Navigation:  Administration > WebOffice Sicherheit >

Apache Reverse Proxy

Previous pageReturn to chapter overviewNext page

Ein bewährtes Verfahren zur Absicherung Ihrer WebOffice 10.7 SP1 Applikation bei der Bereitstellung im Internet ist die Verwendung eines Reverse Proxy Web Server. Die Reverse Proxy Architektur erlaubt es Intranet und Internet Dienste unter Verwendung von nur einer Server-Installation laufen zu lassen. Dies reduziert die TCO (Total Cost of Ownership) signifikant (im Vergleich zur Verdoppelung der Server- und Software-Infrastruktur).

 

Architektur eines Reverse Proxy

Architektur eines Reverse Proxy

 

Hinweis: WebOffice 10.7 SP1 ist für Apache Reverse Proxy zertifiziert.

 

Um mit Apache Reverse Proxy zu arbeiten, muss die Konfigurationsdatei httpd.conf (in <Apache Installations-Pfad>/conf) angepasst werden. Es ist notwendig, dass Apache Reverse Proxy einen bestimmten Header (syn_urlmap) übermittelt, damit WebOffice 10.7 SP1 die URL neu belegen kann.

 

 

Der erste Schritt ist das Laden des Moduls mod_headers:

öffnen der Datei httpd.conf

Entfernen der Kommentierung der Zeile (2x): LoadModule headers_module modules/mod_headers.so

 

Der zweite Schritt ist die Applikations- und Redirectpfade zu konfigurieren. Neben dem Applikationspfad ist es notwendig jeden Pfad, der von WebOffice 10.7 SP1 oder ArcGIS Server abgerufen wird, bereitzustellen, z.B. der Pfad zum ArcGIS-Output-Verzeichnis.

 

<Location /WebOffice>

 ProxyPass http://<SERVERNAME_intern>:8080/WebOffice/

 ProxyPassReverse http://<SERVERNAME_intern>:8080/WebOffice/

 RequestHeader set syn_urlmap http://<SERVERNAME_intern>:8080/WebOffice;http(s)://<SERVERNAME_extern>/WebOffice

 http://<SERVERNAME_intern>:6080/arcgis;http(s)://<SERVERNAME_extern>/arcgis|

 /WebOffice_intern;/WebOffice_extern 

</Location>

 

<Location /arcgis>

ProxyPass http://<SERVERNAME_intern>:6080/arcgis/

ProxyPassReverse http://<SERVERNAME_intern>:6080/arcgis/

</Location>

 

Hinweise: 

Bei Verwendung der JavaScript Clients WebOffice flex und WebOffice core kann es zu Problemen kommen, wenn im Code am Ende der Zeilen ProxyPass und ProxyPassReverse ein Forward Slash "/" gesetzt ist. In diesem Fall entfernen Sie bitte den Slash am Ende der Zeilen.

Informationen zur Anpassung des ArcGIS Server bei Verwendung eines Reverseproxyservers finden Sie unter https://server.arcgis.com/de/server/latest/administer/windows/using-a-reverse-proxy-server-with-arcgis-server.htm.

Beim Mapping der Pfade benutzten Sie beide Pfade, also absolute und relative Pfade. Achten Sie darauf, dass das Mapping der relativen Pfade am Ende von syn_urlmap ist.

Die Verzeichnisse für arcgiscache und arcgisoutput werden seit ArcGIS for Server 10.0 nicht mehr direkt, sondern über arcgis, angesprochen.

Für WebOffice extract server ist ein virtuelles Verzeichnis im IIS (Internetinformationsdienste) konfiguriert, welches standardmäßig unter Port 80 läuft. Deshalb sollte der Port :8080 nicht in der URL spezifiziert werden.

Es ist immer sinnvoll den Zugang auf bestimmte Seiten wie SynAdmin oder bestimmte jsp Dateien zu beschränken. Dies lässt sich ebenfalls mit Hilfe der richtigen ProxyPass Einstellung verhindern, wobei die Ausnahme mittels des Ausrufezeichens (!) initiiert wird. Wichtig ist es, die Ausnahme zu definieren, bevor der eigentliche Proxy-Befehl konfiguriert wird; z.B. ProxyPass /WebOffice/synadmin ! 

Beschränken Sie nicht externalcall.jsp.

Beachten Sie die GZIP filter.

Beachten Sie die Explizit unterstützte Szenarien mit https.