第三十九章 保护与 IRIS 的 Web 网关连接
文章目录
- 第三十九章 保护与 IRIS 的 Web 网关连接
- 配置 Web 网关的连接安全
- 最低连接安全性(不推荐)
- 简单的用户名/密码验证
第三十九章 保护与 IRIS 的 Web 网关连接
本页介绍用于保护从 Web Gateway 到 IRIS 的连接的选项。与 IRIS 的 Web 网关连接可以根据以下安全级别受到保护:
- 最低连接安全性(不推荐)
- 基于用户名和密码的简单身份验证
- 基于
Kerberos的身份验证和数据保护 - 基于
SSL/TLS的身份验证和数据保护
请记住,此处应用的安全性仅用于向 IRIS 服务器验证 Web Gateway 主机的身份。它可以防止未经授权创建与 CSP 引擎 (%cspServer) 的连接。但是,它不会识别 Web 应用程序的个人用户。 Web 应用程序的用户只能通过应用程序本身提供的任何用户登录工具来明确识别。例如,登录管理门户的系统管理员只能通过提供给管理门户登录表单的用户名和密码来识别。
还应该牢记网络的无状态本质。与 IRIS 的 Web 网关连接与 Web 应用程序的单个用户之间没有固定关系。许多用户共享相同的连接。
在连接时对 IRIS 的 Web 网关进行身份验证非常重要。如果攻击者可以冒充 Web 网关,则它可以通过其控制下的系统重定向流量(通过技术手段和/或社会工程)并随意读取和/或修改数据。这与向 Web 应用程序验证个人用户的身份不同。普通用户绝不应使用 Web 网关的 IRIS 用户名和密码、Windows 网络凭据或 UNIX® Kerberos 密钥表。
配置 Web 网关的连接安全
要配置 Web Gateway 的连接安全性,在所有情况下都使用 Web Gateway 管理页面。相关选项位于配置 > 服务器访问 > 连接安全部分,其中提供以下设置:
- 连接安全级别 — 选择:
- Password
- Kerberos
- Kerberos with packet integrity
- Kerberos with encryption
- SSL/TLS
- Username
- Password
- Product
- Service Principal Name
- Key Table
最低连接安全性(不推荐)
在最低连接安全性中,连接安全级别设置为密码,并且用户名和密码字段留空。
在此模式下,Web Gateway 和IRIS 之间的连接应用最低级别的安全性。
在此操作模式下,请确保 Web 网关服务 (%Service_WebGateway) 及其运行所用的用户名(例如,CSPSystem)不需要任何形式的身份验证。
简单的用户名/密码验证
在用户名/密码中,连接安全级别设置为密码,并为用户名和密码提供值。
这是可在 Web Gateway 和 IRIS 之间应用的最简单的身份验证形式。
请记住,密码是一种弱身份验证形式,因为它们必须以纯文本形式通过网络发送,以便在 IRIS 中进行身份验证。网络嗅探很容易做到,并且可以用来泄露这些密码。此配置选项中使用的密码必须按照以下准则保存在 Web Gateway 配置文件中。
在所有情况下,Web Gateway 使用的默认用户名和密码如下。安装过程为此目的创建 CSPSystem 用户。该用户(CSPSystem 或任何其他用户)不应有到期日期;也就是说,其Expiration Dat 属性的值应为 0。
Username: CSPSystem
Password: SYS
对于 Windows,密码在 Web Gateway 配置文件中使用 Microsoft 数据保护 API (DPAPI) 提供的功能进行加密。 Web Gateway 管理默认参数页面处理密码加密。
注意:此密码加密用于 Windows,因为普通 Windows 用户帐户偶尔会被授予管理员组成员身份,但不建议在生产系统中这样做。加密密码可为所有 Windows 安装提供更高级别的保护。