服务器网络代理服务器

版权所有IBM公司2010商标在LotusQuickrforDomino环境中使用TivoliAccessManagerWebSEAL作为反向代理服务器第1页,共10在LotusQuickrforDomino环境中使用TivoliAccessManagerWebSEAL作为反向代理服务器罗晓光软件工程师IBM高晋生高级软件工程师IBM李臣高级软件工程师IBM2010年3月29日在LotusQuickrforDomino企业级应用中,使用TivoliAccessManager的WebSEAL作为反向代理服务器是一种比较常见的配置.
本文介绍了这种配置的一般知识,包括WebSEAL的安全模型、SSL以及多个产品的集成,并给出了一个配置实例.
简介IBMLotusQuickr是一款团队协作软件,它帮助您共享内容、与团队进行协作并提高联机工作的速度.
Quickr安全管理解决方案可以借助IBMTivoliAccessManager—WebSEAL组件用于实现反向代理,反向代理充当门户和其他Web应用程序的联系人的联合单一登录点.
使用上述反向代理,由于身份验证逻辑存在于TivoliAccessManagerWebSEAL层中,可以在将来支持更复杂的身份验证机制.
IBMTivoliAccessManager是用于电子商务和分布式应用程序的功能强大且安全的集中策略管理解决方案.
IBMTivoliAccessManagerWebSEAL是高性能、多线程的Web服务器,它将细粒度的安全策略应用到TivoliAccessManager受保护的Web对象空间.
WebSEAL能提供单一注册解决方案,并将后端Web应用程序服务器资源合并到其安全策略中.
IBMTivoliAccessManager与WebSEALIBMTivoliAccessManager是完整的授权和网络安全策略管理解决方案,该解决方案对地理上分散在内部网和外部网上的资源提供超强的端到端保护.
其核心,TivoliAccessManager提供:developerWorksibm.
com/developerWorks/cn/在LotusQuickrforDomino环境中使用TivoliAccessManagerWebSEAL作为反向代理服务器第2页,共101.
认证框架TivoliAccessManager提供范围很广的内置认证程序,并支持外部认证程序.
2.
授权框架通过TivoliAccessManager授权API访问的TivoliAccessManager授权服务,对位于安全域中的受保护资源的请求提供许可和拒绝决策.
IBMTivoliAccessManagerWebSEAL是负责管理并保护基于Web的信息和资源的资源管理器.
WebSEAL通常作为逆向Web代理,从Web浏览器接收HTTP/HTTPS请求并交付来自其自己的Web服务器或来自联结的后端Web应用程序服务器的内容.
通过WebSEAL的请求由TivoliAccessManager授权服务评估,以确定是否授权用户访问所请求的资源.
WebSEAL提供以下功能:支持多种认证方法.
接受HTTP和HTTPS请求.
通过WebSEAL联结技术集成和保护后端服务器资源.
管理用于本地和后端服务器Web空间的细粒度访问控制.
作为逆向Web代理执行-对于客户机,WebSEAL可作为Web服务器,而对于正受其保护的联结后端服务器,WebSEAL可作为Web浏览器.
提供单一注册功能.
图1.
使用WebSEAL保护Web空间使用WebSEAL保护Quickr空间WebSEAL在安全域中实施安全性时,每个Quickr客户机必须提供其标识证明.
接着,TivoliAccessManager安全策略确定是否许可客户机在所请求资源上执行操作.
因为对安全域中每个Quickr资源的访问由WebSEAL控制,所以WebSEAL的认证和授权要求可提供全面的网络安全性.
在TivoliAccessManager授权模型中,授权策略是独立于用户认证所用的机制而实施的.
用户可以使用公用/专用密钥、安全密钥,也可以使用顾客定义的机制认证其身份.
认证过程的一部分涉及凭证(描述客户机的身份)的创建.
某个授权服务做出的授权决策是以用户凭证为基础的.
ibm.
com/developerWorks/cn/developerWorks在LotusQuickrforDomino环境中使用TivoliAccessManagerWebSEAL作为反向代理服务器第3页,共10授权过程由以下基本组件组成:资源管理器负责在授予权限时实现所请求的操作.
授权服务对请求执行决策操作.
下图阐述了完整的授权过程:图2.
TivoliAccessManager授权过程认证是一种确定尝试登录到安全域的单个进程或实体的方法.
当服务器和客户机都要求认证时,该交换过程就是所谓的相互认证.
图3.
相互认证在WebSEAL集成环境中配置SSLWebSEAL服务器支持以下两种SSL连接:来自客户机的HTTPS访问请求developerWorksibm.
com/developerWorks/cn/在LotusQuickrforDomino环境中使用TivoliAccessManagerWebSEAL作为反向代理服务器第4页,共10后端服务器的SSL联结如下图所示:图4.
WebSEAL服务器的SSL联结另外,TivoliAccessManager支持前端WebSEAL服务器和后端WebSEAL服务器之间的SSL联结.
为来自客户端的HTTPS请求配置WebSEAL客户端证书认证必须发生在安全套接字层(SSL)连接上.
在证书认证过程之前建立SSL连接.
可以在客户机尝试在HTTP上访问资源时建立SSL连接.
当资源不需要认证访问时,该客户机将与WebSEAL服务器协商SSL会话.
当客户机和服务器(WebSEAL)检查彼此的证书并接受签名权限的有效性时,建立SSL会话.
为了能够在新的WebSEAL服务器上建立SSL会话,WebSEAL包含自签署的测试服务器证书.
WebSEAL可以将自签署的证书提供给客户机.
如果客户机接受该证书,则建立SSL会话.
此测试证书不适用于由WebSEAL服务器永久使用.
虽然此测试证书允许WebSEAL响应启用SSL的浏览器请求,但不能由浏览器验证它.
这是因为浏览器未包含适当的根CA证书--就是当浏览器接收到任何自签署的证书,但对该证书不存在根CA证书的情况.
因为此缺省证书的专用密钥包含在每个WebSEAL分发中,所以此证书不能提供真正的安全通信.
要确保通过SSL的安全通信,WebSEAL管理员必须从信任的认证中心(CA)获得唯一的站点服务器证书.
可以使用GSKit中的iKeyman应用程序生成将发送到CA的证书请求.
还可以使用iKeyman来安装和标注新的站点证书.
使用WebSEAL配置文件的[ssl]节中的webseal-cert-keyfile-label参数指定该证书作为活动的WebSEAL服务器端证书(此设置将覆盖密钥文件数据库中指定为"缺省值"的所有证书).
如果需要其它情况下的不同证书(例如用于互认证联结),则可以使用iKeyman实用程序创建、安装这些附加证书并为其加标签.
通过设置配置文件条目,可以实现以下控制:启用/禁用HTTPS访问设置HTTPS访问端口限制来自特定SSL版本的连接设置HTTP/HTTPS的通讯超时参数设置证书撤销列表(CRL)ibm.
com/developerWorks/cn/developerWorks在LotusQuickrforDomino环境中使用TivoliAccessManagerWebSEAL作为反向代理服务器第5页,共10为后端服务器配置SSL类型的联结SSL联结功能是在TCP连接的WebSEAL联结的基础上完成的,它的附加功能是加密所有WebSEAL和后端服务器间的通信.
SSL联结允许安全的端到端的浏览器到应用程序的事务.
可以使用SSL同时保护从客户机到WebSEAL以及从WebSEAL到后端服务器的通信.
使用SSL联结时,后端服务器必须启用HTTPS.
当客户机请求后端服务器上的资源时,WebSEAL作为安全服务器,将代表客户机执行请求.
SSL协议指定了在对后端服务器提出请求时,服务器必须使用服务器端证书提供其身份证明.
当WebSEAL从后端服务器接收到此证书时,它必须通过将证书与证书数据库中根CA证书列表对照来验证真实性.
TivoliAccessManager使用SSL的IBMGlobalSecurityKit(GSKit)实现.
必须使用GSKitiKeyman应用程序来添加CA的根证书,该CA签署了WebSEAL证书密钥文件(pdsvr.
kdb)的后端服务器证书.
SSL联结示例:servertaskweb1-webseald-cruzcreate-tssl-hsales.
tivoli.
com/sales注:-tssl选项规定了缺省端口443.
WebSEAL至WebSEAL的SSL联结TivoliAccessManager支持前端WebSEAL服务器和后端WebSEAL服务器之间的SSL联结.
使用带-C选项的create命令可通过SSL联结两个WebSEAL服务器并提供相互认证.
例如:pdadmin>servertaskweb1-webseald-cruzcreate-tssl-C-hserverA/jctA相互认证发生在以下两个前提下:SSL协议允许后端WebSEAL服务器通过其服务器证书向前端WebSEAL服务器认证.
在基本认证(BA)头中,-C选项使前端WebSEAL服务器可以将其身份信息传递到后端WebSEAL服务器.
此外,-C选项可以启用-c选项提供的单一注册功能.
-c选项允许将特定于TivoliAccessManager的客户机身份和组成员信息,放置到向后端WebSEAL服务器请求的HTTP头中.
头参数包括:iv-user、iv-groups和iv-creds.
WebSEAL至WebSEAL联结必须使用在以下环境中:联结为-tssl或-tsslproxy联结类型.
两个WebSEAL服务器必须共享公共LDAP注册表.
它允许后端WebSEAL服务器认证前端WebSEAL服务器的标识信息.
如果WebSEAL到WebSEAL联结和后端应用程序服务器联结都使用-j联结选项(对联结cookie),则这两种WebSEAL服务器各自创建的两种联结cookie之间可能会发生命名冲突.
为了防止此冲突,您必须配置中间WebSEAL服务器唯一标识其联结cookie.
仅在中间WebSEAL服务器上,将WebSEAL配置文件的[script-filtering]节中的hostname-junction-cookie参数设置为"yes"(缺省值为"no").
developerWorksibm.
com/developerWorks/cn/在LotusQuickrforDomino环境中使用TivoliAccessManagerWebSEAL作为反向代理服务器第6页,共10WebSEAL环境下LotusQuickr与LotusSametime、LotusConnections集成在LotusQuickr解决方案中,LotusQuickr通常作为集成服务的一部分,而不是单一的应用程序为用户提供服务.
同时IBMTivoliAccessManager能对后台的多个Web应用程序服务器提供统一的认证、授权和单点登录.
本章描述了在LotusQuickr、LotusConnections以及LotusSametime这一典型的客户环境中,WebSEAL与Web服务器集成的场景.
图5.
WebSEAL与LotusQuickr,LotusSametime,LotusConnections集成的拓扑结构集成后我们可以在LotusQuickr服务器上实现以下功能:Sametime服务器的在线感知、聊天、在线会议功能.
Connections服务器的BusinessCard功能.
在Connections服务器上可以把activities的entry放到Quickr服务器的场所里.
在Connections服务器上可以再Community里创建Quickr的标准场所和WIKI.
WebSEAL与LotusQuickr集成实例1.
搭建一个TivoliAccessManager服务器,并使用一个LDAP服务器提供目录服务,比如连接IBMDirectoryServer.
2.
搭建一个基于LotusDomino的应用程序LotusQuickr,并与TAM服务器使用同一个LDAP服务器提供目录服务.
3.
从单独的一台WebSphereApplication服务器上产生一个LTPAkeyfile并导出用来实现TivoliAccessManager与domino的产品之间的SSO.
a.
通过浏览器访问一台WebSphereApplicationServer服务器,输入管理员和密码,例如:http://was.
yourcompany.
com:9090/admin.
b.
在左侧的导航面板中单击安全性>认证机制>LTPA.
c.
在密钥文件名字段中,输入密钥存储文件的全路径.
文件需要写许可权.
d.
单击导出密钥.
文件是用LTPA密钥创建的.
e.
保存此密钥.
4.
在TivoliAccessManager服务器上为LotusQuickr服务器创建节点Junction.
ibm.
com/developerWorks/cn/developerWorks在LotusQuickrforDomino环境中使用TivoliAccessManagerWebSEAL作为反向代理服务器第7页,共10a.
在TivoliAccessManager服务器上启动pdadmin工具:开始>程序>IBMTivoliAccessManger>管理员命令提示行.
b.
使用login命令登陆服务器pdadmin>Login.
输入服务器的管理员和密码后就可以开始注册了.
c.
使用从WebSphereApplication服务器上产生的LTPA密钥为LotusQuickr服务器创建Junction,在命令行输入命令:pdadmin>servertaskdefault-webseald-[servername]create-ttcp-h[LotusQuickrhostname]-p80-i-j-A–F[pathtoLTPAkey]-Z[LTPAkeypassword]/junction例如:pdadmin>servertaskdefault-webseald-TAM.
yourcompany.
comcreate-ttcp-hquickr.
yourcompany.
com-p80-i-j-A-Fc:\sso-Zpassword/quickrd.
导入常用的用户到TivoliAccessManager服务器中,所有的用户都来源于LDAP服务器,在命令行输入:pdadmin>userimport[-gsouser]例如:pdadmin>userimport-gsousermanager10"cn=manager,ou=managers,ou=users,o=qdsvt,dc=yourcompany,dc=com"e.
使所有导入的用户TivoliAccessManager服务器中生效,在命令行输入:pdadmin>usermodifyaccount-valid{yes|no}例如:pdadmin>usermodifymanageraccount-validyes5.
配置LotusDomino应用程序服务器实现与TivoliAccessManager服务器之间的SSO.
a.
在LotusDomino应用程序服务器上创建WebSSO配置文档,WebSSO配置文档是存储在Domino目录中的网络域范围内的配置文档.
该文档(应复制到参与一次登录网络域的所有服务器)将针对参与服务器和管理员进行加密,并包含一个共享密钥,以供服务器用来验证用户证书.
b.
在DominoAdministrator中,选择配置标签,在导航栏中扩展服务器图标后选择"所有服务器文档",从"Web.
.
.
"下拉菜单中选择创建WebSSO配置文档.
c.
完成文档余下部分,如下所示:表1.
WebSSO配置文档developerWorksibm.
com/developerWorks/cn/在LotusQuickrforDomino环境中使用TivoliAccessManagerWebSEAL作为反向代理服务器第8页,共10域操作配置名称保持默认名字LtpaToken组织不填写DNS网络域(必须填写)输入生成的令牌所属的DNS网络域(如yourcompany.
com).
启用一次登录的所有服务器必须属于同一个DNS网络域.
Domino服务器名称输入将参与一次登录的服务器的名称(例如,quickr/ibm,sametime/ibm).
此文档将针对文档创建者、"所有者"和"管理者"域的成员以及"Domino服务器名称"域中指定的服务器进行加密.
此域中不允许出现群组、通配符和WebSphere服务器的名称.
只有Domino服务器才能作为参与服务器在"服务器名称"域中列出.
注意该域大小应不超过64K.
当达到该限制时(例如,当输入了几百个服务器的名称时),将出现错误消息.
如果达到了此限制,则建议创建多个WebSSO文档.
到期时间(分钟)指定令牌有效的时间段(分钟).
此时间段从令牌发布的时间开始算起.
令牌只在指定的分钟数内有效,也就是说其到期时间不基于闲置时间.
缺省值为30分钟.
d.
在"WebSSO配置"文档中,单击"密钥".
选择"引入WebSphereLTPA密钥".
浏览和选择WebSphereLTPA引出文件,输入口令(在WebSphere中生成密钥时指定).
e.
使用DominoAdministrator,选择配置标签,在导航栏中扩展服务器图标后选择"所有服务器文档",打开Quickr服务器文档,选择Internet协议标签,后选择DominoWeb引擎子标签,在HTTP会话中选择"多服务器会话",选择LTPAToken作为WebSSO配置,保存Quickr服务器文档.
f.
使用DominoAdministrator,从"文件"菜单下选择"应用程序">"新建",选择Quickr服务器的名字和新数据库的名字domcfg.
nsf,再选择Quickr服务器作为数据库的模板服务器,勾选"显示高级模板",选择模板"DominoWebServerConfiguration",点确定创建domcfg.
nsf数据库,创建完成后打开此数据库,选在"添加映射"按钮,在目标数据库名字域中填写"LotusQuickr/resources.
nsf",在目标窗体域中填写"QuickPlaceLoginForm",保存此文档并关闭domcfg.
nsf数据库.
g.
重新启动Quickr服务器.
6.
确认配置成果:通过TivoliAccessManager服务器访问LotusQuickr服务器:https://TAM.
yourcompany.
com/quickr/lotusquickr,使用TivoliAccessManager服务器导入的用户和密码,授权通过后TivoliAccessManager服务器与LotusQuickr服务器实现SSO.
ibm.
com/developerWorks/cn/developerWorks在LotusQuickrforDomino环境中使用TivoliAccessManagerWebSEAL作为反向代理服务器第9页,共10参考资料参考:LotusQuickrservicesforLotusDomino技术支持主页.
参考:IBMTivoliAccessManagerfore-business技术支持主页.
参考技术文档:TestInfrastructure:EnablingTivoliAccessManagerWebSEALinLotusQuickr8.
1servicesforLotusDomino.
查阅LotusQuickr产品信息页面.
参考LotusQuickrwiki.
参考:developerWorks中国Lotus专区首页,查看IBMLotus软件和开放技术的最新信息.
.
developerWorksibm.
com/developerWorks/cn/在LotusQuickrforDomino环境中使用TivoliAccessManagerWebSEAL作为反向代理服务器第10页,共10作者简介罗晓光罗晓光,软件工程师,在IBM中国软件开发中心从事LotusQuickr产品的系统测试工作.
他具体超过三年的系统测试经验.
高晋生高晋生从LotusQuickr的一个版本开始就从事其系统测试工作,期间帮助该产品成功的发布了Quickr8.
0、Quickr8.
0.
0.
2、Quickr8.
1、Quickr8.
1.
1和Quickr8.
2.
在Quickr的系统测试和性能调优方面积累了丰富的经验.
李臣李臣,高级软件工程师,LotusQucikr系统测试工程师,在Quickr的集成,调优,问题诊断和解决,以及客户支持方面有丰富的经验.
版权所有IBM公司2010(www.
ibm.
com/legal/copytrade.
shtml)商标(www.
ibm.
com/developerworks/cn/ibm/trademarks/)