发布时间 : 星期六 文章中国移动SunOnePortal门户系统安全配置手册更新完毕开始阅读
中国移动SunOnePortal安全配置手册
? 日志服务(logging service)
SunOne Identity的日志服务(logging service)记录下用户访问SunOne Portal的一些信息。包括 access denial(拒绝访问)、approvals(准许)、代码例外(code exception)等信息。管理员通过对日志的分析可以了解用户的login logout,idel time等的访问情况。 Logging service 配置是amLogging.xml,位置在
Logging service也提供API供我们使用,我们可以在开发的程序中使用Logger Class,它的package: com.sun.identity.log。下面提供代码举例: Logger logger = Logger.getLogger(\// Creates the file or table in the LogLocation specified in the //amLogging.xml and returns the Logger object. LogRecord lr = new LogRecord(Level.INFO, \// Creates the LogRecord filling details from ssoToken. logger.log(lr,ssoToken); // Writes the info into the backend file, db or remote server.
2.3.3 Directory Server的管理
SunOne Directory Sever 安全设置有如下几点,首先,作为SunOne Portal平台的一个组件,在安装Portal Server时DirectorySever对安全做了默认设定,Portal Server是使用一个固定的帐号来访问Directory Server的,它是Directory Server的超级用户,它可以对portal server的用户信息进行管理。但是我们没有赋予它管理员的权限,它不可以对Directory的配置设置进行修改。
17
中国移动SunOnePortal安全配置手册
其次,对于应用中的用户访问Directory的权限控制,在各自的应用中,只会对每个应用系统建立一个统一的帐号来实现对其应用系统用户的访问和管理。而且访问和管理的范围只是对其应用系统的用户。
在实际中,我们要禁止Anonymous的访问权限 如下图所示禁止Anonymous的访问:
如果portal server和 Driectory Server的部署不在同一网络而需要加密访问,可以设置Directory Server的SSL加密访问。如何配置SSL访问Directory, 请参阅SunOne Directory 文档。
我们也开启Audit Log, errorLog, access Log: 来监视Directory的访问情况。 如下列相是从
nsslapd-accesslog-logging-enabled: on nsslapd-threadnumber: 45 nsslapd-accesslog: /usr/ldap/slapd-emis03/logs/access nsslapd-accesslog-maxlogsperdir: 10 nsslapd-accesslog-maxlogsize: 100 nsslapd-accesslog-logrotationtime: 1 nsslapd-accesslog-logrotationtimeunit: day nsslapd-errorlog: /usr/ldap/slapd-emis03/logs/errors nsslapd-errorlog-logging-enabled: on nsslapd-errorlog-maxlogsperdir: 2 nsslapd-errorlog-maxlogsize: 100
18
中国移动SunOnePortal安全配置手册
nsslapd-errorlog-logrotationtime: 1 nsslapd-errorlog-logrotationtimeunit: week nsslapd-auditlog: /usr/ldap/slapd-emis03/logs/audit
第三章 SunOne Portal资源的访问控制
首先我们先论述SunOne Portal集成其他系统的方法:
3.1 Portlet访问其他应用系统的方式
我们先来讨论SSO的方式: 1.入侵式单点登录:
采用Identity Server 身份管理服务器,提供单点登录解决方案使用户只需验证一次就能访问多个应用,换句话说,当用户访问后续的,受保护的应用时,无需再次输入用户名和口令。用户通过访问控制的机制来保护企业的数据和网络资源。当用户企图访问受保护的网络资源时,必需通过用户的身份验证,验证成功以后,用户获得访问网络资源的授权,基于用户为该用户定义和分配的访问控制策略。如果用户想要访问几个受保护的资源,SSO服务为用户提供已验证身份的证明,即一种令牌,称为SSOToken,该令牌会随着用户的访问提交给相应的网站,受保护的Web应用服务要安装有用户的Agent,Agent 能校验令牌的合法性,用户无需再次进行身份验证。而且所集成的系统的认证系统要做相应的修改。使用Portlet展示集成的应用时,大都采用iFrame的方法。即由被集成系统提供界面。
2. 非入侵式单点登录:
当Portlet要展示集成的应用系统时,portal首先在用户的信息目录中寻找用户在所集成系统的用户名和密码。当发现为空时,它会请求用户输入用户名和密码。当用户输入并提交后, Portal就会记录下这个用户名/密码,并向那个
19
中国移动SunOnePortal安全配置手册
系统为用户做一次登录的URL post/get操作。登陆成功之后,Portlet就展示出相应的内容。当然在下次用户再访问时,系统再次帮助用户做登录操作,而无需用户再次输入用户名和密码,SunOne Portal中这种SSO方式要做相应的开发,Identity Server也要扩展用户的存储属性,使之能够存储用户在不同系统中的用户名和密码。我们也要开发相应的程序来为用户提供界面来存储和更改用户名和密码。相比之下,侵入式的单点登录方式要容易实现。
无论是入侵式单点登录,还是非入侵式单点登录,Portlet都可以对所集成的系统进行内容抽取,而不采取URL的集成方式。但是要看对方有没有相应的API可以提供。
3.2 Porlet和Container
Portlet 和Container是构成页面的组成单位。不同的应用系统都是通过Portlet来展现的。而Container 是一组Porlet的集合,在页面上是以Tab页的方式来展现。
3.3 用户、组织、角色
下图说明了用户和组织的关系,组织和组织的关系:
Org: Organization
下图说明了用户和角色之间的关系:
20