第四十一章 保护与 IRIS 的 Web 网关连接 - 基于 Kerberos 的身份验证和数据保护
在基于 Kerberos 的身份验证和数据保护中,通过连接安全级别参数提供三个级别的身份验证(和数据保护)。
Kerberos。此选项仅为连接提供初始身份验证。- 具有数据包完整性的
Kerberos。该选项提供初始身份验证并保证数据包的完整性。 - 带加密的
Kerberos。这是最高级别的安全性,提供初始身份验证、保证数据包完整性,最后对所有传输的消息进行加密。
Kerberos 库
要使用任何基于 Kerberos 的模式,Web Gateway 必须能够加载 Kerberos 客户端库:
-
Windows DLL:
irisconnect.dll -
UNIX® Shared Object:
irisconnect.so
在操作系统的 PATH 环境变量中指定的位置或与 Web Gateway 安装相关的以下位置之一安装适当的库。
.(即 Web 网关本地)./bin../bin../../bin
Web Gateway 在第一次需要时尝试加载该库。如果成功,以下状态消息将写入 Web Gateway 事件日志:
Web Gateway Initialization The IRISCONNECT library is loaded - Version: 5.3.0.175.0.
(该库用于 Web Gateway 和 IRIS 之间可选的基于 Kerberos 的安全性。)
如果 Web Gateway 无法找到或链接到 IRISCONNECT 库,则会将适当的失败声明和错误消息写入 Web Gateway 事件日志。
对于 Web Gateway 和 IRIS 之间的 Kerberized 通信,Web Gateway 是 Kerberos 客户端。
配置 Web Gateway 以使用 Kerberos 的过程位于 Windows 部分。
如果使用 SSL/TLS,则覆盖库路径
默认情况下,Web Gateway 期望将依赖的安全库(共享对象)安装在其主目录(即包含 Web Gateway 二进制文件的目录)中。
如果在 Web Gateway 和 IRIS 之间使用 SSL/TLS 连接,这些库包括 IRISCONNECT 库和 SSL/TLS 库(在 UNIX® 上:libssl.so 和 libcrypto.so,在 Windows 上:libcrypto-1_1-x64.dll 和libssl-1_1-x64.dll)。
当在 Web 服务器的进程空间中加载的 Web Gateway 和 IRISCONNECT 库加载 SSL/TLS 库的副本时,托管 Web 服务器先前加载的相同库的不同版本之间会存在冲突。为了确保在 Web 服务器进程空间中只加载 SSL/TLS 库的一份副本,Web Gateway 必须指示 IRISCONNECT 库从与托管 Web 服务器使用的位置相同的位置获取 SSL/TLS 库。
Web Gateway 管理默认参数页面提供参数 SSL/TLS 库路径,以允许使用一组备用 OpenSSL 库。例如:
SSL/TLS Library Path = /usr/bin/
重要信息:可以创建不允许使用 OpenSSL 的 Apache 安装,并且可以将 Apache 配置为禁用 OpenSSL。在这种情况下,Web Gateway 会加载附带的库,除非 SSL/TLS 库路径设置为其他位置。
如果 Apache 和 Web Gateway 之间出现库版本不匹配,Web Gateway 和 IRIS 实例之间的 TLS 连接可能会失败。尝试连接时可能会发生 TLS 错误,或者调用 OpenSSL 函数时 Web Gateway 可能会因 SIGSEGV 崩溃。
