test

Sun Java System Portal Server Secure Remote Access 7.2 管理指南

配置設定檔核心選項

本節說明下列作業:

配置啟動模式

若您在安裝期間選擇以 HTTPS 模式執行閘道,則在安裝後閘道會以 HTTPS 模式執行。在 HTTPS 模式中,閘道會接受來自瀏覽器的 SSL 連線並拒絕非 SSL 連線。然而,您也可以配置以 HTTP 模式執行閘道。如此將可加速閘道的效能,因為它與管理 SSL 階段作業、加密與解密 SSL 通訊流量的耗用時間並無關。

Procedure配置啟動模式

  1. 以管理員身份登入 Portal Server 管理主控台。

  2. 選取 [Secure Remote Access] 標籤,並按一下設定檔名稱以修改其屬性。

  3. 選取 [核心] 標籤。

  4. 修改下列屬性:

    HTTP 連線

    選取 [HTTP 連線] 核取方塊,以允許閘道接受非 SSL 的連線。

    HTTP 連接埠

    輸入 HTTP 連接埠號碼。預設值為 80。

    HTTPS 連線

    選取 [HTTPS 連線] 核取方塊,以允許閘道接受 SSL 連線。根據預設,會選取此選項。

    HTTPS 連接埠

    輸入 HTTPS 連接埠號碼。預設值為 443。

    備註 –

    可使用「Sun Java System Portal Server 7.2 Command-Line Reference」中的「psadmin set-attribute」

    /space/PS/portal/bin/psadmin set-attribute -u amadmin -f /space/PS/portal/bin/ps_password -p portal1 -m gateway --gateway-profile profileID -a sunPortalGatewayDomainsAndRulesets -A $entry

    • sunPortalGatewayDefaultDomainAndSubdomains=Default Domains

    • sunPortalGatewayLoggingEnabled=Enable Logging

    • sunPortalGatewayEProxyPerSessionLogging=Enable per Session Logging

    • sunPortalGatewayEProxyDetailedPerSessionLogging=Enable Detailed per Session Logging

    • sunPortalGatewayNetletLoggingEnabled=Enable Netlet Logging

    • sunPortalGatewayEnableMIMEGuessing=Enable MIME Guessing

    • sunPortalGatewayParserToURIMap=Parser to URI Mappings

    • sunPortalGatewayEnableObfuscation=Enable Masking

    • sunPortalGatewayObfuscationSecretKey=Seed String for Masking

    • sunPortalGatewayNotToObscureURIList=URIs not to Mask

    • sunPortalGatewayUseConsistentProtocolForGateway=Make Gateway protocol Same as Original URI Protocol

    • sunPortalGatewayEnableCookieManager=Store External Server Cookies

    • sunPortalGatewayMarkCookiesSecure=Mark Cookies as secure

  5. 從終端機視窗重新啟動閘道:

    ./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway 


    
    		

    

    

    6. 



配置核心元件


Netlet 會讓使用者在不安全的網路上 (如網際網路) 安全執行共用 TCP/IP 服務。您可執行 TCP/IP 應用程式 (如 Telnet 和 SMTP)、HTTP 應用程式以及任何使用固定連接埠的應用程式。若已啟用 Netlet,閘道需要確定外來的通訊是 Portal Server 通訊還是 Netlet 通訊。停用 Netlet 則會減少這種耗用時間,因為閘道會假設所有外來的通訊是 HTTP 或 HTTPS 通訊。只有在確定不希望透過 Portal Server 使用任何應用程式時,才停用 Netlet。



Procedure配置元件


    


  1. 

    以管理員身份登入 Portal Server 管理主控台。
    


    2. 


  2. 

    選取 [Secure Remote Access] 標籤,並按一下設定檔名稱以修改其屬性。
    


    3. 


  3. 

    選取 [核心] 標籤。
    


    4. 


  4. 

    修改下列屬性:
    



    


    


    屬性名稱 
    

    		

    描述 
    

    		

    

    


    


    Netlet 
    

    		

    選取 [啟用] 核取方塊以啟動 Netlet 服務。根據預設,會選取此選項。 
    

    		

    


    


    Proxylet 
    

    		

    選取 [啟用] 核取方塊以啟動 Proxylet 服務。根據預設,會選取此選項。 
    

    		

    

    

    


     

    

     

    

    5. 


  5. 

    使用下列指令選項,從終端機視窗重新啟動閘道:
    


    
./psadmin start-sra-instance -u amadmin -f passwordfile -N  profilename -t gateway

    


    6. 



配置基本選項


關於 Cookie 管理屬性


許多網頁使用 Cookie 追蹤與管理使用者階段作業。閘道路由請求至在 HTTP 標題設定 Cookie 的網站時,閘道會以下列方法捨棄或傳遞那些 Cookie:



此設定不會套用至 Portal Server 用來追蹤 Portal Server 使用者階段作業的 Cookie。此設定由 [轉寄使用者階段作業 Cookie 到的使用者階段作業] 的 URL 選項配置所控制。


這個設定適用於所有允許使用者存取的網站 (也就是,您不可以選擇捨棄某些網站的 Cookie,而保留其他網站的 Cookie)。


備註 – 
請勿將 URL 從 [Cookie 網域] 清單中移除,即使是在沒有 Cookie 的閘道中。有關 [Cookie 網域] 清單的資訊,請參閱「Access Manager 管理指南」。




關於 HTTP 基本認證屬性


HTTP 基本驗證可以設定於閘道服務中。


可以使用 HTTP 基本驗證保護網頁,造訪者需要在檢視網站前輸入使用者名稱與密碼 (HTTP 回應代碼為 401 與 WWW-authenticate: BASIC)。Portal Server 可儲存使用者名稱及密碼,以便使用者在重新造訪受 BASIC 保護的網站時,不必重新輸入他們的憑證。這些憑證儲存於目錄伺服器的使用者設定檔中。


此設定不會確定使用者是否可造訪 BASIC 保護的網站,但只會確定是否將使用者輸入的憑證儲存於使用者設定檔。


這個設定適用於所有允許使用者存取的網站 (也就是,不可以某些網站啟用 HTTP 基本授權快取而其他網站停用)。


備註 – 
如果 Microsoft Internet Information Server (IIS) 由 Windows NT 挑戰/回應 (HTTP 回應代碼 401,WWW-Authenticate: NTLM) 而非基本驗證進行保護,不支援瀏覽其提供的 URL。




您也可以使用管理主控台中的 [存取控制] 服務啟用單次登入。


關於 Portal Server 屬性


你可以為閘道配置多個 Portal Server 以服務請求。安裝閘道時,您應該已經指定與閘道合作的 Portal Server。依預設,這個 Portal Server 會列示在 Portal Server 欄位中。您可以將更多 Portal Server 以 http://portal- server-name:port number 格式新增至清單中。閘道會以循環方式嘗試連絡每個列出的 Portal Server 以服務請求。


關於 [將使用者階段作業 Cookie 轉寄至的 URL] 屬性


Portal Server 利用 Cookie 追蹤使用者階段作業。當閘道發出 HTTP 請求至伺服器時 (例如,當呼叫桌面 servlet 以產生使用者桌面頁面時),將轉寄此 cookie 至伺服器。伺服器上的應用程式會使用 cookie 以認證並識別使用者。


Portal Server 的 cookie 不會轉寄至發給伺服器之外其他機器的 HTTP 請求中,除非那些機器上的 URL 已指定於 [將使用者階段作業 Cookie 轉寄至的 URL ] 清單中。因此將 URL 新增至此清單,可使 servlet 與 CGI 能夠接收 Portal Server 的 cookie 並使用 API 識別此使用者。


使用隱式尾隨萬用字元可與 URL 相符。例如,清單中的預設輸入值:


http://server:8080


將導致 Cookie 轉寄至所有以 http://server:8080 開頭的 URL。


新增:


http://newmachine.eng.siroe.com/subdir


將導致 Cookie 轉寄至所有以該實際字串開始的 URL。


在此例中,Cookie 不會轉寄至任何以 "http://newmachine.eng/subdir" 開始的 URL,因為這個字串不是以轉寄清單中的實際字串開頭。要使 Cookie 轉寄至以這個機器名稱變體開始的 URL,必須新增項目至轉寄清單。


同樣的,Cookie 也不會轉寄至以 "https://newmachine.eng.siroe.com/subdir" 開始的 URL,除非已將適當的項目新增至清單中。


關於 [從 URL 取得階段作業] 屬性


選取 [從 URL 取得階段作業] 選項時,階段作業資訊會編碼為 URL 的部分,不論支援 Cookie 與否。這表示閘道會驗證在 URL 中找到的階段作業資訊,而非從用戶端瀏覽器傳送的階段作業 Cookie。



Procedure配置基本選項


    


  1. 

    以管理員身份登入 Portal Server 管理主控台。
    


    2. 


  2. 

    選取 [Secure Remote Access] 標籤,並按一下設定檔名稱以修改其屬性。
    


    3. 


  3. 

    選取 [核心] 標籤。
    


    4. 


  4. 

    修改下列屬性:
    



    


    


    屬性名稱 
    

    		

    描述 
    

    		

    

    


    


    Cookie 管理 
    

    		

    選取 [啟用] 核取方塊以啟用 Cookie 管理。 
    

    根據預設,會選取此選項。 
    

    		

    


    


    HTTP 基本認證 
    

    		

    選取 [啟用 HTTP 基本驗證] 核取方塊以啟用 HTTP 基本驗證。 
    

    		

    


    


    Portal Server 
    

    		

    在欄位以 http://portal-server-name:port-number 格式輸入 Portal Server,並按一下 [新增]。
    

    重複此步驟可新增更多 Portal Server 至 Portal Server 清單。 
    

    		

    


    


    將使用者階段作業 Cookie 轉寄至的 URL 
    

    		

    輸入 [將使用者階段作業 Cookie 轉寄至的 URL] 並按一下 [新增]。 
    

    重複此步驟以新增更多 URL 至 [將使用者階段作業 Cookie 轉寄至的 URL] 清單。 
    

    		

    


    


    閘道最低認證層級 
    

    		

    輸入認證層級。 
    

    根據預設,會新增星號以允許各種層級的認證。 
    

    		

    


    


    從 URL 取得階段作業 
    

    		

    選取 [是] 可以從 URL 擷取有關階段作業的資訊。 
    

    根據預設,會選取 [否] 選項。 
    

    		

    

    

    


     

    

     

    

    5.