本節說明下列作業:
若您在安裝期間選擇以 HTTPS 模式執行閘道,則在安裝後閘道會以 HTTPS 模式執行。在 HTTPS 模式中,閘道會接受來自瀏覽器的 SSL 連線並拒絕非 SSL 連線。然而,您也可以配置以 HTTP 模式執行閘道。如此將可加速閘道的效能,因為它與管理 SSL 階段作業、加密與解密 SSL 通訊流量的耗用時間並無關。
以管理員身份登入 Portal Server 管理主控台。
選取 [Secure Remote Access] 標籤,並按一下設定檔名稱以修改其屬性。
選取 [核心] 標籤。
修改下列屬性:
選取 [HTTP 連線] 核取方塊,以允許閘道接受非 SSL 的連線。
輸入 HTTP 連接埠號碼。預設值為 80。
選取 [HTTPS 連線] 核取方塊,以允許閘道接受 SSL 連線。根據預設,會選取此選項。
輸入 HTTPS 連接埠號碼。預設值為 443。
可使用「Sun Java System Portal Server 7.2 Command-Line Reference」中的「psadmin set-attribute」
/space/PS/portal/bin/psadmin set-attribute -u amadmin -f /space/PS/portal/bin/ps_password -p portal1 -m gateway --gateway-profile profileID -a sunPortalGatewayDomainsAndRulesets -A $entry
sunPortalGatewayDefaultDomainAndSubdomains=Default Domains
sunPortalGatewayLoggingEnabled=Enable Logging
sunPortalGatewayEProxyPerSessionLogging=Enable per Session Logging
sunPortalGatewayEProxyDetailedPerSessionLogging=Enable Detailed per Session Logging
sunPortalGatewayNetletLoggingEnabled=Enable Netlet Logging
sunPortalGatewayEnableMIMEGuessing=Enable MIME Guessing
sunPortalGatewayParserToURIMap=Parser to URI Mappings
sunPortalGatewayEnableObfuscation=Enable Masking
sunPortalGatewayObfuscationSecretKey=Seed String for Masking
sunPortalGatewayNotToObscureURIList=URIs not to Mask
sunPortalGatewayUseConsistentProtocolForGateway=Make Gateway protocol Same as Original URI Protocol
sunPortalGatewayEnableCookieManager=Store External Server Cookies
sunPortalGatewayMarkCookiesSecure=Mark Cookies as secure
從終端機視窗重新啟動閘道:
./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway
|
Netlet 會讓使用者在不安全的網路上 (如網際網路) 安全執行共用 TCP/IP 服務。您可執行 TCP/IP 應用程式 (如 Telnet 和 SMTP)、HTTP 應用程式以及任何使用固定連接埠的應用程式。若已啟用 Netlet,閘道需要確定外來的通訊是 Portal Server 通訊還是 Netlet 通訊。停用 Netlet 則會減少這種耗用時間,因為閘道會假設所有外來的通訊是 HTTP 或 HTTPS 通訊。只有在確定不希望透過 Portal Server 使用任何應用程式時,才停用 Netlet。
以管理員身份登入 Portal Server 管理主控台。
選取 [Secure Remote Access] 標籤,並按一下設定檔名稱以修改其屬性。
選取 [核心] 標籤。
修改下列屬性:
屬性名稱 |
描述 |
---|---|
Netlet |
選取 [啟用] 核取方塊以啟動 Netlet 服務。根據預設,會選取此選項。 |
Proxylet |
選取 [啟用] 核取方塊以啟動 Proxylet 服務。根據預設,會選取此選項。 |
使用下列指令選項,從終端機視窗重新啟動閘道:
./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway
許多網頁使用 Cookie 追蹤與管理使用者階段作業。閘道路由請求至在 HTTP 標題設定 Cookie 的網站時,閘道會以下列方法捨棄或傳遞那些 Cookie:
若未在閘道服務中選取 [啟用 Cookie 管理] 屬性,則不會重新寫入 Cookie。如此,瀏覽器中的 Cookie 可能不會到達企業內部網路主機,反之亦然。
若在閘道服務中選取 [啟用 Cookie 管理] 屬性,則會重新寫入 Cookie。閘道會確保瀏覽器的 Cookie 會到達想要的企業內部網路主機,反之亦然。
此設定不會套用至 Portal Server 用來追蹤 Portal Server 使用者階段作業的 Cookie。此設定由 [轉寄使用者階段作業 Cookie 到的使用者階段作業] 的 URL 選項配置所控制。
這個設定適用於所有允許使用者存取的網站 (也就是,您不可以選擇捨棄某些網站的 Cookie,而保留其他網站的 Cookie)。
請勿將 URL 從 [Cookie 網域] 清單中移除,即使是在沒有 Cookie 的閘道中。有關 [Cookie 網域] 清單的資訊,請參閱「Access Manager 管理指南」。
HTTP 基本驗證可以設定於閘道服務中。
可以使用 HTTP 基本驗證保護網頁,造訪者需要在檢視網站前輸入使用者名稱與密碼 (HTTP 回應代碼為 401 與 WWW-authenticate: BASIC)。Portal Server 可儲存使用者名稱及密碼,以便使用者在重新造訪受 BASIC 保護的網站時,不必重新輸入他們的憑證。這些憑證儲存於目錄伺服器的使用者設定檔中。
此設定不會確定使用者是否可造訪 BASIC 保護的網站,但只會確定是否將使用者輸入的憑證儲存於使用者設定檔。
這個設定適用於所有允許使用者存取的網站 (也就是,不可以某些網站啟用 HTTP 基本授權快取而其他網站停用)。
如果 Microsoft Internet Information Server (IIS) 由 Windows NT 挑戰/回應 (HTTP 回應代碼 401,WWW-Authenticate: NTLM) 而非基本驗證進行保護,不支援瀏覽其提供的 URL。
您也可以使用管理主控台中的 [存取控制] 服務啟用單次登入。
你可以為閘道配置多個 Portal Server 以服務請求。安裝閘道時,您應該已經指定與閘道合作的 Portal Server。依預設,這個 Portal Server 會列示在 Portal Server 欄位中。您可以將更多 Portal Server 以 http://portal- server-name:port number 格式新增至清單中。閘道會以循環方式嘗試連絡每個列出的 Portal Server 以服務請求。
Portal Server 利用 Cookie 追蹤使用者階段作業。當閘道發出 HTTP 請求至伺服器時 (例如,當呼叫桌面 servlet 以產生使用者桌面頁面時),將轉寄此 cookie 至伺服器。伺服器上的應用程式會使用 cookie 以認證並識別使用者。
Portal Server 的 cookie 不會轉寄至發給伺服器之外其他機器的 HTTP 請求中,除非那些機器上的 URL 已指定於 [將使用者階段作業 Cookie 轉寄至的 URL ] 清單中。因此將 URL 新增至此清單,可使 servlet 與 CGI 能夠接收 Portal Server 的 cookie 並使用 API 識別此使用者。
使用隱式尾隨萬用字元可與 URL 相符。例如,清單中的預設輸入值:
http://server:8080
將導致 Cookie 轉寄至所有以 http://server:8080 開頭的 URL。
新增:
http://newmachine.eng.siroe.com/subdir
將導致 Cookie 轉寄至所有以該實際字串開始的 URL。
在此例中,Cookie 不會轉寄至任何以 "http://newmachine.eng/subdir" 開始的 URL,因為這個字串不是以轉寄清單中的實際字串開頭。要使 Cookie 轉寄至以這個機器名稱變體開始的 URL,必須新增項目至轉寄清單。
同樣的,Cookie 也不會轉寄至以 "https://newmachine.eng.siroe.com/subdir" 開始的 URL,除非已將適當的項目新增至清單中。
選取 [從 URL 取得階段作業] 選項時,階段作業資訊會編碼為 URL 的部分,不論支援 Cookie 與否。這表示閘道會驗證在 URL 中找到的階段作業資訊,而非從用戶端瀏覽器傳送的階段作業 Cookie。
以管理員身份登入 Portal Server 管理主控台。
選取 [Secure Remote Access] 標籤,並按一下設定檔名稱以修改其屬性。
選取 [核心] 標籤。
修改下列屬性:
屬性名稱 |
描述 |
---|---|
Cookie 管理 |
選取 [啟用] 核取方塊以啟用 Cookie 管理。 根據預設,會選取此選項。 |
HTTP 基本認證 |
選取 [啟用 HTTP 基本驗證] 核取方塊以啟用 HTTP 基本驗證。 |
Portal Server |
在欄位以 http://portal-server-name:port-number 格式輸入 Portal Server,並按一下 [新增]。 重複此步驟可新增更多 Portal Server 至 Portal Server 清單。 |
將使用者階段作業 Cookie 轉寄至的 URL |
輸入 [將使用者階段作業 Cookie 轉寄至的 URL] 並按一下 [新增]。 重複此步驟以新增更多 URL 至 [將使用者階段作業 Cookie 轉寄至的 URL] 清單。 |
閘道最低認證層級 |
輸入認證層級。 根據預設,會新增星號以允許各種層級的認證。 |
從 URL 取得階段作業 |
選取 [是] 可以從 URL 擷取有關階段作業的資訊。 根據預設,會選取 [否] 選項。 |