RtWebParts管理员手册Word格式.docx
《RtWebParts管理员手册Word格式.docx》由会员分享,可在线阅读,更多相关《RtWebParts管理员手册Word格式.docx(20页珍藏版)》请在冰豆网上搜索。
服务器上的要求
RtWebParts需要运行在MicrosoftWindows2003服务器上,并安装了icrosoftInternet
InformationServer(IIS)6.0.此外,RtWebParts还要求以下软件.:
SharePoint.选择MicrosoftWindowsSharePointServices或Microsoft'
sSharePointPortal
Server2003.
到PI3.3x(或更高)服务器足够的权限(从Web服务器到PI服务器)
SQLServer2000,安装了ServicePack3或更高.(SharePoint的要求).
RtWebParts安装在SharePointServices上
WindowsSharePointServices是WindowsServer2003免费的组件.它可以提供基本的功能,包括在网站内修改、保护、创建内容。
你还需要把SharePoint应用扩展为虚拟服务器。
如果运行RtWebParts安装程序时SharePoint还未扩展,安装会失败
RtWebParts安装在SharePointPortalServer上
SharePointPortalServer是需要购买的软件,它可以提供更加稳定的网站服务并为用户提供更加灵活的个性化功能。
此产品适合大型网站的部署。
客户端的要求
在客户端,只需要(IE)5.5或更高。
但是,需要一些webparts需要以下软件:
PIActiveView:
浏览PDI文件用。
客户端需要PIActiveView2.2或更高版本。
AdobeSVGViewer:
RtGraphic,RtGauge和RtTrend网件需要在SVG格式中渲染。
要使用这些网件(webparts),客户端需要AdobeSVGViewer,version3.0,可以从以下网址下载:
YoumustbeanAdministratorontheclientmachinetosuccessfullyinstallthe
viewer.安装时必须以管理员登录客户机。
ProcessBook:
开放的分析工具,在一些网件中,需要PIProcessBook3.0Beta2或更高
第3章
安装RtWebParts
本节描述了如何安装并配置RtWebParts.包含以下主题:
安装前的准备工作
安装RtWebParts
配置RtWebParts
安装前的工作:
PITrusts
在安装RtWebParts之前,你必须配置PI服务器的trusts,并保存配置信息.
配置PITrust表
PI用户trusts允许用户在不输入用户名和密码的情况下访问各种资源.在安装RtWebParts前,你需要配置至少一台PI服务器.为RtWebParts使用SMTPItrust编辑器配置下面的PItrust:
安装用户和RtBaseline管理员组和RtWebParts管理员组需要:
网页服务器到PIModule中%OSI目录树的写权限,此目录下存配置信息.
所有的RtWebParts用户需要:
读取read%OSI目录树的权限,为了读到那里的数据,为了配置RtTreeView还需要读取PIModule数据库其他部分的权限
读取PI测点的权限.RtWebParts(通过RtBaseline服务)把用户的windows帐户信息传递过去,当需要获取PI数据时,这样就可以为此用户产生正确的PItrust..
使用SMTTrust编辑器
Trust编辑器时SMT的以部分.PI系统管理工具一般安装在PI服务器上.使用Trust编辑器查看已有trust,添加,编辑和删除trust:
1.点击:
开始菜单->
程序->
PISystem->
PISystemManagementTools
2选中你需要管理的PI服务器
3.在SystemManagement插件面板中,选中Security
4.在Security的列表中,选中TrustEditor.会显示所有的trust记录
5.想查看已存在trust的设置,双击trust名
每一个trust都有一个名字和三个基本信息:
IP地址,windows帐户信息,应用程序信息.还有,每个trust包含一个相关的PI用户.你不需要填写属性框中的所有区域.但写的越详细,trust就越严格.例如,如果你给一个特定主机名创建了一条trust记录,那么任何从该主机的请求都得到基于此trust的权限.然而,如果除了主机名还有其他信息,如程序名.那么,trust只允许此主机指定的程序访问..
PITrust配置举例
以下是这几种情况,你可能需要一些关于如何配置PItrust的描述.想知道如何配置PItrust的细节,请查看你的系统文档.
单台PI服务器,严格的权限配置
如果你只需要访问一台PI服务器,很可能是用来保存数据配置的服务器(如,RtWebParts使用的数据源和数据集).你也许需要把访问数据配置和高级网件配置的权限只赋给一小部分用户.你也许不需要限制一些特别用户使用已定义的数据集的权限.在这种情况下,首先你要控制网页服务器上RtBaselineAdmin和RtWebPartsAdmin组的成员,只添加那些需要创建,修改和删除数据配置和高级网件配置设置的用户.此步应在RtWebParts安装后执行.这两个windows本地用户组有访问”管理页面”的权利.理想情况下,全局windows组(如,来自活动目录和域)都添加到本地组中.接下来,使用PISMT限制PIModule数据库下%OSI区的写权限,将写权限只赋予PI的管理员组.(RtBaselineAdmin和RtWebPartsAdmin组的用户)这可以防止其他用户使用其他工具修改Module数据库.代表你的其他RtWebParts用户的用户组需要有读取Module中此区的权限.最后,添加并修改PItrust表,把所有管理员用户映射到PI的管理员组,所有其他用户映射到其他只有读权限的PI用户组.
多个PI服务器,限制两组不同用户的浏览权限
你可以设置三组权限不同的用户组。
例如,你必须有一个管理员组,一个操作员组,和一个财务员组。
管理员组应该有创建、修改、和删除配置信息数据的权利。
操作员组因该有创建、修改、删除高级网件配置的权利。
财务组应严格限制这些权限,但需要对他们所创建的表单加以保护。
在下面这种情况,首先你要限制网页服务器的RtBaselineAdmin和RtWebPartsAdmin组的成员为管理用户。
此步在RtWebParts安装结束后。
然后,向操作员组添加用户,这些用户应该有配置RtWebPartsAdmin的高级配置权限。
这两个windows本地组可以控制管理页的访问权。
理想情况下,全局windows组(例如,活动目录或域)要添加到本地组才能完成此任务。
下一步,添加或修改PI服务器上的PItrust表,使管理用户映射到PI管理组。
操作员用户映射到受限的PI组,财务用户映射到一个特定的PI组,它只有读取Module数据库%OSI部分的权利。
接下来,限制代表RtBaselineAdminandRtWebPartsAdmin组成员的Module数据库%OSI写权限。
最后,对每一个需要保护的数据集(例如,只有财务组用户可以使用的数据集),使用PISMT工具限制读取Module数据库%OSI部分下数据的PI组的权限,这个PI组代表了财务组用户。
这可以防止非管理用户和非财务用户看到那些已经严格限制的数据集的列表。
安装RtWebPartsandRtBaseline服务
开始安装
1.以系统管理员登录服务器。
2.如果你有安装盘,插入RtWebParts安装盘,双击RtWebParts_1.0_.exe.启动安装向导。
安装程序会显示需要的软件列表。
有些软件可能已经安装到你的计算机上了,如果版本低会自动被升级。
3.浏览一下软件组成列表,点击OK继续安装。
安装工具开始按照他们显示的顺序进行安装。
安装PI软件开发工具
如果PISDK没有在你的计算机上找到,或者需要升级,以下就是安装程序的一部分。
4.安装程序会提示你输入PISDK的安装目录。
一般情况,PISDK会安装到C:
\ProgramFiles\PIPC.如果你还没在这台计算机上安装过任何PI软件,你可以点击Browse按钮
选择一个不同的目录。
如果PI客户端软件已经安装过,安装程序会使用已有的PIPC目录。
点击Next按钮继续安装。
5.安装程序会提示你配置一个默认PI服务器。
这里设置的是PISDK使用的默认服务器。
如果你还没有在这台计算机上安装过任何PI软件,你需要数输入PI的用户名和PI服务器的名。
RtBaseline服务也使用这里设置的PI服务器作为初始默认值。
点Next继续安装。
6.最后,在接下来的屏幕上会显示安装程序所需要所有信息。
点Next按钮完成PISDK的安装,并继续下个组件的安装。
如果提示重启,你应该重启,并再次启动安装程序,开始下个组件的安装。
7.安装程序会提示你输入RtBaseline服务的目录。
典型情况下,RtBaseline服务会安装到PIPC目录下,和PISDK在一起。
点击Browse按钮如果想2更改安装目录。
点Next按钮继续
8.安装提示你选择ModuleDatabase服务器和web服务器
ModuleDatabaseServer选择PI服务器存储RtWebPartsandRtBaseline服务的配置信息。
服务器trust应该已经配好,有写%OSI树的权限
WebServerNames选择提供RtBaseline服务的web服务站点。
典型情况下,设置为默认web站点。
但可以是任何已经扩展的站点。
完成后,点Next继续安装。
9.安装程序会尝试连接指定的Moduledatabase服务器。
如何不能连接成功,会显示错误信息。
解决连接错误,确认PItrust已经配置,允许安装程序写入%OSI树,并且指定的PI服务器可以被网络访问,点Back按钮返回上一界面重试连接。
10.最后,屏幕会显示安装程序已经获得了所有安装RtBaselineServices必要的信息:
:
点Next按钮button完成RtBaselineServices安装并进入到下一组件的安装
11.安装程序提示输入RtWebParts的位置,典型情况下,RtWebParts服务会安装到PIPC目录下,和PISDK在一起。
点BrowseT按钮如果你想选择不同的目录。
12.安装程序提示你选择Web服务器。
WebServerNames选择提供RtBaseline服务的web服务站点。
13.最后以下画面表明安装程序已经获得了所有需要的信息,点Next完成RtWebParts的安装然后进行下一组件的安装。
完成安装
安装结束时,PISDK可能会要求重启机器,请重启机器。
RtWebParts成功安装后,需要先做一些配置工作,见RtBaselineServicesAdministrator’sGuide和本手册的“配置RtWebParts客户端”和“保护RtWebParts的安装”。
测试RtWebParts的安装
你可以通过以下步骤次测试RtWebParts的安装。
1.打开IE,输入一个已经安装了RtWebParts的WindowsSharePointServices的URL
2.点创建并向下拉动选择WebPartPageb.输入一个网页名,选择布局模板。
点创建创建此页面。
3.添加网件页在新页面的最右边显示,,点虚拟服务器库,网件库因该显示下列OSIsoftRtWebParts:
RtActiveView,RtGauge,RtGraphic,
RtTable,RtTimeRange,RtTimeSeries,RtTreeView,RtTrend,andRtValues.
4.拖动RtTrend网件到网件区
5.从网件的下拉菜单,选择修改按钮,RtTrend的配置工具会在页面的最右边显示。
6.点TagSearch按钮打开,TagSearch对话框。
7.选择PI服务器,通过通用匹配符缩小搜索范围。
(例如si*).
8.点Search.会显示匹配的搜索结果。
9.如果搜索结果显示错误信息,检查一下PITrust表,确保PI服务器的权限配置正确。
同时检查PI数据源页面,确保PI服务器已经加入到可以访问的列表。
配置RtWebParts客户端
AdobeSVGViewer
客户端需要同时安装AdobeSVGViewer3.0,因为RtTrend,RtGraphicandRtGaugewebparts需要此软件。
此软件可以从此网站下载:
安装时请以管理员身份登录。
RtActiveViewwebpart需要PIActiveView2.2或更高。
如果需要在ProcessBook中打开配置SVG文件,你必须安装PIProcessBook3.0Beta2或更高版本。
IE安全设置
总的来说,中等安装设置(对RtWebParts服务器的设置)已经足够无需调整。
如果中等设置不允许访问RtWebParts服务器所在的区域,需要进行以下调整步骤:
允许ActiveX控件和插件:
设为允许
安全的ActiveX控件脚本:
设为允许
如果有必要,站点可以添加到受信区域使得自定义的设置不会被应用到其他站点。
Chapter4
设置RtWebParts安装的安全性
RtWebParts的安全涉及到web服务器安全和用户的访问权限。
设置web服务器安全要求配置IIS,允许基于Windows操作系统认证的用户访问,本节包括以下主题:
概述
配置IIS安全
SharePointIIS设置
SharePoint的有效性超时表安全设置
配置theSecureSocketsLayer(SSL)
配置防火墙安全
配置SharePoint站点权限
SharePoint网站场
定制SharePoint显示
概述
RtWebParts依赖windows操作系统内建的安全设置和WindowsSharePoint提供访问。
还有,对PI数据的访问由PI服务器控制。
本文档提供了配置信息包括IIS,PI的数据安全和SharePoint对RtWebParts的web服务器。
因为RtWebParts是web程序,你也许需要同时需要对你的内部和外部组织提供访问服务。
为了允许这种访问同时拒绝非授权的访问,需要采取一些措施。
本文档推荐了可以应用于RtWebParts平台的安全设置和考虑了防火墙设置。
更高的安全设置也是可能的,本文档建议的设置提供的是一个合理的安全设置。
这里提供的安全措施适用于保证数据的机密性,数据完整性,和对非授权访问的保护。
配置IIS安全
访问RtBaselineServicesandRtWebParts管理页面的权限由本地的用户组控制,用户组需要有访问页面文件所在的虚拟目录的权利。
RtBaselineAdmin组只有对数据源和数据集管理页面的权限管理,RtWebPartsAdmin组只有对高级配置页面的权限。
IIS安全在决定用户访问RtWebParts的权限时起着很重要的作用。
IIS中有三中认证方式:
匿名(Anonymous),
基本(Basic),和windows集成(IntegratedWindows).请不要将匿名认证用于RtWebParts,推荐使用windows集成,它的安全性最高。
在SharePoint中推荐使用windows集成认证。
如果你使用了基本认证,推荐启用SSL,使客户端和服务器之间的通讯加密。
参看“Configuringthe
SecureSocketsLayer(SSL)”
配置IIS中的基本认证
在Internet管理器中打开你需要配置基本认证的虚拟目录的属性页。
1.选择目录安全页
2.在“匿名访问和认证控制”组中,点“编辑”按钮,认证方式对话框会出现。
3.清除“windows集成”认证选项标志
4.选中基本认证选项,会有一个警告信息,点OK
5.点OK返回
6.点OK再返回
7.如果你没有配置过SSL,请参见“ConfiguringtheSecureSocketsLayer(SSL)”
SharePointIIS设置
SharePoint安装到IIS计算机上时需要相当严格的安全配置,但管理员应当检查所有需要安装SharePoint,RtWebParts,andRtBaselineServices的服务器的设置。
通过以下步骤可以完成,打开IIS管理器,SharePointIIS的设置被划分到两个不同的网站。
SharePoint在其中之一。
此节点下的虚拟站点对应SharePoint站点的非管理部分。
所有的管理功能都被组织到SharePoint管理中心。
此站点和目录只有管理员权限才可以使用。
每个SharePoint服务器的主要web服务功能都是由WSS提供的,它位于_layout虚拟目录下。
此目录的配置为分配到应用程序的MSSharePointAppPool应用池,同其他非管理站一样。
程序身份是在安装SharePoint时设定的。
SharePoint站点应用应该允许运行脚本和可执行程序。
同其他非管理站点一样,此站点是只读的。
SharePoint的安装程序有一个小漏洞,如果点击目录属性页的配置按钮,找到程序配置对话框的调试页,详细调试信息是启用状态。
在网件失败的情况下,这可能暴露.NET的详细调用栈。
除了调试新网件,其他情况都应该关闭此设置。
其他所有虚拟目录,如RtBaselineandRtWebPartResources,都是只读的,分配到MSSharePointAppPool应用程序池,允许脚本执行。
对于SharePoint管理中心站,应用程序被分配到CentralAdminAppPool应用池。
三个虚拟目录(SPS,SSO,and
_vti_adm)有应用程序被配置,所有都允许执行脚本和可执行程序。
此程序池的程序身份是在SharePoint安装的过程完成的,缺省设为的配置数据库管理员。
SharePoint中所有的站点和虚拟目录都应该禁用匿名和基本认证。
在检查过站点和web服务扩展节点后,推荐整个SharePoint都基于windows集成认证。
在典型的SharePoint服务器上,只有ASP.NET和WSS是启用为扩展。
其他都应当禁用。
并且,通过配置服务器向导检查,或在管理工具也可以找到,FTP和SMTP已被禁用,这些都是容易收到攻击的应用。
在许多远程访问的例子中,你不能够使用域或IP范围限制网站,除非站点被完全限制到内网的范围,同时你不能预测通过互联网的用户将如何访问网站。
但是,一个例外情况是可以授权给一个已知的固定的外部伙伴。
对内的特例是对SharePoint中心管理功能限制。
在两种情况下,强烈建议管理员使用IIS管理器中站点属性对话框的目录安全页限制访问权限。
SharePoint基于角色的安全
SharePoint定义了6个标准用户组。
每个标准组开始时都一组默认的权限,控制用户可以可以进行的操作。
SharePoint定义的标准站点组有以下几个:
Reader
Contributor
WebDesigner
Administrator
ContentManager
Member
在下表中显示了默认的权限。
管理员可以创建新的站点组。
RtWebParts站管理员应该仔细检查他们的权限要求并与下表比较。
如果相当多的用户要求提升权限但不要求全部的权限,管理员应该创建一个新的角色满足这些用户的最低要求。
虽然标准组简化了角色分配,但不做其他工作会导致用户获得比他的实际需要多的权限。
用户和组管理是在网站管理页的安全管理和其他设置链接中。
SharePoint的用户管理
RtWebParts依靠SharePoint的功能决定哪些用户可以访问特殊的站点和页面还有权限的性质。
RtWebParts体现了SharePoint基于角色的安全实现,通过这种机制可以决定哪些用户可以修改网页和网件。
SharePoint中的安全确认超时表(SecurityValidationTimeout)
SharePoint站点有一个可以配置的设置,保留用户的信用凭证多长时间。
超时设置的作用是当用户闲置页面一段时间后再次请求页面下载时再次提示用户输入登录凭证。
建议保持安全确认打开,有效时间设置一个合理值,比如30分钟。
配置SecureSocketsLayer(SSL)
为了站点的安全,传输需要加密,加