第四十章 保护与 IRIS 的 Web 网关连接 - 从外部引入的密码

从外部引入的密码

有时，需要在 Web Gateway 管理页面上下文之外引入密码，例如，如果 Web Gateway 配置是通过自定义配置脚本设置的。在这种情况下，密码应以纯文本形式归档，Web Gateway 在首次启动时对其进行加密。如果使用此方法，网关管理表单的密码不能以“1”或“PBKDF2|”开头，IRIS 的密码不能以“]]]”开头。如果需要以这些字符开头的密码，请在操作系统命令提示符下使用 CSPpwd 实用程序。该实用程序对 Web Gateway 配置文件中保存的密码进行编码。一般形式为：

CSPpwd <path to the CSPx.so|dll library> <context> <clear text password>

• context = 0：网关管理表单的密码
• context = 2：Cache/IRIS 服务器的密码

示例（Windows）：

CSPpwd C:\cachesys\csp\bin\CSPx.dll 0 MyGatewayManagementPassword
CSPpwd C:\cachesys\csp\bin\CSPx.dll 2 MyIRISServerPassword

示例 (UNIX®)：

CSPpwd /opt/cspgateway/bin/CSPx.so 0 MyGatewayManagementPassword
CSPpwd /opt/cspgateway/bin/CSPx.so 2 MyIRISServerPassword

在其他计算机上加密的密码

由于托管 Web 网关的 Web 服务器在受保护的环境中运行，其中没有可用的用户配置文件作为加密的基础，因此它必须使用计算机存储而不是用户存储。因此，无法解密在另一台计算机上加密的 Web Gateway 密码。这为集群环境创建了一种情况，其中配置文件位于共享驱动器上并在多台参与计算机之间共享。只有真正执行密码加密的计算机才能解密。无法将包含加密密码的配置文件移动到另一台计算机；必须在新计算机上重新输入密码并重新加密。

以下是解决此问题的一些可能的方法：

• 使用集群外部的机器作为 Web 服务器。
• 每次进行故障转移时，请在 Web Gateway 中重置相同的密码。
• 配置参与群集的每台计算机，以便其在不属于群集的磁盘上拥有自己的 Web Gateway 配置文件副本。 IRIS 在托管 Web Gateway DLL 的目录中维护该文件。在将节点引入集群之前，在每台计算机上保存并加密密码。

例如，如果每台计算机的磁盘 C 不属于集群，并且 IRIS 安装在磁盘 S 上，则您可能有以下内容：

- `CLUNODE-1`：由 `CLUNODE-1` 加密的 `CSP.ini` 副本，密码为 `XXX`
- `CLUNODE-2`：由 `CLUNODE-2` 加密的 `CSP.ini` 副本，密码为 `XXX`

• 在启动 Web Gateway 并添加密码之前，通过手动将以下指令添加到配置文件文件来禁用密码加密：

       [SYSTEM]
       DPAPI=Disabled