Navigation:  Administration > WebOffice Sicherheit > Apache Reverse Proxy

Ein bewährtes Verfahren zur Absicherung Ihrer WebOffice 10.4 SP2 Applikation bei der Bereitstellung im Internet ist die Verwendung eines Reverse Proxy Web Server. Die Reverse Proxy Architektur erlaubt es Intranet und Internet Dienste unter Verwendung von nur einer Server Installation laufen zu lassen. Dies reduziert die TCO (Total Cost of Ownership) signifikant (im Vergleich zur Verdoppelung der Server und Software Infrastruktur).

 

 

Hinweis: WebOffice 10.4 SP2 ist für Apache Reverse Proxy zertifiziert.

Hinweis: Apache Tomcat Connector (wird zum Umleiten von HTTP Port 80 Requests von IIS zu Apache Tomcat verwendet) unterstützt keine Weiterleitung von bestimmten HTTP Header Informationen, die für eine korrekte Reverse-Proxy-Funktion benötigt wird. Daher besteht keine Verwendung von Apache Tomcat Connector beim Arbeiten mit Apache Reverse Proxy und spezifischen HTTP Header Attributen.

 

Um mit Apache Reverse Proxy zu arbeiten, muss die Konfigurationsdatei httpd.conf (in <Apache Installations-Pfad>/conf) angepasst werden. Es ist notwendig, dass Apache Reverse Proxy einen bestimmten Header (syn_urlmap) übermittelt, damit WebOffice 10.4 SP2 die URL neu belegen kann.

 

 

Der erste Schritt ist das Laden des Moduls mod_headers:

•öffnen der Datei httpd.conf

•Entfernen Sie die Kommentierung der Zeile (2x): LoadModule headers_module modules/mod_headers.so

 

Der zweite Schritt ist, die Applikations- und Redirectpfade zu konfigurieren. Neben dem Applikationspfad ist es notwendig jeden Pfad, der von WebOffice 10.4 SP2 oder ArcGIS 10.4 for Server abgerufen wird, bereitzustellen, z.B. der Pfad zum ArcGIS-Output-Verzeichnis.

 

<Location /WebOffice>

 ProxyPass http://<SERVERNAME_intern>:8080/WebOffice/

 ProxyPassReverse http://<SERVERNAME_intern>:8080/WebOffice/

 RequestHeader set syn_urlmap http://<SERVERNAME_intern>:8080/WebOffice;http(s)://<SERVERNAME_extern>/WebOffice| 

 http://<SERVERNAME_intern>:6080/arcgis;http(s)://<SERVERNAME_extern>/arcgis|

 /WebOffice_intern;/WebOffice_extern 

</Location>

 

<Location /arcgis>

ProxyPass http://<SERVERNAME_intern>:6080/arcgis/

ProxyPassReverse http://<SERVERNAME_intern>:6080/arcgis/

</Location>

 

Hinweis: Informationen zur Anpassung des ArcGIS Server bei Verwendung eines Reverseproxyservers finden Sie unter https://server.arcgis.com/de/server/latest/administer/windows/using-a-reverse-proxy-server-with-arcgis-server.htm.

Hinweis: Beim Mapping der Pfade benutzten Sie beide Pfade, also absolute und relative Pfade. Achten Sie darauf, dass das Mapping der relativen Pfade am Ende von syn_urlmap ist.

Hinweis: Die Verzeichnisse für arcgiscache und arcgisoutput werden seit ArcGIS for Server 10.0 nicht mehr direkt, sondern über arcgis, angesprochen.

Hinweis: Für WebOffice extract server ist ein virtuelles Verzeichnis im IIS (Internetinformationsdienste) konfiguriert, welches standardmäßig unter Port 80 läuft. Deshalb sollte der Port :8080 nicht in der URL spezifiziert werden.

Hinweis: Es ist immer sinnvoll den Zugang auf bestimmte Seiten wie SynAdmin oder bestimmte jsp Dateien zu beschränken. Dies lässt sich ebenfalls mit Hilfe der richtigen ProxyPass Einstellung verhindern, wobei die Ausnahme mittels des Ausrufezeichens (!) initiiert wird. Wichtig ist es, die Ausnahme zu definieren, bevor der eigentliche Proxy-Befehl konfiguriert wird; z.B. ProxyPass /WebOffice/synadmin !

Beschränken Sie nicht externalcall.jsp.

Hinweis: Beachten Sie die GZIP filter.

Hinweis: Beachten Sie die Explizit unterstützte Szenarien mit https.