本章說明與閘道相關的概念。如需管理閘道的資訊,請參閱第 16 章, 管理閘道。如需配置閘道的資訊,請參閱第 8 章, 配置 Secure Remote Access 閘道。
本章涵蓋下列主題:
閘道在源自網際網路的遠端使用者階段作業與您的企業內部網路之間提供了介面與安全的屏障。透過單一介面至遠端使用者,閘道可經由內部 Web 伺服器和應用程式伺服器安全地顯示內容。
針對每個閘道實例,您必須完成下列工作:
其他與閘道相關的主題包含:
閘道設定檔包含與閘道配置相關的所有資訊,如閘道偵聽的連接埠、SSL 選項及代理伺服器選項。安裝閘道時,如果選擇預設值,則會建立稱為「default」的預設閘道。與預設設定檔對應的配置檔會出現在:/etc/opt/SUNWportal/platform.conf.default。
其中 /etc/opt/SUNWportal 是所有 platform.conf.* 檔案的預設位置。如需 platform.conf 檔案的詳細資訊,請參閱了解 platform.conf 檔案。
使用設定檔時,您可執行下列作業:
建立多個設定檔,定義每個設定檔的屬性,並視需要指定這些設定檔給不同的閘道。
在不同的機器上指定單一設定檔給閘道安裝。
指定不同的設定檔給在相同機器上執行的單一閘道實例。
不要指定相同的設定檔給在相同機器上執行的閘道不同實例。該設定將會造成衝突,因為連接埠號碼相同。
不要在不同的設定檔 (建立給相同的閘道) 中指定相同的連接埠號碼。以同樣的連接埠執行相同閘道的多重實例會造成衝突。
多重介面閘道實例是一個 Portal Server 上的多重閘道。要建立這些實例,請將 platform.conf 檔案修改如下:
gatewaybindipaddress = 0.0.0.0
如果您建立的是使用相同 LDAP 的多重閘道實例,在所有隨後的閘道上建立第一個閘道之後:
在 /etc/opt/SUNWam/config/ 中,修改 AMConfig-instance-name.properties 的下列區域,使其與第一個安裝的閘道實例一致。
一般而言,您不需要重新啟動閘道。只有發生下列事件時,才需要重新啟動閘道:
您已經建立新的設定檔並且需要指定此新的設定檔給閘道。
您已經在現有的設定檔中修改一些屬性,並且需要變更以使其生效。
閘道由於出現錯誤 (如記憶體不足) 而當機。
閘道停止回應,且不服務任何請求。
您可以配置監視程式監視閘道狀態的時間間隔。要啟動或停止監視程式,請執行 ./psadmin sra-watchdog -u amadmin -f <password-file> -t <type> on|off 指令。時間間隔預設為 60 秒。要變更此值,可在 crontab 公用程式中編輯下列行:
0-59 * * * * gateway-install-root/SUNWportal/bin/ /var/opt/SUNWportal/.gw. 5 > /dev/null 2>&1 |
請參閱 crontab 的線上手冊以配置 crontab 項目。
虛擬主機是指向相同機器 IP 和主機名稱的額外主機名稱。例如,如果一個主機名稱 abc 指向主機 IP 位址 192.155.205.133,您可新增另一個主機名稱 cde 指向相同的 IP 位址。
您可以指定閘道用以連絡部署在 Portal Server 上的 SRA 核心支援 (RemoteConfigServlet) 的代理伺服器主機。閘道使用此代理伺服器連絡 Portal Server 與 Access Manager。請參閱指定代理伺服器。
預設情況下,platform.conf 檔案位於:/etc/opt/SUNWportal。
platform.conf 檔案包含閘道所需的詳細資訊。本節提供一個範例 platform.conf 檔案,並說明所有的項目。
在配置檔中包含所有機器特定詳細資訊的優點,就是共用的設定檔可以被在多個機器上執行的閘道共享。
以下是 platform.conf 檔案的範例。
Tue May 30 11:51:23 IST 2006 debug.com.sun.portal.rewriter.original.level=INFO gateway.favicon= gateway.bindipaddress=10.12.154.236 debug.com.sun.portal.sra.rproxy.toFromServer.handler.java.util.logging.FileHandler.pattern= /var/opt/SUNWportal/logs/sra/default/Gateway.toFromServer.%u.%g.log gateway.port=443 rewriterproxy.jvm.flags=-ms64m -mx128m portal.server.instance=default debug.com.sun.portal.handler.java.util.logging.FileHandler.filter= gateway.jdk.dir=/usr/jdk/entsys-j2se gateway.ignoreURIList=/MSOffice/cltreq.asp,/_vti_bin/owssvr.dll debug.com.sun.portal.rewriter.rest.level=INFO gateway.trust_all_server_certs=true debug.com.sun.portal.handler.java.util.logging.FileHandler.append=true gateway.cdm.cacheCleanupTime=300000 gateway.httpurl= debug.com.sun.portal.handler.java.util.logging.FileHandler.count=1 gateway.jvm.classpath= debug.com.sun.portal.setserverlogs=false gateway.protocol=https debug.com.sun.portal.sra.rproxy.toFromServer=java.util.logging.FileHandler rewriterproxy.jvm.classpath= gateway.enable.customurl=false debug.com.sun.portal.sra.rproxy.toFromBrowser=java.util.logging.FileHandler debug.com.sun.portal.handler.java.util.logging.FileHandler.formatter=com.sun.portal. log.common.PortalLogFormatter debug.com.sun.portal.sra.rproxy.toFromBrowser.handler.java.util.logging.FileHandler.pattern= /var/opt/SUNWportal/logs/sra/default/Gateway.toFromBrowser.%u.%g.log debug.com.sun.portal.level=INFO debug.com.sun.portal.rewriter.unaffected.separatefile=true gateway.enable.accelerator=false debug.com.sun.portal.rewriter.original.separatefile=true gateway.virtualhost=nicp236.india.sun.com 10.12.154.236 debug.com.sun.portal.stacktrace=true gateway.host=nicp236.india.sun.com debug.com.sun.portal.handler.java.util.logging.FileHandler.pattern= /var/opt/SUNWportal/logs/sra/default/%logger.%sraComponentType.%u.%g.log gateway.certdir=/etc/opt/SUNWportal/cert/default gateway.sockretries=3 gateway.allow.client.caching=true debug.com.sun.portal.rewriter.unaffected.level=INFO debug.com.sun.portal.rewriter.uriinfo.separatefile=true log.config.check.period=2000 debug.com.sun.portal.rewriter.rewritten.level=INFO gateway.userProfile.cacheSize=1024 debug.com.sun.portal.rewriter.rulesetinfo.level=INFO netletproxy.jvm.classpath= gateway.userProfile.cacheSleepTime=60000 debug.com.sun.portal.rewriter.uriinfo.level=INFO debug.com.sun.portal.rewriter.rest.separatefile=true gateway.notification.url=notification debug.com.sun.portal.rewriter.rulesetinfo.separatefile=true gateway.logdelimiter=&& gateway.ignoreServerList=false gateway.jvm.flags=-ms64m -mx128m debug.com.sun.portal.handler.java.util.logging.FileHandler.limit=5000000 gateway.dsame.agent=http\://sunone216.india.sun.com\:8080/portal/RemoteConfigServlet gateway.httpsurl= gateway.retries=6 gateway.userProfile.cacheCleanupTime=300000 gateway.logging.password=X03MO1qnZdYdgyfeuILPmQ\=\= UX9x0jIua3hx1YOVRG/TLg\=\= netletproxy.jvm.flags=-ms64m -mx128m debug.com.sun.portal.rewriter.rewritten.separatefile=true gateway.user=noaccess gateway.external.ip=10.12.154.236 debug.com.sun.portal.handler=java.util.logging.FileHandler gateway.cdm.cacheSleepTime=60000 rewriterproxy.accept.from.gateways= rewriterproxy.checkacl=false |
下列表格列出並說明 platform.conf 檔案中所有的欄位。
表 2–1 檔案特性
您可以使用協力廠商 Web 代理伺服器配置閘道以連絡 HTTP 資源。Web 代理伺服器位於客戶端與網際網路之間。
不同的代理伺服器可能用於不同的網域和子網域。這些項目告訴閘道在特定的網域中,應該使用哪個代理伺服器以連絡特定的子網域。指定在閘道中的代理伺服器配置運作方式如下:
在閘道服務中,建立一個清單,其中包含網域和子網域,以及 [網域與子網域的代理伺服器] 欄位中必要的代理伺服器。
當 [使用代理伺服器] 選項啟用時:
在 [網域與子網域的代理伺服器] 欄位所指定的代理伺服器會用於指定的主機。
要在網域和子網域 (在 [網域與子網域的代理伺服器] 清單中指定的) 中啟用某些 URL 的直接連線,請在 [請勿使用 Web 代理伺服器 URL] 欄位中指定這些 URL。
當 [使用代理伺服器] 選項停用時:
要確認在網域和子網域 (在 [網域與子網域的代理伺服器] 欄位中指定的) 中某些 URL 使用代理伺服器,請在 [使用網路代理伺服器的 URL] 清單中指定這些 URL。
雖然停用 [使用代理伺服器] 功能但仍可使用代理伺服器連接到列於 [使用 Web 代理伺服器] 清單下的 URL。這些 URL 的代理伺服器是從 [網域與子網域的代理伺服器] 清單中取得。
下列圖例顯示如何以閘道服務中的代理伺服器配置為基礎來解決 Web 代理伺服器的訊息。
在Web 代理伺服器配置中,如果啟用了 [使用代理伺服器],且所需的 URL 列於 [請勿使用 Web 代理伺服器 URL] 清單中,則閘道會直接連到目標主機。
如果 [使用代理伺服器] 是啟用的,且要求的 URL 未列於 [請勿使用 Web 代理伺服器 URL] 清單中,則閘道會透過指定的代理伺服器連到目標主機。此代理伺服器 (如果有指定) 可以從 [網域與子網域的代理伺服器] 清單中查看。
如果 [使用代理伺服器] 停用,且請求的 URL 有列於 [使用 Web 代理伺服器] 清單中,則閘道會使用列在 [網域與子網域的代理伺服器] 清單中的代理伺服器資訊連接目標主機。
如果 [使用代理伺服器] 是停用的,且要求的 URL 未列於 [請勿使用 Web 代理伺服器 URL] 清單中,則閘道會直接連線到目標主機。
如果您的情況不符合上述任何一項,且無法使用直接連線,閘道會顯示一個錯誤,說明連線無法使用。
如果您正透過標準入口網站桌面的 [書籤通道] 存取該 URL,且您的情況不符合上述任何一項,閘道會傳送重新導向給瀏覽器。瀏覽器會使用自己的代理伺服器設定來存取該 URL。
domainname [web_proxy1:port1]|subdomain1 [web_proxy2:port2]| |
sesta.com wp1:8080|red wp2:8080|yellow|* wp3:8080 |
其中,
sesta.com 是網域名稱而 wp1 是在 8080 連接埠上用於連絡的代理伺服器。
red 是子網域而 wp2 是在 8080 連接埠上用於連絡的代理伺服器。
yellow 是子網域。由於沒有指定代理伺服器,因此會使用指定給網域的代理伺服器,即為在 8080 連接埠上的 wp1。
* 表示所有其他子網域必須在 8080 連接埠上使用 wp3。
如果您沒有指定連接埠,預設是使用連接埠 8080。
當用戶端嘗試存取特定 URL 時,URL 中的主機名稱會與 [網域與子網域的代理伺服器] 清單中的項目進行比較。符合請求主機名稱之最長字尾的項目會被考慮。例如,假設請求的主機名稱是 host1.sesta.com。會依序進行下列搜尋,直到找到符合的結果。
會掃描 host1.sesta.com 的網域和子網域的代理伺服器。如果找到符合的項目,指定給此項目的代理伺服器會用來連接此主機。
否則,會掃描清單中的 *.sesta.com。如果找到符合的項目,會使用對應的代理伺服器。
否則,會尋找清單中的 sesta.com。如果找到符合的項目,會使用對應的代理伺服器。
否則,會尋找清單中的 *.com。如果找到符合的項目,會使用對應的代理伺服器。
否則,會尋找清單中的 com。如果找到符合的項目,會使用對應的代理伺服器。
否則,會尋找清單中的 *。如果找到符合的項目,會使用對應的代理伺服器。
如果找不到符合的項目,就會嘗試直接連線。
考慮 [網域與子網域的代理伺服器] 清單中的下列項目:
com p1| host1 p2 | host2 | * p3 sesta.com p4 | host5 p5 | * p6 florizon.com | host6 abc.sesta.com p8 | host7 p7 | host8 p8 | * p9 host6.florizon.com p10 host9.sesta.com p11 siroe.com | host12 p12 | host13 p13 | host14 | * p14 siroe.com | host15 p15 | host16 | * p16 * p17 |
閘道會將這些項目內部對應至如下列表格中顯示的表格。
表 2–2 在 [網域與子網域的代理伺服器] 清單中的對映項目
編號 |
[網域與子網域的代理伺服器] 清單中的項目 |
代理伺服器 |
描述 |
---|---|---|---|
1 |
com |
p1 |
指定於清單中。 |
2 |
host1.com |
p2 |
指定於清單中。 |
3 |
host2.com |
p1 |
由於沒有為 host2 指定代理伺服器,會使用網域的代理伺服器。 |
4 |
*.com |
p3 |
指定於清單中。 |
5 |
sesta.com |
p4 |
指定於清單中。 |
6 |
host5.sesta.com |
p5 |
指定於清單中。 |
7 |
*.sesta.com |
p6 |
指定於清單中。 |
8 |
florizon.com |
直接 |
如需詳細資訊,請參閱第 14 項的描述。 |
9 |
host6.florizon.com |
– |
如需詳細資訊,請參閱第 14 項的描述。 |
10 |
abc.sesta.com |
p8 |
指定於清單中。 |
11 |
host7.abc.sesta.com |
p7 |
指定於清單中。 |
12 |
host8.abc.sesta.com |
p8 |
指定於清單中。 |
13 |
*.abc.sesta.com |
p9 |
指定於清單中。在 abc.sesta.com 網域下,所有主機 (host7 和 host8 除外) 都會使用 p9 作為代理伺服器。 |
14 |
host6.florizon.com |
p10 |
與第 9 個項目相同。第 9 個項目表示直接連線,而此項目表示應該使用代理伺服器 10。若遇到像這樣有兩個項目的情況,含有代理伺服器資訊的項目會視為有效的項目。請忽略另一個項目。 |
15 |
host9.sesta.com |
p11 |
指定於清單中。 |
16 |
siroe.com |
直接 |
由於沒有指定 siroe.com 的代理伺服器,因此會嘗試直接連線。 |
17 |
host12.siroe.com |
p12 |
指定於清單中。 |
18 |
host13.siroe.com |
p13 |
指定於清單中。 |
19 |
host14.siroe.com |
直接 |
由於沒有指定 host14 的代理伺服器,因此會嘗試直接連線。 |
20 |
*.siroe.com |
p14 |
請參閱第 23 項描述。 |
21 |
host15.siroe.com |
p15 |
指定於清單中。 |
22 |
host16.siroe.com |
直接 |
由於沒有指定 host16 或 siroe.com 的代理伺服器,因此會嘗試直接連線。 |
23 |
*.siroe.com |
p16 |
與第 20 個項目類似,但是指定的代理伺服器不同。這種情形下,無法知道閘道的實際運作方式。可能會使用兩個代理伺服器中的任意一個。 |
24 |
* |
p17 |
如果沒有其他的項目符合請求的 URL,就會使用 p17 作為代理伺服器。 |
與其在 [網域與子網域的代理伺服器] 清單中以 | 分隔代理項目,不如將個別的項目放置在清單的不同行中。例如取代如下的項目:
sesta.com p1 | red p2 | * p3 |
您指將此資訊指定為:
sesta.com p1 red.sesta.com p2 *.sesta.com p3 |
此清單格式更容易追蹤重複項目或任何其他含糊的情況。
[網域與子網域的代理伺服器] 清單中的項目也會被 Rewriter 使用。網域符合列在 [網域與子網域的代理伺服器] 清單中網域的所有 URL,Rewriter 會重新寫入。
在 [網域與子網域的代理伺服器] 清單中的 * 項目不會考慮重新寫入。例如,不會考慮項目 24。
如需 Rewriter 的資訊,請參閱第 4 章, 使用 Rewriter。
當在 URL 中的目標主機不是完整限定的主機名稱,會使用預設的網域和子網域以使其有完整合格的名稱。
假設管理主控台中 [預設網域] 欄位內的項目是:
red.sesta.com |
在 [網域與子網域的代理伺服器] 清單中您必須要有對應的項目。
在上面的範例中,sesta.com 是預設的網域而 red 是預設的子網域。
如果要求的 URL 是 host1,則會使用預設的網域和子網域將此項目解析為 host1.red.sesta.com。然後會在 [網域與子網域的代理伺服器] 清單中查詢 host1.red.sesta.com。
要忽略 [網域與子網域的代理伺服器] 清單中的資訊,請啟用 [自動代理伺服器配置] 功能。
使用自動代理伺服器配置 (Proxy Auto Configuration, PAC) 檔案時:
Portal Server、閘道、Netlet 與 Proxylet 使用 Rhino 軟體來剖析 PAC 檔案。您可以從 Java Enterprise System Accessory CD 安裝 SUNWrhino 套裝軟體。
此套裝軟體包含 js.jar 檔案,其必須位於 /usr/share/lib 目錄。將此目錄新增到閘道和 Portal Server 機器上的 webserver/appserver 類別路徑,否則 Portal Server、閘道、Netlet 以及 Proxylet 無法剖析 PAC 檔案。
js.jar 必須位於閘道機器上的 $JRE_HOME/lib/ext 目錄中,否則閘道無法剖析 PAC 檔案。
啟動時,閘道從閘道設定檔的「自動代理伺服器配置檔案」位置欄位中指定的位置取得 PAC 檔案。
閘道使用 URLConnection API 到達此位置。如果需要配置代理伺服器以到達閘道,必須以下列方式配置代理伺服器:
從指令行中,編輯下列檔案:
/etc/opt/SUNWportal/platform.conf.gateway-profile-name
新增下列項目:
http.proxyHost= web-proxy-hostname
http.proxyPort= web-proxy-port
http.proxySet=true
重新啟動閘道以使用指定的代理伺服器:
./psadmin start-sra-instance –u amadmin – f <password file> –N <profile name>– t <gateway>
如果 PAC 檔案初始化失敗,閘道會使用 [網域與子網域的代理伺服器] 清單中的資訊。
如果從 PAC 檔案傳回「」空字串或「null」,閘道會假設該主機不屬於此企業內部網路。這與不在 [網域與子網域的代理伺服器] 清單中之主機的情況類似。
如果您想要閘道使用直接連線連到主機,請返回到「DIRECT」。請參閱含有傳回 DIRECT 或 NULL 的範例。
當指定多個代理伺服器時,閘道僅使用第一個返回的代理伺服器。閘道不會在指定給主機的多個代理伺服器之間嘗試修復錯誤或負載平衡。
閘道忽略 SOCKS 代理伺服器並嘗試直接連線,同時假設該主機是企業內部網路的一部分。
要指定代理伺服器,讓其通往任何不屬於內部企業網路的主機,請使用代理伺服器類型 STARPROXY。此代理伺服器類型是 PAC 檔案格式的延伸,與在閘道設定檔的 [網域與子網域的代理伺服器] 部分中的 * proxyHost:port 項目相似。請參閱含有傳回 STARPROXY 的範例。
下列範例顯示列在 [網域與子網域的代理伺服器] 清單中的 URL 和對應的 PAC 檔案。
如果將這些代理伺服器用於網域與子網域:
*intranet1.com proxy.intranet.com:8080
intranet2.com proxy.intranet1.com:8080
相對應的 PAC 檔案是:
// Start of the PAC File function FindProxyForURL(url, host) { if (dnsDomainIs(host, ".intranet1.com")) { return "DIRECT"; } if (dnsDomainIs(host, ".intranet2.com")) { return "PROXY proxy.intranet1.com:8080"; } return "NULL"; } //End of the PAC File |
如果將這些代理伺服器用於網域與子網域:
intranet1.com
intranet2.com.proxy.intranet1.com:8080
internetproxy.intranet1.com:80
相對應的 PAC 檔案是:
// Start of the PAC File function FindProxyForURL(url, host) { if (dnsDomainIs(host, ".intranet1.com")) { return "DIRECT"; } if (dnsDomainIs(host, ".intranet2.com")) { return "PROXY proxy.intranet1.com:8080;" + "PROXY proxy1.intranet1.com:8080"; } return "STARPROXY internetproxy.intranet1.com:80"; } //End of the PAC File |
在這個情況下,如果請求的主機位於 .intranet2.com 網域,則閘道會連絡 proxy.intranet1.com:8080。如果 proxy.intranet1.com:8080 無法使用,請求會失敗。閘道不會進行容錯移轉與連絡 proxy1.intranet1.com:8080。
用來指定 PAC 檔案位置的格式需視下列位置而定:
如果 PAC 檔案位於 Web 伺服器上,則 PAC URL 為:
http://hostname/pacfile_name .pac
如果 PAC 檔案是本機檔案 (例如,c:\\pacfile\\sample.pac),則在 java 1.4.1_x 中,PAC URL 的輸入格式為:
file://c:/pacfile/sample.pac
如果 PAC 檔案是本機檔案 (例如,c:\\pacfile\\sample.pac),則在 java 1.4.2_x 中,PAC URL 的輸入格式為:
file:///c:/pacfile/sample.pac
當在個別階段作業中新增 Portal Server 服務時:
在 Portal Server 管理主控台中的 [閘道] > [核心] 下列出 Portal Server。
在 [閘道] > [安全性] 下的 [非認證 URL] 中列出 Portal Server URL。
Netlet 封包在閘道是解密的,並會傳送到目標伺服器。然而,閘道需要透過非軍事區 (DMZ) 和企業內部網路之間的防火牆,存取所有的 Netlet 目的地主機。此設定需要在防火牆中開啟大量的連接埠。Netlet 代理伺服器可用於最小化在防火牆中開啟的連接埠數目。
藉由延伸用戶端的安全通道,透過閘道到存在於企業內部網路的 Netlet 代理伺服器,Netlet 強化閘道和企業內部網路之間的安全性。使用代理伺服器,Netlet 封包會由代理伺服器解密,之後會傳送至目的地。
新增額外的安全性層級。
在大規模的部署環境中,最大程度減少閘道透過內部防火牆使用額外 IP 位址和連接埠的情況。
限制閘道和入口伺服器之間開啟的連接埠數目為 1。此連接埠號碼可在安裝期間配置。
延伸客戶端和閘道之間的安全通道,最多可延伸到 Portal Server,如使用 Netlet 代理伺服器中的 [包含配置的 Netlet 代理伺服器] 部分所示。透過資料加密,Netlet 代理伺服器提供強化的安全益處,但可能會增加系統資源的使用。如需安裝 Netlet 代理伺服器的資訊,請參閱「Sun Java System 安裝指南」。
您可執行下列作業:
在 Portal Server 節點上或個別節點上安裝 Netle 代理伺服器。
使用管理主控台安裝多個 Netlet 代理伺服器並配置給單一閘道。這對負載平衡很有用。
在單一機器上配置多個 Netlet 代理伺服器實例。
將閘道的多重實例指向 Netlet 代理伺服器的單一安裝。
通道 Netlet 會透過 Web 代理伺服器。
顯示在有和沒有安裝 Netlet 代理伺服器的情況下,閘道和 Portal Server 的三個範例實作。元件包含一個用戶端、兩個防火牆、位於兩個防火牆之間的閘道、Portal Server 和 Netlet 目標伺服器。
第一個方案顯示沒有安裝 Netlet 代理伺服器的閘道和 Portal Server。資料加密僅從用戶端延伸到閘道。在第二防火牆中開啟一個連接埠給每個 Netlet 連線請求。
第二個方案顯示在 Portal Server 上安裝 Netlet 代理伺服器的閘道和 Portal Server。資料加密從用戶端一直延伸到 Portal Server。既然所有 Netlet 連線都是通過 Netlet 代理伺服器傳送的,在 Netlet 請求中的第二防火牆只需要開啟一個連接埠。
第三個方案顯示有在個別節點上安裝 Netlet 代理伺服器的閘道和 Portal Server。在個別節點上安裝 Netlet 代理伺服器會減少 Portal Server 節點上的負載。同樣的,在第二個防火牆中僅需要開啟兩個連接埠。其中一個連接埠提供給 Portal Server 使用,另一個連接埠傳送 Netlet 請求到 Netlet 代理伺服器伺服器。
您可使用 Portal Server 管理主控台透過閘道服務啟用 Netlet 代理伺服器。
每次代理伺服器意外結束時,您可以配置 Netlet 代理伺服器以重新啟動。您可排程監視程式程序,以監視 Netlet 代理伺服器,並且在它當機時重新啟動。
您也可以手動重新啟動 Netlet 代理伺服器。請參閱重新啟動 Netlet 代理伺服器以取得步驟。
您可以配置監視程式監視 Netlet 代理伺服器狀態的時間間隔。時間間隔預設為 60 秒。要變更此時間間隔,請將下列行新增至 crontab 檔案:
0-59 * * * * netlet-install-dir/bin/checkgw /var/opt/SUNWportal/.gw 5 > /dev/null 2>&1
要啟動或停止監視程式,請執行 ./psadmin sra-watchdog -u amadmin -f <password-file> -t <type> on|off 指令。
Rewriter 代理伺服器安裝於企業內部網路中。閘道不會直接嘗試擷取內容,而是將所有請求轉寄給 Rewriter 代理伺服器,由代理伺服器獲取並傳回內容給閘道。
使用 Rewriter 代理伺服器的優點有:
如果在閘道和伺服器之間有防火牆,防火牆必須開啟兩個連接埠 - 一個在閘道和 Rewriter 代理伺服器之間,另一個在閘道與 Portal Server 之間。
在閘道和企業內部網路間的 HTTP 流量很安全,即使目標伺服器僅支援 HTTP 通訊協定 (不支援 HTTPS)。
如果您沒有指定 Rewriter 代理伺服器,當使用者嘗試存取企業內部網路的其中一台電腦,閘道元件會直接連線至企業內部網路的電腦。
如果您使用 Rewriter 代理伺服器作為負載平衡器,請確定 Rewriter 的 platform.conf.instance_name 指向負載平衡器 URL。在 Portal Server 清單中指定負載平衡器主機。
如果每個閘道實例 (不一定要在入口節點上) 都有 Rewriter 代理伺服器的多個實例,請在 platform.conf 檔案中以 host-name:port 格式來提供每個 Rewriter 代理伺服器的詳細資訊,而非 Rewriter 代理伺服器的單一連接埠項目。
使用 rwpmultiinstance 程序檔,在 Portal Server 節點上建立 Rewriter 代理伺服器的新實例。請在建立閘道設定檔之後執行此程序檔。
在 Access Manager 管理主控台中,在「SRA 配置」下透過閘道服務啟用 Rewriter 代理伺服器。
每次代理伺服器意外結束時,您可以配置重新啟動 Rewriter 代理伺服器。您可排程監視程式程序以監視,並在發生這種情況時重新啟動。
您也可以手動重新啟動 Rewriter 代理伺服器。
您可以配置監視程式監視 Rewriter 代理伺服器狀態的時間間隔。時間間隔預設為 60 秒。要變更時間間隔,請將下列行新增至 crontab 檔案:
0-59 * * * * rewriter-proxy-install-root /bin/checkgw /var/opt/SUNWportal/.gw 5 > /dev/null 2>&1
要啟動或停止監視程式,請執行 ./psadmin sra-watchdog -u amadmin -f <password-file> -t <type> on|off 指令。
代理伺服器會傳送網際網路內容至企業內部網路,而反向代理伺服器則傳送企業內部網路內容至網際網路。您可配置反向代理伺服器的部署,以實現負載平衡與快取。
若在閘道前面部署具有協力廠商反向代理伺服器,則回應必須以反向代理伺服器的 URL ( 非閘道的 URL) 重新寫入。因此需要下列配置。
請參閱啟用反向代理伺服器。
當閘道轉寄用戶端請求至任何內部伺服器時,會新增 HTTP 標頭至 HTTP 請求。您可以使用這些標頭以取得額外的用戶端資訊並偵測閘道的出現狀態。
要檢視 HTTP 請求標頭,請將 platform.conf 檔案中的項目設定為 gateway.error=message。然後使用 servlet API 中的 request.getHeader()。以下表格列出 HTTP 標頭中的資訊。
表 2–3 HTTP 標頭中的訊息
認證鏈接提供比一般機制更高層級的安全性。您可以讓使用者認證一個以上的認證機制。
此處的程序說明僅適用於在閘道同時啟用認證鏈接與「個人數位憑證」(Personal Digital Certificate, PDC) 認證。如需在閘道上沒有 PDC 認證的認證鏈接的資訊,請參閱「Access Manager 管理指南」。
例如,如果您取得 PDC 和 Radius 認證模組,使用者將必須認證這三個模組以存取標準入口網站桌面。
請參閱新增認證模組到現有 PDC 實例以取得步驟。
如果啟用 PDC,它永遠都是第一個顯示在使用者面前的認證模組。
萬用字元憑證接受含有萬用字元的單一憑證,該憑證必須位於擁有完全合格 DNS 名稱的主機中。
使用憑證可以在相同網域中維護多個主機的安全性。例如,*.domain.com 的憑證可以用於 abc.domain.com 和 abc1.domain.com。事實上,此憑證對於在 domain.com 網域中的任何主機都有效。
由於可透過閘道元件僅使用 Web 瀏覽器從任何地方安全地存取後端公司資料,因此用戶端不應該在本機對資訊進行快取。
您可以修改指定閘道在 platform.conf 中檔案的屬性,以停用透過閘道快取重新導向的頁面。
停用此選項對閘道效能有影響。每次標準入口網站桌面更新時,閘道必須擷取頁面參照的每個東西,例如先前瀏覽器已經快取過的影像。然而,啟用這個功能後,遠端存取安全的內容將不會在用戶端網站留下快取過的痕跡。如果是從網咖或類似的遠端位置 (不在企業 IT 的控制下) 存取企業網路,此因素可能比效能問題更為重要。
請參閱停用瀏覽器快取。
本節討論可以編輯的各種閘道特性檔案。
因下列用途您可以編輯此檔案:
自訂在閘道執行時可能會出現的錯誤訊息。
HTML-CharSets=ISO-8859-1 指定用於建立此檔案的字元集。
在大括號中的數字 (例如,{0}) 表示在執行期間顯示的值。您可以變更和此數字有關的標籤,或視需要重新整理標籤。請確定標籤和將顯示的訊息對應,因為數字是和訊息相關聯的。
自訂記錄資訊。
在預設情況下,srapGateway.properties 檔案位於 portal-server-install-root /SUNWportal/locale 目錄中。所有出現在閘道機器上的訊息都在此檔案中,無論訊息的語言為何。
要變更出現在用戶端標準入口網站桌面上之訊息的語言,請將此檔案複製到對應語言環境的目錄中,例如 portal-server-install-root/SUNWportal/locale_en_US。
因下列原因您可以編輯此檔案:
自訂出現在管理主控台上閘道服務之按紐的標籤。
自訂當您配置閘道時,會出現的狀態訊息和錯誤訊息。
當 Portal Server 及 Access Manager 伺服器的兩個實例共用相同的 LDAP 目錄時,所有後續的 Portal Server、Access Manager 及閘道的實例都會共用相同的 LDAP 目錄。請參閱共用 LDAP 目錄。