test

Sun Java System Portal Server Secure Remote Access 7.2 管理指南

第 3 部分 管理 Secure Remote Access 伺服器

Secure Remote Access 伺服器有兩種管理介面:

大部分的管理作業,都是透過網路式 Portal Server 管理主控台執行,使用者可以透過 Web 瀏覽器從本機或遠端存取該主控台。如需詳細資訊,請參閱「Sun Java System Portal Server 7.2 管理指南」中的「使用 Portal Server 管理主控台」

然而,例如修改檔案的作業必須經由 UNIX 指令行介面管理。

第 16 章 管理閘道

此處介紹重要內容

管理閘道的工作

本節包含下列管理入口網站伺服器閘道的作業:

Procedure建立閘道設定檔

  1. 以管理員身份登入 Portal Server 管理主控台。

  2. 按一下 [Secure Remote Access] 標籤並按一下 [新建設定檔]。

    會顯示 [新建設定檔] 頁面。

  3. 輸入新閘道設定檔名稱。

  4. 選取欲使用的設定檔,以在下拉式清單中建立新設定檔。

    在預設情況下,您建立的任何新設定檔都是以預先封裝的預設設定檔為基礎。如果您已經建立自訂的設定檔,則可以從下拉清單中選擇該設定檔。新的設定檔會繼承所選設定檔的所有屬性。

    為新設定檔複製現有設定檔也會複製相同的連接埠。請變更新設定檔的連接埠,這樣才不會與現有設定檔的連接埠衝突。

  5. 按一下 [確定]。

    現在已建立新設定檔,並列於 [設定檔] 頁面。

    注意 – 注意 –

    請確定變更了實例的連接埠,這樣就不會與使用中的現有連接埠相衝突。

  6. 使用 Telnet 登入需要建立實例的電腦。預設閘道實例已啟動,並在此電腦上執行。

  7. 以立即配置模式安裝 AM-SDK。

  8. 以立即配置模式或選取稍後配置模式,使用 UI 安裝程式安裝閘道。

  9. /opt/SUNWportal/template/sra/GWConfig.properties.template 檔案複製至暫存位置。例如,/tmp

  10. 依需要修改值。

    備註 –

    值應符合新設定檔閘道實例中的連接埠號碼。

  11. 一旦完成,就執行下列指令:

    ./psadmin create-sra-instance -u amadmin -f <passwordfile> -S <template file location>.template -t gateway

  12. 請使用新的閘道設定檔名稱重新啟動閘道,確保讓變更生效:

    ./psadmin start-sra-instance –u amadmin – f <password file> –N <profile name>– t <gateway>

    如需啟動與停止閘道的詳細資訊,請參閱啟動閘道實例。要配置閘道,請參閱第 8 章, 配置 Secure Remote Access 閘道

Procedure使用相同的 LDAP 建立閘道實例

  1. 使用第一個閘道採用的相同字串,替代用來加密與解密密碼的金鑰。

    am.encryption.pwd= string_key_specified_in gateway-install

  2. 替代應用程式認證模組之共用密碼的金鑰:

    com.iplanet.am.service.secret= string_key_specified_in gateway-install

  3. /etc/opt/SUNWam/config/ums 中修改 serverconfig.xml 的下列區域,使其與 Portal Server 第一個安裝的實例一致:

    <DirDN> cn=puser,ou=DSAME Users,dc=sun,dc=net</DirDN>

    <DirPassword> string_key_specified_in gateway-install</DirPassword>

    <DirDN>cn=dsameuser,ou=DSAME Users,dc=sun,dc=net</DirDN>

    <DirPassword>string_key_specified_in gateway-install </DirPassword>

  4. 重新啟動 Access Manager 服務。

Procedure啟動閘道實例

在預設情況下,閘道以使用者 noaccess 啟動。

  1. 安裝閘道並建立需要的設定檔後,執行下面的指令以啟動閘道:

    ./psadmin start-sra-instance –u amadmin – f <password file> –N <profile name> – t <gateway>

    default — 是在安裝時建立的預設閘道設定檔。您可以稍後建立自己的設定檔,並且用新的設定檔重新啟動閘道。請參閱建立閘道設定檔

    備註 –

    請以適當的設定檔名稱取代 <profile name> 以啟動閘道的其他實例。

    重新啟動伺服器 (已配置閘道實例於其上的電腦) 會重新啟動閘道的所有實例。

    請確定 /etc/opt/SUNWportal 目錄中沒有任何備份設定檔。

  2. 執行下列指令來檢查閘道是否在指定的連接埠上執行:

    netstat -an | grep port-number

    預設的閘道連接埠是 443。

Procedure停止閘道

  1. 使用下面的指令以停止閘道:

    ./psadmin stop-sra-instance –u amadmin – f <password file> –N <profile name> – t <gateway>

    備註 –

    請以適當的設定檔名稱取代 <profile name> 以啟動閘道的其他實例。

  2. 執行下列指令以驗證是否還有任何閘道程序尚在執行中:

    /usr/bin/ps -ef | grep entsys

Procedure使用管理主控台啟動與停止閘道

  1. 登入 Portal Server 管理主控台。

  2. 選取 [Secure Remote Access] 標籤。

  3. 按一下 [管理實例] 子功能表。

  4. 在 [SRA 代理伺服器實例] 下,選取實例。

    • 按一下 [啟動] 以啟動實例。

    • 按一下 [停止] 停止實例。

Procedure使用不同的設定檔重新啟動閘道

  1. 重新啟動閘道:

    ./psadmin start-sra-instance –u amadmin – f <password file> –N <profile name> – t <gateway>

Procedure重新啟動閘道

  1. 在終端機視窗中,連線為超級使用者並執行下列動作之一:

    • 啟動監視程式程序:


      ./psadmin sra-watchdog -u uid -f password-filename -t instance-type on

      [--adminuser | -u] uid

      指定管理者辨別名稱 (DN) 或使用者 ID。 

      [-passwordfile | -f] password-filename

      在密碼檔中指定管理員的密碼。 

      [--type | -t] instance-type

      指定 Secure Remote Access 實例類型。輸入:gateway、nlproxy 或 rwproxy。 

      如需監視程式指令的資訊,請參閱「Sun Java System Portal Server Command Line Reference Guid」。

      這會在 crontab 公用程式中建立一個項目,而現在監視程式會啟動。監視程式會監視在特定機器上閘道所有正在執行的實例和閘道連接埠,且如果閘道效能降低會重新啟動閘道。

Procedure指定虛擬主機

  1. 以超級使用者身份登入並編輯所需閘道實例的 platform.conf 檔:


    /etc/opt/SUNWportal/platform.conf.gateway-profile-name

  2. 新增下列項目:

    gateway.virtualhost= fully-qualified-gateway-host gateway-ip-address fully- qualified-reverse-proxyhost

    gateway.enable.customurl=true (此值依預設設定為 false。)。

  3. 重新啟動閘道:

    ./psadmin start-sra-instance –u amadmin – f <password file> –N <profile name>– t <gateway>

    如果不指定這些值,則閘道會預設成一般的運作方式。

Procedure指定代理伺服器

  1. 從指令行中,編輯下列檔案:


    /etc/opt/SUNWportal/platform.conf.gateway-profile-name

  2. 新增下列項目:


    http.proxyHost=proxy-host
http.proxyPort=proxy-port
http.proxySet=true

  3. 重新啟動閘道,為針對伺服器所提出的請求使用指定的代理伺服器:

    ./psadmin start-sra-instance –u amadmin – f <password file> –N <profile name>– t <gateway>

Procedure建立 Netlet 代理伺服器實例

  1. 使用 Telnet 登入需要建立實例的電腦。預設閘道實例已啟動,並在此電腦上執行。

  2. /opt/SUNWportal/template/sra/NLPConfig.properties.template 檔案複製至暫存位置。 例如,/tmp

  3. 依需要在新設定檔的檔案中修改值。

  4. 一旦完成,就執行下列指令:

    ./psadmin create-sra-instance -u amadmin -f <passwordfile> -S <template file location>.template -t nlproxy

  5. 請使用要求的閘道設定檔名稱重新啟動 Netlet 伺服器的新實例,以確保變更生效:

    ./psadmin start-sra-instance –u amadmin – f <password file> –N <profile name> – t nlproxy

Procedure重新啟動 Netlet 代理伺服器

  1. 在終端機視窗中,連線為超級使用者並執行下列動作之一:

    • 啟動監視程式程序:

      psadmin sra-watchdog -u uid -f password-filename -t instance-type on

      輸入 nlproxy 以取代 instance-type。如需此指令的詳細資訊,請參閱「Sun Java Portal Server Command Line Reference Guid」。

      這會在 crontab 公用程式中建立一個項目,而現在監視程式會啟動。監視程式會監視 Netlet 代理伺服器並在效能降低時啟用代理伺服器。

    • 手動啟動 Netlet 代理伺服器:

      psadmin start-sra-instance -u uid -f password-filename -N sra-instance-name -t instance-type

      輸入 nlproxy 以取代 instance-type 。此設定檔名稱是對應到所需 Netlet 代理伺服器實例。如需此指令的詳細資訊,請參閱「Sun Java Portal Server Command Line Reference Guid」。

Procedure建立 Rewriter 代理伺服器實例

  1. 使用 Telnet 登入需要建立實例的電腦。預設閘道實例已啟動,並在此電腦上執行。

  2. /opt/SUNWportal/template/sra/GWConfig.properties.template 檔案複製至暫存位置。例如,/tmp

  3. 依需要在新設定檔的檔案中修改值。

  4. 一旦完成,就執行下列指令:

    ./psadmin create-sra-instance -u amadmin -f <passwordfile> -S <template file location>.template -t rwproxy

  5. 請使用要求的閘道設定檔名稱重新啟動 Rewirter 伺服器的新實例,以確保變更生效:

    ./psadmin start-sra-instance –u amadmin – f <password file> –N <profile name> – t rwproxy

Procedure重新啟動 Rewriter 代理伺服器

  1. 在終端機視窗中,連線為超級使用者並執行下列動作之一:

    • 啟動監視程式程序:

      psadmin sra-watchdog -u uid -f password-filename -t instance-type on

      請輸入 rwproxy 取代 instance-type。如需此指令的詳細資訊,請參閱「Sun Java Portal Server Command Line Reference Guid」。

      這會在 crontab 公用程式中建立一個項目,而現在監視程式會啟動。監視程式會監視 Rewriter 代理伺服器連接埠並在當機時重新啟動。

    • 手動啟動 Rewriter 代理伺服器:

      start-sra-instance -u uid -f password-filename -N sra-instance-name -t instance-type

      輸入 rwproxy 取代 instance-type。此設定檔是對應到所需 Rewriter 代理伺服器實例。如需此指令的詳細資訊,請參閱「Sun Java Portal Server Command Line Reference Guid」。

Procedure啟用反向代理伺服器

  1. 以超級使用者身分登入並編輯所需閘道實例的 platform.conf 檔:

    /etc/opt/SUNWportal/platform.conf. gateway-profile-name

  2. 新增下列項目:

    gateway.virtualhost= fully-qualified-gateway-host gateway-ip-address fully- qualified-reverse-proxyhost

    gateway.enable.customurl=true (此值依預設設定為 false。)。

    gateway.httpurl= http reverse-proxy-URL

    gateway.httpsurl=https reverse-proxy-URL

    gateway.httpurl 將用於覆寫在連接埠接收的回應,其中連接埠在閘道設定檔會列示為 HTTP 連接埠。

    gateway.httpsurl 將用於覆寫在連接埠接收的回應,其中連接埠在閘道設定檔會列示為 HTTPS 連接埠。

  3. 重新啟動閘道:

    ./psadmin start-sra-instance –u amadmin – f <password file> –N <profile name> – t <gateway>

    如果不指定這些值,則閘道會預設成一般的運作方式。

Procedure新增認證模組到現有 PDC 實例

  1. 以管理員的身份登入 Access Manager 管理主控台。

  2. 選取需要的組織。

  3. 從 [檢視] 下拉方塊中選取 [服務]。

    會顯示服務。

  4. 按一下 [認證配置]。

    顯示 [服務實例清單]。

  5. 按一下 [Gatewaypdc]。

    會顯示 Gatewaypdc 特性頁面。

  6. 按一下 [編輯]。

    隨即顯示 [新增模組] 頁。

  7. 選擇 [模組名稱] 並設定 [旗標] 為 [必要的]。

  8. 按一下 [確定]。

  9. 新增一個或多個模組後按一下 [儲存]。

  10. gatewaypdc 特性頁面中按一下 [提交]。

  11. 重新啟動閘道以使變更生效:

    gateway-install-location/SUNWportal/bin/psadmin start-sra-instance –u amadmin – f <password file> –N <profile name>– t <gateway>

Procedure停用瀏覽器快取

  1. 以超級使用者身分登入並編輯所需閘道實例的 platform.conf 檔:


    /etc/opt/SUNWportal/platform.conf.gateway-profile-name

  2. 編輯下面的行:


    gateway.allow.client.caching=true

    此值依預設設定為 true。變更此值為 false 以停止瀏覽器在用戶端快取。

  3. 重新啟動閘道:

    ./psadmin start-sra-instance –u amadmin – f <password file> –N <profile name> – t <gateway>

Procedure共用 LDAP 目錄

  1. AMConfig.properties 中的下列區域修改為與最先安裝的 Portal Server 及 Access Manager 伺服器實例相一致:

    # 會使用金鑰來加密和解密密碼。am.encryption.pwd=t/vnY9Uqjf12NbFywKuAaaHibwlDFNLO <== REPLACE THIS STRING WITH THE ONE FROM FIRST PORTAL INSTALL

    /* The following key is the shared secret for application auth module */ com.iplanet.am.service.secret=AQICxIPLNc0WWQRVlYZN0PnKgyvq3gTU8JA9 <== REPLACE THIS STRING WITH THE ONE FROM FIRST PORTAL INSTALL

  2. /etc/opt/SUNWam/config/ums 中,將 serverconfig.xml 中的下列區域修改為與最先安裝的 Portal Server 及 Access Manager 伺服器實例不一致:


    <DirDN>
    cn=puser,ou=DSAME Users,dc=sun,dc=net
</DirDN>
    <DirPassword>
         AQICxIPLNc0WWQT22gQnGgnCp9rUf+FuaqpY 
         <==  REPLACE THIS STRING WITH THE ONE FROM FIRST PORTAL INSTALL
  </DirPassword>

<DirDN>
   cn=dsameuser,ou=DSAME Users,dc=sun,dc=net
</DirDN>
     <DirPassword>
          AQICxIPLNc0WWQT22gQnGgnCp9rUf+FuaqpY 
          <==  REPLACE THIS STRING WITH THE ONE FROM FIRST PORTAL INSTALL
     </DirPassword>

  3. 重新啟動 Access Manager 服務。

第 17 章 聯合管理方案

將討論下列主題:

使用聯合管理

聯合管理能讓使用者聚集他們的本機識別,以使他們有一個網路識別。聯合管理使用網路識別以允許使用者登入一個服務提供者的網站,並且不需要重新認證他們的識別即可存取其他服務提供者的網站。這稱為單次登入。

在入口伺服器上開啟模式和安全模式配置聯合管理。「Portal Server 管理指南」描述了如何在開放模式中配置聯合管理。於安全模式中使用 Portal Server Secure Remote Access 伺服器配置聯合管理之前,請確保聯合管理可在開啟模式中運作。如果您的使用者要在開啟模式和安全模式中從相同的瀏覽器中使用聯合管理,他們必須清除 cookie 並從瀏覽器進行快取。

如需「聯合管理」的詳細資訊,請參閱「Access Manager 聯合管理指南」。

聯合管理方案

使用者認證到一個初始的服務提供者。服務使用者是商業用途或是提供以網路為主之服務的非營利組織。此廣泛的種類可以包括網際網路入口網站、運輸提供者、金融機構、娛樂事業公司、圖書館、大學和政府行政機構。

服務提供者可以使用 cookie 以儲存使用者在用戶端瀏覽器的階段作業資訊。Cookie 也包含使用者的識別提供者。

識別提供者是在提供認證服務中指定的服務提供者。做為認證的管理服務,它們同時也維持並管理身份識別資訊。識別提供者所完成的認證受到隸屬於它的所有伺服器提供者所認可。

當使用者程式存取不隸屬於該識別提供者的服務時,此識別提供者會將該 cookie 轉寄給獨立的服務提供者。此服務提供者之後便可存取在 cookie 中呼叫的識別提供者。

然而,無法在不同的 DNS 網域間讀取 cookie。因此使用「共用網域 Cookie 服務」以重新導向服務提供者到正確的識別提供者,因此使用者就可以啟用單次登入。

配置聯合管理資源

聯合資源、服務提供者、識別提供者和共同網域 Cookie 服務 (CDCS) 在其所存在的閘道中設定檔中配置。這部分說明如何配置三個方案:

Procedure配置聯合管理資源

  1. 當所有資源位在企業內部網路時

  2. 當所有資源沒有位於企業內部網路,或識別提供者位於網際網路

  3. 當所有資源沒有位於企業網路,或當企業提供者受到閘道保護,且識別提供者是協力廠商並位於網際網路。

配置 1

在此配置中,服務提供者、識別提供者和「共用網域 Cookie 服務」都部署在相同的企業內部網路中,而識別提供者並未發佈到網際網路網域名稱伺服器 Domain Name Server (DNS) 中。CDCS 為選填項目。

在此配置中,閘道指向服務提供者,也就是 Portal Server。此配置對 Portal Server 的多重實例都有效。

Procedure配置閘道為服務提供者 (Portal Server)

  1. 以管理員身份登入 Portal Server 管理主控台。

  2. 選取 [Secure Remote Access] 標籤,並選取適當的閘道設定檔,以修改其屬性。

    便會顯示 [編輯閘道設定檔] 頁面。

  3. 選取 [核心] 標籤。

  4. 選取 [啟用 Cookie 管理] 核取方塊以啟用 cookie 管理。

  5. 選取 [安全性] 標籤。

  6. 在 Portal Server 欄位中,輸入 Portal Server 名稱,以使用相對 URL,例如:列於 [未驗證的 URL] 清單中的 /amserver/portal/dt。例如:

    http:// idp-host:port/amserver/js

    http:// idp-host:port/amserver/UI/Login

    http://idp-host:port /amserver/css

    http://idp-host:port /amserver/SingleSignOnService

    http://idp-host:port/amserver/UI/blank

    http://idp-host:port /amserver/postLogin

    http:// idp-host:port/amserver/login_images

  7. 在 Portal Server 欄位中輸入 Portal Server 名稱。例如 /amserver

  8. 按一下 [儲存]。

  9. 選取 [安全性] 標籤。

  10. 在 [未驗證的 URL] 清單中,新增聯合資源。例如:

    /amserver/config/federation

    /amserver/IntersiteTransferService

    /amserver/AssertionConsumerservice

    /amserver/fed_images

    /amserver/preLogin

    /portal/dt

  11. 按一下 [新增]。

  12. 按一下 [儲存]。

  13. 如果需要 Web 代理伺服器以連線至在 [未驗證的 URL] 清單中的 URL,請選取 [部署] 標籤。

  14. 在 [網域與子網域的代理伺服器] 欄位中,輸入所需的 Web 代理伺服器。

  15. 按一下 [新增]。

  16. 按一下 [儲存]。

  17. 從終端機視窗中,重新啟動閘道:

    ./psadmin start-sra-instance –u amadmin – f <password file> –N <profile name>– t <gateway>

配置 2

在此配置中識別提供者、識別提供者和共同網域 Cookie 提供者 (CDCP) 沒有部署於企業內部網路,或識別提供者是位於網際網路上的協力廠商。

在此配置中,閘道指向服務提供者,也就是 Portal Server。此配置對 Portal Server 的多重實例都有效。

Procedure配置閘道為服務提供者 (Portal Server)

  1. 以管理員身份登入 Portal Server 管理主控台。

  2. 選取 [Secure Remote Access] 標籤,並選取適當的閘道設定檔,以修改其屬性。

  3. 選取 [核心] 標籤。

  4. 選取 [啟用 Cookie 管理] 核取方塊以啟用 cookie 管理。

  5. 在 Portal Servers 欄位中,輸入服務提供者的入口網站伺服器名稱,以使用相對 URL,例如:列於 [未認證 URL] 清單中的 /amserver/portal/dt

    http://idp-host:port/amserver/js

    http://idp-host:port /amserver/UI/Login

    http://idp-host:port /amserver/css

    http:// idp-host:port/amserver/SingleSignOnService

    http://idp-host:port /amserver/UI/blank

    http://idp-host:port /amserver/postLogin

    http:// idp-host:port/amserver/login_images

  6. 按一下 [儲存]。

  7. 按一下 [安全性] 標籤。

  8. 在 [未認證 URL] 清單中,新增聯合資源。例如:

    /amserver/config/federation

    /amserver/IntersiteTransferService

    /amserver/AssertionConsumerservice

    /amserver/fed_images

    /amserver/preLogin

    /portal/dt

  9. 按一下 [新增]。

  10. 按一下 [儲存]。

  11. 如果需要 Web 代理伺服器以連線至在 [未驗證的 URL] 清單中的 URL,請選取 [部署] 標籤。

  12. 在 [網域與子網域代理伺服器] 欄位中,輸入 Web 代理伺服器的相關資訊。

  13. 按一下 [新增]。

  14. 按一下 [儲存]。

  15. 從終端機視窗中,重新啟動閘道:

    ./psadmin start-sra-instance –u amadmin – f <password file> –N <profile name>– t <gateway>

配置 3

在此配置中識別提供者、識別提供者和共同網域 Cookie 提供者 (CDCP) 沒有部署於企業內部網路,或服務提供者是位於網際網路上的協力廠商,且識別提供者受到閘道保護。

在此配置中,閘道指向識別提供者,也就是 Portal Server。

此配置對 Portal Server 的多重實例都有效。此配置在網路上是不太可能發生的,然而,一些企業網路在其企業內部網路可能會有這樣的配置,也就是說,識別提供者可能位於由防火牆保護的子網路中,而伺服器提供者可以在企業網路中直接存取。

Procedure配置閘道至識別提供者 (Portal Server)

  1. 以管理員身份登入 Portal Server 管理主控台。

  2. 選取 [Secure Remote Access] 標籤,並選取適當的閘道設定檔,以修改其屬性。

  3. 選取 [核心] 標籤。

  4. 選取 [啟用 Cookie 管理] 核取方塊以啟用 cookie 管理。

  5. 在 Portal Servers 欄位中,輸入識別提供者的入口網站伺服器名稱,以使用相對 URL,例如:列於 [未認證 URL] 清單中的 /amserver/portal/dt

    http://idp-host:port/amserver/js

    http://idp-host:port /amserver/UI/Login

    http://idp-host:port /amserver/css

    http:// idp-host:port/amserver/SingleSignOnService

    http://idp-host:port /amserver/UI/blank

    http://idp-host:port /amserver/postLogin

    http:// idp-host:port/amserver/login_images

  6. 按一下 [儲存]。

  7. 選取 [安全性] 標籤。

  8. 在 [未認證 URL] 清單中,新增聯合資源。例如:

    /amserver/config/federation

    /amserver/IntersiteTransferService

    /amserver/AssertionConsumerservice

    /amserver/fed_images

    /amserver/preLogin

    /portal/dt

  9. 按一下 [新增]。

  10. 按一下 [儲存]。

  11. 如果需要 Web 代理伺服器以連線至在 [未驗證的 URL] 清單中的 URL,請選取 [部署] 標籤。

  12. 在 [網域與子網域代理伺服器] 欄位中,輸入 Web 代理伺服器的相關資訊。

  13. 按一下 [新增]。

  14. 按一下 [儲存]。

  15. 從終端機視窗中,重新啟動閘道:

    ./psadmin start-sra-instance –u amadmin – f <password file> –N <profile name>– t <gateway>