服务器资源保护 精品.doc

题目：服务器资源保护 学习中心（或办学单位）：电子科技大学信息中心进度计划表日 期工 作 内 容执 行 情 况指导教师签 字4月15日至4月20日准备良好4月21日至4月23日调查好4月24日至5月12日执行良好5月13日至5月23日调试良好5月24日至6月12日完成好教师对进度计划实施情况总评 签名 年 月 日 本表作评定学生平时成绩的依据之一。第一章 绪 言1、 背景 随着计算机网络的快速发展，因特网、局域网、校园网给学校教育改革带来了勃勃的生机。1计算机网络的迅速发展与普及，改变了整个信息管理的面貌，使信息管理从以单个计算机为中心发展到以网络为中心，并为计算机技术在工业。商业。教学。科研.管理等领域中的应用提供了一个全新的网络通信环境，也从根本上加强并促进了群体工作成员之间的信息交流.资源共享.科学计算.技术合作及有效管理等,进而推动了生产.管理.科研及教学事业的发展.目前，信息化程度已成为衡量一个国家。一个地区。一个单位综合实力的重要标志。党中央与国务院对我国信息化工作非常重视，信息化建设已作为一项重要工作领导小组，并指出了“统筹规划.联合建设。统一标准.专项结合”的十六字指导方针。随着信息化建设的不断深入发展,原有人工管理方式已不能适应现代管理需要。企业迫切需要建立具有自己特色的企业内部网，提供集团各部门。各子公司与社会上各种网络之间的信息通讯与处理的专用网络。为单位与个人用户提供办公决策以及各种信息服务.提高企业工作人员的工作效率，降低劳动强度,改进传统的管理模式。以满足企业当前以及未来不断扩展的应用需求，适应现代化企业管理的要求。它不仅能为企业带来实实在在的经济收益,还能够提高企业的社会影响，树立新的企业形象。 这些网络信息资源都将会放在不同的服务器上，也正因为这样所以服务器资源的安全变得更加重要。保护服务器资源就是我们必须的。2、 目的 为了更好的保护网络信息资源的安全，并通过合法的身份验证进入需要访问的信息系统。对访问的用户进行有效的权限限制。这样极大的保护了信息资源。通过单点登陆并将企业的内部系统进行有效的集成访问。提供了用户的快捷方便的访问。并且我们通过这样的身份验证等对资源的保护也可以有效的避免以下的一些不足因素：计算机系统的脆弱性；操作系统的脆弱性；协议安全的脆弱性；数据库管理系统安全的脆弱性；人为的因素。 第二章 服务器资源保护的现状第一节 网络资源的发展一、服务器2（一）服务器的概念服务器的定义：从广义上讲，服务器是指网络中能对其它机器提供某些服务的计算机系统（如果一个PC对外提供ftp服务，也可以叫服务器）。从狭义上讲，服务器是专指某些高性能计算机，能通过网络，对外提供服务。相对于普通PC来说，稳定性、安全性、性能等方面都要求更高，因此在CPU、芯片组、内存、磁盘系统、网络等硬件和普通PC有所不同。 （二）服务器的种类按照不同的分类标准，服务器分为许多种。二、资源3 （一）什么是资源 资源是一国或一定地区内拥有的物力、财力、人力等各种物质要素的总称。分为自然资源和社会资源两大类。前者如阳光、空气、水、土地、森林、草原、动物、矿藏等；后者包括人力资源、信息资源以及经过劳动创造的各种物质财富。资源同时也是计算机系统中的硬件和软件的总称。如存储器、中央处理机、输入和输出设备、数据库、各种系统程序等。由操作系统进行系统的、有效的管理和调度，以提高计算机系统的工作效率。 （二）资源系统的特点自然资源系统的特点 根据人类对自然资源的认知度，其主要特点是： 自然资源分布的不平衡性和规律性； 自然资源的有限性和无限性（现实资源是有限的，但开发利用及转化是无限的）； 自然资源的多功能性； 自然资源的系统性；等。 （三）服务器资源 即网络资源是网络上互连起来的计算机提供给各用户分享的信息。这些信息放在各自的计算机上(服务器、ftp服务器、bbs服务器、vod服务器等)，因为有网络互连，大家都能通过internet访问到。三、Internet网在我国的发展现状及前景的分析 4随着全球信息高速公路的建设,我国政府也开始推进中国信息基础设施(China Information Infrastructure,CII)的建设.连接因特网成为最为关注的热点之一.到目前为止,因特网在我国已经得到初步发展.回顾我国因特网的发展,可以分为两个阶段.第一个阶段是与因特网电子邮件的连通.第二个阶段是与因特网实现全功能的TCP/IP连接. 中国教育和科研计算机网CERENT 中科院的中国科技网CSTNET 中国公用计算机互联网CHINANET 中国金桥信息网CHINAGBN四、internet的发展的出现将internet推向了民用方面，通过良好的界面大大降低了internet操作的难度，使用户急剧增加，许多政府机构、商业结构意识到internet蕴含的巨大潜力，也纷纷加入。如今internet已经深入到了社会生活的各个角落，大大方便的信息的传播，这是一场革命。第二节 网站资源保护分析一、网站的通用保护方法6 针对黑客威胁，网络安全管理员采取各种手段增强服务器的安全，确保服务的正常运行。象在Internet上的Email、ftp等服务器一样，可以用如下的方法来对服务器进行保护： 安全配置 关闭不必要的服务，最好是只提供服务，安装操作系统的最新补丁，将服务升级到最新版本并安装所有补丁，对根据服务提供者的安全建议进行配置等，这些措施将极大提供服务器本身的安全。防火墙 安装必要的防火墙，阻止各种扫描工具的试探和信息收集，甚至可以根据一些安全报告来阻止来自某些特定IP地址范围的机器连接，给服务器增加一个防护层，同时需要对防火墙内的网络环境进行调整，消除内部网络的安全隐患。 漏洞扫描使用商用或免费的漏洞扫描和风险评估工具定期对服务器进行扫描，来发现潜在的安全问题，并确保由于升级或修改配置等正常的维护工作不会带来安全问题。 入侵检测系统 利用入侵检测系统（IDS）的实时监控能力，发现正在进行的攻击行为及攻击前的试探行为，记录黑客的来源及攻击步骤和方法。 这些全施都将极大提供服务器的安全，减少被攻击的可能性。二、网站的专用保护方法7 尽管采用的各种安全措施能防止很多黑客的攻击，然而由于各种操作系统和服务器软件漏洞的不断发现，攻击方法层出不穷，技术高明的黑客还是能突破层层保护，获得系统的控制权限，从而达到破坏主页的目的。这种情况下，一些网络安全公司推出了专门针对网站的保护软件，只保护网站最重要的内容-网页。一旦检测到被保护的文件发生了非正常的改变，就进行恢复。一般情况下，系统首先需要对正常的页面文件进行备份，然后启动检测机制，检查文件是否被修改，如果被修改就需要进行恢复。我们对以下几个方面的技术进行分析比较： 监测方式本地和远程：检测可以是在本地运行一个监测端，也可以在网络上的另一台主机。如果是本地的话，监测端进程需要足够的权限读取被保护目录或文件。监测端如果在远端的话，服务器需要开放一些服务并给监测端相应的权限，较常见的方式是直接利用服务器的开放的服务，使用HTTP协议来监测被保护的文件和目录。也可利用其它常用协议来检测保护文件和目录，如FTP等。采用本地方式检测的优点是效率高，而远程方式则具有平台无关性，但会增加网络流量等负担。定时和触发：绝大部分保护软件是使用的定时检测的方式，不论在本地还是远程检测都是根据系统设定的时间定时检测，还可将被保护的网页分为不同等级，等级高的检测时间间隔可以设得较短，以获得较好的实时性，而将保护等级较低的网页文件检测时间间隔设得较长，以减轻系统的负担。触发方式则是利用操作系统提供的一些功能，在文件被创建、修改或删除时得到通知，这种方法的优点是效率高，但无法实现远程检测。 比较方法 在判断文件是否被修改时，往往采用被保护目录和备份库中的文件进行比较，比较最常见的方式全文比较。使用全文比较能直接、准确地判断出该文件是否被修改。然而全文比较在文件较大较多时效率十分低下，一些保护软件就采用文件的属性如文件大小、创建修改时间等进行比较，这种方法虽然简单高效，但也有严重的缺陷：恶意入侵者可以通过精心构造，把替换文件的属性设置得和原文件完全相同，从而使被恶意更改的文件无法被检测出来。另一种方案就是比较文件的数字签名，最常见的是MD5签名算法，由于数字签名的不可伪造性，数字签名能确保文件的相同。 恢复方式恢复方式与备份库存放的位置直接相关。如果备份库存放在本地的话，恢复进程必须有写被保护目录或文件的权限。如果在远程则需要通过文件共享或FTP的方式来进行，那么需要文件共享或FTP的帐号，并且该帐号拥有对被保护目录或文件的写权限。 备份库的安全当黑客发现其更换的主页很快被恢复时，往往会激发起进一步破坏的欲望，此时备份库的安全尤为重要。网页文件的安全就转变为备份库的安全。对备份库的保护一种是通过文件隐藏来实现，让黑客无法找到备份目录。另一种方法是对备份库进行数字签名，如果黑客修改了备份库的内容，保护软件可以通过签名发现，就可停止服务或使用一个默认的页面。 通过以上分析比较我们发现各种技术都有其优缺点，需要结合实际的网络环境来选择最适合的技术方案。三、5Web 服务器的主要威胁是 配置处理 :配置处理或主机枚举是一种收集 Web 站点相关信息的探测过程。攻击者可利用这些信息攻击已知的薄弱点。 拒绝服务 :如果服务器被泛滥的服务请求所充斥，则出现拒绝服务攻击。此时的威胁是，Web 服务器因负荷过重而无法响应合法的客户端请求。 未经授权的访问 :如果未能阻塞位于外围防火墙的应用程序服务器上运行的程序所使用的端口，则外部攻击者能够直接与应用程序服务器通信。如果允许前端 Web 服务器以外的计算机连接到应用程序服务器，那么该应用程序服务器的受攻击面就会增加。 随意代码执行 ：如果攻击者在您的服务器中运行恶意代码来损害服务器资源或向下游系统发起其他攻击，则出现代码执行攻击。 特权提升 ：如果攻击者使用特权进程帐户运行代码，则出现特权提升攻击。病毒、蠕虫和特洛伊木马:这些攻击通常不被注意，直到它们开始耗费系统资源，而这将减慢或阻止其他应用程序的执行。驻留 IIS 的应用程序服务器易受 IIS 攻击。 所以我们得对这些威胁做出相应的解决办法。在这里我主要是对未经授权的访问做出相应的解决。四、未经授权的访问的保护方法（一）数字签名：可以有效的保护重要资源不受非法用户的介入（二） 限制对Web资源的访问 ：除了限制的页面资源之外的任何资源都可以通过输入URL来查看，这种方法是可以保护一些重要的资源。（三）监视未经授权的用户访问：这种可以有效的监视所访问用户是否合法，但是这样子它的负荷很大（四) 反向代理，SSO：这种访法可以有效的解决受保护资源的安全。通过访问网关到身份管理服务器进行身份验证，并同对不同用户层次的不同权限访问。这样很好的保护资源。同时SSO可以让用户不用每次进入一个应用系统都需要进行验证。只需登陆一次只要不结束会话都可以直接进入系统。除以上的四种方法以外还有很多种，在这我就不一个一个的列出来了五、反向代理与SSO比其它方法比较通过对以上好几种未经授权访问的保护（一）可以看到数字签名的保护比较单一化，但安全性较好；（二） 限制对Web资源的访问这种方法会限制到有权访问该资源的用户都不能进入获取相应的资源信息；（三）监视未经授权的用户访问这种方法效率很低（四）反向代理，SSO 这种方法不但效率高，而且功能更为全面并且包含了以上三种方法。六、网站保护的缺陷 尽管网站保护能进一步提高系统的安全，仍然存在一些缺陷。首先这些保护都是针对静态页面而设计，而现在动态页面占据的范围越来越大，尽管本地监测方式可以检测脚本文件，但对脚本文件使用的数据库却无能为力。 另外，有些攻击并不是针对页面文件进行的，前不久泛滥成灾的Red Code就是使用修改IIS服务的一个动态库来达到攻击页面的目的。另一个方面，网站保护本身会增加服务器的负载，在服务器负载本身已经很重的情况下，一定好仔细规划好使用方案。第三节 保护资源的重要性一、6网络安全的重要性（一）信息具有保密性在信息社会中，信息具有和能源、物源同等的价值，在某些时候甚至具有更高的价值。具有价值的信息必然存在安全性的问题，对于企业更是如此。例如：在竞争激烈的市场经济驱动下，每个企业对于原料配额、生产技术、经营决策等信息，在特定的地点和业务范围内都具有保密的要求，一旦这些机密被泄漏，不仅会给企业，甚至也会给国家造成严重的经济损失。（二）信息需要共享经济社会的发展要求各用户之间的通信和资源共享，需要将一批计算机连成网络，这样就隐含着很大的风险，包含了极大的脆弱性和复杂性，特别是对当今最大的网络国际互联网，很容易遭到别有用心者的恶意攻击和破坏。随着国民经济的信息化程度的提高，有关的大量情报和商务信息都高度集中地存放在计算机中，随着网络应用范围的扩大，信息的泄露问题也变得日益严重，因此，计算机网络的安全性问题就越来越重要。二、网络安全的要考虑的几个方面（一）网络系统的安全 （1）网络操作系统的安全性：目前流行的操作系统（Unix、Windows NT/2000/98等）均存在网络安全漏洞； （2）来自外部的安全威胁； （3）来自内部用户的安全威胁； （4）通信协议软件本身缺乏安全性（如:TCP/IP协议）； （5）病毒感染； （6）应用服务的安全：许多应用服务系统在访问控制及安全通信方面考虑得不周全 （二）局域网安全 局域网采用广播方式，在同一个广播域中可以侦听到在该局域网上传输的所有信息包，是不安全的因素 （三）Internet互连安全 非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒等。（四）数据安全 本地数据安全：本地数据被人删除、篡改，外人非法进入系统。 网络数据安全：数据在传输过程中被人窃听、篡改。如数据在通信线路上传输时被人搭线窃取，数据在中继结点机上被人篡改、伪造、删除等。事实上，不论Internet，还是Intranet或其他任何专用网，都必须注意到网络的安全性问题，以保护本单位本部门的信息资源不致受到外来的侵害。第三章 对反向代理与SSO进行需求分析 第一节 系统软硬件需求分析1、 实际生产环境的要求 （一）服务器：由于要装多个系统至少需要三台 （二）IP的使用，各系统需要使用不同的IP地址 （三）软件方面，使用的操作系统：LINUX操作系统 产品使用：NOVELL公司开发的eDirectory、Access Manager、iManager2、 在测试环境中的需求7 由于我们作出来的开发配置要使用必须搭建测试环境来进行测试（一）安装eDirectory的硬件要求 eDirectory对于CPU处理能力并没有过高的要求，但对I/O处理能力要求较高。以下是安装eDirectory对内存和硬盘空间的最低要求。（2） 安装iManager的硬件要求 以下安装iManager的最低硬件要求。 CPU Pentium* III 600MHz以上 内存 512M 以上 硬盘空间 200MB 以上（三）Access Manager的硬件要求1、IdentityServerr的最低要求 CPU Pentium* III 600MHz以上 内存512M以上 硬盘空间300MB以上2、Access Gateway的需求 AG对硬件方面的要求不是很高，但至少得保证内存（四）在测试环境中的软件方面与生产环境差不多，但是在测试环境中配置好的一台机子可以装上几个系统，这时我们就需要用到虚拟工作站，在虚拟工作站上再进行系统的安装。第二节 功能需求1、 系统总体概念 统认证系统 各应用系统 企业门户 目录系统 身份管理系统 图 3-1 系统的总体结构目录系统为企业门户及应用系统直接、间接提供统一的部门、用户等信息；身份管理系统保障目录系统与应用系统之间用户信息的实时同步；统一认证系统对企业门户及各应用系统提供资源保护、单点登录及访问控制2、 功能描述反向代理（Reverse Proxy）方式是指以代理服务器来接受internet上的连接请求，然后将请求转发给内部网络上的服务器， 并将从服务器上得到的结果返回给internet上请求连接的客户端，此时代理服务器对外就表现为一个服务器。单点登录（Single Sign On），简称为 SSO，是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。 下图是反向代理和SSO进行处理的一个逻辑图 如图 2图 3-2 功能描述逻辑图在以上的图中可以看到：（一）我们充当访问网关的软件就是AM（Access Manager）中的AG（Access Gateway）当一个用户登陆时需要通过访问网关检查（二）身份证管理服务器 身份证管理服务器是我们AM中的IDS（IdentityServer）该服务器将与认证目录同步进行用户的身份认证主要提供对用户身份的识别鉴定（三）认证目录 即是上面所介绍的ED（eDirectory）这个软件专门用来管理用户信息；身份认证服务器在认证用户身份时，需要访问保存用户身份信息的数据源，也就是认证目录三、以一个用户登陆服务器请求访问资源的全过程为例来说明功能需求 (一)、当用户需要登陆时在浏览器中输入访问网关所代理的应用系统的URL，请求访问应用系统，访问请求到达访问网关；在这里访问网关所代理的应用系统的URL就是我们所要做的反向代理。 （二）、访问网关检查当前用户是否已经登录，如果用户尚未登录利用HTTP协议的重定向机制，用户将被访问网关重定向到身份认证管理服务器上，通过统一的认证页面获取用户的登录信息。 （三）、身份认证管理服务器将获取的用户登录信息与认证目录中存放的用户信息进行匹配，验证用户的合法性。（认证目录中的用户信息与身份目录中的用户信息同步身份目录通过具体的驱动与应用系统用户信息数据库同步）在这里我们不详细说身份目录与认证目录的同步过程，以及怎样实现的。（四）、如果用户存在，并且已经被授权访问门户系统，身份认证管理服务器认证成功，并将用户重定向回访问网关所代理的企业门户；访问网关与身份认证管理服务器协商，确认用户已经认证成功，并且从身份认证管理服务器上获取用户信息； （五）、访问网关使用自动填表，或身份注入（HTTP头）策略将用户名和密码等信息提交给应用系统；到这一步的时候，我们就得跟椐用户所请求的不同页面进行想应的策略配置。应用系统接从请求中获取到用户名和密码等用户信息后，访问应用系统用户库确定该用户是否合法；如果该用户合法，应用系统向访问网关返回用户所请求的资源，访问网关缓存用户请求的资源后，将其返回给用户。至此整个反向代理与单点登陆就已完成了。（六）、当用户结束访问时，需要结束会话。下图是用户结访需要登出时的操作。各应用系统图 3-3 用户登出流程第三节 用户需求1、 帐户命名规则 所有用户：两个字的采用姓名全称 三个字的采用姓名简称 如：zhangs 张三2、 密码管理要求 全体用户的初始密码都为：12345673、 系统用户对象 该系统只允许本公司内部人员访问使用4、 用户信息处理 由系统管理员负责用户信息的新增、删除、修改。5、 帐户创建 由系统管理员直接创建6、 系统权限控制 不同层次的用户给予相应的访问权限7、 系统访问标准 通过内网访问，登陆时用户名+密码第四章 本系统的实现 第一节 反向代理与SSO的环境搭建1、 环境搭建所使用的产品，以及服务器的架构 NOVELL（AG、IDS、ED、Imanager） SUSE10 (一) ED树，认证目录的架构层次表4-1 ED树架构层次imanageredirectorySUSE 10 (二) IDS身份认证管理服务器架构层次表4-2 IDS架构层次 IDSedirectorySUSE 10 （三）AG访问网关架构表4-3 AG架构AG（SUSE 10） 2、 以上三台服务器的搭建安装 （一）ED树，认证目录的搭建 1、SUSE10的安装 （1）SUSE10总共有四张安装盘，插入第一张出现以下介面开始安装如 图4-1 图4-1 suse 10安装界面 （2）跟据提示先择相应的选项依次进行，需要特别注意的是选择安装软件时，如下图所示，必须要选中其中的C/C+，以及JAVA中的两个组键图 4-2 组键安装图图 4-3 java包的选择 （3）完成上面软件包的选择之后就正式开始安装了，依次插入其它几张光盘，安装完成以后进行ROOT密码的设置以及静态IP和子网掩码、网关的设置。图 4-4 输入密码 图4-5 IP及网关设置 2、edirectory的安装 （1）配置NTP时间同步服务图4-6 NTP时间同步 （2）在Linux上安装eDirectory 在这里我们就用压缩来进行说明。解压后进入安装目录。图 4-7 解压eDirectory （3）在安装目录中，通过命令“./nds-install ” 启动安装过程。选择安装eDirectory服。务器和相关工具。进行安装图4-8 ED安装中 （4）安装完成后进行环境变量设置，以及使用命令“ndsconfig new进行实例的创建。实例创建成功，显示以下信息，该实例将作为服务器上的默认实例，每次启动系统时通过“/etc/init.d/ndsd”命令自动启动该实例。3、imanager 的安装 （1）进入安装目录 通过命令“./iManagerInstallLinux.bin”，启动安装程序，选择安装iManager, Tomcat 和 JVM图 4-9 iManager安装启动图 4-10 选择安装项 （2）安装过程中要提示安装插键，这时可以安装，也可以以后再装。4、ED树搭建好以后可以通过 Server DNS Name or IP Address:port/nps/ 可访问。可以登陆进去以后进行用户的创建等。图 4-11 ED登陆界面（二）、IDS身份管理服务器的搭建 1、SUSE10在上面我们介绍过了。在这里我们直接就进ED和IDS的说明。由于在这里IDS本身自带ED，所以就不必单独安装了。 2、直接说IDS（IDS包含了AC控制台，和IDS）（1）将Access Manager安装光盘插入到该系统所在机器的光驱中.以ROOT权限登录到该系统的命令行下,进入/media/dvd文件夹.在命令行下输入:./install.sh 输入1,进入到Novell Access Manager Administration的安装程序进行安装图4-12 AM安装选项 图 4-13 AC安装过程（2）安装完成后会显示URL地址，在浏览器中输入该地址打开以下页面，输入用户名密码进入AC控制台图 4-14 AM登陆界面（3）再次进入到安装目录如（1）所示，选择2进行IDS的安装。图 4-15 IDS安装过程(4) IDS安装完成以后进入YAST进行域名设置，在这里我们装些域名设成ids.test（三）AG即访问网关的安装 1、安装AG时，只需要装该软件就可以了，不用再装SUSE10。因为SUSE10是封装在AG中的。 2、AG的安装 （1）插入光盘开始安装，先择高级模式安装。进入到下一步进行磁盘分区图4-16 AG安装界面图4-17 磁盘分区（2）以上过程完成后先择时区，开始进行安装（3）安装完成后进行IP的设置，以及用命令在AM上导入AG的配置 第二节 配置实现 1、 IDS 的配置(一)、在浏览器中输入ids.sf:8080/nps登陆Administration Console, 点击Access Manager Identity Servers. 系统将显示出当前已经安装的IDS。（二）、在配置之前，首先取消浏览器对弹出网页的屏蔽。点击Access Manager Identity Servers Setup New（三）、在填入以下内容后点击下一步： 1、Name：ids 2、Base URL：3:8080/nidp 3、其余选项保持默认 4、最终结果如下图图 4-18 配置IDS URL地址（四）、在Organization page页面填入以下信息后点击下一步： 1、Name:IDS 2、Display name:IDS 3、URL:3 4、最后结果如下图：图4-19 IDS配置（五）、在User Store page页面，需要填写以下内容： 1、Name:userstore 2、Admin name:=admin,o=services 3、Admin password:novell 4、Directory type:eDirectory 5、Server replicas配置如下： （1）、在Server replicas菜单下点击New （2）、在弹出的Specify server replica information对话框中填入以下内容后点击OK Name:server replica IP Address:01(身份认证树的IP) port:636 勾选Use secure LDAP connections，点击Auto import trusted root，在弹出的窗口中的Alias栏填入CERT_ROOT_IDS，其它选项保持默认，点击OK （3）、在Search Contexts菜单下点击NEW,在弹出的对话框中输入：o=novell其余选项保持默认，点击OK。最后完成结果如下图：图 4-20 userstore以及server replicas配置（六）、将配置文件应用于IDS上： 1、将点击Access Manager Identity Servers. 2、选中需要应用配置文件的IDS，点击Actions，在下拉菜单中选择Assign to configuration。 3、在Assign Server(s) To Configuration对话框中选中刚才创建好的配置文件：serverconf，点击Assign。 4、在弹出的对话框上点击确定，等待IDS重启。 5、在等候5分钟（视物理机的性能而定）后，刷新该页面，重新登陆。 6、点击Access Manager Identity Servers.查看当前应用该配置文件的IDS是否成功启动。 7、成功启动图片如下： 图 4-21 IDS配置结果（七）、对于IDS的配置补充： 1、在配置Base URL时，其对应的URL应该为：ids.sf:8080/nidp 2、在配置Server replicas时，其对应的IP应该为：3二、AG的配置（一） 1、在浏览器中输入ids.sf:8080/nps登陆Administration Console, 点击Access Manager Access Gateways Edit Reverse Proxy / Authentication. 2、在Identity Server Configuration 选项下, 通过选择刚才已经赋予给IDS的配置文件使AccessGateway信任其对应的IDS。 3、在Reverse Proxy List菜单下，点击New，输入reverse proxy的名称，然后点击OK. 4、在Proxy Service List下，点击New，填入以下内容后点击Next (1)、Proxy Service Name: aaa （2）、Published DNS Name: aaa.sf （3）、Web Server IP Address: （4）、 Host Header: Forward Received Host Name option （5）、其余选项保持默认,最后结果如下图： 图 4-22 反向代理（二） 1、在Proxy Service List,，点击刚才创建好的配置文件名 Protected Resources 2、在In the Protected Resource List，点击New。 3、在弹出的对话框中输入everything点击OK。 4、Contract:选择Name/Password-Form点击OK。 5、在Protected Resource List中，点击New，然后在URL Path List中点击已经存在的“/*”，在弹出的对话框中输入portal的登陆页面，例如：/DemoWeb/appmanager/p1/PORTAL。点击OK 6、Contract:选择Name/Password-Form。 7、点击Form Fill表单，在Form Fill Policy List菜单下点击Manage Polocies。 8、在Policies对话框中点击New，输入以下信息后点击OK: （1）、Name：login_aaa （2）、Type：Access Gateway: Form Fill 9、在新弹出的窗口中点击New，选择Form Fill 10、在Do Form Fill 表单中填入以下内容后点击OK。 （1）、Form Name ：loginfrom （2）、Fill Options如下图： 图4-23 单点登陆填表策略 （3）、选中Auto Submit，点击OK。 （4）、点击Apply Changes，然后点击CLOSE。 （5）、 在Form Fill Policy List中选择刚才创建好的填表策略名，点击Enable （6）、点击OK，接着点击最下面的Configuration连接，点击OK （7）、点击Apply Changes。等待弹出的对话框显示Changes have been applied successfully。 第五章 代反向理单展示点登陆 第一节 反向代理的展示 一、当我们刚对一个新系统页面进行它的单点登陆配置时，首先通过IP对该页进行访问。是否能正常打开。我们就用以下的TOMCAT为例来进行说明（tomcat是本机装的一个用来测试的环境）。如下图：图 5-1 测试页面二、在IDS上进行域名的配置，在这里我奖域名任意的设成：aaa.sf。并让该域名指向我们之前配置的访问网关的地址。三、下面我们开始在访问网关中对该地址进行反向代理配置将域名与tomcat的IP进行对应起来，如下图 图 5-2 测试页面反向代理配置该图的配置方法在前面AG 的配置中已经说过。在这里我就不详说明了。四、将域名与IP映射好了以后，再新建一个保护资源，在这可以先保护该地址下的所有页面就可以了。图 5-3 反向代理中受保护资源五、完成以上的操作将IDS与AG进行更新，打开新的页面输入：aaa.sf能将其反向代理到如下页面（能与它对应的IP打开的页面相同）。那么我们就成功的将其进行了反向代理。 图 5-4 通过域名成功反向代理页面第二节 单点登陆的展示 一、当我们配置好反向代理以后。在其保护资源中配置相应的策略，在上面的页面中对它进行填表策略的配置。（注：下图中的填表策略中的input field name项与tomcat的登陆页面中name对应）配置如下图： 图 5-5 单点登陆策略创建图5-6 测试填表