第四十二章 保护与 IRIS 的 Web 网关连接 - Windows

Kerberos 密钥表未针对 Windows 实现。因此，身份验证使用网络凭据，这些凭据可以在托管服务在指定帐户中启动时获取，也可以在托管服务在系统登录会话（即作为本地系统）中运行时从可信计算库 (TCB) 获取。

Windows 域帐户使用从密码派生的永久密钥来获取本地计算机的 Kerberos 票证授予票证 (TGT) 和服务票证。本地计算机还必须具有永久 Kerberos 密钥，与域控制器的密钥分发中心 (KDC) 组件共享。该密钥可用于获取 TGT 和服务票证，以向另一个 Kerberos 主体（例如 IRIS）进行身份验证。

出于实用目的，在基于 Windows 的 Web 服务器上下文中运行的 Web 网关是通过网络服务登录会话或系统登录会话进行操作的。使用的帐户必须分配有作为批处理作业登录的权限。

内置网络服务登录会话可以访问计算机的凭据，并且专为需要网络凭据才能向其他计算机进行身份验证的服务而设计。但是，网络服务登录会话并不总是存在。系统登录会话还可用于验证 IRIS 的 Web 网关。

对于 IIS 安装，尤其是 ISAPI 扩展，使用网络服务登录会话是访问数据库（本地和远程）和远程计算机的首选方式。

Kerberos 的 Windows Web 网关配置

• 将服务主体名称设置为 Web Gateway 连接到的目标 IRIS 服务器的名称。
• 将用户名、密码和密钥表字段保留为空。
• 客户端主体名称（或客户端用户名）是 Web Gateway 主机的名称。这是代表 Web Gateway 主机网络服务会话的 Kerberos 名称：<computer_name>$
• 在 IRIS 服务器中为该主体分配必要的权限，以允许 Web Gateway 的服务运行。

Kerberos 的 UNIX® Web 网关配置

这些操作系统支持 Kerberos 密钥表。

Kerberos 的 UNIX® Web 网关配置

对于这些系统来说，Web 网关配置在概念上更加简单。

• 将服务主体名称设置为 Web Gateway 连接到的目标 IRIS 服务器的名称。
• 在“密钥表”字段中输入密钥表文件的名称（包括完整路径）。
• 将用户名字段设置为密钥表文件中相应密钥的名称。
• 将密码字段留空。
• 客户端主体名称（或客户端用户名）是 Web Gateway 主机的名称。这是用于标识 Kerberos 密钥表中的密钥的名称。为该主体分配 IRIS 服务器中必要的权限，以允许 Web Gateway 的服务运行。

基于 SSL/TLS 的身份验证和数据保护

可以使用 SSL/TLS 协议来保护 Web Gateway 和 IRIS 之间的通信。

在此模式下，为此主机配置的 SSL/TLS 传输可保护与 IRIS 的连接。 SSL/TLS 配置名称字段应设置为目标服务器的适当值。服务主体名称和密钥表字段不相关，应留空。