server 的所有模块来说是公用目录,磁盘空间可能很快就会用完。如果临时目录没有空间,NetFile 中的一少部分操作(如邮寄文件)将无法正常进行。 |
文件上载限制 (MB) |
在该字段中输入可上载文件大小的最大值。默认值为 5MB。 当正在上载的文件大小超出此处指定的限制时,将显示一条错误消息并且不会上载该文件。如果输入无效值,NetFile 会将其重置为默认值。可为不同用户指定不同的文件上载大小限制。 |
搜索目录限制 |
输入单个搜索操作中可搜索的最大目录数。在大量用户同时登录的情况下,此限制有助于减少网络阻塞,提高访问速度。默认值为 100。 假设用户有一个名为 A 的目录。同时,假定 A 有 100 个子目录。如果指定要搜索的最大目录数为 100,搜索操作在搜遍目录 A 后才会停止。由于在目录 A 中已达到 100 这一限制,所以不会继续在用户机器的其他目录中进行搜索。截至达到搜索限制为止所积累的搜索结果会显示给用户,并显示一条错误消息,表明已超出搜索限制。要继续搜索,用户必须在下一个目录处手动重新启动搜索。搜索操作以深度优先方式进行。这就意味着,搜索操作在转移到下一目录之前,会先在用户所选目录的所有子目录中进行。 |
单击“保存”以完成修改。
可允许或拒绝用户从远程主机上执行以下任务。
以管理员身份登录到 Portal Server 管理控制台。
选择“Secure Remote Access”选项卡,然后选择“Netfile”选项卡。
从“选择 DN”列表中为用户或组织选择一个 DN 或添加一个 DN。
修改以下属性:
属性名称 |
描述 |
---|---|
文件重命名 |
选中“允许”复选框以允许用户重命名文件。默认情况下,此选项已选中。 |
文件/文件夹删除 |
选择“允许”复选框以允许用户删除文件和文件夹。默认情况下,此选项已选中。 |
文件上载 |
选中“允许”复选框以允许用户上载文件。默认情况下,此选项已选中。 |
文件/文件夹下载 |
选择“允许”复选框以允许用户下载文件或目录。默认情况下,此选项已选中。 |
文件搜索 |
选中“允许”复选框以允许用户执行文件搜索操作。默认情况下,此选项已选中。 |
文件邮寄 |
选中“允许”复选框以允许用户访问邮件。默认情况下,此选项已选中。 |
文件压缩 |
选中“允许”复选框以允许用户选择压缩类型。默认情况下,此选项已选中。 |
更改用户 ID |
选中“允许”复选框以允许用户更改其用户 ID。用户可以使用不同的 ID 连接到使用 NetFile 的主机。 在大型组织中,用户可能会有多个用户 ID。您可能想要限制用户使用单个用户 ID。在这种情况下,您可以禁用“允许更改用户 ID”选项。这将防止特定组织中的所有用户更改其用户 ID,并限制他们只能通过 NetFile 使用单个 ID(桌面登录 ID)连接到主机。在另一种情况下,用户可能在不同的机器上有不同的登录 ID,此时,您或许希望允许用户根据需要更改 ID。 |
更改 Microsoft Windows 域 |
选中“允许”复选框以允许用户更改默认的 Microsoft Windows 域主机。默认情况下,此选项已选中。 当用户指定域名后,还需要为该域指定用户名和密码。如果需要使用主机用户名和密码,用户需从“用户域名”字段中删除此域。 |
当未选中上述任何选项时,仅当用户再次登录到 Portal Server 桌面后更改才会生效。
单击“保存”以完成修改。
本章说明如何配置 Sun Java System Portal Server Secure Remote Access 的各种加速器。
本章包含以下各节:
外部加速器是专用的硬件协处理器,用于从服务器的 CPU 卸载安全套接字层 (SSL) 功能,借此释放 CPU 空间以使其执行其他任务,同时提高对 SSL 事务的处理速度。
Sun™ Crypto Accelerator 1000 (Sun CA1000) 板是一种短 PCI 板,用作加密协处理器以加速公共密钥和对称加密。本产品无外部接口。该板通过内部 PCI 总线接口与主机通信。采用此板卡的目的是针对电子商务应用程序中的安全协议,加速各种在计算上较为密集的加密算法。
许多关键的加密功能,如 RSA [7] 和 Triple-DES (3DES) [8],都可从应用程序中卸载到 Sun CA1000 并以并行方式执行。这样便可释放中央处理器空间以执行其他任务,同时提高对 SSL 事务的处理速度。
有关步骤,参见配置 Crypto Accelerator 1000。
确保已安装了 Portal Server Secure Remote Access,并安装了网关服务器证书(自签名或由任意 CA 所签发)。有关详细信息,参见第 10 章,使用证书。
启用 Crypto Accelerator 1000 是一个清单,有助于您在安装“SSL 加速器”之前熟悉所需信息,并列出了 Crypto Accelerator 1000 的参数和相应值。
表 15–1 Crypto Accelerator 1000 安装清单
参数 |
值 |
---|---|
SRA 安装基目录 |
/opt |
SRA 证书数据库路径 |
/etc/opt/SUNWportal/cert/default |
SRA 服务器证书昵称 |
server-cert |
领域 |
sra-keystore |
领域用户 |
crypta |
按照用户指南中的说明安装硬件。参见:
http://www.sun.com/products-n-solutions/hardware/docs/pdf/816-2450-11.pdf
从光盘安装以下软件包。
SUNWcrypm、SUNWcrypu、SUNWcrysu、SUNWdcar、SUNWcrypr、SUNWcrysl、SUNWdcamn、SUNWdcav
安装以下修补程序。(您可从 http://sunsolve.sun.com 获取这些程序)
110383-01、108528-05、112438-01
确保您拥有 pk12util 和 modutil 工具。
这些工具安装在 /usr/sfw/bin 下面。如果在 /usf/sfw/bin 目录中没有这些工具,则需要从 Sun Java System 分发介质手动添加 SUNWtlsu 软件包:
Solaris_[sparc/x86]/Product/shared_components/
创建插槽文件:
vi /etc/opt/SUNWconn/crypto/slots
然后将 "crypta@sra" 作为第一行而且是唯一一行放在文件中。
创建和设置区域。
创建一个用户:
以您创建的用户身份登录。
secadm{root@sra}> login user=crypta
Password:
secadm{crypta@sra}> show key
不存在此用户的密钥。
载入 Sun Crypto 模块。
环境变量 LD_LIBRARY_PATH 必须指向 /usr/lib/mps/secv1/
键入:
modutil -dbdir /etc/opt/SUNWportal/cert/default -add "Sun Crypto Module" -libfile /opt/SUNWconn/crypto/lib/libpkcs11.so
使用以下命令验证是否已载入此模块:
modutil -list -dbdir /etc/opt/SUNWportal/cert /default
将网关证书和密钥导出到“Sun Crypto 模块”中。
环境变量 LD_LIBRARY_PATH 必须指向 /usr/lib/mps/secv1/
键入:
pk12util -o servercert.p12 -d /etc/opt/SUNWportal/cert/default -n server-cert
pk12util -i servercert.p12 -d /etc/opt/SUNWportal/cert/default -h "crypta@sra"
现在,运行显示密钥命令:
secadm{crypta@sra}> show key
应该可以看到此用户的两个密钥。
更改 /etc/opt/SUNWportal/cert/default/.nickname 文件中的昵称。
vi /etc/opt/SUNWportal/cert/default/.nickname
用 crypta@sra:server-cert 替换 server-cert
启用加速密码。
SUN CA1000 可加速 RSA 功能,但只支持对 DES 和 3DES 密码的加速。
修改 /etc/opt/SUNWportal/platform.conf.gateway-profile-nam 以启用加速器:
gateway.enable.accelerator=true
从终端窗口重新启动网关:
./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway |
网关会绑定到端口(在配置文件中被称为 https 端口)上的一个普通 ServerSocket(非 SSL)。
不对收到的客户机通信进行任何 SSL 加密或解密操作。此操作会由加速器来执行。
PDC 在此模式下不起作用。
Sun™ Crypto Accelerator 4000 板是一种基于千兆以太网的网络接口卡,支持 Sun 服务器上的 IPsec 和 SSL(对称和非对称)加密硬件加速。
除了作为用于未加密网络通信的标准千兆以太网网卡之外,该板还包含加密硬件以支持加密 IPsec 通信实现更高的通过量。
Crypto Accelerator 4000 板可同时在硬件和软件上加速加密算法。它也支持密码 DES 和 3DES 的整体加密。
有关步骤,参见配置 Crypto Accelerator 4000。
确保已安装了 SRA,并安装了网关服务器证书(自签名或由任意 CA 所签发)。以下核对表将帮助您在安装 SSL 加速器之前熟悉所需的信息。
启用 Crypto Accelerator 1000 列出了 Crypto Accelerator 4000 的参数和相应值。
表 15–2 Crypto Accelerator 4000 安装清单
参数 |
值 |
---|---|
Portal Server Secure Remote Access 安装基目录 |
/opt |
SRA 实例 |
default |
SRA 证书数据库路径 |
/etc/opt/SUNWportal/cert/default |
SRA 服务器证书昵称 |
server-cert |
CA4000 密钥库 |
srap |
CA4000 密钥库用户 |
crypta |
按用户指南中的说明安装硬件和软件包。参见:
http://www.sun.com/products-n-solutions/hardware/docs/pdf/816-2450-11.pdf
安装以下修补程序。(您可从 http://sunsolve.sun.com 处获取这些程序):114795
确保您拥有 certutil、pk12util 和 modutil 工具。
这些工具安装在 /usr/sfw/bin 下面
如果工具不位于 /usf/sfw/bin 目录中,则需要
从 Sun Java System 分发介质手动添加 SUNWtlsu 软件包:
Solaris_[sparc/x86]/Product/shared_components/
初始化该板。
运行 /opt/SUNWconn/bin/vcadm 工具初始化密码板并设置以下值:
初始安全主管名:sec_officer
密钥库名称:sra-keystore
以 FIPS 140-2 模式运行:否
创建一个用户。
vcaadm{vca0@localhost, sec_officer}> create user
新用户名:crypta
输入新的用户密码:
Confirm password:
已成功创建用户 crypta。
将令牌映射到密钥库。
vi /opt/SUNWconn/cryptov2/tokens
然后,将 sra-keystore 追加到文件中。
启用整体加密。
touch /opt/SUNWconn/cryptov2/sslreg
载入 Sun Crypto 模块。
环境变量 LD_LIBRARY_PATH 必须指向 /usr/lib/mps/secv1/
键入:
modutil -dbdir /etc/opt/SUNWportal/cert/default -add "Sun Crypto Module" -libfile /opt/SUNWconn/cryptov2/lib/libvpkcs11.so
您可使用以下命令检验是否已载入此模块:
modutil -list -dbdir /etc/opt/SUNWportal/cert/default
将网关证书和密钥导出到“Sun Crypto 模块”中。
环境变量 LD_LIBRARY_PATH 必须指向 /usr/lib/mps/secv1/
pk12util -o servercert.p12 -d /etc/opt/SUNWportal/cert/default -n server-cert
pk12util -i servercert.p12 -d /etc/opt/SUNWportal/cert/default -h "sra-keystore"
您可使用以下命令检验是否已经导出密钥:
certutil -K -h "sra-keystore" -d /etc/opt/SUNWportal/cert/default
更改 /etc/opt/SUNWportal/cert/default/.nickname 文件中的昵称:
vi /etc/opt/SUNWportal/cert/default/.nickname
用 sra-keystore:server-cert 替换 server-cert
启用加速密码。
从终端窗口重新启动网关:
./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway |
网关会提示您输入密钥库密码。
为 "sra-keystore":crypta:crytpa-password 输入密码或 Pin
网关会绑定到端口(在配置文件中被称为 https 端口)上的一个普通 ServerSocket(非 SSL)。
不对收到的客户机通信进行任何 SSL 加密或解密操作。此操作会由加速器来执行。
PDC 在此模式下不起作用。
外部 SSL 设备可在开放模式下于 Portal Server Secure Remote Access (SRA) 前端运行。它提供了客户机与 SRA 之间的 SSL 链路。
可执行以下任务:
确保已安装了 SRA,并且网关在开放模式(HTTP 模式)下运行。
启用 HTTP 连接。
表格列出外部 SSL 设备和代理加速器的参数和值。
参数 |
值 |
---|---|
SRA 实例 |
default |
网关模式 |
http |
网关端口 |
880 |
外部设备/代理端口 |
443 |
按用户指南中的说明安装硬件和软件包。
安装必需的修补程序(如果有)。
配置网关实例以使用 HTTP。
在 platform.conf 文件中输入以下值:
gateway.enable.customurl=true
gateway.enable.accelerator=true
gateway.httpurl=https:// external-device-URL:port-number
可以两种方式配置网关通知:
当 Access Manager 可在端口 880 联络网关机器时(会话通知采用 HTTP 方式),在 platform.conf 文件中输入值。
vi /etc/opt/SUNWportal/platform.conf.default
gateway.protocol=http
gateway.port=880
当 Access Manager 可在端口 443 联络外部设备/代理时(会话通知采用 HTTPS 方式),在 platform.conf 文件中输入值。
vi /etc/opt/SUNWportal/platform.conf.default
gateway.host=External Device/Proxy Host Name
gateway.protocol=https
gateway.port=443
确保 SSL 设备/代理就绪并处于运行状态,而且经过配置以便将通信引向网关端口。
从终端窗口重新启动网关:
./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway |