本附錄說明您可透過每個 Portal Server Secure Remote Access 元件的 Portal Server 管理主控台,為每個 Sun Java System Portal Server Secure Remote Access 配置的屬性:
存取控制服務會列出存取控制服務屬性。
表 A–1 存取控制服務屬性
屬性 |
預設值 |
描述 |
---|---|---|
遭拒的 URL |
|
一般使用者無法透過閘道存取的 URL 清單。 |
允許的 URL |
* |
一般使用者可以透過閘道存取的 URL 清單。 |
停用單次登入的主機 |
停用清單中主機的單次登入功能。 |
|
啟用每個階段作業中的單次登入 |
啟用階段作業的單次登入功能。 |
|
允許的驗證等級 |
* |
表示信任認證的程度。使用星號可允許所有認證等級。有關認證等級的資訊,請參閱「Access Manager 管理指南」。 |
當您按一下閘道服務時,右邊的窗格會顯示一個可用來建立新設定檔的按鈕,以及顯示已經建立之所有閘道設定檔的清單。
如果您按一下 [新增],則下一個窗格將會提示您輸入新的閘道設定檔名稱。您可以選擇使用預設範本或是選擇先前建立的閘道設定檔作為範本。
如果您在其中一個列出的閘道設定檔名稱上按一下,將會出現一個標籤清單。他們是:
核心列出了閘道服務核心屬性。
表 A–2 閘道服務核心屬性
屬性 |
預設值 |
描述 |
---|---|---|
啟用 HTTPS 連線 |
|
啟用 HTTPS 連線。 |
HTTPS 連接埠 |
443 |
指定 HTTPS 連接埠。 |
啟用 HTTP 連線 |
* |
啟用 HTTP 連線。 |
HTTP 連接埠 |
80 |
指定 HTTP 連接埠。 |
啟用 Rewriter 代理伺服器 |
* |
在閘道和企業內部網路之間實現安全的 HTTP 通訊。Rewriter 代理伺服器及閘道使用相同的閘道設定檔。 |
Rewriter 代理伺服器清單 |
Rewriter 代理伺服器的清單。對於 Rewriter 代理伺服器的多個實例,請以 host-name:port 的格式輸入每一個實例的詳細資訊。 |
|
啟用 Netlet |
已核取 |
確保 TCP/IP (如 Telnet 及 SMTP)、HTTP 應用程式及固定連接埠應用程式的安全性。 |
啟用 Proxylet |
已核取 |
啟用在用戶端機器上 Proxylet 的下載。 |
啟用 Netlet 代理伺服器 |
藉由透過閘道將安全通道從用戶端延伸到位於企業內部網路的 Netlet 代理伺服器,以強化閘道和企業內部網路之間的 Netlet 通訊流量的安全性。如果您不想在 Portal Server 中使用應用程式,則請停用此選項。 |
|
Netlet 代理伺服器主機 |
列出 Netlet 代理伺服器主機,格式如下:hostname:port |
|
啟用 Cookie 管理 |
為允許使用者存取的所有網站追蹤與管理使用者階段作業。(請勿套用至 Portal Server 用來追蹤 Portal Server 使用者階段作業的 Cookie)。 |
|
啟用持續 HTTP 連線 |
已核取 |
在閘道啟用 HTTP 永久性連線,以避免為網頁中的每個物件 (例如影像與樣式表) 都開啟通訊端。 |
每一持續連線的最大請求數 |
10 |
指定每一持續連線的要求數。 |
持續通訊端連線的逾時 |
50 |
指定在關閉插槽前需要經過的時間量。 |
帳號往返時間的寬限逾時 |
20 |
指定在瀏覽器傳送請求後,請求到閘道的寬限時間量,和閘道傳送回應以及瀏覽器實際收到之間的間隔時間。 |
將使用者階段作業 Cookie 轉寄至的 URL |
讓 servlet 和 CGI 可以收到 Portal Server 的 cookie 並使用 API 來識別使用者。 |
|
最長連線佇列長度 |
50 |
指定閘道可以接受的最大並行運作連線。 |
閘道逾時 (秒) |
120 |
指定閘道與瀏覽器的連線逾時前的時間間隔 (單位:秒)。 |
最大執行緒儲存區大小 |
200 |
指定可於閘道執行緒池內預先建立的執行緒的最大數。 |
快取的通訊端逾時 |
200 |
指定閘道與 Portal Server 的連線逾時前的時間間隔 (單位:秒)。 |
Portal Server |
以下列格式指定 Portal Server:http:// portal server name:port -number。閘道會以循環方式嘗試連絡每個列出的 Portal Server 以服務請求。 |
|
伺服器重試間隔 (秒) |
120 |
指定當 Portal Server、Rewriter 代理伺服器或 Netlet 代理伺服器變得無法存取 (例如當機或關機) 之後,嘗試啟動它們之請求之間的時間間隔。 |
儲存外部伺服器 Cookie |
允許閘道儲存與管理可透過閘道存取之任何協力廠商應用程式或是伺服器的 cookie。 |
|
從 URL 取得階段作業資訊 |
將階段作業資訊編碼為 URL 的一部分,不論是否支援 cookie。閘道會使用 URL 中找到的階段作業資訊進行驗證,而不是使用用戶端瀏覽器傳送的階段作業 cookie。 |
代理伺服器列出了閘道服務代理伺服器屬性。
表 A–3 閘道服務代理伺服器屬性
屬性 |
預設值 |
描述 |
---|---|---|
使用代理伺服器 |
使得可以使用 Web 代理伺服器。 |
|
使用網路代理伺服器 URL |
列出閘道需要連絡的 URL,而連絡僅能透過 [網域和子網域的代理伺服器清單] 中列出的 Web 代理伺服器進行 (即使 [使用代理伺服器] 選項已經停用)。 |
|
請勿使用網路代理伺服器 URL |
列出閘道可以直接連接的 URL。 |
|
網域與子網域的代理伺服器 |
iportal.com sun.com |
指定應該使用哪個代理伺服器以連絡特定網域中的特定子網域。 |
代理伺服器密碼清單 |
指定當代理伺服器需要認證以存取部分或所有網站時,閘道向指定的代理伺服器認證所需的伺服器名稱、使用者名稱及密碼。 |
|
啟用自動代理伺服器配置支援 |
指定將忽略在 [網域與子網域的代理伺服器] 欄位中提供的資訊。 |
|
自動代理伺服器配置檔案位置 |
指定用於 PAC 支援的檔案位置。 |
|
透過 Web 代理伺服器啟用 Netlet 通道 |
透過閘道將安全通道從用戶端延伸至存在於企業內部網路的 Web 代理伺服器。 |
安全性列出了閘道服務安全性屬性。
表 A–4 閘道服務安全性屬性
屬性 |
預設值 |
描述 |
---|---|---|
啟用 HTTP 基本認證 |
已核取 |
儲存使用者名稱和密碼,如此當使用者重新造訪有 BASIC 保護的網站時,將不需要重新輸入其憑證。 |
未認證的 URL |
/portal/desktop/images /amserver/login_images /portal/desktop/css /amserver/jss /amconsole/console/css /portal/searchadmin/console/js /amconsole/console/js /amserver/css |
指定不需要任何認證的 URL,例如包含影像的目錄。 |
啟用憑證的閘道主機 |
列出已啟用憑證的閘道主機。 |
|
允許 40 位元加密 |
允許 40 位元 (弱) 安全套接層 (SSL) 連線。如果您沒有選取這個選項,則只支援 128 位元的連線。 |
|
啟用 SSL 2.0 版 |
已核取 |
啟用 SSL 2.0 版本。 停用 SSL 2.0 表示只支援舊版 SSL 2.0 的瀏覽器將不能認證至 SRA。這可確保較大的安全層級。 |
啟用 SSL 加密選項 |
啟用 SSL 加密選項。您可以選擇支援所有預先封裝的密碼,或者您可以單獨選擇需要的密碼。您可以為每個閘道實例選擇特定的 SSL 密碼。 |
|
SSL2 加密 |
列出您可以選擇的 SSL 版本 2 密碼。 |
|
SSL3 加密 |
列出您可以選擇的 SSL 版本 3 密碼。 |
|
TLS 加密 |
列出 TLS 密碼。 |
|
啟用 SSL 3.0 版 |
已核取 |
啟用 SSL 3.0 版。 停用 SSL 3.0 表示只支援 SSL 3.0 的瀏覽器將不能認證至 SRA 。這可確保較大的安全層級。 |
啟用空加密 |
啟用空加密。 |
|
可信任的 SSL 網域 |
列出信任的 SSL 網域。 |
|
將 Cookie 標示為安全 |
將 Cookie 標示為安全。必須啟用 [啟用 Cookie 管理] 選項。 |
Rewriter 標籤有兩個子區段:
基本列出了閘道服務 Rewriter 基本屬性。
表 A–5 閘道服務 Rewriter 屬性 - 基本
屬性 |
預設值 |
描述 |
---|---|---|
啟用所有 URL 的重寫 |
指定重寫所有 URI,但不核對 [網域與子網域的代理伺服器] 清單中的項目。 |
|
對映 URI 至規則集 |
*://*.iportal.com*/portal/* |default_gateway_ruleset */portal/NetFileOpenFileServlet* |null_ruleset *|generic_ruleset REPLACE_WITH_IPLANET_MAIL_SERVER_NAME|iplanet_mail_ruleset REPLACE_WITH_EXCHANGE_SERVER_ NAMEexchange_2000sp3_owa_ruleset *://*.iportal.com*/amconsole/*|default_gateway_ruleset REPLACE_WITH_INOTES_SERVER_NAME|inotes_ruleset http*://*/portal/NetFileController*|null_ruleset |
使用 [對映 URI 至規則集] 清單建立網域與規則集之間的關聯。規則集是在 Access Manager 管理主控台的 [Portal Server 配置] 下建立。 |
對映剖析器至 MIME 類型 |
JAVASCRIPT=application/x-java XML=text/xml HTML=text/html;text/htm;text/x-component;text/wml;text/vnd.wap.wml CSS=text/css |
建立新的 MIME 類型與 HTML、JAVASCRIPT、CSS 或 XML 之間的關聯。以分號或逗號分隔多個項目。 |
不要重寫的 URI |
列出不要重寫的 URI。注意:將 #* 新增至這份清單可允許重寫 URI,即使 href 規則是規則集的一部分也一樣。 |
|
預設網域 |
將主機名稱解析為預設網域與子網域。在安裝期間會指定這個選項 |
進階 列出了閘道服務 Rewriter 進階屬性。
表 A–6 閘道服務 Rewriter 屬性 - 進階
屬性 |
預設值 |
描述 |
---|---|---|
啟用 MIME 推測 |
當未傳送 MIME 時,啟用 MIME 推測。您必須將資料新增至 [對映剖析器至 URI] 清單方塊。 |
|
對映剖析器至 URI 對映 |
將剖析器對映至 URI。由分號分隔多個 URI。 例如 HTML=*.html; *.htm;*Servlet 表示 Rewriter 會用於重新寫入任何含有 html、htm,或 Servlet 副檔名的網頁內容。 |
|
啟用遮罩 |
允許 Rewriter 重新寫入 URI,如此即可隱藏網頁的企業內部網路 URL。 |
|
遮罩的種子字串 |
指定可用於遮罩 URI 的種子字串。遮罩演算法會產生此隨機字串。 |
|
不要遮罩的 URI |
指定不要遮罩的網際網路 URI。當應用程式 (例如 applet) 需要網際網路 URI 時便可使用此選項。 例如您新增 */Applet/Param* 至清單方塊,如果內容 URI http://abc.com/Applet/Param1.html 與規則集相符,就不會遮罩此 URL。 |
|
讓閘道通訊協定與原始 URI 通訊協定相同 |
讓 Rewriter 使用一致的通訊協定存取 HTML 內容中參照的資源。 這將僅套用至靜態 URI,而非產生於 Javascript 的動態 URI。 |
當您按一下 NetFile 服務,右邊的窗格將會顯示標籤。他們是:
[主機] 標籤有兩個子區段:
配置列出了 Netfile 主機配置屬性。
表 A–7 NetFile 服務主機配置屬性
屬性 |
預設值 |
描述 |
作業系統字元集 |
Unicode(UTF-8) |
指定在與主機通訊時用來作為預設編碼的字元集。 |
主機偵測順序 |
WIN、NETWARE、FTP、NFS |
指定主機偵測順序。 |
共用主機 |
指定所有遠端 NetFile 使用者都可以透過 NetFile 使用的主機。 |
|
預設網域 |
指定 NetFile 用於連絡允許主機所需要的預設網域。 |
|
預設 Microsoft Windows 網域/工作群組 |
指定使用者為存取 Microsoft Windows 主機而選擇的預設 Microsoft Windows 網域/工作群組。 |
|
預設 WINS/DNS 伺服器 |
指定 NetFile 用於存取 Windows 主機的 WINS/DNS 伺服器。 |
存取列出了 NetFile 服務主機存取屬性。
表 A–8 NetFile 服務主機存取屬性
屬性 |
預設值 |
描述 |
---|---|---|
允許存取 Windows 主機 |
已核取 |
允許存取 Microsoft Windows 主機。 |
允許存取 FTP 主機 |
已核取 |
允許存取 FTP 主機。 |
允許存取 NFS 主機 |
已核取 |
允許存取 NFS 主機。 |
允許存取 Netware 主機 |
已核取 |
允許存取 Netware 主機。 |
允許的主機 |
* |
指定使用者能夠透過 NetFile 存取的主機。 |
遭拒的主機 |
指定使用者不能夠透過 NetFile 存取的主機。 |
若您在使用者開始使用 NetFile 之後停用這些選項,則只有在使用者登出 NetFile 並重新登入後,此項變更才會生效。
權限列出了 Netfile 服務權限屬性。
表 A–9 NetFile 服務權限屬性
屬性 |
預設值 |
描述 |
---|---|---|
允許檔案重新命名 |
已核取 |
允許使用者重新更名檔案。 |
允許檔案/資料夾刪除 |
已核取 |
允許使用者刪除檔案及資料夾。 |
允許檔案上傳 |
已核取 |
允許使用者上傳檔案。 |
允許檔案/資料夾下載 |
已核取 |
允許使用者下載檔案及資料夾。 |
允許檔案搜尋 |
已核取 |
允許使用者搜尋。 |
允許檔案郵寄 |
已核取 |
允許檔案郵寄。 |
允許檔案壓縮 |
已核取 |
允許壓縮檔案。 |
允許變更使用者 ID |
已核取 |
允許使用者使用不同的 ID。 |
允許變更 Windows 網域 |
已核取 |
允許使用者變更 Microsoft Windows 網域。 |
檢視列出了 Netfile 服務檢視屬性。
表 A–10 NetFle 服務檢視屬性
屬性 |
預設值 |
描述 |
---|---|---|
視窗大小 |
700|400 |
以像素為單位指定 NetFile 視窗在使用者桌面上的大小。若您輸入的值無效,NetFile 會使用此預設值。 |
視窗位置 |
100|50 |
指定 NetFile 視窗在使用者桌面上顯示的位置。若您輸入的值無效,NetFile 會使用此預設值。 |
[作業] 標籤的子區段如下:
流量列出了 NetFile 服務作業流量屬性。
表 A–11 NetFile 服務作業 - 流量屬性
屬性 |
預設值 |
描述 |
---|---|---|
暫存目錄位置 |
/tmp |
為不同 NetFile 檔案作業指定暫存目錄。 確保執行 Web 伺服器的 ID (例如 nobody 或 noaccess) 擁有指定目錄的 rwx 權限。還要確保 ID 對於需要的暫時目錄的完整路徑擁有 rx 權限。 您可以為 NetFile 建立單獨的暫存目錄。如果您為 Portal Server 所有模組指定了共用的暫存目錄,磁碟空間可能很快就會用完。如果暫存目錄已無空間,則 NetFile 將無法運作。 |
檔案上傳限制 (MB) |
5 |
指定檔案可以上傳的最大大小。若您輸入一個無效的值,NetFile 會將此值重新設定為預設值。請確定您鍵入了整數值。 您可以為不同的使用者指定不同的檔案上傳大小限制。 |
搜尋列出了 NetFile 服務作業搜尋屬性。
表 A–12 NetFile 服務作業 - 搜尋屬性
屬性 |
預設值 |
描述 |
---|---|---|
搜尋目錄限制 |
100 |
指定在單一搜尋作業中,可搜尋目錄的最大數目。 |
壓縮列出了 NetFile 服務作業壓縮屬性。
表 A–13 NetFile 服務作業 - 壓縮屬性
屬性 |
預設值 |
描述 |
---|---|---|
預設壓縮類型 |
Zip |
指定使用 Zip 或 Gzip 壓縮類型。 |
預設壓縮層級 |
6 |
指定壓縮層級,有效值從 1 到 9。 |
一般列出了 Netfile 服務一般屬性。
表 A–14 NetFile 服務 - 一般屬性
屬性 |
預設值 |
描述 |
---|---|---|
MIME 類型配置檔案位置 |
/opt/S1PS62/SUNWportal/samples/config/netfile |
指定傳送至用戶端瀏覽器的回應內容類型。 |
Netlet 服務列出 Netlet 服務屬性。
表 A–15 Netlet 服務屬性
屬性 |
預設值 |
描述 |
---|---|---|
Netlet 規則 |
選擇新增或刪除規則。 |
|
如果您新增一個規則,將會需要下列九個屬性: | ||
--規則名稱 |
為規則指定唯一的名稱。 |
|
--加密密碼 |
指定需要的密碼。 |
|
--URL |
指定要啟動之應用程式的 URL。 |
|
--下載 Applet |
指定是否需要下載 Applet。如果已經使用 Applet,則相關編輯方塊中的語法為: local-port:server-host:server-port |
|
--延伸階段作業 |
確保當與此規則相對映的 Netlet 階段作業在執行時,Portal Server 階段作業時間將會延長。 |
|
--對映本機連接埠至目標伺服器連接埠 |
指定本機連接埠、目標主機以及目標連接埠。在輸入那些數值之後 (在此表中的下三行),請按一下 [新增] 以便讓此規則出現在清單中。 |
|
--本地連接埠 |
指定 Netlet 偵聽的本機連接埠。對於 FTP 規則,本機連接埠值必須為 30021。 |
|
--目標主機 |
靜態規則包含用於 Netlet 連線的目標機器之主機名稱。 動態規則包含 "TARGET" 這個字。 |
|
--目標連接埠 |
指定目標主機上的連接埠。 |
|
預設原生 VM 加密 |
為 Netlet 規則指定預設加密法。如果現有規則未將加密法包括成為規則的一部分,當您在使用現有規則時,這個選項就非常有用。 |
|
預設 Java Plugin 加密 |
為 Netlet 規則指定預設加密法。如果現有規則未將加密法包括成為規則的一部分,當您在使用現有規則時,這個選項就非常有用。 |
|
預設回送連接埠 |
58000 |
當透過 Netlet 下載 applet 時,指定用戶端上使用的連接埠。可以在 Netlet 規則中忽略此預設值。 |
重新認證連線 |
確保使用者每次重新建立 Netlet 連線,都必須輸入 Netlet 密碼。 |
|
連線時顯示快顯式警告 |
已核取 |
當使用者在 Netlet 執行應用程式且當入侵者嘗試透過偵聽連接埠存取桌面時會顯示一則訊息。 |
在連接埠警告對話方塊中顯示核取方塊 |
已核取 |
當 Netlet 嘗試在使用者的標準入口網站桌面上連線到目標主機時,提供使用者抑制警告對話方塊快顯的選項。 |
保持現有的間隔 (分鐘) |
0 |
如果用戶端透過 Web 代理伺服器連線到閘道,閒置的 Netlet 連線會因為代理伺服器逾時而中斷。為了避免這種情形,請為此參數賦予一個小於代理伺服器逾時的值。 |
在門戶網站登出時終止 Netlet |
已核取 |
確保在使用者登出 Portal Server 時,所有連線都已終止。 |
存取 Netlet 規則 |
* |
定義存取某些組織、角色或使用者的特定的 Netlet 規則。 |
拒絕 Netlet 規則 |
拒絕存取某些組織、角色或使用者的特定的 Netlet 規則。 |
|
允許的主機 |
* |
定義某個組織、角色或使用者對特定主機的存取。 |
遭拒的主機 |
拒絕存取組織中特定的主機。 |
Proxylet 服務列出 Proxylet 服務屬性。
表 A–16 Proxylet 服務屬性
屬性 |
預設值 |
描述 |
---|---|---|
自動下載 Proxylet Applet |
如果核取了該核取方塊,會在使用者登入時下載 Proxylet 到用戶端機器。 |
|
預設 Proxylet Applet 連結 IP |
127.0.0.1 |
Proxylet Applet 常駐的 IP 位址。 |
預設 Proxylet Applet 連接埠 |
58081 |
此為 Proxylet 偵聽的連接埠。 |