服務(wù)器資源保護 精品.doc

題目：服務(wù)器資源保護 學(xué)習(xí)中心（或辦學(xué)單位）：電子科技大學(xué)信息中心進度計劃表日 期工 作 內(nèi) 容執(zhí) 行 情 況指導(dǎo)教師簽 字4月15日至4月20日準備良好4月21日至4月23日調(diào)查好4月24日至5月12日執(zhí)行良好5月13日至5月23日調(diào)試良好5月24日至6月12日完成好教師對進度計劃實施情況總評 簽名 年 月 日 本表作評定學(xué)生平時成績的依據(jù)之一。第一章 緒 言1、 背景 隨著計算機網(wǎng)絡(luò)的快速發(fā)展，因特網(wǎng)、局域網(wǎng)、校園網(wǎng)給學(xué)校教育改革帶來了勃勃的生機。1計算機網(wǎng)絡(luò)的迅速發(fā)展與普及，改變了整個信息管理的面貌，使信息管理從以單個計算機為中心發(fā)展到以網(wǎng)絡(luò)為中心，并為計算機技術(shù)在工業(yè)。商業(yè)。教學(xué)。科研.管理等領(lǐng)域中的應(yīng)用提供了一個全新的網(wǎng)絡(luò)通信環(huán)境，也從根本上加強并促進了群體工作成員之間的信息交流.資源共享.科學(xué)計算.技術(shù)合作及有效管理等,進而推動了生產(chǎn).管理.科研及教學(xué)事業(yè)的發(fā)展.目前，信息化程度已成為衡量一個國家。一個地區(qū)。一個單位綜合實力的重要標志。黨中央與國務(wù)院對我國信息化工作非常重視，信息化建設(shè)已作為一項重要工作領(lǐng)導(dǎo)小組，并指出了“統(tǒng)籌規(guī)劃.聯(lián)合建設(shè)。統(tǒng)一標準.專項結(jié)合”的十六字指導(dǎo)方針。隨著信息化建設(shè)的不斷深入發(fā)展,原有人工管理方式已不能適應(yīng)現(xiàn)代管理需要。企業(yè)迫切需要建立具有自己特色的企業(yè)內(nèi)部網(wǎng)，提供集團各部門。各子公司與社會上各種網(wǎng)絡(luò)之間的信息通訊與處理的專用網(wǎng)絡(luò)。為單位與個人用戶提供辦公決策以及各種信息服務(wù).提高企業(yè)工作人員的工作效率，降低勞動強度,改進傳統(tǒng)的管理模式。以滿足企業(yè)當(dāng)前以及未來不斷擴展的應(yīng)用需求，適應(yīng)現(xiàn)代化企業(yè)管理的要求。它不僅能為企業(yè)帶來實實在在的經(jīng)濟收益,還能夠提高企業(yè)的社會影響，樹立新的企業(yè)形象。 這些網(wǎng)絡(luò)信息資源都將會放在不同的服務(wù)器上，也正因為這樣所以服務(wù)器資源的安全變得更加重要。保護服務(wù)器資源就是我們必須的。2、 目的 為了更好的保護網(wǎng)絡(luò)信息資源的安全，并通過合法的身份驗證進入需要訪問的信息系統(tǒng)。對訪問的用戶進行有效的權(quán)限限制。這樣極大的保護了信息資源。通過單點登陸并將企業(yè)的內(nèi)部系統(tǒng)進行有效的集成訪問。提供了用戶的快捷方便的訪問。并且我們通過這樣的身份驗證等對資源的保護也可以有效的避免以下的一些不足因素：計算機系統(tǒng)的脆弱性；操作系統(tǒng)的脆弱性；協(xié)議安全的脆弱性；數(shù)據(jù)庫管理系統(tǒng)安全的脆弱性；人為的因素。 第二章 服務(wù)器資源保護的現(xiàn)狀第一節(jié) 網(wǎng)絡(luò)資源的發(fā)展一、服務(wù)器2（一）服務(wù)器的概念服務(wù)器的定義：從廣義上講，服務(wù)器是指網(wǎng)絡(luò)中能對其它機器提供某些服務(wù)的計算機系統(tǒng)（如果一個PC對外提供ftp服務(wù)，也可以叫服務(wù)器）。從狹義上講，服務(wù)器是專指某些高性能計算機，能通過網(wǎng)絡(luò)，對外提供服務(wù)。相對于普通PC來說，穩(wěn)定性、安全性、性能等方面都要求更高，因此在CPU、芯片組、內(nèi)存、磁盤系統(tǒng)、網(wǎng)絡(luò)等硬件和普通PC有所不同。 （二）服務(wù)器的種類按照不同的分類標準，服務(wù)器分為許多種。二、資源3 （一）什么是資源 資源是一國或一定地區(qū)內(nèi)擁有的物力、財力、人力等各種物質(zhì)要素的總稱。分為自然資源和社會資源兩大類。前者如陽光、空氣、水、土地、森林、草原、動物、礦藏等；后者包括人力資源、信息資源以及經(jīng)過勞動創(chuàng)造的各種物質(zhì)財富。資源同時也是計算機系統(tǒng)中的硬件和軟件的總稱。如存儲器、中央處理機、輸入和輸出設(shè)備、數(shù)據(jù)庫、各種系統(tǒng)程序等。由操作系統(tǒng)進行系統(tǒng)的、有效的管理和調(diào)度，以提高計算機系統(tǒng)的工作效率。 （二）資源系統(tǒng)的特點自然資源系統(tǒng)的特點 根據(jù)人類對自然資源的認知度，其主要特點是： 自然資源分布的不平衡性和規(guī)律性； 自然資源的有限性和無限性（現(xiàn)實資源是有限的，但開發(fā)利用及轉(zhuǎn)化是無限的）； 自然資源的多功能性； 自然資源的系統(tǒng)性；等。 （三）服務(wù)器資源 即網(wǎng)絡(luò)資源是網(wǎng)絡(luò)上互連起來的計算機提供給各用戶分享的信息。這些信息放在各自的計算機上(服務(wù)器、ftp服務(wù)器、bbs服務(wù)器、vod服務(wù)器等)，因為有網(wǎng)絡(luò)互連，大家都能通過internet訪問到。三、Internet網(wǎng)在我國的發(fā)展現(xiàn)狀及前景的分析 4隨著全球信息高速公路的建設(shè),我國政府也開始推進中國信息基礎(chǔ)設(shè)施(China Information Infrastructure,CII)的建設(shè).連接因特網(wǎng)成為最為關(guān)注的熱點之一.到目前為止,因特網(wǎng)在我國已經(jīng)得到初步發(fā)展.回顧我國因特網(wǎng)的發(fā)展,可以分為兩個階段.第一個階段是與因特網(wǎng)電子郵件的連通.第二個階段是與因特網(wǎng)實現(xiàn)全功能的TCP/IP連接. 中國教育和科研計算機網(wǎng)CERENT 中科院的中國科技網(wǎng)CSTNET 中國公用計算機互聯(lián)網(wǎng)CHINANET 中國金橋信息網(wǎng)CHINAGBN四、internet的發(fā)展的出現(xiàn)將internet推向了民用方面，通過良好的界面大大降低了internet操作的難度，使用戶急劇增加，許多政府機構(gòu)、商業(yè)結(jié)構(gòu)意識到internet蘊含的巨大潛力，也紛紛加入。如今internet已經(jīng)深入到了社會生活的各個角落，大大方便的信息的傳播，這是一場革命。第二節(jié) 網(wǎng)站資源保護分析一、網(wǎng)站的通用保護方法6 針對黑客威脅，網(wǎng)絡(luò)安全管理員采取各種手段增強服務(wù)器的安全，確保服務(wù)的正常運行。象在Internet上的Email、ftp等服務(wù)器一樣，可以用如下的方法來對服務(wù)器進行保護： 安全配置 關(guān)閉不必要的服務(wù)，最好是只提供服務(wù)，安裝操作系統(tǒng)的最新補丁，將服務(wù)升級到最新版本并安裝所有補丁，對根據(jù)服務(wù)提供者的安全建議進行配置等，這些措施將極大提供服務(wù)器本身的安全。防火墻 安裝必要的防火墻，阻止各種掃描工具的試探和信息收集，甚至可以根據(jù)一些安全報告來阻止來自某些特定IP地址范圍的機器連接，給服務(wù)器增加一個防護層，同時需要對防火墻內(nèi)的網(wǎng)絡(luò)環(huán)境進行調(diào)整，消除內(nèi)部網(wǎng)絡(luò)的安全隱患。 漏洞掃描使用商用或免費的漏洞掃描和風(fēng)險評估工具定期對服務(wù)器進行掃描，來發(fā)現(xiàn)潛在的安全問題，并確保由于升級或修改配置等正常的維護工作不會帶來安全問題。 入侵檢測系統(tǒng) 利用入侵檢測系統(tǒng)（IDS）的實時監(jiān)控能力，發(fā)現(xiàn)正在進行的攻擊行為及攻擊前的試探行為，記錄黑客的來源及攻擊步驟和方法。 這些全施都將極大提供服務(wù)器的安全，減少被攻擊的可能性。二、網(wǎng)站的專用保護方法7 盡管采用的各種安全措施能防止很多黑客的攻擊，然而由于各種操作系統(tǒng)和服務(wù)器軟件漏洞的不斷發(fā)現(xiàn)，攻擊方法層出不窮，技術(shù)高明的黑客還是能突破層層保護，獲得系統(tǒng)的控制權(quán)限，從而達到破壞主頁的目的。這種情況下，一些網(wǎng)絡(luò)安全公司推出了專門針對網(wǎng)站的保護軟件，只保護網(wǎng)站最重要的內(nèi)容-網(wǎng)頁。一旦檢測到被保護的文件發(fā)生了非正常的改變，就進行恢復(fù)。一般情況下，系統(tǒng)首先需要對正常的頁面文件進行備份，然后啟動檢測機制，檢查文件是否被修改，如果被修改就需要進行恢復(fù)。我們對以下幾個方面的技術(shù)進行分析比較： 監(jiān)測方式本地和遠程：檢測可以是在本地運行一個監(jiān)測端，也可以在網(wǎng)絡(luò)上的另一臺主機。如果是本地的話，監(jiān)測端進程需要足夠的權(quán)限讀取被保護目錄或文件。監(jiān)測端如果在遠端的話，服務(wù)器需要開放一些服務(wù)并給監(jiān)測端相應(yīng)的權(quán)限，較常見的方式是直接利用服務(wù)器的開放的服務(wù)，使用HTTP協(xié)議來監(jiān)測被保護的文件和目錄。也可利用其它常用協(xié)議來檢測保護文件和目錄，如FTP等。采用本地方式檢測的優(yōu)點是效率高，而遠程方式則具有平臺無關(guān)性，但會增加網(wǎng)絡(luò)流量等負擔(dān)。定時和觸發(fā)：絕大部分保護軟件是使用的定時檢測的方式，不論在本地還是遠程檢測都是根據(jù)系統(tǒng)設(shè)定的時間定時檢測，還可將被保護的網(wǎng)頁分為不同等級，等級高的檢測時間間隔可以設(shè)得較短，以獲得較好的實時性，而將保護等級較低的網(wǎng)頁文件檢測時間間隔設(shè)得較長，以減輕系統(tǒng)的負擔(dān)。觸發(fā)方式則是利用操作系統(tǒng)提供的一些功能，在文件被創(chuàng)建、修改或刪除時得到通知，這種方法的優(yōu)點是效率高，但無法實現(xiàn)遠程檢測。 比較方法 在判斷文件是否被修改時，往往采用被保護目錄和備份庫中的文件進行比較，比較最常見的方式全文比較。使用全文比較能直接、準確地判斷出該文件是否被修改。然而全文比較在文件較大較多時效率十分低下，一些保護軟件就采用文件的屬性如文件大小、創(chuàng)建修改時間等進行比較，這種方法雖然簡單高效，但也有嚴重的缺陷：惡意入侵者可以通過精心構(gòu)造，把替換文件的屬性設(shè)置得和原文件完全相同，從而使被惡意更改的文件無法被檢測出來。另一種方案就是比較文件的數(shù)字簽名，最常見的是MD5簽名算法，由于數(shù)字簽名的不可偽造性，數(shù)字簽名能確保文件的相同。 恢復(fù)方式恢復(fù)方式與備份庫存放的位置直接相關(guān)。如果備份庫存放在本地的話，恢復(fù)進程必須有寫被保護目錄或文件的權(quán)限。如果在遠程則需要通過文件共享或FTP的方式來進行，那么需要文件共享或FTP的帳號，并且該帳號擁有對被保護目錄或文件的寫權(quán)限。 備份庫的安全當(dāng)黑客發(fā)現(xiàn)其更換的主頁很快被恢復(fù)時，往往會激發(fā)起進一步破壞的欲望，此時備份庫的安全尤為重要。網(wǎng)頁文件的安全就轉(zhuǎn)變?yōu)閭浞輲斓陌踩?。對備份庫的保護一種是通過文件隱藏來實現(xiàn)，讓黑客無法找到備份目錄。另一種方法是對備份庫進行數(shù)字簽名，如果黑客修改了備份庫的內(nèi)容，保護軟件可以通過簽名發(fā)現(xiàn)，就可停止服務(wù)或使用一個默認的頁面。 通過以上分析比較我們發(fā)現(xiàn)各種技術(shù)都有其優(yōu)缺點，需要結(jié)合實際的網(wǎng)絡(luò)環(huán)境來選擇最適合的技術(shù)方案。三、5Web 服務(wù)器的主要威脅是 配置處理 :配置處理或主機枚舉是一種收集 Web 站點相關(guān)信息的探測過程。攻擊者可利用這些信息攻擊已知的薄弱點。 拒絕服務(wù) :如果服務(wù)器被泛濫的服務(wù)請求所充斥，則出現(xiàn)拒絕服務(wù)攻擊。此時的威脅是，Web 服務(wù)器因負荷過重而無法響應(yīng)合法的客戶端請求。 未經(jīng)授權(quán)的訪問 :如果未能阻塞位于外圍防火墻的應(yīng)用程序服務(wù)器上運行的程序所使用的端口，則外部攻擊者能夠直接與應(yīng)用程序服務(wù)器通信。如果允許前端 Web 服務(wù)器以外的計算機連接到應(yīng)用程序服務(wù)器，那么該應(yīng)用程序服務(wù)器的受攻擊面就會增加。 隨意代碼執(zhí)行 ：如果攻擊者在您的服務(wù)器中運行惡意代碼來損害服務(wù)器資源或向下游系統(tǒng)發(fā)起其他攻擊，則出現(xiàn)代碼執(zhí)行攻擊。 特權(quán)提升 ：如果攻擊者使用特權(quán)進程帳戶運行代碼，則出現(xiàn)特權(quán)提升攻擊。病毒、蠕蟲和特洛伊木馬:這些攻擊通常不被注意，直到它們開始耗費系統(tǒng)資源，而這將減慢或阻止其他應(yīng)用程序的執(zhí)行。駐留 IIS 的應(yīng)用程序服務(wù)器易受 IIS 攻擊。 所以我們得對這些威脅做出相應(yīng)的解決辦法。在這里我主要是對未經(jīng)授權(quán)的訪問做出相應(yīng)的解決。四、未經(jīng)授權(quán)的訪問的保護方法（一）數(shù)字簽名：可以有效的保護重要資源不受非法用戶的介入（二） 限制對Web資源的訪問 ：除了限制的頁面資源之外的任何資源都可以通過輸入URL來查看，這種方法是可以保護一些重要的資源。（三）監(jiān)視未經(jīng)授權(quán)的用戶訪問：這種可以有效的監(jiān)視所訪問用戶是否合法，但是這樣子它的負荷很大（四) 反向代理，SSO：這種訪法可以有效的解決受保護資源的安全。通過訪問網(wǎng)關(guān)到身份管理服務(wù)器進行身份驗證，并同對不同用戶層次的不同權(quán)限訪問。這樣很好的保護資源。同時SSO可以讓用戶不用每次進入一個應(yīng)用系統(tǒng)都需要進行驗證。只需登陸一次只要不結(jié)束會話都可以直接進入系統(tǒng)。除以上的四種方法以外還有很多種，在這我就不一個一個的列出來了五、反向代理與SSO比其它方法比較通過對以上好幾種未經(jīng)授權(quán)訪問的保護（一）可以看到數(shù)字簽名的保護比較單一化，但安全性較好；（二） 限制對Web資源的訪問這種方法會限制到有權(quán)訪問該資源的用戶都不能進入獲取相應(yīng)的資源信息；（三）監(jiān)視未經(jīng)授權(quán)的用戶訪問這種方法效率很低（四）反向代理，SSO 這種方法不但效率高，而且功能更為全面并且包含了以上三種方法。六、網(wǎng)站保護的缺陷 盡管網(wǎng)站保護能進一步提高系統(tǒng)的安全，仍然存在一些缺陷。首先這些保護都是針對靜態(tài)頁面而設(shè)計，而現(xiàn)在動態(tài)頁面占據(jù)的范圍越來越大，盡管本地監(jiān)測方式可以檢測腳本文件，但對腳本文件使用的數(shù)據(jù)庫卻無能為力。 另外，有些攻擊并不是針對頁面文件進行的，前不久泛濫成災(zāi)的Red Code就是使用修改IIS服務(wù)的一個動態(tài)庫來達到攻擊頁面的目的。另一個方面，網(wǎng)站保護本身會增加服務(wù)器的負載，在服務(wù)器負載本身已經(jīng)很重的情況下，一定好仔細規(guī)劃好使用方案。第三節(jié) 保護資源的重要性一、6網(wǎng)絡(luò)安全的重要性（一）信息具有保密性在信息社會中，信息具有和能源、物源同等的價值，在某些時候甚至具有更高的價值。具有價值的信息必然存在安全性的問題，對于企業(yè)更是如此。例如：在競爭激烈的市場經(jīng)濟驅(qū)動下，每個企業(yè)對于原料配額、生產(chǎn)技術(shù)、經(jīng)營決策等信息，在特定的地點和業(yè)務(wù)范圍內(nèi)都具有保密的要求，一旦這些機密被泄漏，不僅會給企業(yè)，甚至也會給國家造成嚴重的經(jīng)濟損失。（二）信息需要共享經(jīng)濟社會的發(fā)展要求各用戶之間的通信和資源共享，需要將一批計算機連成網(wǎng)絡(luò)，這樣就隱含著很大的風(fēng)險，包含了極大的脆弱性和復(fù)雜性，特別是對當(dāng)今最大的網(wǎng)絡(luò)國際互聯(lián)網(wǎng)，很容易遭到別有用心者的惡意攻擊和破壞。隨著國民經(jīng)濟的信息化程度的提高，有關(guān)的大量情報和商務(wù)信息都高度集中地存放在計算機中，隨著網(wǎng)絡(luò)應(yīng)用范圍的擴大，信息的泄露問題也變得日益嚴重，因此，計算機網(wǎng)絡(luò)的安全性問題就越來越重要。二、網(wǎng)絡(luò)安全的要考慮的幾個方面（一）網(wǎng)絡(luò)系統(tǒng)的安全 （1）網(wǎng)絡(luò)操作系統(tǒng)的安全性：目前流行的操作系統(tǒng)（Unix、Windows NT/2000/98等）均存在網(wǎng)絡(luò)安全漏洞； （2）來自外部的安全威脅； （3）來自內(nèi)部用戶的安全威脅； （4）通信協(xié)議軟件本身缺乏安全性（如:TCP/IP協(xié)議）； （5）病毒感染； （6）應(yīng)用服務(wù)的安全：許多應(yīng)用服務(wù)系統(tǒng)在訪問控制及安全通信方面考慮得不周全 （二）局域網(wǎng)安全 局域網(wǎng)采用廣播方式，在同一個廣播域中可以偵聽到在該局域網(wǎng)上傳輸?shù)乃行畔?，是不安全的因?（三）Internet互連安全 非授權(quán)訪問、冒充合法用戶、破壞數(shù)據(jù)完整性、干擾系統(tǒng)正常運行、利用網(wǎng)絡(luò)傳播病毒等。（四）數(shù)據(jù)安全 本地數(shù)據(jù)安全：本地數(shù)據(jù)被人刪除、篡改，外人非法進入系統(tǒng)。 網(wǎng)絡(luò)數(shù)據(jù)安全：數(shù)據(jù)在傳輸過程中被人竊聽、篡改。如數(shù)據(jù)在通信線路上傳輸時被人搭線竊取，數(shù)據(jù)在中繼結(jié)點機上被人篡改、偽造、刪除等。事實上，不論Internet，還是Intranet或其他任何專用網(wǎng)，都必須注意到網(wǎng)絡(luò)的安全性問題，以保護本單位本部門的信息資源不致受到外來的侵害。第三章 對反向代理與SSO進行需求分析 第一節(jié) 系統(tǒng)軟硬件需求分析1、 實際生產(chǎn)環(huán)境的要求 （一）服務(wù)器：由于要裝多個系統(tǒng)至少需要三臺 （二）IP的使用，各系統(tǒng)需要使用不同的IP地址 （三）軟件方面，使用的操作系統(tǒng)：LINUX操作系統(tǒng) 產(chǎn)品使用：NOVELL公司開發(fā)的eDirectory、Access Manager、iManager2、 在測試環(huán)境中的需求7 由于我們作出來的開發(fā)配置要使用必須搭建測試環(huán)境來進行測試（一）安裝eDirectory的硬件要求 eDirectory對于CPU處理能力并沒有過高的要求，但對I/O處理能力要求較高。以下是安裝eDirectory對內(nèi)存和硬盤空間的最低要求。（2） 安裝iManager的硬件要求 以下安裝iManager的最低硬件要求。 CPU Pentium* III 600MHz以上 內(nèi)存 512M 以上 硬盤空間 200MB 以上（三）Access Manager的硬件要求1、IdentityServerr的最低要求 CPU Pentium* III 600MHz以上 內(nèi)存512M以上 硬盤空間300MB以上2、Access Gateway的需求 AG對硬件方面的要求不是很高，但至少得保證內(nèi)存（四）在測試環(huán)境中的軟件方面與生產(chǎn)環(huán)境差不多，但是在測試環(huán)境中配置好的一臺機子可以裝上幾個系統(tǒng)，這時我們就需要用到虛擬工作站，在虛擬工作站上再進行系統(tǒng)的安裝。第二節(jié) 功能需求1、 系統(tǒng)總體概念 統(tǒng)認證系統(tǒng) 各應(yīng)用系統(tǒng) 企業(yè)門戶 目錄系統(tǒng) 身份管理系統(tǒng) 圖 3-1 系統(tǒng)的總體結(jié)構(gòu)目錄系統(tǒng)為企業(yè)門戶及應(yīng)用系統(tǒng)直接、間接提供統(tǒng)一的部門、用戶等信息；身份管理系統(tǒng)保障目錄系統(tǒng)與應(yīng)用系統(tǒng)之間用戶信息的實時同步；統(tǒng)一認證系統(tǒng)對企業(yè)門戶及各應(yīng)用系統(tǒng)提供資源保護、單點登錄及訪問控制2、 功能描述反向代理（Reverse Proxy）方式是指以代理服務(wù)器來接受internet上的連接請求，然后將請求轉(zhuǎn)發(fā)給內(nèi)部網(wǎng)絡(luò)上的服務(wù)器， 并將從服務(wù)器上得到的結(jié)果返回給internet上請求連接的客戶端，此時代理服務(wù)器對外就表現(xiàn)為一個服務(wù)器。單點登錄（Single Sign On），簡稱為 SSO，是目前比較流行的企業(yè)業(yè)務(wù)整合的解決方案之一。SSO的定義是在多個應(yīng)用系統(tǒng)中，用戶只需要登錄一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)。 下圖是反向代理和SSO進行處理的一個邏輯圖 如圖 2圖 3-2 功能描述邏輯圖在以上的圖中可以看到：（一）我們充當(dāng)訪問網(wǎng)關(guān)的軟件就是AM（Access Manager）中的AG（Access Gateway）當(dāng)一個用戶登陸時需要通過訪問網(wǎng)關(guān)檢查（二）身份證管理服務(wù)器 身份證管理服務(wù)器是我們AM中的IDS（IdentityServer）該服務(wù)器將與認證目錄同步進行用戶的身份認證主要提供對用戶身份的識別鑒定（三）認證目錄 即是上面所介紹的ED（eDirectory）這個軟件專門用來管理用戶信息；身份認證服務(wù)器在認證用戶身份時，需要訪問保存用戶身份信息的數(shù)據(jù)源，也就是認證目錄三、以一個用戶登陸服務(wù)器請求訪問資源的全過程為例來說明功能需求 (一)、當(dāng)用戶需要登陸時在瀏覽器中輸入訪問網(wǎng)關(guān)所代理的應(yīng)用系統(tǒng)的URL，請求訪問應(yīng)用系統(tǒng)，訪問請求到達訪問網(wǎng)關(guān)；在這里訪問網(wǎng)關(guān)所代理的應(yīng)用系統(tǒng)的URL就是我們所要做的反向代理。 （二）、訪問網(wǎng)關(guān)檢查當(dāng)前用戶是否已經(jīng)登錄，如果用戶尚未登錄利用HTTP協(xié)議的重定向機制，用戶將被訪問網(wǎng)關(guān)重定向到身份認證管理服務(wù)器上，通過統(tǒng)一的認證頁面獲取用戶的登錄信息。 （三）、身份認證管理服務(wù)器將獲取的用戶登錄信息與認證目錄中存放的用戶信息進行匹配，驗證用戶的合法性。（認證目錄中的用戶信息與身份目錄中的用戶信息同步身份目錄通過具體的驅(qū)動與應(yīng)用系統(tǒng)用戶信息數(shù)據(jù)庫同步）在這里我們不詳細說身份目錄與認證目錄的同步過程，以及怎樣實現(xiàn)的。（四）、如果用戶存在，并且已經(jīng)被授權(quán)訪問門戶系統(tǒng)，身份認證管理服務(wù)器認證成功，并將用戶重定向回訪問網(wǎng)關(guān)所代理的企業(yè)門戶；訪問網(wǎng)關(guān)與身份認證管理服務(wù)器協(xié)商，確認用戶已經(jīng)認證成功，并且從身份認證管理服務(wù)器上獲取用戶信息； （五）、訪問網(wǎng)關(guān)使用自動填表，或身份注入（HTTP頭）策略將用戶名和密碼等信息提交給應(yīng)用系統(tǒng)；到這一步的時候，我們就得跟椐用戶所請求的不同頁面進行想應(yīng)的策略配置。應(yīng)用系統(tǒng)接從請求中獲取到用戶名和密碼等用戶信息后，訪問應(yīng)用系統(tǒng)用戶庫確定該用戶是否合法；如果該用戶合法，應(yīng)用系統(tǒng)向訪問網(wǎng)關(guān)返回用戶所請求的資源，訪問網(wǎng)關(guān)緩存用戶請求的資源后，將其返回給用戶。至此整個反向代理與單點登陸就已完成了。（六）、當(dāng)用戶結(jié)束訪問時，需要結(jié)束會話。下圖是用戶結(jié)訪需要登出時的操作。各應(yīng)用系統(tǒng)圖 3-3 用戶登出流程第三節(jié) 用戶需求1、 帳戶命名規(guī)則 所有用戶：兩個字的采用姓名全稱 三個字的采用姓名簡稱 如：zhangs 張三2、 密碼管理要求 全體用戶的初始密碼都為：12345673、 系統(tǒng)用戶對象 該系統(tǒng)只允許本公司內(nèi)部人員訪問使用4、 用戶信息處理 由系統(tǒng)管理員負責(zé)用戶信息的新增、刪除、修改。5、 帳戶創(chuàng)建 由系統(tǒng)管理員直接創(chuàng)建6、 系統(tǒng)權(quán)限控制 不同層次的用戶給予相應(yīng)的訪問權(quán)限7、 系統(tǒng)訪問標準 通過內(nèi)網(wǎng)訪問，登陸時用戶名+密碼第四章 本系統(tǒng)的實現(xiàn) 第一節(jié) 反向代理與SSO的環(huán)境搭建1、 環(huán)境搭建所使用的產(chǎn)品，以及服務(wù)器的架構(gòu) NOVELL（AG、IDS、ED、Imanager） SUSE10 (一) ED樹，認證目錄的架構(gòu)層次表4-1 ED樹架構(gòu)層次imanageredirectorySUSE 10 (二) IDS身份認證管理服務(wù)器架構(gòu)層次表4-2 IDS架構(gòu)層次 IDSedirectorySUSE 10 （三）AG訪問網(wǎng)關(guān)架構(gòu)表4-3 AG架構(gòu)AG（SUSE 10） 2、 以上三臺服務(wù)器的搭建安裝 （一）ED樹，認證目錄的搭建 1、SUSE10的安裝 （1）SUSE10總共有四張安裝盤，插入第一張出現(xiàn)以下介面開始安裝如 圖4-1 圖4-1 suse 10安裝界面 （2）跟據(jù)提示先擇相應(yīng)的選項依次進行，需要特別注意的是選擇安裝軟件時，如下圖所示，必須要選中其中的C/C+，以及JAVA中的兩個組鍵圖 4-2 組鍵安裝圖圖 4-3 java包的選擇 （3）完成上面軟件包的選擇之后就正式開始安裝了，依次插入其它幾張光盤，安裝完成以后進行ROOT密碼的設(shè)置以及靜態(tài)IP和子網(wǎng)掩碼、網(wǎng)關(guān)的設(shè)置。圖 4-4 輸入密碼 圖4-5 IP及網(wǎng)關(guān)設(shè)置 2、edirectory的安裝 （1）配置NTP時間同步服務(wù)圖4-6 NTP時間同步 （2）在Linux上安裝eDirectory 在這里我們就用壓縮來進行說明。解壓后進入安裝目錄。圖 4-7 解壓eDirectory （3）在安裝目錄中，通過命令“./nds-install ” 啟動安裝過程。選擇安裝eDirectory服。務(wù)器和相關(guān)工具。進行安裝圖4-8 ED安裝中 （4）安裝完成后進行環(huán)境變量設(shè)置，以及使用命令“ndsconfig new進行實例的創(chuàng)建。實例創(chuàng)建成功，顯示以下信息，該實例將作為服務(wù)器上的默認實例，每次啟動系統(tǒng)時通過“/etc/init.d/ndsd”命令自動啟動該實例。3、imanager 的安裝 （1）進入安裝目錄 通過命令“./iManagerInstallLinux.bin”，啟動安裝程序，選擇安裝iManager, Tomcat 和 JVM圖 4-9 iManager安裝啟動圖 4-10 選擇安裝項 （2）安裝過程中要提示安裝插鍵，這時可以安裝，也可以以后再裝。4、ED樹搭建好以后可以通過 Server DNS Name or IP Address:port/nps/ 可訪問?？梢缘顷戇M去以后進行用戶的創(chuàng)建等。圖 4-11 ED登陸界面（二）、IDS身份管理服務(wù)器的搭建 1、SUSE10在上面我們介紹過了。在這里我們直接就進ED和IDS的說明。由于在這里IDS本身自帶ED，所以就不必單獨安裝了。 2、直接說IDS（IDS包含了AC控制臺，和IDS）（1）將Access Manager安裝光盤插入到該系統(tǒng)所在機器的光驅(qū)中.以ROOT權(quán)限登錄到該系統(tǒng)的命令行下,進入/media/dvd文件夾.在命令行下輸入:./install.sh 輸入1,進入到Novell Access Manager Administration的安裝程序進行安裝圖4-12 AM安裝選項 圖 4-13 AC安裝過程（2）安裝完成后會顯示URL地址，在瀏覽器中輸入該地址打開以下頁面，輸入用戶名密碼進入AC控制臺圖 4-14 AM登陸界面（3）再次進入到安裝目錄如（1）所示，選擇2進行IDS的安裝。圖 4-15 IDS安裝過程(4) IDS安裝完成以后進入YAST進行域名設(shè)置，在這里我們裝些域名設(shè)成ids.test（三）AG即訪問網(wǎng)關(guān)的安裝 1、安裝AG時，只需要裝該軟件就可以了，不用再裝SUSE10。因為SUSE10是封裝在AG中的。 2、AG的安裝 （1）插入光盤開始安裝，先擇高級模式安裝。進入到下一步進行磁盤分區(qū)圖4-16 AG安裝界面圖4-17 磁盤分區(qū)（2）以上過程完成后先擇時區(qū)，開始進行安裝（3）安裝完成后進行IP的設(shè)置，以及用命令在AM上導(dǎo)入AG的配置 第二節(jié) 配置實現(xiàn) 1、 IDS 的配置(一)、在瀏覽器中輸入ids.sf:8080/nps登陸Administration Console, 點擊Access Manager Identity Servers. 系統(tǒng)將顯示出當(dāng)前已經(jīng)安裝的IDS。（二）、在配置之前，首先取消瀏覽器對彈出網(wǎng)頁的屏蔽。點擊Access Manager Identity Servers Setup New（三）、在填入以下內(nèi)容后點擊下一步： 1、Name：ids 2、Base URL：3:8080/nidp 3、其余選項保持默認 4、最終結(jié)果如下圖圖 4-18 配置IDS URL地址（四）、在Organization page頁面填入以下信息后點擊下一步： 1、Name:IDS 2、Display name:IDS 3、URL:3 4、最后結(jié)果如下圖：圖4-19 IDS配置（五）、在User Store page頁面，需要填寫以下內(nèi)容： 1、Name:userstore 2、Admin name:=admin,o=services 3、Admin password:novell 4、Directory type:eDirectory 5、Server replicas配置如下： （1）、在Server replicas菜單下點擊New （2）、在彈出的Specify server replica information對話框中填入以下內(nèi)容后點擊OK Name:server replica IP Address:01(身份認證樹的IP) port:636 勾選Use secure LDAP connections，點擊Auto import trusted root，在彈出的窗口中的Alias欄填入CERT_ROOT_IDS，其它選項保持默認，點擊OK （3）、在Search Contexts菜單下點擊NEW,在彈出的對話框中輸入：o=novell其余選項保持默認，點擊OK。最后完成結(jié)果如下圖：圖 4-20 userstore以及server replicas配置（六）、將配置文件應(yīng)用于IDS上： 1、將點擊Access Manager Identity Servers. 2、選中需要應(yīng)用配置文件的IDS，點擊Actions，在下拉菜單中選擇Assign to configuration。 3、在Assign Server(s) To Configuration對話框中選中剛才創(chuàng)建好的配置文件：serverconf，點擊Assign。 4、在彈出的對話框上點擊確定，等待IDS重啟。 5、在等候5分鐘（視物理機的性能而定）后，刷新該頁面，重新登陸。 6、點擊Access Manager Identity Servers.查看當(dāng)前應(yīng)用該配置文件的IDS是否成功啟動。 7、成功啟動圖片如下： 圖 4-21 IDS配置結(jié)果（七）、對于IDS的配置補充： 1、在配置Base URL時，其對應(yīng)的URL應(yīng)該為：ids.sf:8080/nidp 2、在配置Server replicas時，其對應(yīng)的IP應(yīng)該為：3二、AG的配置（一） 1、在瀏覽器中輸入ids.sf:8080/nps登陸Administration Console, 點擊Access Manager Access Gateways Edit Reverse Proxy / Authentication. 2、在Identity Server Configuration 選項下, 通過選擇剛才已經(jīng)賦予給IDS的配置文件使AccessGateway信任其對應(yīng)的IDS。 3、在Reverse Proxy List菜單下，點擊New，輸入reverse proxy的名稱，然后點擊OK. 4、在Proxy Service List下，點擊New，填入以下內(nèi)容后點擊Next (1)、Proxy Service Name: aaa （2）、Published DNS Name: aaa.sf （3）、Web Server IP Address: （4）、 Host Header: Forward Received Host Name option （5）、其余選項保持默認,最后結(jié)果如下圖： 圖 4-22 反向代理（二） 1、在Proxy Service List,，點擊剛才創(chuàng)建好的配置文件名 Protected Resources 2、在In the Protected Resource List，點擊New。 3、在彈出的對話框中輸入everything點擊OK。 4、Contract:選擇Name/Password-Form點擊OK。 5、在Protected Resource List中，點擊New，然后在URL Path List中點擊已經(jīng)存在的“/*”，在彈出的對話框中輸入portal的登陸頁面，例如：/DemoWeb/appmanager/p1/PORTAL。點擊OK 6、Contract:選擇Name/Password-Form。 7、點擊Form Fill表單，在Form Fill Policy List菜單下點擊Manage Polocies。 8、在Policies對話框中點擊New，輸入以下信息后點擊OK: （1）、Name：login_aaa （2）、Type：Access Gateway: Form Fill 9、在新彈出的窗口中點擊New，選擇Form Fill 10、在Do Form Fill 表單中填入以下內(nèi)容后點擊OK。 （1）、Form Name ：loginfrom （2）、Fill Options如下圖： 圖4-23 單點登陸填表策略 （3）、選中Auto Submit，點擊OK。 （4）、點擊Apply Changes，然后點擊CLOSE。 （5）、 在Form Fill Policy List中選擇剛才創(chuàng)建好的填表策略名，點擊Enable （6）、點擊OK，接著點擊最下面的Configuration連接，點擊OK （7）、點擊Apply Changes。等待彈出的對話框顯示Changes have been applied successfully。 第五章 代反向理單展示點登陸 第一節(jié) 反向代理的展示 一、當(dāng)我們剛對一個新系統(tǒng)頁面進行它的單點登陸配置時，首先通過IP對該頁進行訪問。是否能正常打開。我們就用以下的TOMCAT為例來進行說明（tomcat是本機裝的一個用來測試的環(huán)境）。如下圖：圖 5-1 測試頁面二、在IDS上進行域名的配置，在這里我獎域名任意的設(shè)成：aaa.sf。并讓該域名指向我們之前配置的訪問網(wǎng)關(guān)的地址。三、下面我們開始在訪問網(wǎng)關(guān)中對該地址進行反向代理配置將域名與tomcat的IP進行對應(yīng)起來，如下圖 圖 5-2 測試頁面反向代理配置該圖的配置方法在前面AG 的配置中已經(jīng)說過。在這里我就不詳說明了。四、將域名與IP映射好了以后，再新建一個保護資源，在這可以先保護該地址下的所有頁面就可以了。圖 5-3 反向代理中受保護資源五、完成以上的操作將IDS與AG進行更新，打開新的頁面輸入：aaa.sf能將其反向代理到如下頁面（能與它對應(yīng)的IP打開的頁面相同）。那么我們就成功的將其進行了反向代理。 圖 5-4 通過域名成功反向代理頁面第二節(jié) 單點登陸的展示 一、當(dāng)我們配置好反向代理以后。在其保護資源中配置相應(yīng)的策略，在上面的頁面中對它進行填表策略的配置。（注：下圖中的填表策略中的input field name項與tomcat的登陸頁面中name對應(yīng)）配置如下圖： 圖 5-5 單點登陸策略創(chuàng)建圖5-6 測試填表