第 5 章 设置企业级安全客户端
企业安全客户端现在基于 Mozilla XULRunner,允许内置到 Mozilla 中的首选项工具用于简单配置企业安全客户端。第 3 章 使用企业安全客户端 中讨论的简单 UI 管理最重要的配置设置。
注意
可以在无需额外配置的情况下启动企业安全客户端。
5.1. 企业安全客户端配置概述
企业安全客户端是一个中间前端,提供用户(及其令牌)、令牌处理系统和证书颁发机构之间的连接。企业安全客户端提供两个不同的接口:
- 基于 XUL 和 JavaScript 的本地接口
- 一个 Web 托管界面,可用于远程访问,基于 CGIs、html 和 JavaScript
从本地服务器访问的主要企业安全客户端用户界面融合了 Mozilla XULRunner 技术。XULRunner 是一个运行时软件包,它基于 XUL 托管独立应用程序,它是一个 XML 标记语言,其中包含为用户界面设置的丰富的功能,并为应用程序提供一些与 HTML 相比的优点:
- 广泛的 UI 小部件,并对演示进行更大的控制。
- 本地标记到客户端计算机,因此其特权级别高于 HTML。
- JavaScript 作为用于便捷程序逻辑脚本脚本语言,以及利用 XPCOM 技术的功能。
可以自定义并编辑 Web 托管接口的所有文件,以便在原因下更改企业安全客户端的行为或外观。
企业安全客户端与令牌处理系统一起支持不同的用户配置文件,以便不同类型的用户具有不同的令牌注册路径。企业安全客户端和 TPS 还支持不同的 令牌配置文件,以便可以为不同类型的令牌自定义证书设置。这两个配置都在 TPS 中设置,具体参见 红帽认证系统规划、安装和部署指南 中所述。
5.1.1. 关于首选项配置文件
使用首选项文件,企业安全客户端配置与 Mozilla 应用程序类似。主配置文件是
esc-prefs.js,该文件与企业安全客户端一起安装。第二个是 Mozilla 配置集目录中的 prefs.js,这是首次启动企业安全客户端时创建的。
企业安全客户端为每个支持的平台使用 Mozilla 配置首选项。默认配置文件位于每个平台的以下目录中:
- 在 Red Hat Enterprise Linux 32 位上,这位于
/usr/lib/esc-1.1.0/defaults/preferences/esc-prefs.js中。 - 在 Red Hat Enterprise Linux 64 位上,这位于
/usr/lib64/esc-1.1.0/defaults/preferences/esc-prefs.js中。
esc-prefs.js 文件指定在首次启动企业安全客户端时要使用的默认配置。这包括连接到 TPS 子系统的参数,以设置密码提示并配置 phone Home 信息。每个设置都前面带有单词 pref,然后参数和值用括号括起来。例如:
pref(parameter, value);
esc-prefs.js 文件参数列在 表 5.1 “Esc-prefs.js Parameters” 中。默认 esc-prefs.js 文件显示在 例 5.1 “默认 esc-prefs.js File” 中。
表 5.1. Esc-prefs.js Parameters
| 参数 | 描述 | 备注和默认值 |
|---|---|---|
| toolkit.defaultChromeURI | 定义用于联系 XUL Chrome 页面的企业安全客户端的 URL。 | ("toolkit.defaultChromeURI", "chrome://esc/content/settings.xul") |
| esc.tps.message.timeout | 设置用于连接到 TPS 的超时时间(以秒为单位)。 | ("esc.tps.message.timeout","90"); |
| esc.disable.password.prompt | 启用密码提示,这意味着需要密码从智能卡中读取证书信息。
密码提示默认为禁用,因此任何人都可以使用企业安全客户端。但是,在安全上下文中,比如公司使用安全官管理令牌操作,然后启用密码提示来限制对企业安全客户端的访问。
|
("esc.disable.password.prompt","yes");
|
| esc.global.phone.home.url |
设置用于联系 TPS 服务器的 URL。
通常,在已经通过 Applet 的令牌上设置 Phone Home 信息。如果令牌没有 phone Home 信息,这意味着它无法联系 TPS 服务器,那么企业安全客户端会检查全局的默认 Phone Home URL。
只有在明确设置时才会检查此设置。此设置也适用于通过客户端格式化的每个令牌,因此设置此参数会强制所有令牌都指向相同的 TPS。只有在需要该特定行为时,才使用此参数。
|
("esc.global.phone.home.url", "http://server.example.com:7888/cgi-bin/home/index.cgi");
|
| esc.global.alt.nss.db |
指向包含服务器上所有企业安全客户端用户使用的通用安全数据库的目录。
只有在明确设置时才会检查此设置。如果没有设置,则每个用户只能访问每个单独的配置文件安全数据库,而不是共享的数据库。
|
prefs("esc.global.alt.nss.db", "C:/Documents and Settings/All Users/shared-db");
|
例 5.1. 默认 esc-prefs.js File
本例中不包含此文件中的注释。
#pref("toolkit.defaultChromeURI", "chrome://esc/content/settings.xul");
pref("signed.applets.codebase_principal_support",true); for internal use only
pref("capability.principal.codebase.p0.granted", "UniversalXPConnect"); for internal use only
pref("capability.principal.codebase.p0.id", "file://"); for internal use only
pref("esc.tps.message.timeout","90");
#Hide the format button or not.
pref("esc.hide.format","no");
#Use this if you absolutely want a global phone home url for all tokens
#Not recommended!
#pref("esc.global.phone.home.url","http:/test.host.com:7888/cgi-bin/home/index.cgi");
启动企业安全客户端时,它会为系统上的每个用户创建一个单独的、唯一的配置集目录。在 Red Hat Enterprise Linux 上,这些配置集存储在
~/.redhat/esc/numeric_string.default/prefs.js 中。
注意
当企业安全客户端需要用户配置值的任何更改时,更新的值将写入用户的配置集区域,而不是默认的 JavaScript 文件。
表 5.2 “prefs.js 参数” 列出
prefs.js 文件的最相关参数。编辑此文件非常复杂。prefs.js 文件由企业安全客户端动态创建和编辑,当企业安全客户端退出时会覆盖对此文件的手动更改。
表 5.2. prefs.js 参数
| 参数 | 描述 | 备注和默认值 |
|---|---|---|
| esc.tps.url | 设置用于连接到 TPS 的企业安全客户端的 URL。默认不设置。 | |
| esc.key.token_ID.tps.url |
设置用于联系 TPS 的主机名和端口。
如果此 phone Home 信息没有刻录到工厂的卡中,可以通过添加 TPS URL、注册页面 URL、签发者名称和 phone Home URL 来手动将其添加到卡中。
|
("esc.key.token_ID.tps.url" = "https://test.host.com:8443/tps/tps");
|
| esc.key.token_ID.issuer.name |
提供注册令牌的机构的名称。
| ("esc.key.token_ID.issuer.name" = "Example Corp"); |
| esc.key.token_ID.phone.home.url |
提供用于联系 TPS 的附件主页功能的 URL。
如果令牌没有指定 phone Home 信息,则全局 Phone Home 参数会设置一个用于任何令牌注册的默认值。通过将此参数设置为特定的令牌 ID 号,指定的 phone Home 参数仅适用于该令牌。
| ("Esc.key.token_ID.phone.home.url" = "http://server.example.com:7888/cgi-bin/home/index.cgi?"); |