Navigation:  Installation & Allgemeine Informationen > Installation & Konfiguration > WebOffice FTS-Index (Applikationsserver) > Installation von WebOffice FTS-Index >

Konfiguration von WebOffice FTS-Index

Previous pageReturn to chapter overviewNext page

Dieses Kapitel beschreibt Konfigurationsmöglichkeiten für WebOffice FTS-Index.

 

Berechtigte Hosts konfigurieren (IP-Filter)

Hinweis: Nach einer Standard-Installation von WebOffice FTS-Index ist ein IP-Filter auf localhost aktiviert.

 

Aus Sicherheitsgründen ist WebOffice FTS-Index so vorkonfiguriert, dass alle Requests abgeblockt werden, die nicht vom Localhost stammen. Dies gilt sowohl für Zugriffe auf das Web-Admin via Browser als auch für Drittapplikationen wie WebOffice 10.8 SP2, welche FTS-Index nutzen wollen. Diese Einschränkung soll verhindern, dass die indexierten Daten von Unbefugten abgegriffen oder verändert werden können.

 

Diese Voreinstellung ist korrekt für eine Solr Standalone Installation, auf der sich WebOffice und WebOffice FTS-Index typischerweise auf derselben Maschine befinden. In einem Load-Balancing Szenario muss spezifiziert werden, welche zusätzlichen Hosts Zugriff erhalten sollen; konkret betrifft es den Rechner auf dem der LoadBalancer läuft.

 

In der Datei ..\WebOffice FTS-Index\server\etc\jetty-ipfilter.xml können die berechtigten IP-Adressen (IPv4 oder IPv6) aufgelistet und hinzugefügt werden.

Zugriffsfilterung per IP-Adresse

Zugriffsfilterung per IP-Adresse

 

Troubleshooting: HTTP ERROR 403

Falls beim Testen der Verbindung zu WebOffice FTS-Index im Browser ein HTTP-Error 403 auftritt, ist es wahrscheinlich, dass der Rechner, auf welchem der Browser gestartet wurde, nicht im IP-Filter aufgelistet ist und deshalb der Zugriff verwehrt wurde.

Verbindung ist von diesem Host aufgrund des IP-Filters nicht gestattet

Verbindung ist von diesem Host aufgrund des IP-Filters nicht gestattet

 

Im Solr Admin UI kann im Bereich “Logging --> Level ” das Level DEBUG gesetzt werden für die Kategorie org.eclipse.jetty.server.handler.InetAccessHandler, um genauere Informationen zu erhalten von welchen Hosts Zugriffe gescheitert sind.

 

Solr Logging Level

Solr Logging Level

 

Damit werden entsprechende Messages in die Datei WebOffice FTS-Index/server/logs/solr.log geschrieben.

Hinweis auf einen verhinderten Verbindungsversuch (Beispiel): ... denied /fe80:0:0:0:9926:dfa1:c82a:17a%9

Hinweis auf einen verhinderten Verbindungsversuch (Beispiel): ... denied /fe80:0:0:0:9926:dfa1:c82a:17a%9

 

 

WebOffice FTS-Index über eine verschlüsselte Verbindung (SSL/TLS)

Hinweis: Nach einer Standard-Installation von WebOffice FTS-Index ist SSL/TLS nicht aktiviert. Die URL ist somit nicht über https aufrufbar.

 

SSL kann dadurch aktiviert werden, dass der folgende Block in der Datei ..\WebOffice FTS-Index\bin\solr.in.cmd konfiguriert wird.

Konfiguration der SSL-Verbindung in Datei solr.in.cmd

Konfiguration der SSL-Verbindung in Datei solr.in.cmd

 

Dabei sind folgende Punkte zu beachten:

SOLR_SSL_KEY_STORE und SOLR_SSL_TRUST_STORE müssen in Anführungszeichen angegeben werden, wenn der Pfad ein Leerzeichen enthält.

In SOLR_SSL_KEY_STORE und SOLR_SSL_TRUST_STORE müssen alle Sonderzeichen wie z.B. öffnende und schließende Klammer mit fünf (!) „^“ („Zirkumflex“) maskiert werden. Falls keine Anführungszeichen verwendet werden, sind es nur drei „^“.

SOLR_SSL_TRUST_STORE zeigt typischerweise auf den Standard-TrustStore cacerts von Java. Das Standardpasswort dieses TrustStores ist „changeit“.

SOLR_SSL_KEY_STORE ist ein PKCS12 Container, welcher z.B. mit dem Tool „KeyStore Explorer“ (http://keystore-explorer.org/) erstellt werden kann. In diesen passwortgeschützten Container muss das private Zertifikat (vom Typ PEM, mit Passwort) importiert werden, welches für den Server benutzt werden soll.

Das Attribut SOLR_SSL_NEED_CLIENT_AUTH darf leider nicht auf true gesetzt werden, da der Solr Server so nicht startet.

 

Zusätzlich zur oben beschriebenen Lösung ist es ebenfalls möglich direkt ein Zertifikat für die Verwendung des SOLR_SSL_KEY_STORE zu verwenden. Hierbei muss ein verschlüsseltes Zertifikat (*.pfx) verwendet werden. Hierbei muss das entsprechende geheime Passwort zur Entschlüsselung des Zertifikates angegeben werden. Die folgende Konfiguration zeigt die Verwendung eines solchen Keystores an.

 

Konfiguration SSL-Verbindung mit PFX Zertifikat in Datei solr.in.cmd

Konfiguration SSL-Verbindung mit PFX Zertifikat in Datei solr.in.cmd

 

Hinweis: Wichtig ist hierbei, dass bei SOLR_SSL_KEY_STORE_TYPE den Wert PKCS12 beinhaltet.

 

Zusätzlich sollte ebenfalls bei der Verwendung eines solchen Zertifikats der auf das Zertifikat ausgestellte Name (z.B. Servername) direkt in der solr.in.cmd Konfiguration bei dem Parameter SOLR_HOST vermerkt werden und der Bereich aktiviert werden. Die nachfolgende Abbildung zeigt ein Beispiel der Konfigurationsparameter.

 

Konfiguration des Hostnamen in solr.in.cmd

Konfiguration des Hostnamen in solr.in.cmd

 

Wichtig:

Wie gewohnt muss WebOffice für den Zugriff auf eine mit SSL abgesicherte Verbindung dem vom Server präsentierten Zertifikat vertrauen. Dazu muss das entsprechende Zertifikat in der cacerts Truststore importiert werden, zum Beispiel mit dem Tool installCert.bat. Für mehr Informationen dazu siehe Kapitel SSL/TLS-Zertifikate importieren.

In dem Zusammenhang muss auch beachtet werden über welchen Hostname (z.B. intern „ws-server“ vs. extern „ws-server.domain.intern“) der FTS-index in WebOffice konfiguriert ist, bzw. dass der konfigurierte Name mit dem Hostnamen SSL-Zertifikat übereinstimmt.

 

Es ist bekannt, dass derzeit Wildcard-Zertifikate nicht unterstützt werden, siehe folgende Fehlermeldung aus der WebOffice 10.8 SP2 Logdatei:

Fehlermeldung, weil der Hostname nicht präzise zum Zertifikat passt

Fehlermeldung, weil der Hostname nicht präzise zum Zertifikat passt

 

Hinweis: Diese Anleitung ist nur zutreffend, wenn Solr Standalone verwendet wird.

Bei einer SolrCloud Installation mit LoadBalancing Installation ist die Situation um ein Vielfaches komplexer, da es dort zusätzliche Verbindungswege gibt (z.B. zwischen den einzelnen Zookeeper Instanzen) die ebenso verschlüsselt sein sollen.

 

Sobald WebOffice FTS-Index mit einer funktionierenden SSL-Konfiguration gestartet wurde, kann nicht mehr über HTTP auf das Solr Admin UI zugegriffen werden. Bei dem Versuch wird lediglich eine Fehlermeldung oder eine kryptische Zeichenfolge dargestellt.

Ein Zugriff über HTTPS ist natürlich möglich, dazu muss zwingend die komplette URL (inklusive Protokoll am Anfang) im Browser eingegeben werden: https://localhost:8983/solr

Verbindung über HTTP ist nicht mehr möglich: oben Microsoft Internet Explorer, mitte Mozilla Firefox, unten Google Chrome

Verbindung über HTTP ist nicht mehr möglich: oben Microsoft Internet Explorer, mitte Mozilla Firefox, unten Google Chrome

 

 

FTS-Index Zugang mit Passwort schützen (Basic Authentication)

Hinweis: Nach einer Standard-Installation vonWebOffice FTS-Index ist Basic Authentication aktiviert.

Benutzername: weboffice                Passwort: weboffice4ever

 

Die Datei ..\WebOffice\FTS-Index\server\solr\security.json enthält die Konfiguration, welche die Authentifizierung für den Zugang zu WebOffice FTS-Index definiert. Falls notwendig kann der Passwortschutz durch das Löschen dieser Datei (und Neustart des Windows Dienstes VertiGIS WebOffice FTS-Index) entfernt werden.

Der Inhalt der Datei security.json kann über http://localhost:8983/solr/admin/authentication angezeigt werden.

 

Im „Security“ Bereich des Solr Admin UI (erreichbar unter http://localhost:8983/solr/#/~security) kann der Benutzername und das Passwort für den Zugang zu WebOffice FTS-Index geändert werden.

Passwort für Zugriff auf FTS-Index setzen

Passwort für Zugriff auf FTS-Index setzen

 

Die geänderten Zugangsinformationen müssen auch in der Datei ..\WebOffice FTS-Index\bin\solr.in.cmd eingetragen werden:

Konfiguration der Basic Authentication Zugangsdaten für den Start des Windows-Dienstes

Konfiguration der Basic Authentication Zugangsdaten für den Start des Windows-Dienstes

 

 

Admin-User in security.json ändern

Falls der Standard-User geändert wurde bzw. ein neuer User hinzugefügt wurde, muss dieser noch als Administrator konfiguriert werden. Diese Einstellung ist ebenfalls in der Datei ..\WebOffice\FTS-Index\server\solr\security.json vorzunehmen.

Unter "user-role" ist der weboffice-User als Admin-User vorkonfiguriert. Hier kann statt dem weboffice-User der neue User eingetragen werden. Im folgenden Screenshot wurde dem User "fts" die Rolle Admin zugewiesen.

Konfiguration eines neuen Admin-Users

Konfiguration eines neuen Admin-Users