RtWebParts管理员手册Word格式.docx

1、服务器上的要求RtWebParts需要运行在Microsoft Windows 2003 服务器上,并安装了icrosoft InternetInformation Server （IIS） 6.0 .此外,RtWebParts 还要求以下软件.: SharePoint. 选择Microsoft Windows Share Point Services 或 Microsofts SharePoint PortalServer 2003. 到PI 3.3x （或更高） 服务器足够的权限（从Web服务器到PI服务器） SQL Server 2000,安装了Service Pack 3 或更高.（

2、SharePoint的要求）.RtWebParts安装在SharePoint Services上Windows SharePoint Services 是Windows Server 2003 免费的组件.它可以提供基本的功能,包括在网站内修改、保护、创建内容。你还需要把SharePoint 应用扩展为虚拟服务器。如果运行RtWebParts 安装程序时SharePoint还未扩展，安装会失败RtWebParts安装在SharePoint Portal Server上SharePoint Portal Server 是需要购买的软件，它可以提供更加稳定的网站服务并为用户提供更加灵活的个性化功能

3、。此产品适合大型网站的部署。客户端的要求在客户端，只需要（IE）5.5或更高。但是，需要一些web parts需要以下软件: PI ActiveView: 浏览PDI 文件用。客户端需要PI ActiveView 2.2或更高版本。 Adobe SVG Viewer: RtGraphic, RtGauge 和RtTrend 网件需要在SVG 格式中渲染。要使用这些网件（web parts），客户端需要Adobe SVG Viewer, version 3.0, 可以从以下网址下载: You must be an Administrator on the client machine to su

4、ccessfully install theviewer.安装时必须以管理员登录客户机。 ProcessBook: 开放的分析工具，在一些网件中，需要PI ProcessBook 3.0 Beta 2 或更高第3章安装RtWebParts本节描述了如何安装并配置RtWebParts. 包含以下主题: 安装前的准备工作安装RtWebParts 配置RtWebParts安装前的工作: PI Trusts在安装RtWebParts之前,你必须配置PI服务器的trusts,并保存配置信息.配置PI Trust 表PI用户trusts 允许用户在不输入用户名和密码的情况下访问各种资源.在安装RtWebP

5、arts前,你需要配置至少一台PI服务器.为RtWebParts使用SMT PI trust编辑器配置下面的PI trust: 安装用户和 RtBaseline管理员组和RtWebParts管理员组需要: 网页服务器到PI Module中%OSI 目录树的写权限,此目录下存配置信息. 所有的RtWebParts用户需要: 读取read %OSI 目录树的权限,为了读到那里的数据,为了配置RtTreeView还需要读取PI Module数据库其他部分的权限 读取PI测点的权限. RtWebParts （通过RtBaseline 服务）把用户的windows帐户信息传递过去,当需要获取PI数据时,

6、 这样就可以为此用户产生正确的PI trust.使用SMT Trust 编辑器Trust编辑器时SMT的以部分. PI系统管理工具一般安装在PI服务器上.使用Trust编辑器查看已有trust,添加,编辑和删除trust:1. 点击:开始菜单-程序- PI System - PI System Management Tools 2选中你需要管理的PI服务器3. 在System Management插件面板中,选中Security 4. 在Security 的列表中,选中Trust Editor. 会显示所有的trust记录5. 想查看已存在trust的设置,双击trust名每一个trust都有

7、一个名字和三个基本信息:IP地址,windows帐户信息,应用程序信息.还有,每个trust包含一个相关的PI用户.你不需要填写属性框中的所有区域.但写的越详细,trust就越严格.例如,如果你给一个特定主机名创建了一条trust记录,那么任何从该主机的请求都得到基于此trust的权限.然而,如果除了主机名还有其他信息,如程序名.那么,trust只允许此主机指定的程序访问.PI Trust 配置举例以下是这几种情况,你可能需要一些关于如何配置PI trust的描述.想知道如何配置PI trust的细节,请查看你的系统文档.单台PI服务器,严格的权限配置如果你只需要访问一台PI服务器,很可能是用

8、来保存数据配置的服务器（如, RtWebParts使用的数据源和数据集）.你也许需要把访问数据配置和高级网件配置的权限只赋给一小部分用户.你也许不需要限制一些特别用户使用已定义的数据集的权限.在这种情况下,首先你要控制网页服务器上RtBaselineAdmin 和 RtWebPartsAdmin 组的成员,只添加那些需要创建,修改和删除数据配置和高级网件配置设置的用户.此步应在RtWebParts 安装后执行.这两个windows本地用户组有访问”管理页面”的权利.理想情况下,全局windows组（如,来自活动目录和域）都添加到本地组中.接下来,使用PI SMT限制PI Module 数据库下

9、%OSI区的写权限,将写权限只赋予PI的管理员组.（ RtBaselineAdmin 和 RtWebPartsAdmin 组的用户）这可以防止其他用户使用其他工具修改Module数据库.代表你的其他RtWebParts 用户的用户组需要有读取Module中此区的权限.最后,添加并修改PI trust表,把所有管理员用户映射到PI的管理员组,所有其他用户映射到其他只有读权限的PI用户组.多个PI服务器,限制两组不同用户的浏览权限你可以设置三组权限不同的用户组。例如，你必须有一个管理员组，一个操作员组，和一个财务员组。管理员组应该有创建、修改、和删除配置信息数据的权利。操作员组因该有创建、修改、删

10、除高级网件配置的权利。财务组应严格限制这些权限，但需要对他们所创建的表单加以保护。在下面这种情况，首先你要限制网页服务器的RtBaselineAdmin 和 RtWebPartsAdmin组的成员为管理用户。此步在RtWebParts安装结束后。然后，向操作员组添加用户，这些用户应该有配置RtWebPartsAdmin的高级配置权限。这两个windows本地组可以控制管理页的访问权。理想情况下，全局windows组（例如，活动目录或域）要添加到本地组才能完成此任务。下一步，添加或修改PI服务器上的PI trust表，使管理用户映射到PI管理组。操作员用户映射到受限的PI组，财务用户映射到一个特

11、定的PI组，它只有读取Module 数据库%OSI部分的权利。接下来，限制代表RtBaselineAdmin and RtWebPartsAdmin 组成员的Module 数据库%OSI写权限。最后，对每一个需要保护的数据集（例如，只有财务组用户可以使用的数据集），使用PI SMT工具限制读取Module 数据库%OSI部分下数据的PI组的权限，这个PI组代表了财务组用户。这可以防止非管理用户和非财务用户看到那些已经严格限制的数据集的列表。安装RtWebParts and RtBaseline 服务开始安装1. 以系统管理员登录服务器。2. 如果你有安装盘，插入RtWebParts安装盘，双击

12、RtWebParts_1.0_.exe. 启动安装向导。安装程序会显示需要的软件列表。有些软件可能已经安装到你的计算机上了，如果版本低会自动被升级。3. 浏览一下软件组成列表，点击OK继续安装。安装工具开始按照他们显示的顺序进行安装。安装PI软件开发工具如果PI SDK 没有在你的计算机上找到，或者需要升级，以下就是安装程序的一部分。4. 安装程序会提示你输入PI SDK的安装目录。一般情况，PI SDK会安装到C:Program FilesPIPC. 如果你还没在这台计算机上安装过任何PI软件，你可以点击Browse 按钮选择一个不同的目录。如果PI客户端软件已经安装过，安装程序会使用已有的

13、PIPC目录。点击Next 按钮继续安装。5. 安装程序会提示你配置一个默认PI服务器。这里设置的是PI SDK使用的默认服务器。如果你还没有在这台计算机上安装过任何PI软件，你需要数输入PI的用户名和PI服务器的名。RtBaseline 服务也使用这里设置的PI服务器作为初始默认值。点Next继续安装。6.最后，在接下来的屏幕上会显示安装程序所需要所有信息。点Next按钮完成PI SDK的安装，并继续下个组件的安装。如果提示重启，你应该重启，并再次启动安装程序，开始下个组件的安装。7. 安装程序会提示你输入RtBaseline 服务的目录。典型情况下，RtBaseline服务会安装到PIPC

14、目录下，和PI SDK在一起。点击Browse 按钮如果想2更改安装目录。点Next 按钮继续8.安装提示你选择Module Database 服务器和web 服务器 Module Database Server 选择PI服务器存储RtWebParts and RtBaseline服务的配置信息。服务器trust应该已经配好，有写%OSI 树的权限 Web Server Name s选择提供RtBaseline 服务的web服务站点。典型情况下，设置为默认web站点。但可以是任何已经扩展的站点。完成后，点Next继续安装。9. 安装程序会尝试连接指定的Module database 服务器。如

15、何不能连接成功，会显示错误信息。解决连接错误，确认PI trust已经配置，允许安装程序写入%OSI树，并且指定的PI服务器可以被网络访问，点Back 按钮返回上一界面重试连接。10. 最后，屏幕会显示安装程序已经获得了所有安装RtBaseline Services必要的信息：:点Next 按钮button 完成RtBaseline Services 安装并进入到下一组件的安装11. 安装程序提示输入RtWebParts 的位置，典型情况下，RtWebParts服务会安装到PIPC目录下，和PI SDK在一起。点Browse T按钮如果你想选择不同的目录。12. 安装程序提示你选择Web服务器

16、。Web Server Name s选择提供RtBaseline 服务的web服务站点。13.最后以下画面表明安装程序已经获得了所有需要的信息，点Next完成 RtWebParts 的安装然后进行下一组件的安装。完成安装安装结束时，PI SDK可能会要求重启机器，请重启机器。 RtWebParts成功安装后，需要先做一些配置工作，见RtBaseline Services Administrators Guide和本手册的“配置RtWebParts 客户端”和“保护RtWebParts 的安装”。测试RtWebParts的安装你可以通过以下步骤次测试RtWebParts 的安装。1. 打开IE，

17、输入一个已经安装了RtWebParts 的Windows SharePoint Services 的URL2. 点创建 并向下拉动选择Web Part Page b . 输入一个网页名，选择布局模板。点创建 创建此页面。3. 添加网件页在新页面的最右边显示，点虚拟服务器库，网件库因该显示下列OSIsoft RtWebParts: RtActiveView, RtGauge, RtGraphic,RtTable, RtTimeRange, RtTimeSeries, RtTreeView, RtTrend, and RtValues.4. 拖动RtTrend网件到网件区5. 从网件的下拉菜单，选

18、择修改按钮，RtTrend的配置工具会在页面的最右边显示。6. 点Tag Search按钮打开，Tag Search 对话框。7. 选择PI服务器，通过通用匹配符缩小搜索范围。 （例如si*）.8. 点Search. 会显示匹配的搜索结果。9. 如果搜索结果显示错误信息，检查一下PI Trust表，确保PI服务器的权限配置正确。同时检查PI数据源页面，确保PI服务器已经加入到可以访问的列表。配置RtWebParts客户端Adobe SVG Viewer客户端需要同时安装Adobe SVG Viewer 3.0，因为RtTrend, RtGraphic and RtGauge web parts

19、 需要此软件。此软件可以从此网站下载: 安装时请以管理员身份登录。RtActiveView web part 需要PI ActiveView 2.2 或更高。如果需要在ProcessBook 中打开配置 SVG 文件,你必须安装PI ProcessBook 3.0 Beta 2 或更高版本。IE安全设置总的来说，中等安装设置（对RtWebParts 服务器的设置）已经足够无需调整。如果中等设置不允许访问RtWebParts服务器所在的区域，需要进行以下调整步骤： 允许A ctiveX 控件和插件: 设为允许 安全的ActiveX控件脚本：设为允许如果有必要，站点可以添加到受信区域使得自定义的设

20、置不会被应用到其他站点。Chapter 4设置RtWebParts 安装的安全性RtWebParts的安全涉及到web服务器安全和用户的访问权限。设置web服务器安全要求配置IIS，允许基于Windows操作系统认证的用户访问，本节包括以下主题： 概述 配置IIS安全 SharePoint IIS 设置 SharePoint的有效性超时表安全设置 配置the Secure Sockets Layer （SSL） 配置防火墙安全 配置SharePoint 站点权限 SharePoint 网站场 定制SharePoint 显示概述RtWebParts 依赖windows操作系统内建的安全设置和Wi

21、ndows SharePoint 提供访问。还有，对PI数据的访问由PI服务器控制。本文档提供了配置信息包括IIS，PI的数据安全和SharePoint 对RtWebParts的web服务器。因为RtWebParts 是web程序，你也许需要同时需要对你的内部和外部组织提供访问服务。为了允许这种访问同时拒绝非授权的访问，需要采取一些措施。本文档推荐了可以应用于RtWebParts 平台的安全设置和考虑了防火墙设置。更高的安全设置也是可能的，本文档建议的设置提供的是一个合理的安全设置。这里提供的安全措施适用于保证数据的机密性，数据完整性，和对非授权访问的保护。配置IIS 安全访问RtBaseli

22、ne Services and RtWebParts 管理页面的权限由本地的用户组控制，用户组需要有访问页面文件所在的虚拟目录的权利。RtBaselineAdmin 组只有对数据源和数据集管理页面的权限管理， RtWebPartsAdmin组只有对高级配置页面的权限。IIS 安全在决定用户访问RtWebParts 的权限时起着很重要的作用。IIS中有三中认证方式: 匿名（Anonymous）,基本（Basic）,和windows集成（ Integrated Windows）.请不要将匿名认证用于RtWebParts ，推荐使用windows集成,它的安全性最高。在SharePoint 中推荐使

23、用windows集成认证。如果你使用了基本认证，推荐启用SSL，使客户端和服务器之间的通讯加密。参看“Configuring theSecure Sockets Layer （SSL）”配置IIS中的基本认证在Internet管理器中打开你需要配置基本认证的虚拟目录的属性页。1. 选择目录安全页2. 在“匿名访问和认证控制”组中，点“编辑”按钮，认证方式对话框会出现。3. 清除“windows集成”认证选项标志4. 选中基本认证选项，会有一个警告信息，点OK5. 点OK返回6. 点OK再返回7. 如果你没有配置过SSL，请参见 “Configuring the SecureSockets La

24、yer （SSL）”SharePoint IIS 设置SharePoint 安装到IIS计算机上时需要相当严格的安全配置，但管理员应当检查所有需要安装SharePoint, RtWebParts, and RtBaseline Services 的服务器的设置。通过以下步骤可以完成，打开IIS管理器，SharePoint IIS 的设置被划分到两个不同的网站。SharePoint 在其中之一。此节点下的虚拟站点对应SharePoint 站点的非管理部分。所有的管理功能都被组织到SharePoint管理中心。此站点和目录只有管理员权限才可以使用。每个SharePoint 服务器的主要web服务功

25、能都是由WSS提供的，它位于_layout 虚拟目录下。此目录的配置为分配到应用程序的MSSharePointAppPool 应用池，同其他非管理站一样。程序身份是在安装SharePoint时设定的。 SharePoint站点应用应该允许运行脚本和可执行程序。同其他非管理站点一样，此站点是只读的。SharePoint 的安装程序有一个小漏洞，如果点击目录属性页的配置按钮，找到程序配置对话框的调试页，详细调试信息是启用状态。在网件失败的情况下，这可能暴露.NET的详细调用栈。除了调试新网件，其他情况都应该关闭此设置。其他所有虚拟目录，如RtBaseline and RtWebPartResour

26、ces，都是只读的,分配到MSSharePointAppPool应用程序池，允许脚本执行。对于SharePoint 管理中心站，应用程序被分配到CentralAdminAppPool 应用池。三个虚拟目录（SPS, SSO, and_vti_adm） 有应用程序被配置，所有都允许执行脚本和可执行程序。此程序池的程序身份是在SharePoint 安装的过程完成的，缺省设为的配置数据库管理员。SharePoint 中所有的站点和虚拟目录都应该禁用匿名和基本认证。在检查过站点和web服务扩展节点后，推荐整个SharePoint都基于windows集成认证。在典型的SharePoint服务器上，只有A

27、SP.NET和WSS是启用为扩展。其他都应当禁用。并且，通过配置服务器向导检查，或在管理工具也可以找到，FTP和SMTP已被禁用，这些都是容易收到攻击的应用。在许多远程访问的例子中，你不能够使用域或IP范围限制网站，除非站点被完全限制到内网的范围，同时你不能预测通过互联网的用户将如何访问网站。但是，一个例外情况是可以授权给一个已知的固定的外部伙伴。对内的特例是对SharePoint中心管理功能限制。在两种情况下，强烈建议管理员使用IIS管理器中站点属性对话框的目录安全页限制访问权限。SharePoint基于角色的安全SharePoint定义了6个标准用户组。每个标准组开始时都一组默认的权限，控

28、制用户可以可以进行的操作。SharePoint 定义的标准站点组有以下几个： Reader Contributor Web Designer Administrator Content Manager Member在下表中显示了默认的权限。管理员可以创建新的站点组。RtWebParts 站管理员应该仔细检查他们的权限要求并与下表比较。如果相当多的用户要求提升权限但不要求全部的权限，管理员应该创建一个新的角色满足这些用户的最低要求。虽然标准组简化了角色分配，但不做其他工作会导致用户获得比他的实际需要多的权限。用户和组管理是在网站管理页的安全管理和其他设置链接中。SharePoint的用户管理Rt

29、WebParts依靠SharePoint的功能决定哪些用户可以访问特殊的站点和页面还有权限的性质。RtWebParts 体现了SharePoint基于角色的安全实现，通过这种机制可以决定哪些用户可以修改网页和网件。SharePoint中的安全确认超时表（Security Validation Timeout）SharePoint 站点有一个可以配置的设置，保留用户的信用凭证多长时间。超时设置的作用是当用户闲置页面一段时间后再次请求页面下载时再次提示用户输入登录凭证。建议保持安全确认打开，有效时间设置一个合理值，比如30分钟。配置Secure Sockets Layer （SSL）为了站点的安全，传输需要加密，加