服務器資源保護

1、電 子 科 技 大 學畢 業(yè) 設 計（論 文）論文題目：服務器資源保護 學習中心（或辦學單位）：電子科技大學信息中心指導老師： 職 稱： 講師 學生姓名： 學 號: 專 業(yè)：網(wǎng)絡工程 電子科技大學繼續(xù)教育學院制網(wǎng)絡教育學院2010年 06月 12日電 子 科 技 大 學畢業(yè)設計（論文）任務書題目：服務器資源保護任務與要求： 實現(xiàn)用戶身份管理、完成合法用戶登錄、防止非法用戶的訪問以此來 保護資源。本過程有反向代理與sso來完成時間： 2010 年 4 月15 日 至 2010 年 6 月 15 日 共 8 周學習中心：（或辦學單位）電子科技大學信息中心學生姓名： 學 號： 專業(yè)： 指導單位或教研

2、室：電子科技大學信息習中心指導教師： 職 稱：副教授電子科技大學繼續(xù)教育學院制網(wǎng)絡教育學院2010年 06月 12日畢業(yè)設計(論文)進度計劃表日 期工 作 內 容執(zhí) 行 情 況指導教師簽 字4月15日至4月20日準備良好4月21日至4月23日調查好4月24日至5月12日執(zhí)行良好5月13日至5月23日調試良好5月24日至6月12日完成好教師對進度計劃實施情況總評 簽名 年 月 日 本表作評定學生平時成績的依據(jù)之一。摘要 本論文主要闡述了通過反向代理與sso來保護服務器資源控制用戶的訪問權限。隨著社會的變革和市場經(jīng)濟的深入發(fā)展，企業(yè)將面對越來越激烈的競爭，服務器資源的安全重要性不言而喻，因此，服務

3、器的資源安全是每個企業(yè)都非常重視的問題. 本文中所做的主要工作如下：介紹相關服務器資源方面的知識以及它的保護方法.闡述整個網(wǎng)絡的發(fā)展與網(wǎng)絡資源的一些保護分析。設計實現(xiàn)用戶的單點登陸與登出的方法完成網(wǎng)站通過域名反向代理。分析并解決實現(xiàn)中的需求如：完成的功能需求等等。建立完整的實驗系統(tǒng)，并對該系統(tǒng)完成的功能進行展示。分析它的不足之處，以及對全文的一個總結與展望。關鍵詞 服務器資源 ag sso ids suse10 abstractthis paper expatiate on the reverse sso agent and server resources to protect contro

4、l of a users access. with the social changes and in-depth development of a market economy, enterprises will face more intense competition, the server resources, the importance of security is self-evident, therefore, the server resources of each enterprise security is a very important issue.in this p

5、aper, the major work done by the following: on the server resources in the relevant knowledge and its protection methods on the development of the entire network. design and implementation of the users single point of landing and out of the way through the site to complete reverse domain name agent.

6、 analysis and resolve to achieve in demand: to complete the functional requirements and so on. establish a complete experimental system, and set out the system to complete the function.key word :server resources ag sso ids suse10 目錄第一章 緒 言2第二章 服務器資源保護的現(xiàn)狀3第一節(jié) 網(wǎng)絡資源的發(fā)展3第二節(jié) 網(wǎng)站資源保護分析4第三節(jié) 保護資源的重要性7第三章 對反向

7、代理與sso進行需求分析9第一節(jié) 系統(tǒng)軟硬件需求分析9第二節(jié) 功能需求10第三節(jié) 用戶需求12第四章 本系統(tǒng)的實現(xiàn)13第一節(jié) 反向代理與sso的環(huán)境搭建13第二節(jié) 配置實現(xiàn)20第五章 代反向理單展示點登陸25第一節(jié) 反向代理的展示25第二節(jié) 單點登陸的展示26第六章 不足現(xiàn)狀與原因29第七章 總結與展望30第一節(jié) 回顧總結該文30第二節(jié) 展望該系統(tǒng)的前景30結束語31謝辭32參考文獻33第一章 緒 言1、 背景 隨著計算機網(wǎng)絡的快速發(fā)展，因特網(wǎng)、局域網(wǎng)、校園網(wǎng)給學校教育改革帶來了勃勃的生機。1計算機網(wǎng)絡的迅速發(fā)展與普及，改變了整個信息管理的面貌，使信息管理從以單個計算機為中心發(fā)展到以網(wǎng)絡為中心

8、，并為計算機技術在工業(yè)。商業(yè)。教學?？蒲?管理等領域中的應用提供了一個全新的網(wǎng)絡通信環(huán)境，也從根本上加強并促進了群體工作成員之間的信息交流.資源共享.科學計算.技術合作及有效管理等,進而推動了生產(chǎn).管理.科研及教學事業(yè)的發(fā)展.目前，信息化程度已成為衡量一個國家。一個地區(qū)。一個單位綜合實力的重要標志。黨中央與國務院對我國信息化工作非常重視，信息化建設已作為一項重要工作領導小組，并指出了“統(tǒng)籌規(guī)劃.聯(lián)合建設。統(tǒng)一標準.專項結合”的十六字指導方針。隨著信息化建設的不斷深入發(fā)展,原有人工管理方式已不能適應現(xiàn)代管理需要。企業(yè)迫切需要建立具有自己特色的企業(yè)內部網(wǎng)，提供集團各部門。各子公司與社會上各種網(wǎng)絡之

9、間的信息通訊與處理的專用網(wǎng)絡。為單位與個人用戶提供辦公決策以及各種信息服務.提高企業(yè)工作人員的工作效率，降低勞動強度,改進傳統(tǒng)的管理模式。以滿足企業(yè)當前以及未來不斷擴展的應用需求，適應現(xiàn)代化企業(yè)管理的要求。它不僅能為企業(yè)帶來實實在在的經(jīng)濟收益,還能夠提高企業(yè)的社會影響，樹立新的企業(yè)形象。 這些網(wǎng)絡信息資源都將會放在不同的服務器上，也正因為這樣所以服務器資源的安全變得更加重要。保護服務器資源就是我們必須的。2、 目的 為了更好的保護網(wǎng)絡信息資源的安全，并通過合法的身份驗證進入需要訪問的信息系統(tǒng)。對訪問的用戶進行有效的權限限制。這樣極大的保護了信息資源。通過單點登陸并將企業(yè)的內部系統(tǒng)進行有效的集成

10、訪問。提供了用戶的快捷方便的訪問。并且我們通過這樣的身份驗證等對資源的保護也可以有效的避免以下的一些不足因素：計算機系統(tǒng)的脆弱性；操作系統(tǒng)的脆弱性；協(xié)議安全的脆弱性；數(shù)據(jù)庫管理系統(tǒng)安全的脆弱性；人為的因素。 第二章 服務器資源保護的現(xiàn)狀第一節(jié) 網(wǎng)絡資源的發(fā)展一、服務器2（一）服務器的概念服務器的定義：從廣義上講，服務器是指網(wǎng)絡中能對其它機器提供某些服務的計算機系統(tǒng)（如果一個pc對外提供ftp服務，也可以叫服務器）。從狹義上講，服務器是專指某些高性能計算機，能通過網(wǎng)絡，對外提供服務。相對于普通pc來說，穩(wěn)定性、安全性、性能等方面都要求更高，因此在cpu、芯片組、內存、磁盤系統(tǒng)、網(wǎng)絡等硬件和普通p

11、c有所不同。 （二）服務器的種類按照不同的分類標準，服務器分為許多種。二、資源3 （一）什么是資源 資源是一國或一定地區(qū)內擁有的物力、財力、人力等各種物質要素的總稱。分為自然資源和社會資源兩大類。前者如陽光、空氣、水、土地、森林、草原、動物、礦藏等；后者包括人力資源、信息資源以及經(jīng)過勞動創(chuàng)造的各種物質財富。資源同時也是計算機系統(tǒng)中的硬件和軟件的總稱。如存儲器、中央處理機、輸入和輸出設備、數(shù)據(jù)庫、各種系統(tǒng)程序等。由操作系統(tǒng)進行系統(tǒng)的、有效的管理和調度，以提高計算機系統(tǒng)的工作效率。 （二）資源系統(tǒng)的特點自然資源系統(tǒng)的特點 根據(jù)人類對自然資源的認知度，其主要特點是： 自然資源分布的不平衡性和規(guī)律性；

12、 自然資源的有限性和無限性（現(xiàn)實資源是有限的，但開發(fā)利用及轉化是無限的）； 自然資源的多功能性； 自然資源的系統(tǒng)性；等。 （三）服務器資源 即網(wǎng)絡資源是網(wǎng)絡上互連起來的計算機提供給各用戶分享的信息。這些信息放在各自的計算機上(www服務器、ftp服務器、bbs服務器、vod服務器等)，因為有網(wǎng)絡互連，大家都能通過internet訪問到。三、internet網(wǎng)在我國的發(fā)展現(xiàn)狀及前景的分析 4隨著全球信息高速公路的建設,我國政府也開始推進中國信息基礎設施(china information infrastructure,cii)的建設.連接因特網(wǎng)成為最為關注的熱點之一.到目前為止,因特網(wǎng)在我國已經(jīng)

13、得到初步發(fā)展.回顧我國因特網(wǎng)的發(fā)展,可以分為兩個階段.第一個階段是與因特網(wǎng)電子郵件的連通.第二個階段是與因特網(wǎng)實現(xiàn)全功能的tcp/ip連接. 中國教育和科研計算機網(wǎng)cerent 中科院的中國科技網(wǎng)cstnet 中國公用計算機互聯(lián)網(wǎng)chinanet 中國金橋信息網(wǎng)chinagbn四、internet的發(fā)展www的出現(xiàn)將internet推向了民用方面，www通過良好的界面大大降低了internet操作的難度，使用戶急劇增加，許多政府機構、商業(yè)結構意識到internet蘊含的巨大潛力，也紛紛加入。如今internet已經(jīng)深入到了社會生活的各個角落，大大方便的信息的傳播，這是一場革命。第二節(jié) 網(wǎng)站資源

14、保護分析一、網(wǎng)站的通用保護方法6 針對黑客威脅，網(wǎng)絡安全管理員采取各種手段增強服務器的安全，確保www服務的正常運行。象在internet上的email、ftp等服務器一樣，可以用如下的方法來對www服務器進行保護： 安全配置 關閉不必要的服務，最好是只提供www服務，安裝操作系統(tǒng)的最新補丁，將www服務升級到最新版本并安裝所有補丁，對根據(jù)www服務提供者的安全建議進行配置等，這些措施將極大提供www服務器本身的安全。防火墻 安裝必要的防火墻，阻止各種掃描工具的試探和信息收集，甚至可以根據(jù)一些安全報告來阻止來自某些特定ip地址范圍的機器連接，給www服務器增加一個防護層，同時需要對防火墻內的網(wǎng)

15、絡環(huán)境進行調整，消除內部網(wǎng)絡的安全隱患。 漏洞掃描使用商用或免費的漏洞掃描和風險評估工具定期對服務器進行掃描，來發(fā)現(xiàn)潛在的安全問題，并確保由于升級或修改配置等正常的維護工作不會帶來安全問題。 入侵檢測系統(tǒng) 利用入侵檢測系統(tǒng)（ids）的實時監(jiān)控能力，發(fā)現(xiàn)正在進行的攻擊行為及攻擊前的試探行為，記錄黑客的來源及攻擊步驟和方法。 這些全施都將極大提供www服務器的安全，減少被攻擊的可能性。二、網(wǎng)站的專用保護方法7 盡管采用的各種安全措施能防止很多黑客的攻擊，然而由于各種操作系統(tǒng)和服務器軟件漏洞的不斷發(fā)現(xiàn)，攻擊方法層出不窮，技術高明的黑客還是能突破層層保護，獲得系統(tǒng)的控制權限，從而達到破壞主頁的目的。這

16、種情況下，一些網(wǎng)絡安全公司推出了專門針對網(wǎng)站的保護軟件，只保護網(wǎng)站最重要的內容-網(wǎng)頁。一旦檢測到被保護的文件發(fā)生了非正常的改變，就進行恢復。一般情況下，系統(tǒng)首先需要對正常的頁面文件進行備份，然后啟動檢測機制，檢查文件是否被修改，如果被修改就需要進行恢復。我們對以下幾個方面的技術進行分析比較： 監(jiān)測方式本地和遠程：檢測可以是在本地運行一個監(jiān)測端，也可以在網(wǎng)絡上的另一臺主機。如果是本地的話，監(jiān)測端進程需要足夠的權限讀取被保護目錄或文件。監(jiān)測端如果在遠端的話，www服務器需要開放一些服務并給監(jiān)測端相應的權限，較常見的方式是直接利用服務器的開放的www服務，使用http協(xié)議來監(jiān)測被保護的文件和目錄。也

17、可利用其它常用協(xié)議來檢測保護文件和目錄，如ftp等。采用本地方式檢測的優(yōu)點是效率高，而遠程方式則具有平臺無關性，但會增加網(wǎng)絡流量等負擔。定時和觸發(fā)：絕大部分保護軟件是使用的定時檢測的方式，不論在本地還是遠程檢測都是根據(jù)系統(tǒng)設定的時間定時檢測，還可將被保護的網(wǎng)頁分為不同等級，等級高的檢測時間間隔可以設得較短，以獲得較好的實時性，而將保護等級較低的網(wǎng)頁文件檢測時間間隔設得較長，以減輕系統(tǒng)的負擔。觸發(fā)方式則是利用操作系統(tǒng)提供的一些功能，在文件被創(chuàng)建、修改或刪除時得到通知，這種方法的優(yōu)點是效率高，但無法實現(xiàn)遠程檢測。 比較方法 在判斷文件是否被修改時，往往采用被保護目錄和備份庫中的文件進行比較，比較最

18、常見的方式全文比較。使用全文比較能直接、準確地判斷出該文件是否被修改。然而全文比較在文件較大較多時效率十分低下，一些保護軟件就采用文件的屬性如文件大小、創(chuàng)建修改時間等進行比較，這種方法雖然簡單高效，但也有嚴重的缺陷：惡意入侵者可以通過精心構造，把替換文件的屬性設置得和原文件完全相同，從而使被惡意更改的文件無法被檢測出來。另一種方案就是比較文件的數(shù)字簽名，最常見的是md5簽名算法，由于數(shù)字簽名的不可偽造性，數(shù)字簽名能確保文件的相同。 恢復方式恢復方式與備份庫存放的位置直接相關。如果備份庫存放在本地的話，恢復進程必須有寫被保護目錄或文件的權限。如果在遠程則需要通過文件共享或ftp的方式來進行，那么

19、需要文件共享或ftp的帳號，并且該帳號擁有對被保護目錄或文件的寫權限。 備份庫的安全當黑客發(fā)現(xiàn)其更換的主頁很快被恢復時，往往會激發(fā)起進一步破壞的欲望，此時備份庫的安全尤為重要。網(wǎng)頁文件的安全就轉變?yōu)閭浞輲斓陌踩?。對備份庫的保護一種是通過文件隱藏來實現(xiàn)，讓黑客無法找到備份目錄。另一種方法是對備份庫進行數(shù)字簽名，如果黑客修改了備份庫的內容，保護軟件可以通過簽名發(fā)現(xiàn)，就可停止www服務或使用一個默認的頁面。 通過以上分析比較我們發(fā)現(xiàn)各種技術都有其優(yōu)缺點，需要結合實際的網(wǎng)絡環(huán)境來選擇最適合的技術方案。三、5web 服務器的主要威脅是 配置處理 :配置處理或主機枚舉是一種收集 web 站點相關信息的探測

20、過程。攻擊者可利用這些信息攻擊已知的薄弱點。 拒絕服務 :如果服務器被泛濫的服務請求所充斥，則出現(xiàn)拒絕服務攻擊。此時的威脅是，web 服務器因負荷過重而無法響應合法的客戶端請求。 未經(jīng)授權的訪問 :如果未能阻塞位于外圍防火墻的應用程序服務器上運行的程序所使用的端口，則外部攻擊者能夠直接與應用程序服務器通信。如果允許前端 web 服務器以外的計算機連接到應用程序服務器，那么該應用程序服務器的受攻擊面就會增加。 隨意代碼執(zhí)行 ：如果攻擊者在您的服務器中運行惡意代碼來損害服務器資源或向下游系統(tǒng)發(fā)起其他攻擊，則出現(xiàn)代碼執(zhí)行攻擊。 特權提升 ：如果攻擊者使用特權進程帳戶運行代碼，則出現(xiàn)特權提升攻擊。病毒

21、、蠕蟲和特洛伊木馬:這些攻擊通常不被注意，直到它們開始耗費系統(tǒng)資源，而這將減慢或阻止其他應用程序的執(zhí)行。駐留 iis 的應用程序服務器易受 iis 攻擊。 所以我們得對這些威脅做出相應的解決辦法。在這里我主要是對未經(jīng)授權的訪問做出相應的解決。四、未經(jīng)授權的訪問的保護方法（一）數(shù)字簽名：可以有效的保護重要資源不受非法用戶的介入（二） 限制對web資源的訪問 ：除了限制的頁面資源之外的任何資源都可以通過輸入url來查看，這種方法是可以保護一些重要的資源。（三）監(jiān)視未經(jīng)授權的用戶訪問：這種可以有效的監(jiān)視所訪問用戶是否合法，但是這樣子它的負荷很大（四) 反向代理，sso：這種訪法可以有效的解決受保護資

22、源的安全。通過訪問網(wǎng)關到身份管理服務器進行身份驗證，并同對不同用戶層次的不同權限訪問。這樣很好的保護資源。同時sso可以讓用戶不用每次進入一個應用系統(tǒng)都需要進行驗證。只需登陸一次只要不結束會話都可以直接進入系統(tǒng)。除以上的四種方法以外還有很多種，在這我就不一個一個的列出來了五、反向代理與sso比其它方法比較通過對以上好幾種未經(jīng)授權訪問的保護（一）可以看到數(shù)字簽名的保護比較單一化，但安全性較好；（二） 限制對web資源的訪問這種方法會限制到有權訪問該資源的用戶都不能進入獲取相應的資源信息；（三）監(jiān)視未經(jīng)授權的用戶訪問這種方法效率很低（四）反向代理，sso 這種方法不但效率高，而且功能更為全面并且包

23、含了以上三種方法。六、網(wǎng)站保護的缺陷 盡管網(wǎng)站保護軟件能進一步提高系統(tǒng)的安全，仍然存在一些缺陷。首先這些保護軟件都是針對靜態(tài)頁面而設計，而現(xiàn)在動態(tài)頁面占據(jù)的范圍越來越大，盡管本地監(jiān)測方式可以檢測腳本文件，但對腳本文件使用的數(shù)據(jù)庫卻無能為力。 另外，有些攻擊并不是針對頁面文件進行的，前不久泛濫成災的red code就是使用修改iis服務的一個動態(tài)庫來達到攻擊頁面的目的。另一個方面，網(wǎng)站保護軟件本身會增加www服務器的負載，在www服務器負載本身已經(jīng)很重的情況下，一定好仔細規(guī)劃好使用方案。第三節(jié) 保護資源的重要性一、6網(wǎng)絡安全的重要性（一）信息具有保密性在信息社會中，信息具有和能源、物源同等的價值

24、，在某些時候甚至具有更高的價值。具有價值的信息必然存在安全性的問題，對于企業(yè)更是如此。例如：在競爭激烈的市場經(jīng)濟驅動下，每個企業(yè)對于原料配額、生產(chǎn)技術、經(jīng)營決策等信息，在特定的地點和業(yè)務范圍內都具有保密的要求，一旦這些機密被泄漏，不僅會給企業(yè)，甚至也會給國家造成嚴重的經(jīng)濟損失。（二）信息需要共享經(jīng)濟社會的發(fā)展要求各用戶之間的通信和資源共享，需要將一批計算機連成網(wǎng)絡，這樣就隱含著很大的風險，包含了極大的脆弱性和復雜性，特別是對當今最大的網(wǎng)絡國際互聯(lián)網(wǎng)，很容易遭到別有用心者的惡意攻擊和破壞。隨著國民經(jīng)濟的信息化程度的提高，有關的大量情報和商務信息都高度集中地存放在計算機中，隨著網(wǎng)絡應用范圍的擴大，

25、信息的泄露問題也變得日益嚴重，因此，計算機網(wǎng)絡的安全性問題就越來越重要。二、網(wǎng)絡安全的要考慮的幾個方面（一）網(wǎng)絡系統(tǒng)的安全 （1）網(wǎng)絡操作系統(tǒng)的安全性：目前流行的操作系統(tǒng)（unix、windows nt/2000/98等）均存在網(wǎng)絡安全漏洞； （2）來自外部的安全威脅； （3）來自內部用戶的安全威脅； （4）通信協(xié)議軟件本身缺乏安全性（如:tcp/ip協(xié)議）； （5）病毒感染； （6）應用服務的安全：許多應用服務系統(tǒng)在訪問控制及安全通信方面考慮得不周全 （二）局域網(wǎng)安全 局域網(wǎng)采用廣播方式，在同一個廣播域中可以偵聽到在該局域網(wǎng)上傳輸?shù)乃行畔?，是不安全的因?（三）internet互連安全

26、非授權訪問、冒充合法用戶、破壞數(shù)據(jù)完整性、干擾系統(tǒng)正常運行、利用網(wǎng)絡傳播病毒等。（四）數(shù)據(jù)安全 本地數(shù)據(jù)安全：本地數(shù)據(jù)被人刪除、篡改，外人非法進入系統(tǒng)。 網(wǎng)絡數(shù)據(jù)安全：數(shù)據(jù)在傳輸過程中被人竊聽、篡改。如數(shù)據(jù)在通信線路上傳輸時被人搭線竊取，數(shù)據(jù)在中繼結點機上被人篡改、偽造、刪除等。事實上，不論internet，還是intranet或其他任何專用網(wǎng)，都必須注意到網(wǎng)絡的安全性問題，以保護本單位本部門的信息資源不致受到外來的侵害。第三章 對反向代理與sso進行需求分析 第一節(jié) 系統(tǒng)軟硬件需求分析1、 實際生產(chǎn)環(huán)境的要求 （一）服務器：由于要裝多個系統(tǒng)至少需要三臺 （二）ip的使用，各系統(tǒng)需要使用不同的

27、ip地址 （三）軟件方面，使用的操作系統(tǒng)：linux操作系統(tǒng) 產(chǎn)品使用：novell公司開發(fā)的edirectory、access manager、imanager2、 在測試環(huán)境中的需求7 由于我們作出來的開發(fā)配置要使用必須搭建測試環(huán)境來進行測試（一）安裝edirectory的硬件要求 edirectory對于cpu處理能力并沒有過高的要求，但對i/o處理能力要求較高。以下是安裝edirectory對內存和硬盤空間的最低要求。（2） 安裝imanager的硬件要求 以下安裝imanager的最低硬件要求。 cpu pentium* iii 600mhz以上 內存 512m 以上 硬盤空間 20

28、0mb 以上（三）access manager的硬件要求1、identityserverr的最低要求 cpu pentium* iii 600mhz以上 內存512m以上 硬盤空間300mb以上2、access gateway的需求 ag對硬件方面的要求不是很高，但至少得保證內存（四）在測試環(huán)境中的軟件方面與生產(chǎn)環(huán)境差不多，但是在測試環(huán)境中配置好的一臺機子可以裝上幾個系統(tǒng)，這時我們就需要用到虛擬工作站，在虛擬工作站上再進行系統(tǒng)的安裝。第二節(jié) 功能需求1、 系統(tǒng)總體概念 統(tǒng)認證系統(tǒng) 各應用系統(tǒng) 企業(yè)門戶 目錄系統(tǒng) 身份管理系統(tǒng) 圖 3-1 系統(tǒng)的總體結構目錄系統(tǒng)為企業(yè)門戶及應用系統(tǒng)直接、間接提供

29、統(tǒng)一的部門、用戶等信息；身份管理系統(tǒng)保障目錄系統(tǒng)與應用系統(tǒng)之間用戶信息的實時同步；統(tǒng)一認證系統(tǒng)對企業(yè)門戶及各應用系統(tǒng)提供資源保護、單點登錄及訪問控制2、 功能描述反向代理（reverse proxy）方式是指以代理服務器來接受internet上的連接請求，然后將請求轉發(fā)給內部網(wǎng)絡上的服務器， 并將從服務器上得到的結果返回給internet上請求連接的客戶端，此時代理服務器對外就表現(xiàn)為一個服務器。單點登錄（single sign on），簡稱為 sso，是目前比較流行的企業(yè)業(yè)務整合的解決方案之一。sso的定義是在多個應用系統(tǒng)中，用戶只需要登錄一次就可以訪問所有相互信任的應用系統(tǒng)。 下圖是反向代理

30、和sso進行處理的一個邏輯圖 如圖 2圖 3-2 功能描述邏輯圖在以上的圖中可以看到：（一）我們充當訪問網(wǎng)關的軟件就是am（access manager）中的ag（access gateway）當一個用戶登陸時需要通過訪問網(wǎng)關檢查（二）身份證管理服務器 身份證管理服務器是我們am中的ids（identityserver）該服務器將與認證目錄同步進行用戶的身份認證主要提供對用戶身份的識別鑒定（三）認證目錄 即是上面所介紹的ed（edirectory）這個軟件專門用來管理用戶信息；身份認證服務器在認證用戶身份時，需要訪問保存用戶身份信息的數(shù)據(jù)源，也就是認證目錄三、以一個用戶登陸服務器請求訪問資源的

31、全過程為例來說明功能需求 (一)、當用戶需要登陸時在瀏覽器中輸入訪問網(wǎng)關所代理的應用系統(tǒng)的url，請求訪問應用系統(tǒng)，訪問請求到達訪問網(wǎng)關；在這里訪問網(wǎng)關所代理的應用系統(tǒng)的url就是我們所要做的反向代理。 （二）、訪問網(wǎng)關檢查當前用戶是否已經(jīng)登錄，如果用戶尚未登錄利用http協(xié)議的重定向機制，用戶將被訪問網(wǎng)關重定向到身份認證管理服務器上，通過統(tǒng)一的認證頁面獲取用戶的登錄信息。 （三）、身份認證管理服務器將獲取的用戶登錄信息與認證目錄中存放的用戶信息進行匹配，驗證用戶的合法性。（認證目錄中的用戶信息與身份目錄中的用戶信息同步身份目錄通過具體的驅動與應用系統(tǒng)用戶信息數(shù)據(jù)庫同步）在這里我們不詳細說身份

32、目錄與認證目錄的同步過程，以及怎樣實現(xiàn)的。（四）、如果用戶存在，并且已經(jīng)被授權訪問門戶系統(tǒng)，身份認證管理服務器認證成功，并將用戶重定向回訪問網(wǎng)關所代理的企業(yè)門戶；訪問網(wǎng)關與身份認證管理服務器協(xié)商，確認用戶已經(jīng)認證成功，并且從身份認證管理服務器上獲取用戶信息； （五）、訪問網(wǎng)關使用自動填表，或身份注入（http頭）策略將用戶名和密碼等信息提交給應用系統(tǒng)；到這一步的時候，我們就得跟椐用戶所請求的不同頁面進行想應的策略配置。應用系統(tǒng)接從請求中獲取到用戶名和密碼等用戶信息后，訪問應用系統(tǒng)用戶庫確定該用戶是否合法；如果該用戶合法，應用系統(tǒng)向訪問網(wǎng)關返回用戶所請求的資源，訪問網(wǎng)關緩存用戶請求的資源后，將其

33、返回給用戶。至此整個反向代理與單點登陸就已完成了。（六）、當用戶結束訪問時，需要結束會話。下圖是用戶結訪需要登出時的操作。各應用系統(tǒng)圖 3-3 用戶登出流程第三節(jié) 用戶需求1、 帳戶命名規(guī)則 所有用戶：兩個字的采用姓名全稱 三個字的采用姓名簡稱 如：zhangs 張三2、 密碼管理要求 全體用戶的初始密碼都為：12345673、 系統(tǒng)用戶對象 該系統(tǒng)只允許本公司內部人員訪問使用4、 用戶信息處理 由系統(tǒng)管理員負責用戶信息的新增、刪除、修改。5、 帳戶創(chuàng)建 由系統(tǒng)管理員直接創(chuàng)建6、 系統(tǒng)權限控制 不同層次的用戶給予相應的訪問權限7、 系統(tǒng)訪問標準 通過內網(wǎng)訪問，登陸時用戶名+密碼第四章 本系統(tǒng)的

34、實現(xiàn) 第一節(jié) 反向代理與sso的環(huán)境搭建1、 環(huán)境搭建所使用的產(chǎn)品，以及服務器的架構 novell（ag、ids、ed、imanager） suse10 (一) ed樹，認證目錄的架構層次表4-1 ed樹架構層次imanageredirectorysuse 10 (二) ids身份認證管理服務器架構層次表4-2 ids架構層次 idsedirectorysuse 10 （三）ag訪問網(wǎng)關架構表4-3 ag架構ag（suse 10） 2、 以上三臺服務器的搭建安裝 （一）ed樹，認證目錄的搭建 1、suse10的安裝 （1）suse10總共有四張安裝盤，插入第一張出現(xiàn)以下介面開始安裝如 圖4-1

35、 圖4-1 suse 10安裝界面 （2）跟據(jù)提示先擇相應的選項依次進行，需要特別注意的是選擇安裝軟件時，如下圖所示，必須要選中其中的c/c+，以及java中的兩個組鍵圖 4-2 組鍵安裝圖圖 4-3 java包的選擇 （3）完成上面軟件包的選擇之后就正式開始安裝了，依次插入其它幾張光盤，安裝完成以后進行root密碼的設置以及靜態(tài)ip和子網(wǎng)掩碼、網(wǎng)關的設置。圖 4-4 輸入密碼 圖4-5 ip及網(wǎng)關設置 2、edirectory的安裝 （1）配置ntp時間同步服務圖4-6 ntp時間同步 （2）在linux上安裝edirectory 在這里我們就用壓縮來進行說明。解壓后進入安裝目錄。圖 4-7

36、 解壓edirectory （3）在安裝目錄中，通過命令“./nds-install ” 啟動安裝過程。選擇安裝edirectory服。務器和相關工具。進行安裝圖4-8 ed安裝中 （4）安裝完成后進行環(huán)境變量設置，以及使用命令“ndsconfig new進行實例的創(chuàng)建。實例創(chuàng)建成功，顯示以下信息，該實例將作為服務器上的默認實例，每次啟動系統(tǒng)時通過“/etc/init.d/ndsd”命令自動啟動該實例。3、imanager 的安裝 （1）進入安裝目錄 通過命令“./imanagerinstalllinux.bin”，啟動安裝程序，選擇安裝imanager, tomcat 和 jvm圖 4-9

37、imanager安裝啟動圖 4-10 選擇安裝項 （2）安裝過程中要提示安裝插鍵，這時可以安裝，也可以以后再裝。4、ed樹搭建好以后可以通過 http:/server dns name or ip address:port/nps/ 可訪問?？梢缘顷戇M去以后進行用戶的創(chuàng)建等。圖 4-11 ed登陸界面（二）、ids身份管理服務器的搭建 1、suse10在上面我們介紹過了。在這里我們直接就進ed和ids的說明。由于在這里ids本身自帶ed，所以就不必單獨安裝了。 2、直接說ids（ids包含了ac控制臺，和ids）（1）將access manager安裝光盤插入到該系統(tǒng)所在機器的光驅中.以roo

38、t權限登錄到該系統(tǒng)的命令行下,進入/media/dvd文件夾.在命令行下輸入:./install.sh 輸入1,進入到novell access manager administration的安裝程序進行安裝圖4-12 am安裝選項 圖 4-13 ac安裝過程（2）安裝完成后會顯示url地址，在瀏覽器中輸入該地址打開以下頁面，輸入用戶名密碼進入ac控制臺圖 4-14 am登陸界面（3）再次進入到安裝目錄如（1）所示，選擇2進行ids的安裝。圖 4-15 ids安裝過程(4) ids安裝完成以后進入yast進行域名設置，在這里我們裝些域名設成（三）ag即訪問網(wǎng)關的安裝 1、安裝ag時，只需要裝該

39、軟件就可以了，不用再裝suse10。因為suse10是封裝在ag中的。 2、ag的安裝 （1）插入光盤開始安裝，先擇高級模式安裝。進入到下一步進行磁盤分區(qū)圖4-16 ag安裝界面圖4-17 磁盤分區(qū)（2）以上過程完成后先擇時區(qū)，開始進行安裝（3）安裝完成后進行ip的設置，以及用命令在am上導入ag的配置 第二節(jié) 配置實現(xiàn) 1、 ids 的配置(一)、在瀏覽器中輸入:8080/nps登陸administration console, 點擊access manager identity servers. 系統(tǒng)將顯示出當前已經(jīng)安裝的ids。（二）、在配置之前，首先取消瀏覽器對彈出網(wǎng)頁的屏蔽。點擊ac

40、cess manager identity servers setup new（三）、在填入以下內容后點擊下一步： 1、name：ids 2、base url：3:8080/nidp 3、其余選項保持默認 4、最終結果如下圖圖 4-18 配置ids url地址（四）、在organization page頁面填入以下信息后點擊下一步： 1、name:ids 2、display name:ids 3、url:3 4、最后結果如下圖：圖4-19 ids配置（五）、在user store page頁面，需要填寫以下內容： 1、name:users

41、tore 2、admin name:cn=admin,o=services 3、admin password:novell 4、directory type:edirectory 5、server replicas配置如下： （1）、在server replicas菜單下點擊new （2）、在彈出的specify server replica information對話框中填入以下內容后點擊ok name:server replica ip address:01(身份認證樹的ip) port:636 勾選use secure ldap connections，點擊auto

42、 import trusted root，在彈出的窗口中的alias欄填入cert_root_ids，其它選項保持默認，點擊ok （3）、在search contexts菜單下點擊new,在彈出的對話框中輸入：o=novell其余選項保持默認，點擊ok。最后完成結果如下圖：圖 4-20 userstore以及server replicas配置（六）、將配置文件應用于ids上： 1、將點擊access manager identity servers. 2、選中需要應用配置文件的ids，點擊actions，在下拉菜單中選擇assign to configuration。 3、在assign se

43、rver(s) to configuration對話框中選中剛才創(chuàng)建好的配置文件：serverconf，點擊assign。 4、在彈出的對話框上點擊確定，等待ids重啟。 5、在等候5分鐘（視物理機的性能而定）后，刷新該頁面，重新登陸。 6、點擊access manager identity servers.查看當前應用該配置文件的ids是否成功啟動。 7、成功啟動圖片如下： 圖 4-21 ids配置結果（七）、對于ids的配置補充： 1、在配置base url時，其對應的url應該為：:8080/nidp 2、在配置server replicas時，其對應的ip應該為：

44、3二、ag的配置（一） 1、在瀏覽器中輸入:8080/nps登陸administration console, 點擊access manager access gateways edit reverse proxy / authentication. 2、在identity server configuration 選項下, 通過選擇剛才已經(jīng)賦予給ids的配置文件使accessgateway信任其對應的ids。 3、在reverse proxy list菜單下，點擊new，輸入reverse proxy的名稱，然后點擊ok. 4、在proxy service list下，點擊new，填入以下內

45、容后點擊next (1)、proxy service name: aaa （2）、published dns name: （3）、web server ip address: （4）、 host header: forward received host name option （5）、其余選項保持默認,最后結果如下圖： 圖 4-22 反向代理（二） 1、在proxy service list,，點擊剛才創(chuàng)建好的配置文件名 protected resources 2、在in the protected resource list，點擊new。 3、在彈出的對話框中輸入e

46、verything點擊ok。 4、contract:選擇name/password-form點擊ok。 5、在protected resource list中，點擊new，然后在url path list中點擊已經(jīng)存在的“/*”，在彈出的對話框中輸入portal的登陸頁面，例如：/demoweb/appmanager/p1/portal。點擊ok 6、contract:選擇name/password-form。 7、點擊form fill表單，在form fill policy list菜單下點擊manage polocies。 8、在policies對話框中點擊new，輸入以下信息后點擊ok

47、: （1）、name：login_aaa （2）、type：access gateway: form fill 9、在新彈出的窗口中點擊new，選擇form fill 10、在do form fill 表單中填入以下內容后點擊ok。 （1）、form name ：loginfrom （2）、fill options如下圖： 圖4-23 單點登陸填表策略 （3）、選中auto submit，點擊ok。 （4）、點擊apply changes，然后點擊close。 （5）、 在form fill policy list中選擇剛才創(chuàng)建好的填表策略名，點擊enable （6）、點擊ok，接著點擊最下面

48、的configuration連接，點擊ok （7）、點擊apply changes。等待彈出的對話框顯示changes have been applied successfully。 第五章 代反向理單展示點登陸 第一節(jié) 反向代理的展示 一、當我們剛對一個新系統(tǒng)頁面進行它的單點登陸配置時，首先通過ip對該頁進行訪問。是否能正常打開。我們就用以下的tomcat為例來進行說明（tomcat是本機裝的一個用來測試的環(huán)境）。如下圖：圖 5-1 測試頁面二、在ids上進行域名的配置，在這里我獎域名任意的設成：。并讓該域名指向我們之前配置的訪問網(wǎng)關的地址。三、下面我們開始在訪問網(wǎng)關中對該地址進行反向代理配

49、置將域名與tomcat的ip進行對應起來，如下圖 圖 5-2 測試頁面反向代理配置該圖的配置方法在前面ag 的配置中已經(jīng)說過。在這里我就不詳說明了。四、將域名與ip映射好了以后，再新建一個保護資源，在這可以先保護該地址下的所有頁面就可以了。圖 5-3 反向代理中受保護資源五、完成以上的操作將ids與ag進行更新，打開新的頁面輸入：能將其反向代理到如下頁面（能與它對應的ip打開的頁面相同）。那么我們就成功的將其進行了反向代理。 圖 5-4 通過域名成功反向代理頁面第二節(jié) 單點登陸的展示 一、當我們配置好反向代理以后。在其保護資源中配置相應的策略，在上面的頁面中對它進行填表策略的配置。（注：下圖中的填表策略中的input field name項與tomcat的登陸頁面中name對應）配置如下圖： 圖 5-5 單點登陸策略創(chuàng)建圖5-6 測試填表策略配置二、配置完成后進行確認并將該配置設置成enabled狀態(tài)。再將ag進行更新 圖 5-7 完成策略配置圖 三、在身份認證樹中進行用戶的創(chuàng)建，并將tomcat自身的用戶名與密碼填到創(chuàng)建用戶時對應的sn和mail中圖 5-8 用戶創(chuàng)建四、用戶創(chuàng)建完成后，打開瀏覽器在地址欄中輸入前面所設置的域名 出現(xiàn)反向代理的驗證頁面，我們在此輸入剛剛在身份樹中創(chuàng)建的