第四十章 保护与 IRIS 的 Web 网关连接 - 从外部引入的密码
从外部引入的密码
有时,需要在 Web Gateway
管理页面上下文之外引入密码,例如,如果 Web Gateway
配置是通过自定义配置脚本设置的。在这种情况下,密码应以纯文本形式归档,Web Gateway
在首次启动时对其进行加密。如果使用此方法,网关管理表单的密码不能以“1”
或“PBKDF2|”
开头,IRIS
的密码不能以“]]]”
开头。如果需要以这些字符开头的密码,请在操作系统命令提示符下使用 CSPpwd
实用程序。该实用程序对 Web Gateway
配置文件中保存的密码进行编码。一般形式为:
CSPpwd <path to the CSPx.so|dll library> <context> <clear text password>
context = 0
:网关管理表单的密码context = 2
:Cache/IRIS
服务器的密码
示例(Windows
):
CSPpwd C:\cachesys\csp\bin\CSPx.dll 0 MyGatewayManagementPassword
CSPpwd C:\cachesys\csp\bin\CSPx.dll 2 MyIRISServerPassword
示例 (UNIX®
):
CSPpwd /opt/cspgateway/bin/CSPx.so 0 MyGatewayManagementPassword
CSPpwd /opt/cspgateway/bin/CSPx.so 2 MyIRISServerPassword
在其他计算机上加密的密码
由于托管 Web
网关的 Web
服务器在受保护的环境中运行,其中没有可用的用户配置文件作为加密的基础,因此它必须使用计算机存储而不是用户存储。因此,无法解密在另一台计算机上加密的 Web Gateway
密码。这为集群环境创建了一种情况,其中配置文件位于共享驱动器上并在多台参与计算机之间共享。只有真正执行密码加密的计算机才能解密。无法将包含加密密码的配置文件移动到另一台计算机;必须在新计算机上重新输入密码并重新加密。
以下是解决此问题的一些可能的方法:
- 使用集群外部的机器作为
Web
服务器。 - 每次进行故障转移时,请在
Web Gateway
中重置相同的密码。 - 配置参与群集的每台计算机,以便其在不属于群集的磁盘上拥有自己的
Web Gateway
配置文件副本。IRIS
在托管Web Gateway DLL
的目录中维护该文件。在将节点引入集群之前,在每台计算机上保存并加密密码。
例如,如果每台计算机的磁盘 C
不属于集群,并且 IRIS 安装在磁盘 S
上,则您可能有以下内容:
- `CLUNODE-1`:由 `CLUNODE-1` 加密的 `CSP.ini` 副本,密码为 `XXX`
- `CLUNODE-2`:由 `CLUNODE-2` 加密的 `CSP.ini` 副本,密码为 `XXX`
- 在启动
Web Gateway
并添加密码之前,通过手动将以下指令添加到配置文件文件来禁用密码加密:
[SYSTEM]
DPAPI=Disabled