Ein bewährtes Verfahren zur Absicherung Ihrer WebOffice 10.9 R3 Anwendung bei der Bereitstellung im Internet ist die Verwendung eines Reverse Proxy Web Server. Die Reverse Proxy Architektur erlaubt es Intranet und Internet Dienste unter Verwendung von nur einer Server-Installation laufen zu lassen. Dies reduziert die TCO (Total Cost of Ownership) signifikant (im Vergleich zur Verdoppelung der Server- und Software-Infrastruktur).

 

Architektur eines Reverse Proxy

Architektur eines Reverse Proxy

 

icon_comment

WebOffice 10.9 R3 ist für Apache Reverse Proxy zertifiziert.

 

Um mit Apache Reverse Proxy zu arbeiten, muss die Konfigurationsdatei httpd.conf (in <Apache Installations-Pfad>/conf) angepasst werden. Es ist notwendig, dass Apache Reverse Proxy einen bestimmten Header (syn_urlmap) übermittelt, damit WebOffice 10.9 R3 die URL neu belegen kann.

 

 

Der erste Schritt ist das Laden des Moduls mod_headers:

öffnen der Datei httpd.conf

Entfernen der Kommentierung der Zeile (2x): LoadModule headers_module modules/mod_headers.so

 

Der zweite Schritt ist die Anwendungs- und Redirectpfade zu konfigurieren. Neben dem Anwendungspfad ist es notwendig jeden Pfad, der von WebOffice 10.9 R3 oder ArcGIS Server abgerufen wird, bereitzustellen, z.B. der Pfad zum ArcGIS-Output-Verzeichnis.

 

<Location /WebOffice>

 ProxyPass https://<SERVERNAME_intern>:8443/WebOffice/

 ProxyPassReverse https://<SERVERNAME_intern>:8443/WebOffice/

 RequestHeader set syn_urlmap https://<SERVERNAME_intern>:8443/WebOffice;https://<SERVERNAME_extern>/WebOffice|

 https://<SERVERNAME_intern>:6443/arcgis;https://<SERVERNAME_extern>/arcgis|

 /WebOffice_intern;/WebOffice_extern

</Location>

 

<Location /arcgis>

ProxyPass https://<SERVERNAME_intern>:6443/arcgis/

ProxyPassReverse https://<SERVERNAME_intern>:6443/arcgis/

</Location>

 

 

icon_comment

Bei Verwendung der JavaScript Clients WebOffice flex und WebOffice core kann es zu Problemen kommen, wenn im Code am Ende der Zeilen ProxyPass und ProxyPassReverse ein Forward Slash / gesetzt ist. In diesem Fall entfernen Sie bitte den Slash am Ende der Zeilen.

Beim Mapping der Pfade benutzten Sie beide Pfade, also absolute und relative Pfade. Achten Sie darauf, dass das Mapping der relativen Pfade am Ende von syn_urlmap ist.

Die Verzeichnisse für arcgiscache und arcgisoutput werden seit ArcGIS for Server 10.0 nicht mehr direkt, sondern über arcgis, angesprochen.

Für WebOffice extract server ist ein virtuelles Verzeichnis im IIS (Internetinformationsdienste) konfiguriert, welches standardmäßig unter Port 80 läuft. Deshalb sollte der Port :8080 nicht in der URL spezifiziert werden.

Es ist immer sinnvoll den Zugang auf bestimmte Seiten wie SynAdmin oder bestimmte jsp Dateien zu beschränken. Dies lässt sich ebenfalls mit Hilfe der richtigen ProxyPass Einstellung verhindern, wobei die Ausnahme mittels des Ausrufezeichens (!) initiiert wird. Wichtig ist es, die Ausnahme zu definieren, bevor der eigentliche Proxy-Befehl konfiguriert wird; z.B. ProxyPass /WebOffice/synadmin !

Beschränken Sie nicht externalcall.jsp.

 

icon_cross-reference

Informationen zur Anpassung des ArcGIS Server bei Verwendung eines Reverseproxyservers finden Sie unter https://server.arcgis.com/de/server/latest/administer/windows/using-a-reverse-proxy-server-with-arcgis-server.htm.

Beachten Sie die GZIP filter.

Beachten Sie die Explizit unterstützte Szenarien mit https.

Ⓒ Copyright 2023 by VertiGIS GmbH