基于LTPA的Portal门户安全配置
基于LTPA的Portal门户安全配置
摘 要:门户网站的安全性和用户的身份认证已经成为门户网站的一个焦点问题。介绍了Portal安全控制方面的面的SSO的特点,分析了IBM WebSphere Portal在安全控制方面实现SSO的LTPA技术和它的优势,并解决了一种在多目录环境下通过实现LTPA名称映射来保证安全性的方法及LTPA的配置方法。关键词:WebSphere Portal SSO LTPA 安全性
?
由于门户网站的使用越来越广泛,因此门户网站的安全性和用户的身份认证问题已经成为一个焦点问题。目前,许多网站都使用SSL(Secure Socket Layer) 作为网络的传输安全控制手段。SSL是基于传输层的安全协议,即“通道安全”协议,是一种被广泛使用的Internet传输加密标准。然而,SSL常常出现安全漏洞,如:黑客攻击证书、黑客利用特洛伊木马等手段窃取证书、系统管理员无法使用现有的安全漏洞扫描(Vulnerability Scanners)或网络入侵侦测系统IDS(Intrusion Detection Systems)来审查或监控网络上的SSL交易而造成安全盲点等,使网络的安全不能得到有效的控制。而基于LTPA技术的门户网站(Portal)能够有效地克服这些问题。 Portal是一个Web站点,它为门户用户提供了一个访问点,使用户能够访问来自不同来源的信息和应用程序应用程序。Portal的核心服务包括:单点登录单点登录SSO(Single sign on)、目录集成、安全、访问权限控制、加密传输、授权与验证、许可权、管理功能等。Portel的一个主要作用在于提供统一的登录界面和身份认证机制认证机制进行权限控制,使系统为用户提供单点登录,并根据用户的权限进入相应的Web界面。在IBM Portal中,提供单点登录的LTPA技术使Portal的安全控制得到了很好的实现。1 Portal的安全控制问题 当今门户网站已经越来越多地应用到网站的设计与构架中。IBM WebSphere Portal在门户网站设计构架的安全性处理和用户认证控制等焦点问题方面有相当的优势,其产品中的Portal Server、WebSphere Application erver、Lotus Domino Application Server等服务器组件,使用了同一种认证及单点登录记号的LTPA技术来提供单点登录,该技术保障了所创建出的门户网站的用户认证和安全性。2 单点登录 SSO是Portal的一个特点。用户位于Web浏览器中浏览某DNS中的URL时,结构良好的SSO部署将允许每个会话中仅提示用户登录一次,且用户必须输入自己的用户名和口令。这个DNS的Web应用服务器成功验证了用户的口令后授予用户对这个URL的访问权限,就可以浏览SSO环境中的其他URL而不需要再次登录。 SSO可让网络使用者在单一验证的基础上天衣无缝地存取所有已授权的网络资源,而不需要记忆许多组不同的使用者的名称和密码,提
高了网络使用者的生产力,降低了网络作业的费用,提高了网络安全。对于系统管理者而言,将呈现出简易管理和系统控制以及网络安全方面的优越机制。SSO不但给门户网站带来了使用者的便利性和网络系统的安全性,而且提升了门户网站拥有者的整体形象。 要实现SSO,关键是在用户登录后,SSO服务器和应用程序能够识别用户。在部署了IBM产品的Web环境中,在场景后台用来实现SSO的就是轻量级第三方第三方认证(LTPA)。LTPA 技术允许SSO服务器在用户登录后标识他们,它能够用于各种各样的IBM产品,并且由于IBM遵循开放体系结构,在LTAP 中为WebSphere和Domino提供了嵌入点,允许将第三方的SSO应用程序合并到LTPA解决方案中。3 轻量级第三方认证 LTPA(Lightweight Third Party Authentication)技术是IBM的标准。当某用户访问某WebSphere URL时,系统会提示他输入用户名和口令进行登录。这时用户可以输入他的惟一标识符,通过验证后,Web服务器将把该用户的Web 浏览器中显示的Web 站点内容发送回来。在场景后台,WebSphere入口网站服务器将会建立包含已鉴别使用者认证的单点登录Cookie(默认值是LTPA记号),并且会一直发送该cookie, 而浏览器通常的默认设置是允许接收cookie的,因此用户的浏览器将保存这个cookie。 LTPA cookie是临时的,只在浏览器内存中存留,用户如果关闭浏览器,cookie就会被永久删除。LTPA cookie的特点如下: (1)LTPA cookie是一种典型的浏览器cookie,它保存的信息表示该用户已经进行了登录。所有的浏览器cookies都有名称等标准属性。LTPA cookie特有的名称是LtpaToken。当配置 SSO时,在配置实用工具中,通常将LTPA cookie称为SSO LTPA“令牌”。LTPA cookie有一个被编码值,隐藏起cookie中包含的重要信息并且通过Internet传输。 (2)LTPA cookie 具有典型的浏览器cookie的相关域的信息。例如,当用户在university(”到该用户全名称域的辅助值中。这样Domino Web Access服务器会在Domino Directory中搜索LtpaToken中包含的值,并且将找到一个匹配的值,因为这个值包含在个人文档里。Domino把这个名称解析为 Domino专有名称(‘用户真实姓名’/Secret/university),这个名称包含在他要访问的porlet文件上的访问控制列表ACL(Access Control List)里,这样就赋予了这个用户访问这个porlet 的权限。在进行名称映射时,管理员应该记住下面的规则: (1)在修改Domino个人文件的FullName域时,要输入“Domino格式”所代理的LDAP专有名称。 LDAP格式: uid=‘用户名’,ou=secret,dc=university,dc=com Domino格式: uid=‘用户名’/ou=secret/dc=university/dc=com (2)在FullName域中添加LDAP DN(标识名)作为辅助值,不要添加LDAP DN作为第一或第二个值.Domino预期的
主要值是Domino DN,而且第二个值是Domino的“公用名称”。 (3)其他的应用程序可能会区分大小写,而Domino是不区分大小写的。 (4)为便于目录更改,可以使用IBMTivoli Directory Integrator来实现映射策略自动地执行。 这样,LTPA的一种名称映射即完善了一种多目录环境中的SSO,保证了portal安全控制SSO的正常运行。5 Portal中的LTPA配置 在WebSphere Application ServerV5.0中查看管理控制台页面时,应该选择安全性>认证机制>LTPA。如果是第一次配置安全性,则只需要密码;选择单一注册(SSO),然后输入域名;要保证启用了SSO,而且要保证设置了适当的注册表;如果启用了安全性而且其中的任何属性发生了更改,则转至“全局安全性”面板验证更改。 配置选项卡: (1)配置生成密钥来指定服务器是否将生成新的LTPA 密钥。当使用LTPA作为认证机制第一次打开安全性时,可使用在面板中输入的密码自动生成 LTPA密钥,也可以设置新的密钥。 (2)配置导入密钥来指定服务器是否将导入新的LTPA密钥。在跨多个 WebSphere 域(单元)支持SSO时,事先将LTPA密钥从一个WebSphere域导出至文件,然后从其他域中导出LTPA密钥,并且在这些域之间共享LTPA密钥和密码。 (3)配置导出密钥来指定服务器是否导出LTPA密钥,这里可以将LTPA密钥导出到其他域。在密钥文件名字段中输入文件名,并选择导出密钥,加密的密钥将存储在指定的文件中。 (4)配置密码选项来指定密码加密或解密LTPA密钥。一旦生成或导入了密钥,就将使用它们来加密或解密LTPA记号。 (5) 配置超时来指定LTPA记号将到期的时间段。应该确保此时间段比在“全局安全性”面板中配置的高速缓存超时要长。 (6)配置密钥文件名来指定在导入或导出密钥时所使用的文件名,可以输入全限定的密钥文件名,然后选择再导入密钥或者导出密钥的方法。 采用LTPA技术,WebSphere Portal实现了门户网站的安全控制和用户的身份认证,保障了门户网站内部的安全通讯和安全性。LTPA应用方便,配置简单易行,在多服务器多目录的较大环境下也可以比较容易地实现名称映射,保障门户网站安全性的流畅,充分说明了LTPA技术在安全控制方面具有一定的技术特点和优势。