SiteparkWiki - Benutzerbeiträge [de]

Integration des IES in den Apache

2015-05-05T16:03:13Z

CGi:

==Allgemeines==
Der IES ist i.d.R. für sämtliche Dateien im <code>DocumentRoot</code> eines Publishers zuständig. Die Dateien werden entsprechend über den Nutzer des IES angelegt. Da jedoch der Apache diese lesen bzw. über PHP verändern / ergänzen können sollte, empfehlen wir die Zugriffsrechte entsprechend einzustellen. Unter Linux kann das einfach erreicht werden, indem der Nutzer des Webservers auch in die Gruppe <code>ies</code> aufgenommen wird. Die UMASK des IES ist entsprechend voreingestellt.

==Konfiguration des ''DocumentRoot''==
Im ''DocumentRoot'' eines Publikationsbereiches werden neben den eigentlichen Artikeldaten auch noch Systemdaten der IES-Module gespeichert. Diese dienen u.a. zum Aufbau einer Sitemap o.ä.
Damit diese vor direkten URL-Aufrufen geschützt werden können, werden entsprechende ''.htaccess''-Dateien durch die Module generiert.
Hierzu muss im Apache (und im Microsoft IIS über die Erweiterung ''Helicon Ape'') die Auswertung dieser Daten erlaubt werden.

Da der IES sämtliche Daten der Module in das Unterverzeichnis ''/WEB-IES/'' speichert ist die Konfiguration wie folgt möglich:

<source lang="apache">
<VirtualHost *:80>
<Directory "....$PATH_TO_DOCUMENT_ROOT.../WEB-IES">
Options -Indexes
AllowOverride LIMIT
</Directory>
</VirtualHost>
</source>

==Allgemeine Hinweise zur Integration==
''Die Integration des [[IES]] in den "Internet Information Server" von Microsoft ist über den sog. JK-Connector prinzipiell möglich. Weitere Informationen hierzu finden Sie im Internet''

Grundsätzlich empfehlen wir sowohl unter Linux, wie auch unter Windows den Einsatz des Apache-Webservers, da wir aufgrund unserer Erfahrungen hier den besten Support liefern können.

Für die optionale Integration des [[IES]] in den Apache Webserver empfehlen wird das Apache-Modul <code>proxy_http</code>. Folgende Konfiguration kann als Vorlage dienen. Die <code>ProxyPassMatch</code> Anweisungen sind jedoch erst ab der Version 2.2.5 verfügbar.

Folgende Module sind für die unten aufgeführten Konfigurationsvorlagen notwendig:
mod_proxy
mod_proxy_balancer
mod_proxy_http
mod_lbmethod_byrequests # ab Apache 2.4 für proxy notwendig!!!
mod_rewrite
mod_ssl
mod_headers

Da Passwörter und andere vertrauliche Daten mit dem [[IES]] ausgetauscht werden, muss immer '''HTTPS''' für den Apache eingerichtet werden.

<div class="note">
Die Setzung '''ProxyPreserveHost''' legt fest, ob der ursprünglich im Request übergebene Hostname auch beim Proxy-Request angegeben wird, oder ob der Hostname der Balancer-Konfiguration verwendet wird.

Die Proxy-Regeln leiten alle relevanten Anfragen an den CMS-Server weiter. Je nach Ziel-Port, der in der Balance-Konfiguraion angegeben wird, wird der Request an den Apache oder den IES auf dem CMS-Server weitergeleitet. Wir empfehlen hier die Kommunikation über den Apache (Port 80 bei internen Requests, sonst Port 443). Soll der Zugriff direkt auf den IES erfolgen, ist folgende Anpassung der Bind-Address in der sitepark.conf notwendig: IES_BIND_ADDRESS="0.0.0.0" erforderlich. Damit ist der IES aber auch von allen anderen Rechern aus direkt erreichbar.

Im IES sind alle Domains und Aliase in den Publisher-Konfigurationen automatisch für HTTP-Anfragen gebunden, wenn diese für Live-Abfragen aktiviert wurden (''Publikationsbereich als Modul verwenden'' - Wir raten in diesem Zusammenhang dringend zu der Einschränkung auf ein bestimmtes Verzeichnis). Das bedeutet, dass alle Anfragen an eine der in den Publishern konfigurierten Domains, die an den IES geleitet werden, über den IES mit entsprechenden DocumentRoot ausgeführt werden. Aufrufe von IES-Modulen sind mit diesen URLs damit daher nicht möglich. Sollen direkt Funktionen des IES (z.B. InfoSite oder IES-API) angesprochen werden, muss der IES über einen Domain-Namen oder eine IP aufgerufen werden, die in keinen Publisher konfiguriert wurde.
</div>

==Hinweise zur Integration des IES in den Apache==
Für die Integration des IES in den Apache sollte ein eigener Virtueller Host eingerichtet werden. Für diesen Virtueller Host ist '''kein''' DocumentRoot notwendig!

===Aufruf des IES Über den Apache===

<source lang="apache">
<VirtualHost *:80>

ServerName <<cms-host>>

# Alle gültigen IES-Anfragen, die auf Port 80 erfolgen, sollten vollständig an Port 443 umgelenkt werden. Diese Aufrufe können zum einen durch
# Redakteure erfolgen, die häufig URLs ohne "https" eingeben, zum anderen aber auch durch Aufrufe, die durch SPML- bzw. JSP-Seiten erzeugt werden,
# da diese intern über "http" auf Port 8080 bearbeitet werden und keine Informationen dazu haben, dass SSL von Außen eingesetzt wird.
RedirectMatch ^(.*)$ https://<<cms-host>>$1

</VirtualHost>
<VirtualHost *:443>

ServerName <<cms-host>>

ErrorLog /var/log/apache2/<<cms-host>>.err
CustomLog /var/log/apache2/<<cms-host>>.log combined

# Infosite redirect
RewriteEngine On
RewriteRule ^/$ /ies/infosite/ [R,L]

###################################
# IES integration using mod_proxy #
###################################

# security
ProxyRequests Off

# timeout
ProxyTimeout 3600

# always keep the host header
ProxyPreserveHost On

# load balancer
<Proxy balancer://ies-balancer>
Order Deny,Allow
Allow from All
BalancerMember http://localhost:8080 timeout=3600 retry=0
</Proxy>

ProxyPassMatch ^(/ies/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
ProxyPassMatch ^(/infosite-webdav/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
ProxyPassMatch ^(/xip/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
ProxyPassMatch ^(/infosite/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On

# Innerhalb eines Virtuellen Hosts für HTTPS sollte immer der Header X-IES-SCHEME auf https gesetzt werden, da nur so
# innerhalb von IES-Applikationen ${system.baseurl} richtig aufgelöst wird. Weitere X-IES Header-Angaben sind i.d.R. nicht notwendig
#RequestHeader set X-IES-SERVER-NAME "ies.intern.net" # evtl. abweichender ServerName
#RequestHeader set X-IES-SERVER-PORT "1443" # evtl. abweichender Port
RequestHeader set X-IES-SCHEME "https"

</VirtualHost>
</source>

==Hinweise zur Integration von IES-Anfragen in dem Apache des Webservers==

===Webseiten-Apache-Konfiguration mit Zugriff auf den lokalen Webnode===
Für Zugriffe des Apache auf den lokalen IES-Webnode (z.B. für Solr-Suchen) ist folgende Konfiguration notwendig:

<source lang="apache">
<VirtualHost *:80>
...
ProxyTimeout 3600
<Proxy balancer://ies-webnode-balancer>
Order Deny,Allow
Allow from All
BalancerMember http://localhost:8381
</Proxy>
ProxyPassMatch ^(/ies-webnode/.*)$ balancer://ies-webnode-balancer$1
...
</VirtualHost>
</source>

===Webseiten-Apache-Konfiguration mit IES-API Zugriff===

Dies Konfiguration ist notwendig für:
*den I-Link im SRPC-Modus in InfoSite6
*Module und Komponenten mit Live-Abfragen (zB. Verzeichnismodul mit der Möglichkeit Objekte anzulegen)
*CityCall mit Anbindung an das Ticketsystem

<source lang="apache">
<VirtualHost *:80>

ServerName <<hostname>>
DocumentRoot ...

ErrorLog ...
CustomLog ...
...

###################################
# IES integration using mod_proxy #
###################################

# security
ProxyRequests Off

# always keep the host header
ProxyPreserveHost Off

# Bei Zugriff auf BalanceMember via HTTPS einzelne Setzungen aktivieren
SSLProxyEngine On
SSLProxyVerify none
SSLProxyCheckPeerCN Off
SSLProxyCheckPeerName Off
SSLProxyCheckPeerExpire Off

# timeout
ProxyTimeout 3600

# load balancer IES-API
<Proxy balancer://ies-api-balancer>
Order Deny,Allow
Allow from All
# Wenn lokal: BalancerMember http://localhost:8080 timeout=3600 retry=0
BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0
</Proxy>

ProxyPassMatch ^(/ies/api/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
####### oder auf bestimmte Module begrenzt: ######
# ProxyPassMatch ^(/ies/MODUL/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# Beispiele:
# ProxyPassMatch ^(/ies/formservice/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# ProxyPassMatch ^(/ies/infoticket/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# ProxyPassMatch ^(/ies/jslibs/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On

</VirtualHost>
</source>

===Webseiten-Apache-Konfiguration für Publikationsbereiche mit Live-Komponenten===

Publikationsbereiche des IES die Live-Komponenten verwenden und somit auf den IES zugreifen müssen, werden wie folgt konfiguriert.
Diese Konfiguration kann für aktuelle Anforderungen mit Zugriffen auf den IES über die IES-API nicht verwendet werden.

<source lang="apache">
<VirtualHost *:80>

ServerName ...
DocumentRoot ...

ErrorLog ...
CustomLog ...

...

###################################
# IES integration using mod_proxy #
###################################

# security
ProxyRequests Off

# always keep the host header
ProxyPreserveHost On

# timeout
ProxyTimeout 3600

# Bei Zugriff auf BalanceMember via HTTPS einzelne Setzungen aktivieren
SSLProxyEngine On
SSLProxyVerify none
SSLProxyCheckPeerCN Off
SSLProxyCheckPeerName Off
SSLProxyCheckPeerExpire Off

# load balancer
<Proxy balancer://ies-balancer>
Order Deny,Allow
Allow from All
BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0

# Alternativ kann auch direkt der Apache des CMS-Systems angesprochen werden,
# da dieser Anfragen automatisch intern an den IES weiterleitet.
#BalancerMember http://<<cms-host>>:80 timeout=3600 retry=0

# Bei Zugriff via SSL empfehlen wir die Verschlüsselung über den Apache zu konfigurieren.
# Dieser leitet dann die unverschlüsselte Anfrage an den lokalen IES (intern über Port 8080)
# Wird der BalanceMember via HTTPS angesprochen muss noch SSLProxyEngine auf ON gesetzt werden (s.o.)
#BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0
</Proxy>

# Der Ordner, der am Publisher für SPML-Live-Seiten konfiguriert wurde muss für "<<spml_live_folder>>" eingesetzt werden
ProxyPassMatch ^(/<<spml_live_folder>>/.*\.spml(;jsessionid=\w+)?(\?.*)?)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
ProxyPassMatch ^(/<<spml_live_folder>>/ies/binary/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
# danach sollte, um die taglibs und andere für den IES notwendigen Elemente NICHT vom Apache ausliefern zu lassen, der Zugriff durch den Apache verboten werden
<Directory <<DocumentRoot>>/WEB-INF>
Order deny,allow
Deny from all
</Directory>

# COUNTER
# Variante 1: RedirectMatch auf den Server (CMS muss öffentlich erreichbar sein)
#RedirectMatch ^/ies/counter(.*) https://<<cms-host>>/ies/infosite/counter$1

# Variante 2: Rewrite, wenn über eine RewriteCondition noch Bedingungen angegeben werde sollen.
# Rewrite um die Counter-Aufrufe (unabhaengig von Aliases) an das CMS (mit der konfigurierten Publisher-URL) zu schicken
RewriteEngine on

# Zugriff auf das CMS nur über den Webserver (als Proxy)
RewriteRule ^/ies/counter(.*) https://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
RewriteRule ^/infosite/counter(.*) https://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
RewriteRule ^/ies/infosite/counter(.*) https://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind

</VirtualHost>
</source>

===Alternative Variante, wenn IES-API UND SPML-Seite unterstützt werden müssen===

''Für den I-Link im SRPC-Modus in InfoSite6 muss der Zugriff auf die IES-API konfiguriert werden.''

Damit nun sowohl Live-Abfragen (SPML-Seiten im DocumentRoot eines Publishers), als auch IES-Funktionen (wie die IES-API) von einer URL aufgerufen werden können ist ein kleiner Umweg notwendig, der hier beschrieben wird:

Es ist für jede Domain, für die diese zwei Formen des Zugriffs auf den IES notwendig sind, ein eigener Domain-Name, der auf den CMS-Server zeigt notwendig. Dieser kann entweder im DNS oder auch nur in den HOST-Dateien des CMS- und Webservers eingetragen werden. Weiterhin wird dieser Domain-Name über IES-Admin als Alias im entsprecheden Publisher konfiguriert. Auch sollte der Domain-Name im Apache als ServerAlias für den IES konfiguriert werden.

Unterschiedliche Balancer-Regeln auf dem Webserver sorgen nun dafür, dass so entwerder IES-Funktionen oder Live-Funktionen des Publishers ausgeführt werden, indem entweder die Alias-URL des Publishers oder die URL des IES verwendet wird.

In dem unten aufgeführten Beispiel wird die Kommunikation via HTTPs realisiert. Der Domain-Name <<ies-alias-hostname>> und CMS-Host <<cms-host>> ist entsprechend zu ersetzen.

Beispiel:
www.stadt-goldenberg.de
<<cms-host>: ies.stadt-goldenberg.de
<<ies-alias-hostname>>: ies-www.stadt-goldenberg.de
<<spml_live_folder>>: /live

<source lang="apache">
<VirtualHost *:80>

ServerName ...
DocumentRoot ...

ErrorLog ...
CustomLog ...

...

###################################
# IES integration using mod_proxy #
###################################

# security
ProxyRequests Off

# always keep the host header
############# WICHTIG: muss auf 'Off' stehen, damit der Wert des Balancers übertragen wird #################
ProxyPreserveHost Off

# Bei Zugriff auf BalanceMember via HTTPS einzelne Setzungen aktivieren
SSLProxyEngine On
SSLProxyVerify none
SSLProxyCheckPeerCN Off
SSLProxyCheckPeerName Off
SSLProxyCheckPeerExpire Off

# timeout
ProxyTimeout 3600

# load balancer IES
<Proxy balancer://ies-balancer>
Order Deny,Allow
Allow from All
############# WICHTIG: Es muss der richtige Hostname gesetzt werden #################
BalancerMember https://<<ies-alias-hostname>>:443 timeout=3600 retry=0
</Proxy>

# Der Ordner, der am Publisher für SPML-Live-Seiten konfiguriert wurde muss für "<<spml_live_folder>>" eingesetzt werden
ProxyPassMatch ^(/<<spml_live_folder>>/.*\.spml(;jsessionid=\w+)?(\?.*)?)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
ProxyPassMatch ^(/<<spml_live_folder>>/ies/binary/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
# danach sollte, um die taglibs und andere für den IES notwendigen Elemente NICHT vom Apache ausliefern zu lassen, der Zugriff durch den Apache verboten werden
<Directory <<DocumentRoot>>/WEB-INF>
Order deny,allow
Deny from all
</Directory>

# load balancer IES-API
<Proxy balancer://ies-api-balancer>
Order Deny,Allow
Allow from All
# Wenn lokal: BalancerMember http://localhost:8080 timeout=3600 retry=0
BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0
</Proxy>
ProxyPassMatch ^(/ies/api/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
####### weitere Module ######
# ProxyPassMatch ^(/ies/MODUL/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# Beispiele:
# ProxyPassMatch ^(/ies/formservice/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# ProxyPassMatch ^(/ies/infoticket/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# ProxyPassMatch ^(/ies/jslibs/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On

# COUNTER
# Variante 1: RedirectMatch auf den Server (CMS muss öffentlich erreichbar sein)
#RedirectMatch ^/ies/counter(.*) https://<<cms-host>>/ies/infosite/counter$1

# Variante 2: Rewrite, wenn über eine RewriteCondition noch Bedingungen angegeben werde sollen.
# Rewrite um die Counter-Aufrufe (unabhaengig von Aliases) an das CMS (mit der konfigurierten Publisher-URL) zu schicken
RewriteEngine on

# Zugriff auf das CMS nur über den Webserver (als Proxy)
RewriteRule ^/ies/counter(.*) http[s]://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
RewriteRule ^/infosite/counter(.*) http[s]://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
RewriteRule ^/ies/infosite/counter(.*) http[s]://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind

</VirtualHost>
</source>

=== Apache-Konfiguration Version < 2.2.5 ===

Bei älteren Apache-Versionen (< Version 2.2.5) ist unter Umständen statt einer <code>ProxyPassMatch</code> eine <code>RewriteRule</code> einzusetzen:

<source lang="apache">
###################################
# IES integration using mod_proxy #
###################################

# security
ProxyRequests Off

# always keep the host header
ProxyPreserveHost On

# timeout
ProxyTimeout 3600

# load balancer
<Proxy balancer://ies-balancer>
Order Deny,Allow
Allow from All
BalancerMember http://localhost:8080 timeout=3600 retry=0
</Proxy>

RewriteEngine On
RewriteRule ^(/<<spml_live_folder>>/.*\.spml(;jsessionid=\w+)?(\?.*)?) balancer://ies-balancer$1 [P]
RewriteRule ^(/<<spml_live_folder>>/ies/binary/.*)$ balancer://ies-balancer$1 [P]
# danach sollte, um die taglibs und andere für den IES notwendigen Elemente NICHT vom Apache ausliefern zu lassen, der Zugriff durch den Apache verboten werden
<Directory <<DocumentRoot>>/WEB-INF>
Order deny,allow
Deny from all
</Directory>

RewriteRule ^(/infosite-webdav/.*)$ balancer://ies-balancer$1 [P]

# Innerhalb eines Virtuellen Hosts für HTTPS sollte immer der
# Header X-IES-SCHEME auf https gesetzt werden,
# da nur so innerhalb von IES-Applikationen ${system.baseurl}
# richtig aufgelöst wird.
#RequestHeader set X-IES-SCHEME "https"
</source>

=== Counter Konfiguration für einen Virtual-Host, der von verschiedenen CMS-Server geschrieben wird (z.B. für CityCall115). ===
In der Virtual-Host Konfiguration des Webservers genügt dieser Eintrag für die Weiterleitung der Counter-Aufrufe:
<source lang="apache">
...
# Alle Counter-Requests an eine vom CMS gepflegte PHP-Seite:
RewriteRule ^/ies/counter(.*) /counter.php$1 [L,NE]
...
</source>

Hier der Inhalt der php Seite 'counter.php' am Beispiel CityCall für Wuppertal/Remscheid/Solingen
<source lang="php">
<?php
if (!empty($_GET)) {
$client = substr(htmlspecialchars($_GET["SYS_CNTR_id"]),0,5);
$prefix = "";

// Für den Fall, dass es auch auf Testservern eingesetzt wird
if (strrpos($_SERVER['SERVER_NAME'],"test")) {
$prefix = ".test";
}

$url = null;

//
// Unterscheide anhand der Server- und ClientId des übergebenen
// Counter-Artikels die Server für die Weiterleitung

// Wuppertal
if ($client === "10237") {
$url = "http://cms-w".$prefix.".wuppertal.de/ies/infosite/counter";

// Remscheid
} else if ($client === "14638") {
$url = "http://cms-rs".$prefix.".remscheid.de/ies/infosite/counter";

// Solingen
} else if ($client === "15601") {
$url = "http://cms-sg".$prefix.".solingen.de/ies/infosite/counter";
}

// Die Parameter des Aufrufes ergänzen und die Seite mit einem Timeout (3 bis 5 Sekunden) aufrufen.
if ($url !== null) {
$url .= "?".$_SERVER['QUERY_STRING'];

$context = stream_context_create(array("http" => array("timeout" => 3)));
return file_get_contents($url, NULL, $context);
}
}
?>
</source>

== Integration eines sog. Client Zertifikats für die Kommunikation mit dem CMS-Server (optionale Konfiguration) ==

Um dem Webserver zu gestatten sich dem CMS gegenüber als valider Client zu authentifizieren kann ein client-Zertifikat eingebunden werden.
Allgemein empfiehlt sich das genaue Studium der Apache-Doku zu diesem Thema: http://httpd.apache.org/docs/2.4/ssl/ssl_howto.html

Folgendes Szenario wird hier exemplarisch vorgestellt:
Web-Client <--> öffentlicher Webserver mit Client-Zertifikat <-- HTTPS --> CMS-Server intern
D.h. der Webbrowser sendet über den öffentlichen Webserver als Proxy seine Anforderungen an das CMS.
Dabei verwendet der Proxy das konfigurierte Client-Zertifikat, um sich dem CMS-Server gegenüber zu autorisieren.
Ob der Webbrowser über HTTP oder HTTPS mit dem Proxy kommuniziert ist unerheblich. Die Kommunikation mit dem CMS erfolgt immer über HTTPS.

=== Konfiguration auf dem öffentlichen Webserver / Proxy ===

Zunächst wird eine Datei both.pem aus dem nicht verschlüsselten Zertifikat und dem zugehörigen Schlüssel erzeugt:
<pre> cat client.pem client.key > both.pem </pre>

Diese Datei wird als Client-Zertifikat eingebunden, z.B.:

<source lang="apache">
SSLProxyMachineCertificateFile /etc/httpd/ssl/both.pem
</source>

=== Konfiguration auf dem CMS-System ===

Bei der klassischen SSL-Konfiguration muss dem Server zusätzlich das Haupt-CA-Zertifikat CA.pem, mit dem die Client-Schlüssel erzeugt wurden,
bekannt gemacht werden:

<source lang="apache">
SSLEngine on
SSLProxyEngine on
SSLCipherSuite ALL:!ADH:!EXPORT:+RSA:+HIGH:+MEDIUM:-RC4:-LOW
SSLProtocol All -SSLv2 -SSLv3
SSLCertificateFile /etc/httpd/ssl/server.cert
SSLCertificateKeyFile /etc/httpd/ssl/server.key
SSLCACertificateFile /etc/httpd/ssl/CA/CA.pem
</source>

In dem betreffenden geschützten Verzeichnis ist dann eine Art Schein-Basic-Authentication nach dem folgenden Muster einzurichten:

<source lang="apache">
<Directory /webserver-path>
SSLVerifyClient require
SSLVerifyDepth 5
SSLOptions +FakeBasicAuth
SSLRequireSSL
AuthName "Secure Area"
AuthType basic
AuthBasicProvider file
AuthUserFile .htpasswd
Require valid-user
ErrorDocument 403 "You need a client side certificate issued by CAcert to access this site"
</Directory>
</source>

Es wird also gegen die .htpasswd-Datei authentifiziert, in welcher alle validen Client-Zertifikate eingetragen sein müssen.

=== .htpasswd-Beispiel für die Client-Authentifizierung ===

Ist für den Client der CommonName '/C=DE/ST=NRW/L=M\xC3\xBCnster/O=SitePark GmbH/OU=Administration/CN=MyClient' vergeben worden,
so lautet der Inhalt der .htpasswd :

<source lang="text">
/C=DE/ST=NRW/L=M\xC3\xBCnster/O=SitePark GmbH/OU=Administration/CN=MyClient:xxj31ZMTZzkVA
</source>

Das Passwort entspricht dabei der DES-verschlüsselten Zeichenkette "password". Es wird anscheinend nicht wirklich benutzt.

<noinclude>
[[Kategorie:Installation| 300]]
[[Kategorie:Administration und Konfiguration]]
</noinclude>

Integration des IES in den Apache

2015-05-05T16:02:15Z

CGi:

==Allgemeines==
Der IES ist i.d.R. für sämtliche Dateien im <code>DocumentRoot</code> eines Publishers zuständig. Die Dateien werden entsprechend über den Nutzer des IES angelegt. Da jedoch der Apache diese lesen bzw. über PHP verändern / ergänzen können sollte, empfehlen wir die Zugriffsrechte entsprechend einzustellen. Unter Linux kann das einfach erreicht werden, indem der Nutzer des Webservers auch in die Gruppe <code>ies</code> aufgenommen wird. Die UMASK des IES ist entsprechend voreingestellt.

==Konfiguration des ''DocumentRoot''==
Im ''DocumentRoot'' eines Publikationsbereiches werden neben den eigentlichen Artikeldaten auch noch Systemdaten der IES-Module gespeichert. Diese dienen u.a. zum Aufbau einer Sitemap o.ä.
Damit diese vor direkten URL-Aufrufen geschützt werden können, werden entsprechende ''.htaccess''-Dateien durch die Module generiert.
Hierzu muss im Apache (und im Microsoft IIS über die Erweiterung ''Helicon Ape'') die Auswertung dieser Daten erlaubt werden.

Da der IES sämtliche Daten der Module in das Unterverzeichnis ''/WEB-IES/'' speichert ist die Konfiguration wie folgt möglich:

<source lang="apache">
<VirtualHost *:80>
<Directory "....$PATH_TO_DOCUMENT_ROOT.../WEB-IES">
Options -Indexes
AllowOverride LIMIT
</Directory>
</VirtualHost>
</source>

==Allgemeine Hinweise zur Integration==
''Die Integration des [[IES]] in den "Internet Information Server" von Microsoft ist über den sog. JK-Connector prinzipiell möglich. Weitere Informationen hierzu finden Sie im Internet''

Grundsätzlich empfehlen wir sowohl unter Linux, wie auch unter Windows den Einsatz des Apache-Webservers, da wir aufgrund unserer Erfahrungen hier den besten Support liefern können.

Für die optionale Integration des [[IES]] in den Apache Webserver empfehlen wird das Apache-Modul <code>proxy_http</code>. Folgende Konfiguration kann als Vorlage dienen. Die <code>ProxyPassMatch</code> Anweisungen sind jedoch erst ab der Version 2.2.5 verfügbar.

Folgende Module sind für die unten aufgeführten Konfigurationsvorlagen notwendig:
mod_proxy
mod_proxy_balancer
mod_proxy_http
mod_lbmethod_byrequests # ab Apache 2.4 für proxy notwendig!!!
mod_rewrite
mod_ssl
mod_headers

Da Passwörter und andere vertrauliche Daten mit dem [[IES]] ausgetauscht werden, muss immer '''HTTPS''' für den Apache eingerichtet werden.

<div class="note">
Die Setzung '''ProxyPreserveHost''' legt fest, ob der ursprünglich im Request übergebene Hostname auch beim Proxy-Request angegeben wird, oder ob der Hostname der Balancer-Konfiguration verwendet wird.

Die Proxy-Regeln leiten alle relevanten Anfragen an den CMS-Server weiter. Je nach Ziel-Port, der in der Balance-Konfiguraion angegeben wird, wird der Request an den Apache oder den IES auf dem CMS-Server weitergeleitet. Wir empfehlen hier die Kommunikation über den Apache (Port 80 bei internen Requests, sonst Port 443). Soll der Zugriff direkt auf den IES erfolgen, ist folgende Anpassung der Bind-Address in der sitepark.conf notwendig: IES_BIND_ADDRESS="0.0.0.0" erforderlich. Damit ist der IES aber auch von allen anderen Rechern aus direkt erreichbar.

Im IES sind alle Domains und Aliase in den Publisher-Konfigurationen automatisch für HTTP-Anfragen gebunden, wenn diese für Live-Abfragen aktiviert wurden (''Publikationsbereich als Modul verwenden'' - Wir raten in diesem Zusammenhang dringend zu der Einschränkung auf ein bestimmtes Verzeichnis). Das bedeutet, dass alle Anfragen an eine der in den Publishern konfigurierten Domains, die an den IES geleitet werden, über den IES mit entsprechenden DocumentRoot ausgeführt werden. Aufrufe von IES-Modulen sind mit diesen URLs damit daher nicht möglich. Sollen direkt Funktionen des IES (z.B. InfoSite oder IES-API) angesprochen werden, muss der IES über einen Domain-Namen oder eine IP aufgerufen werden, die in keinen Publisher konfiguriert wurde.
</div>

==Hinweise zur Integration des IES in den Apache==
Für die Integration des IES in den Apache sollte ein eigener Virtueller Host eingerichtet werden. Für diesen Virtueller Host ist '''kein''' DocumentRoot notwendig!

===Aufruf des IES Über den Apache===

<source lang="apache">
<VirtualHost *:80>

ServerName <<cms-host>>

# Alle gültigen IES-Anfragen, die auf Port 80 erfolgen, sollten vollständig an Port 443 umgelenkt werden. Diese Aufrufe können zum einen durch
# Redakteure erfolgen, die häufig URLs ohne "https" eingeben, zum anderen aber auch durch Aufrufe, die durch SPML- bzw. JSP-Seiten erzeugt werden,
# da diese intern über "http" auf Port 8080 bearbeitet werden und keine Informationen dazu haben, dass SSL von Außen eingesetzt wird.
RedirectMatch ^(.*)$ https://<<cms-host>>$1

</VirtualHost>
<VirtualHost *:443>

ServerName <<cms-host>>

ErrorLog /var/log/apache2/<<cms-host>>.err
CustomLog /var/log/apache2/<<cms-host>>.log combined

# Infosite redirect
RewriteEngine On
RewriteRule ^/$ /ies/infosite/ [R,L]

###################################
# IES integration using mod_proxy #
###################################

# security
ProxyRequests Off

# timeout
ProxyTimeout 3600

# always keep the host header
ProxyPreserveHost On

# load balancer
<Proxy balancer://ies-balancer>
Order Deny,Allow
Allow from All
BalancerMember http://localhost:8080 timeout=3600 retry=0
</Proxy>

ProxyPassMatch ^(/ies/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
ProxyPassMatch ^(/infosite-webdav/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
ProxyPassMatch ^(/xip/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
ProxyPassMatch ^(/infosite/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On

# Innerhalb eines Virtuellen Hosts für HTTPS sollte immer der Header X-IES-SCHEME auf https gesetzt werden, da nur so
# innerhalb von IES-Applikationen ${system.baseurl} richtig aufgelöst wird. Weitere X-IES Header-Angaben sind i.d.R. nicht notwendig
#RequestHeader set X-IES-SERVER-NAME "ies.intern.net" # evtl. abweichender ServerName
#RequestHeader set X-IES-SERVER-PORT "1443" # evtl. abweichender Port
RequestHeader set X-IES-SCHEME "https"

</VirtualHost>
</source>

==Hinweise zur Integration von IES-Anfragen in dem Apache des Webservers==

===Webseiten-Apache-Konfiguration mit Zugriff auf den lokalen Webnode===
Für Zugriffe des Apache auf den lokalen IES-Webnode (z.B. für Solr-Suchen) ist folgende Konfiguration notwendig:

<source lang="apache">
<VirtualHost *:80>
...
ProxyTimeout 3600
<Proxy balancer://ies-webnode-balancer>
Order Deny,Allow
Allow from All
BalancerMember http://localhost:8381
</Proxy>
ProxyPassMatch ^(/ies-webnode/.*)$ balancer://ies-webnode-balancer$1
...
</VirtualHost>
</source>

===Webseiten-Apache-Konfiguration mit IES-API Zugriff===

Dies Konfiguration ist notwendig für:
*den I-Link im SRPC-Modus in InfoSite6
*Module und Komponenten mit Live-Abfragen (zB. Verzeichnismodul mit der Möglichkeit Objekte anzulegen)
*CityCall mit Anbindung an das Ticketsystem

<source lang="apache">
<VirtualHost *:80>

ServerName <<hostname>>
DocumentRoot ...

ErrorLog ...
CustomLog ...
...

###################################
# IES integration using mod_proxy #
###################################

# security
ProxyRequests Off

# always keep the host header
ProxyPreserveHost Off

# Bei Zugriff auf BalanceMember via HTTPS einzelne Setzungen aktivieren
SSLProxyEngine On
SSLProxyVerify none
SSLProxyCheckPeerCN Off
SSLProxyCheckPeerName Off
SSLProxyCheckPeerExpire Off

# timeout
ProxyTimeout 3600

# load balancer IES-API
<Proxy balancer://ies-api-balancer>
Order Deny,Allow
Allow from All
# Wenn lokal: BalancerMember http://localhost:8080 timeout=3600 retry=0
BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0
</Proxy>

ProxyPassMatch ^(/ies/api/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
####### oder auf bestimmte Module begrenzt: ######
# ProxyPassMatch ^(/ies/MODUL/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# Beispiele:
# ProxyPassMatch ^(/ies/formservice/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# ProxyPassMatch ^(/ies/infoticket/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# ProxyPassMatch ^(/ies/jslibs/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On

</VirtualHost>
</source>

===Webseiten-Apache-Konfiguration für Publikationsbereiche mit Live-Komponenten===

Publikationsbereiche des IES die Live-Komponenten verwenden und somit auf den IES zugreifen müssen, werden wie folgt konfiguriert.
Diese Konfiguration kann für aktuelle Anforderungen mit Zugriffen auf den IES über die IES-API nicht verwendet werden.

<source lang="apache">
<VirtualHost *:80>

ServerName ...
DocumentRoot ...

ErrorLog ...
CustomLog ...

...

###################################
# IES integration using mod_proxy #
###################################

# security
ProxyRequests Off

# always keep the host header
ProxyPreserveHost On

# timeout
ProxyTimeout 3600

# Bei Zugriff auf BalanceMember via HTTPS einzelne Setzungen aktivieren
SSLProxyEngine On
SSLProxyVerify none
SSLProxyCheckPeerCN Off
SSLProxyCheckPeerName Off
SSLProxyCheckPeerExpire Off

# load balancer
<Proxy balancer://ies-balancer>
Order Deny,Allow
Allow from All
BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0

# Alternativ kann auch direkt der Apache des CMS-Systems angesprochen werden,
# da dieser Anfragen automatisch intern an den IES weiterleitet.
#BalancerMember http://<<cms-host>>:80 timeout=3600 retry=0

# Bei Zugriff via SSL empfehlen wir die Verschlüsselung über den Apache zu konfigurieren.
# Dieser leitet dann die unverschlüsselte Anfrage an den lokalen IES (intern über Port 8080)
# Wird der BalanceMember via HTTPS angesprochen muss noch SSLProxyEngine auf ON gesetzt werden (s.o.)
#BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0
</Proxy>

# Der Ordner, der am Publisher für SPML-Live-Seiten konfiguriert wurde muss für "<<spml_live_folder>>" eingesetzt werden
ProxyPassMatch ^(/<<spml_live_folder>>/.*\.spml(;jsessionid=\w+)?(\?.*)?)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
ProxyPassMatch ^(/<<spml_live_folder>>/ies/binary/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
# danach sollte, um die taglibs und andere für den IES notwendigen Elemente NICHT vom Apache ausliefern zu lassen, der Zugriff durch den Apache verboten werden
<Directory <<DocumentRoot>>/WEB-INF>
Order deny,allow
Deny from all
</Directory>

# COUNTER
# Variante 1: RedirectMatch auf den Server (CMS muss öffentlich erreichbar sein)
#RedirectMatch ^/ies/counter(.*) https://<<cms-host>>/ies/infosite/counter$1

# Variante 2: Rewrite, wenn über eine RewriteCondition noch Bedingungen angegeben werde sollen.
# Rewrite um die Counter-Aufrufe (unabhaengig von Aliases) an das CMS (mit der konfigurierten Publisher-URL) zu schicken
RewriteEngine on

# Zugriff auf das CMS nur über den Webserver (als Proxy)
RewriteRule ^/ies/counter(.*) https://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
RewriteRule ^/infosite/counter(.*) https://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
RewriteRule ^/ies/infosite/counter(.*) https://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind

</VirtualHost>
</source>

===Alternative Variante, wenn IES-API UND SPML-Seite unterstützt werden müssen===

''Für den I-Link im SRPC-Modus in InfoSite6 muss der Zugriff auf die IES-API konfiguriert werden.''

Damit nun sowohl Live-Abfragen (SPML-Seiten im DocumentRoot eines Publishers), als auch IES-Funktionen (wie die IES-API) von einer URL aufgerufen werden können ist ein kleiner Umweg notwendig, der hier beschrieben wird:

Es ist für jede Domain, für die diese zwei Formen des Zugriffs auf den IES notwendig sind, ein eigener Domain-Name, der auf den CMS-Server zeigt notwendig. Dieser kann entweder im DNS oder auch nur in den HOST-Dateien des CMS- und Webservers eingetragen werden. Weiterhin wird dieser Domain-Name über IES-Admin als Alias im entsprecheden Publisher konfiguriert. Auch sollte der Domain-Name im Apache als ServerAlias für den IES konfiguriert werden.

Unterschiedliche Balancer-Regeln auf dem Webserver sorgen nun dafür, dass so entwerder IES-Funktionen oder Live-Funktionen des Publishers ausgeführt werden, indem entweder die Alias-URL des Publishers oder die URL des IES verwendet wird.

In dem unten aufgeführten Beispiel wird die Kommunikation via HTTPs realisiert. Der Domain-Name <<ies-alias-hostname>> und CMS-Host <<cms-host>> ist entsprechend zu ersetzen.

Beispiel:
www.stadt-goldenberg.de
<<cms-host>: ies.stadt-goldenberg.de
<<ies-alias-hostname>>: ies-www.stadt-goldenberg.de
<<spml_live_folder>>: /live

<source lang="apache">
<VirtualHost *:80>

ServerName ...
DocumentRoot ...

ErrorLog ...
CustomLog ...

...

###################################
# IES integration using mod_proxy #
###################################

# security
ProxyRequests Off

# always keep the host header
############# WICHTIG: muss auf 'Off' stehen, damit der Wert des Balancers übertragen wird #################
ProxyPreserveHost Off

# Bei Zugriff auf BalanceMember via HTTPS einzelne Setzungen aktivieren
SSLProxyEngine On
SSLProxyVerify none
SSLProxyCheckPeerCN Off
SSLProxyCheckPeerName Off
SSLProxyCheckPeerExpire Off

# timeout
ProxyTimeout 3600

# load balancer IES
<Proxy balancer://ies-balancer>
Order Deny,Allow
Allow from All
############# WICHTIG: Es muss der richtige Hostname gesetzt werden #################
BalancerMember https://<<ies-alias-hostname>>:443 timeout=3600 retry=0
</Proxy>

# Der Ordner, der am Publisher für SPML-Live-Seiten konfiguriert wurde muss für "<<spml_live_folder>>" eingesetzt werden
ProxyPassMatch ^(/<<spml_live_folder>>/.*\.spml(;jsessionid=\w+)?(\?.*)?)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
ProxyPassMatch ^(/<<spml_live_folder>>/ies/binary/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
# danach sollte, um die taglibs und andere für den IES notwendigen Elemente NICHT vom Apache ausliefern zu lassen, der Zugriff durch den Apache verboten werden
<Directory <<DocumentRoot>>/WEB-INF>
Order deny,allow
Deny from all
</Directory>

# load balancer IES-API
<Proxy balancer://ies-api-balancer>
Order Deny,Allow
Allow from All
# Wenn lokal: BalancerMember http://localhost:8080 timeout=3600 retry=0
BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0
</Proxy>
ProxyPassMatch ^(/ies/api/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
####### weitere Module ######
# ProxyPassMatch ^(/ies/MODUL/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# Beispiele:
# ProxyPassMatch ^(/ies/formservice/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# ProxyPassMatch ^(/ies/infoticket/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# ProxyPassMatch ^(/ies/jslibs/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On

# COUNTER
# Variante 1: RedirectMatch auf den Server (CMS muss öffentlich erreichbar sein)
#RedirectMatch ^/ies/counter(.*) https://<<cms-host>>/ies/infosite/counter$1

# Variante 2: Rewrite, wenn über eine RewriteCondition noch Bedingungen angegeben werde sollen.
# Rewrite um die Counter-Aufrufe (unabhaengig von Aliases) an das CMS (mit der konfigurierten Publisher-URL) zu schicken
RewriteEngine on

# Zugriff auf das CMS nur über den Webserver (als Proxy)
RewriteRule ^/ies/counter(.*) http[s]://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
RewriteRule ^/infosite/counter(.*) http[s]://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
RewriteRule ^/ies/infosite/counter(.*) http[s]://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind

</VirtualHost>
</source>

=== Apache-Konfiguration Version < 2.2.5 ===

Bei älteren Apache-Versionen (< Version 2.2.5) ist unter Umständen statt einer <code>ProxyPassMatch</code> eine <code>RewriteRule</code> einzusetzen:

<source lang="apache">
###################################
# IES integration using mod_proxy #
###################################

# security
ProxyRequests Off

# always keep the host header
ProxyPreserveHost On

# timeout
ProxyTimeout 3600

# load balancer
<Proxy balancer://ies-balancer>
Order Deny,Allow
Allow from All
BalancerMember http://localhost:8080 timeout=3600 retry=0
</Proxy>

RewriteEngine On
RewriteRule ^(/<<spml_live_folder>>/.*\.spml(;jsessionid=\w+)?(\?.*)?) balancer://ies-balancer$1 [P]
RewriteRule ^(/<<spml_live_folder>>/ies/binary/.*)$ balancer://ies-balancer$1 [P]
# danach sollte, um die taglibs und andere für den IES notwendigen Elemente NICHT vom Apache ausliefern zu lassen, der Zugriff durch den Apache verboten werden
<Directory <<DocumentRoot>>/WEB-INF>
Order deny,allow
Deny from all
</Directory>

RewriteRule ^(/infosite-webdav/.*)$ balancer://ies-balancer$1 [P]

# Innerhalb eines Virtuellen Hosts für HTTPS sollte immer der
# Header X-IES-SCHEME auf https gesetzt werden,
# da nur so innerhalb von IES-Applikationen ${system.baseurl}
# richtig aufgelöst wird.
#RequestHeader set X-IES-SCHEME "https"
</source>

=== Counter Konfiguration für einen Virtual-Host, der von verschiedenen CMS-Server geschrieben wird (z.B. für CityCall115). ===
In der Virtual-Host Konfiguration des Webservers genügt dieser Eintrag für die Weiterleitung der Counter-Aufrufe:
<source lang="apache">
...
# Alle Counter-Requests an eine vom CMS gepflegte PHP-Seite:
RewriteRule ^/ies/counter(.*) /counter.php$1 [L,NE]
...
</source>

Hier der Inhalt der php Seite 'counter.php' am Beispiel CityCall für Wuppertal/Remscheid/Solingen
<source lang="php">
<?php
if (!empty($_GET)) {
$client = substr(htmlspecialchars($_GET["SYS_CNTR_id"]),0,5);
$prefix = "";

// Für den Fall, dass es auch auf Testservern eingesetzt wird
if (strrpos($_SERVER['SERVER_NAME'],"test")) {
$prefix = ".test";
}

$url = null;

//
// Unterscheide anhand der Server- und ClientId des übergebenen
// Counter-Artikels die Server für die Weiterleitung

// Wuppertal
if ($client === "10237") {
$url = "http://cms-w".$prefix.".wuppertal.de/ies/infosite/counter";

// Remscheid
} else if ($client === "14638") {
$url = "http://cms-rs".$prefix.".remscheid.de/ies/infosite/counter";

// Solingen
} else if ($client === "15601") {
$url = "http://cms-sg".$prefix.".solingen.de/ies/infosite/counter";
}

// Die Parameter des Aufrufes ergänzen und die Seite mit einem Timeout (3 bis 5 Sekunden) aufrufen.
if ($url !== null) {
$url .= "?".$_SERVER['QUERY_STRING'];

$context = stream_context_create(array("http" => array("timeout" => 3)));
return file_get_contents($url, NULL, $context);
}
}
?>
</source>

== Integration eines sog. Client Zertifikats für die Kommunikation mit dem CMS-Server (optionale Konfiguration) ==

Um dem Webserver zu gestatten sich dem CMS gegenüber als valider Client zu authentifizieren kann ein client-Zertifikat eingebunden werden.
Allgemein empfiehlt sich das genaue Studium der Apache-Doku zu diesem Thema: http://httpd.apache.org/docs/2.4/ssl/ssl_howto.html

Folgendes Szenario wird hier exemplarisch vorgestellt:
Web-Client <--> öffentlicher Webserver mit Client-Zertifikat <-- HTTPS --> CMS-Server intern
D.h. der Webbrowser sendet über den öffentlichen Webserver als Proxy seine Anforderungen an das CMS.
Dabei verwendet der Proxy das konfigurierte Client-Zertifikat, um sich dem CMS-Server gegenüber zu autorisieren.
Ob der Webbrowser über HTTP oder HTTPS mit dem Proxy kommuniziert ist unerheblich. Die Kommunikation mit dem CMS erfolgt immer über HTTPS.

=== Konfiguration auf dem öffentlichen Webserver / Proxy ===

Zunächst wird eine Datei both.pem aus dem nicht verschlüsselten Zertifikat und dem zugehörigen Schlüssel erzeugt:
<pre> cat client.pem client.key > both.pem </pre>

Diese Datei wird als Client-Zertifikat eingebunden, z.B.:

<source lang="apache">
SSLProxyMachineCertificateFile /etc/httpd/ssl/both.pem
</source>

=== Konfiguration auf dem CMS-System ===

Bei der klassischen SSL-Konfiguration muss dem Server zusätzlich das Haupt-CA-Zertifikat CA.pem, mit dem die Client-Schlüssel erzeugt wurden,
bekannt gemacht werden:

<source lang="apache">
SSLEngine on
SSLProxyEngine on
SSLCipherSuite ALL:!ADH:!EXPORT:+RSA:+HIGH:+MEDIUM:-RC4:-LOW
SSLProtocol All -SSLv2 -SSLv3
SSLCertificateFile /etc/httpd/ssl/server.cert
SSLCertificateKeyFile /etc/httpd/ssl/server.key
SSLCACertificateFile /etc/httpd/ssl/CA/CA.pem
</source>

In dem betreffenden geschützten Verzeichnis ist dann eine Art Schein-Basic-Authentication nach dem folgenden Muster einzurichten:

<source lang="apache">
<Directory /webserver-path>
SSLVerifyClient require
SSLVerifyDepth 5
SSLOptions +FakeBasicAuth
SSLRequireSSL
AuthName "Secure Area"
AuthType basic
AuthBasicProvider file
AuthUserFile .htpasswd
Require valid-user
ErrorDocument 403 "You need a client side certificate issued by CAcert to access this site"
</Directory>
</source>

Es wird also gegen die .htpasswd-Datei authentifiziert, in welcher alle validen Client-Zertifikate eingetragen sein müssen.

=== Beispiel Client ===

Ist für den Client der CommonName '/C=DE/ST=NRW/L=M\xC3\xBCnster/O=SitePark GmbH/OU=Administration/CN=MyClient' vergeben worden,
so lautet der Inhalt der .htpasswd :

<source lang="text">
/C=DE/ST=NRW/L=M\xC3\xBCnster/O=SitePark GmbH/OU=Administration/CN=MyClient:xxj31ZMTZzkVA
</source>

Das Passwort entspricht dabei der DES-verschlüsselten Zeichenkette "password". Es wird anscheinend nicht wirklich benutzt.

<noinclude>
[[Kategorie:Installation| 300]]
[[Kategorie:Administration und Konfiguration]]
</noinclude>

Integration des IES in den Apache

2015-05-05T16:01:41Z

CGi:

==Allgemeines==
Der IES ist i.d.R. für sämtliche Dateien im <code>DocumentRoot</code> eines Publishers zuständig. Die Dateien werden entsprechend über den Nutzer des IES angelegt. Da jedoch der Apache diese lesen bzw. über PHP verändern / ergänzen können sollte, empfehlen wir die Zugriffsrechte entsprechend einzustellen. Unter Linux kann das einfach erreicht werden, indem der Nutzer des Webservers auch in die Gruppe <code>ies</code> aufgenommen wird. Die UMASK des IES ist entsprechend voreingestellt.

==Konfiguration des ''DocumentRoot''==
Im ''DocumentRoot'' eines Publikationsbereiches werden neben den eigentlichen Artikeldaten auch noch Systemdaten der IES-Module gespeichert. Diese dienen u.a. zum Aufbau einer Sitemap o.ä.
Damit diese vor direkten URL-Aufrufen geschützt werden können, werden entsprechende ''.htaccess''-Dateien durch die Module generiert.
Hierzu muss im Apache (und im Microsoft IIS über die Erweiterung ''Helicon Ape'') die Auswertung dieser Daten erlaubt werden.

Da der IES sämtliche Daten der Module in das Unterverzeichnis ''/WEB-IES/'' speichert ist die Konfiguration wie folgt möglich:

<source lang="apache">
<VirtualHost *:80>
<Directory "....$PATH_TO_DOCUMENT_ROOT.../WEB-IES">
Options -Indexes
AllowOverride LIMIT
</Directory>
</VirtualHost>
</source>

==Allgemeine Hinweise zur Integration==
''Die Integration des [[IES]] in den "Internet Information Server" von Microsoft ist über den sog. JK-Connector prinzipiell möglich. Weitere Informationen hierzu finden Sie im Internet''

Grundsätzlich empfehlen wir sowohl unter Linux, wie auch unter Windows den Einsatz des Apache-Webservers, da wir aufgrund unserer Erfahrungen hier den besten Support liefern können.

Für die optionale Integration des [[IES]] in den Apache Webserver empfehlen wird das Apache-Modul <code>proxy_http</code>. Folgende Konfiguration kann als Vorlage dienen. Die <code>ProxyPassMatch</code> Anweisungen sind jedoch erst ab der Version 2.2.5 verfügbar.

Folgende Module sind für die unten aufgeführten Konfigurationsvorlagen notwendig:
mod_proxy
mod_proxy_balancer
mod_proxy_http
mod_lbmethod_byrequests # ab Apache 2.4 für proxy notwendig!!!
mod_rewrite
mod_ssl
mod_headers

Da Passwörter und andere vertrauliche Daten mit dem [[IES]] ausgetauscht werden, muss immer '''HTTPS''' für den Apache eingerichtet werden.

<div class="note">
Die Setzung '''ProxyPreserveHost''' legt fest, ob der ursprünglich im Request übergebene Hostname auch beim Proxy-Request angegeben wird, oder ob der Hostname der Balancer-Konfiguration verwendet wird.

Die Proxy-Regeln leiten alle relevanten Anfragen an den CMS-Server weiter. Je nach Ziel-Port, der in der Balance-Konfiguraion angegeben wird, wird der Request an den Apache oder den IES auf dem CMS-Server weitergeleitet. Wir empfehlen hier die Kommunikation über den Apache (Port 80 bei internen Requests, sonst Port 443). Soll der Zugriff direkt auf den IES erfolgen, ist folgende Anpassung der Bind-Address in der sitepark.conf notwendig: IES_BIND_ADDRESS="0.0.0.0" erforderlich. Damit ist der IES aber auch von allen anderen Rechern aus direkt erreichbar.

Im IES sind alle Domains und Aliase in den Publisher-Konfigurationen automatisch für HTTP-Anfragen gebunden, wenn diese für Live-Abfragen aktiviert wurden (''Publikationsbereich als Modul verwenden'' - Wir raten in diesem Zusammenhang dringend zu der Einschränkung auf ein bestimmtes Verzeichnis). Das bedeutet, dass alle Anfragen an eine der in den Publishern konfigurierten Domains, die an den IES geleitet werden, über den IES mit entsprechenden DocumentRoot ausgeführt werden. Aufrufe von IES-Modulen sind mit diesen URLs damit daher nicht möglich. Sollen direkt Funktionen des IES (z.B. InfoSite oder IES-API) angesprochen werden, muss der IES über einen Domain-Namen oder eine IP aufgerufen werden, die in keinen Publisher konfiguriert wurde.
</div>

==Hinweise zur Integration des IES in den Apache==
Für die Integration des IES in den Apache sollte ein eigener Virtueller Host eingerichtet werden. Für diesen Virtueller Host ist '''kein''' DocumentRoot notwendig!

===Aufruf des IES Über den Apache===

<source lang="apache">
<VirtualHost *:80>

ServerName <<cms-host>>

# Alle gültigen IES-Anfragen, die auf Port 80 erfolgen, sollten vollständig an Port 443 umgelenkt werden. Diese Aufrufe können zum einen durch
# Redakteure erfolgen, die häufig URLs ohne "https" eingeben, zum anderen aber auch durch Aufrufe, die durch SPML- bzw. JSP-Seiten erzeugt werden,
# da diese intern über "http" auf Port 8080 bearbeitet werden und keine Informationen dazu haben, dass SSL von Außen eingesetzt wird.
RedirectMatch ^(.*)$ https://<<cms-host>>$1

</VirtualHost>
<VirtualHost *:443>

ServerName <<cms-host>>

ErrorLog /var/log/apache2/<<cms-host>>.err
CustomLog /var/log/apache2/<<cms-host>>.log combined

# Infosite redirect
RewriteEngine On
RewriteRule ^/$ /ies/infosite/ [R,L]

###################################
# IES integration using mod_proxy #
###################################

# security
ProxyRequests Off

# timeout
ProxyTimeout 3600

# always keep the host header
ProxyPreserveHost On

# load balancer
<Proxy balancer://ies-balancer>
Order Deny,Allow
Allow from All
BalancerMember http://localhost:8080 timeout=3600 retry=0
</Proxy>

ProxyPassMatch ^(/ies/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
ProxyPassMatch ^(/infosite-webdav/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
ProxyPassMatch ^(/xip/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
ProxyPassMatch ^(/infosite/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On

# Innerhalb eines Virtuellen Hosts für HTTPS sollte immer der Header X-IES-SCHEME auf https gesetzt werden, da nur so
# innerhalb von IES-Applikationen ${system.baseurl} richtig aufgelöst wird. Weitere X-IES Header-Angaben sind i.d.R. nicht notwendig
#RequestHeader set X-IES-SERVER-NAME "ies.intern.net" # evtl. abweichender ServerName
#RequestHeader set X-IES-SERVER-PORT "1443" # evtl. abweichender Port
RequestHeader set X-IES-SCHEME "https"

</VirtualHost>
</source>

==Hinweise zur Integration von IES-Anfragen in dem Apache des Webservers==

===Webseiten-Apache-Konfiguration mit Zugriff auf den lokalen Webnode===
Für Zugriffe des Apache auf den lokalen IES-Webnode (z.B. für Solr-Suchen) ist folgende Konfiguration notwendig:

<source lang="apache">
<VirtualHost *:80>
...
ProxyTimeout 3600
<Proxy balancer://ies-webnode-balancer>
Order Deny,Allow
Allow from All
BalancerMember http://localhost:8381
</Proxy>
ProxyPassMatch ^(/ies-webnode/.*)$ balancer://ies-webnode-balancer$1
...
</VirtualHost>
</source>

===Webseiten-Apache-Konfiguration mit IES-API Zugriff===

Dies Konfiguration ist notwendig für:
*den I-Link im SRPC-Modus in InfoSite6
*Module und Komponenten mit Live-Abfragen (zB. Verzeichnismodul mit der Möglichkeit Objekte anzulegen)
*CityCall mit Anbindung an das Ticketsystem

<source lang="apache">
<VirtualHost *:80>

ServerName <<hostname>>
DocumentRoot ...

ErrorLog ...
CustomLog ...
...

###################################
# IES integration using mod_proxy #
###################################

# security
ProxyRequests Off

# always keep the host header
ProxyPreserveHost Off

# Bei Zugriff auf BalanceMember via HTTPS einzelne Setzungen aktivieren
SSLProxyEngine On
SSLProxyVerify none
SSLProxyCheckPeerCN Off
SSLProxyCheckPeerName Off
SSLProxyCheckPeerExpire Off

# timeout
ProxyTimeout 3600

# load balancer IES-API
<Proxy balancer://ies-api-balancer>
Order Deny,Allow
Allow from All
# Wenn lokal: BalancerMember http://localhost:8080 timeout=3600 retry=0
BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0
</Proxy>

ProxyPassMatch ^(/ies/api/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
####### oder auf bestimmte Module begrenzt: ######
# ProxyPassMatch ^(/ies/MODUL/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# Beispiele:
# ProxyPassMatch ^(/ies/formservice/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# ProxyPassMatch ^(/ies/infoticket/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# ProxyPassMatch ^(/ies/jslibs/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On

</VirtualHost>
</source>

===Webseiten-Apache-Konfiguration für Publikationsbereiche mit Live-Komponenten===

Publikationsbereiche des IES die Live-Komponenten verwenden und somit auf den IES zugreifen müssen, werden wie folgt konfiguriert.
Diese Konfiguration kann für aktuelle Anforderungen mit Zugriffen auf den IES über die IES-API nicht verwendet werden.

<source lang="apache">
<VirtualHost *:80>

ServerName ...
DocumentRoot ...

ErrorLog ...
CustomLog ...

...

###################################
# IES integration using mod_proxy #
###################################

# security
ProxyRequests Off

# always keep the host header
ProxyPreserveHost On

# timeout
ProxyTimeout 3600

# Bei Zugriff auf BalanceMember via HTTPS einzelne Setzungen aktivieren
SSLProxyEngine On
SSLProxyVerify none
SSLProxyCheckPeerCN Off
SSLProxyCheckPeerName Off
SSLProxyCheckPeerExpire Off

# load balancer
<Proxy balancer://ies-balancer>
Order Deny,Allow
Allow from All
BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0

# Alternativ kann auch direkt der Apache des CMS-Systems angesprochen werden,
# da dieser Anfragen automatisch intern an den IES weiterleitet.
#BalancerMember http://<<cms-host>>:80 timeout=3600 retry=0

# Bei Zugriff via SSL empfehlen wir die Verschlüsselung über den Apache zu konfigurieren.
# Dieser leitet dann die unverschlüsselte Anfrage an den lokalen IES (intern über Port 8080)
# Wird der BalanceMember via HTTPS angesprochen muss noch SSLProxyEngine auf ON gesetzt werden (s.o.)
#BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0
</Proxy>

# Der Ordner, der am Publisher für SPML-Live-Seiten konfiguriert wurde muss für "<<spml_live_folder>>" eingesetzt werden
ProxyPassMatch ^(/<<spml_live_folder>>/.*\.spml(;jsessionid=\w+)?(\?.*)?)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
ProxyPassMatch ^(/<<spml_live_folder>>/ies/binary/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
# danach sollte, um die taglibs und andere für den IES notwendigen Elemente NICHT vom Apache ausliefern zu lassen, der Zugriff durch den Apache verboten werden
<Directory <<DocumentRoot>>/WEB-INF>
Order deny,allow
Deny from all
</Directory>

# COUNTER
# Variante 1: RedirectMatch auf den Server (CMS muss öffentlich erreichbar sein)
#RedirectMatch ^/ies/counter(.*) https://<<cms-host>>/ies/infosite/counter$1

# Variante 2: Rewrite, wenn über eine RewriteCondition noch Bedingungen angegeben werde sollen.
# Rewrite um die Counter-Aufrufe (unabhaengig von Aliases) an das CMS (mit der konfigurierten Publisher-URL) zu schicken
RewriteEngine on

# Zugriff auf das CMS nur über den Webserver (als Proxy)
RewriteRule ^/ies/counter(.*) https://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
RewriteRule ^/infosite/counter(.*) https://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
RewriteRule ^/ies/infosite/counter(.*) https://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind

</VirtualHost>
</source>

===Alternative Variante, wenn IES-API UND SPML-Seite unterstützt werden müssen===

''Für den I-Link im SRPC-Modus in InfoSite6 muss der Zugriff auf die IES-API konfiguriert werden.''

Damit nun sowohl Live-Abfragen (SPML-Seiten im DocumentRoot eines Publishers), als auch IES-Funktionen (wie die IES-API) von einer URL aufgerufen werden können ist ein kleiner Umweg notwendig, der hier beschrieben wird:

Es ist für jede Domain, für die diese zwei Formen des Zugriffs auf den IES notwendig sind, ein eigener Domain-Name, der auf den CMS-Server zeigt notwendig. Dieser kann entweder im DNS oder auch nur in den HOST-Dateien des CMS- und Webservers eingetragen werden. Weiterhin wird dieser Domain-Name über IES-Admin als Alias im entsprecheden Publisher konfiguriert. Auch sollte der Domain-Name im Apache als ServerAlias für den IES konfiguriert werden.

Unterschiedliche Balancer-Regeln auf dem Webserver sorgen nun dafür, dass so entwerder IES-Funktionen oder Live-Funktionen des Publishers ausgeführt werden, indem entweder die Alias-URL des Publishers oder die URL des IES verwendet wird.

In dem unten aufgeführten Beispiel wird die Kommunikation via HTTPs realisiert. Der Domain-Name <<ies-alias-hostname>> und CMS-Host <<cms-host>> ist entsprechend zu ersetzen.

Beispiel:
www.stadt-goldenberg.de
<<cms-host>: ies.stadt-goldenberg.de
<<ies-alias-hostname>>: ies-www.stadt-goldenberg.de
<<spml_live_folder>>: /live

<source lang="apache">
<VirtualHost *:80>

ServerName ...
DocumentRoot ...

ErrorLog ...
CustomLog ...

...

###################################
# IES integration using mod_proxy #
###################################

# security
ProxyRequests Off

# always keep the host header
############# WICHTIG: muss auf 'Off' stehen, damit der Wert des Balancers übertragen wird #################
ProxyPreserveHost Off

# Bei Zugriff auf BalanceMember via HTTPS einzelne Setzungen aktivieren
SSLProxyEngine On
SSLProxyVerify none
SSLProxyCheckPeerCN Off
SSLProxyCheckPeerName Off
SSLProxyCheckPeerExpire Off

# timeout
ProxyTimeout 3600

# load balancer IES
<Proxy balancer://ies-balancer>
Order Deny,Allow
Allow from All
############# WICHTIG: Es muss der richtige Hostname gesetzt werden #################
BalancerMember https://<<ies-alias-hostname>>:443 timeout=3600 retry=0
</Proxy>

# Der Ordner, der am Publisher für SPML-Live-Seiten konfiguriert wurde muss für "<<spml_live_folder>>" eingesetzt werden
ProxyPassMatch ^(/<<spml_live_folder>>/.*\.spml(;jsessionid=\w+)?(\?.*)?)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
ProxyPassMatch ^(/<<spml_live_folder>>/ies/binary/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
# danach sollte, um die taglibs und andere für den IES notwendigen Elemente NICHT vom Apache ausliefern zu lassen, der Zugriff durch den Apache verboten werden
<Directory <<DocumentRoot>>/WEB-INF>
Order deny,allow
Deny from all
</Directory>

# load balancer IES-API
<Proxy balancer://ies-api-balancer>
Order Deny,Allow
Allow from All
# Wenn lokal: BalancerMember http://localhost:8080 timeout=3600 retry=0
BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0
</Proxy>
ProxyPassMatch ^(/ies/api/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
####### weitere Module ######
# ProxyPassMatch ^(/ies/MODUL/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# Beispiele:
# ProxyPassMatch ^(/ies/formservice/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# ProxyPassMatch ^(/ies/infoticket/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# ProxyPassMatch ^(/ies/jslibs/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On

# COUNTER
# Variante 1: RedirectMatch auf den Server (CMS muss öffentlich erreichbar sein)
#RedirectMatch ^/ies/counter(.*) https://<<cms-host>>/ies/infosite/counter$1

# Variante 2: Rewrite, wenn über eine RewriteCondition noch Bedingungen angegeben werde sollen.
# Rewrite um die Counter-Aufrufe (unabhaengig von Aliases) an das CMS (mit der konfigurierten Publisher-URL) zu schicken
RewriteEngine on

# Zugriff auf das CMS nur über den Webserver (als Proxy)
RewriteRule ^/ies/counter(.*) http[s]://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
RewriteRule ^/infosite/counter(.*) http[s]://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
RewriteRule ^/ies/infosite/counter(.*) http[s]://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind

</VirtualHost>
</source>

=== Apache-Konfiguration Version < 2.2.5 ===

Bei älteren Apache-Versionen (< Version 2.2.5) ist unter Umständen statt einer <code>ProxyPassMatch</code> eine <code>RewriteRule</code> einzusetzen:

<source lang="apache">
###################################
# IES integration using mod_proxy #
###################################

# security
ProxyRequests Off

# always keep the host header
ProxyPreserveHost On

# timeout
ProxyTimeout 3600

# load balancer
<Proxy balancer://ies-balancer>
Order Deny,Allow
Allow from All
BalancerMember http://localhost:8080 timeout=3600 retry=0
</Proxy>

RewriteEngine On
RewriteRule ^(/<<spml_live_folder>>/.*\.spml(;jsessionid=\w+)?(\?.*)?) balancer://ies-balancer$1 [P]
RewriteRule ^(/<<spml_live_folder>>/ies/binary/.*)$ balancer://ies-balancer$1 [P]
# danach sollte, um die taglibs und andere für den IES notwendigen Elemente NICHT vom Apache ausliefern zu lassen, der Zugriff durch den Apache verboten werden
<Directory <<DocumentRoot>>/WEB-INF>
Order deny,allow
Deny from all
</Directory>

RewriteRule ^(/infosite-webdav/.*)$ balancer://ies-balancer$1 [P]

# Innerhalb eines Virtuellen Hosts für HTTPS sollte immer der
# Header X-IES-SCHEME auf https gesetzt werden,
# da nur so innerhalb von IES-Applikationen ${system.baseurl}
# richtig aufgelöst wird.
#RequestHeader set X-IES-SCHEME "https"
</source>

=== Counter Konfiguration für einen Virtual-Host, der von verschiedenen CMS-Server geschrieben wird (z.B. für CityCall115). ===
In der Virtual-Host Konfiguration des Webservers genügt dieser Eintrag für die Weiterleitung der Counter-Aufrufe:
<source lang="apache">
...
# Alle Counter-Requests an eine vom CMS gepflegte PHP-Seite:
RewriteRule ^/ies/counter(.*) /counter.php$1 [L,NE]
...
</source>

Hier der Inhalt der php Seite 'counter.php' am Beispiel CityCall für Wuppertal/Remscheid/Solingen
<source lang="php">
<?php
if (!empty($_GET)) {
$client = substr(htmlspecialchars($_GET["SYS_CNTR_id"]),0,5);
$prefix = "";

// Für den Fall, dass es auch auf Testservern eingesetzt wird
if (strrpos($_SERVER['SERVER_NAME'],"test")) {
$prefix = ".test";
}

$url = null;

//
// Unterscheide anhand der Server- und ClientId des übergebenen
// Counter-Artikels die Server für die Weiterleitung

// Wuppertal
if ($client === "10237") {
$url = "http://cms-w".$prefix.".wuppertal.de/ies/infosite/counter";

// Remscheid
} else if ($client === "14638") {
$url = "http://cms-rs".$prefix.".remscheid.de/ies/infosite/counter";

// Solingen
} else if ($client === "15601") {
$url = "http://cms-sg".$prefix.".solingen.de/ies/infosite/counter";
}

// Die Parameter des Aufrufes ergänzen und die Seite mit einem Timeout (3 bis 5 Sekunden) aufrufen.
if ($url !== null) {
$url .= "?".$_SERVER['QUERY_STRING'];

$context = stream_context_create(array("http" => array("timeout" => 3)));
return file_get_contents($url, NULL, $context);
}
}
?>
</source>

== Integration eines sog. Client Zertifikats für die Kommunikation mit dem CMS-Server (optionale Konfiguration) ==

Um dem Webserver zu gestatten sich dem CMS gegenüber als valider Client zu authentifizieren kann ein client-Zertifikat eingebunden werden.
Allgemein empfiehlt sich das genaue Studium der Apache-Doku zu diesem Thema: http://httpd.apache.org/docs/2.4/ssl/ssl_howto.html

Folgendes Szenario wird hier exemplarisch vorgestellt:
Web-Client <--> öffentlicher Webserver mit Client-Zertifikat <-- HTTPS --> CMS-Server intern
D.h. der Webbrowser sendet über den öffentlichen Webserver als Proxy seine Anforderungen an das CMS.
Dabei verwendet der Proxy das konfigurierte Client-Zertifikat, um sich dem CMS-Server gegenüber zu autorisieren.
Ob der Webbrowser über HTTP oder HTTPS mit dem Proxy kommuniziert ist unerheblich. Die Kommunikation mit dem CMS erfolgt immer über HTTPS.

=== Konfiguration auf dem öffentlichen Webserver / Proxy ===

Zunächst wird eine Datei both.pem aus dem nicht verschlüsselten Zertifikat und dem zugehörigen Schlüssel erzeugt:
<pre> cat client.pem client.key > both.pem </pre>

Diese Datei wird als Client-Zertifikat eingebunden, z.B.:

<source lang="apache">
SSLProxyMachineCertificateFile /etc/httpd/ssl/both.pem
</source>

=== Konfiguration auf dem CMS-System ===

Bei der klassischen SSL-Konfiguration muss dem Server zusätzlich das Haupt-CA-Zertifikat CA.pem, mit dem die Client-Schlüssel erzeugt wurden,
bekannt gemacht werden:

<source lang="apache">
SSLEngine on
SSLProxyEngine on
SSLCipherSuite ALL:!ADH:!EXPORT:+RSA:+HIGH:+MEDIUM:-RC4:-LOW
SSLProtocol All -SSLv2 -SSLv3
SSLCertificateFile /etc/httpd/ssl/server.cert
SSLCertificateKeyFile /etc/httpd/ssl/server.key
SSLCACertificateFile /etc/httpd/ssl/CA/CA.pem
</source>

In dem betreffenden geschützten Verzeichnis ist dann eine Art Schein-Basic-Authentication nach dem folgenden Muster einzurichten:

<source lang="apache">
<Directory /webserver-path>
SSLVerifyClient require
SSLVerifyDepth 5
SSLOptions +FakeBasicAuth
SSLRequireSSL
AuthName "Secure Area"
AuthType basic
AuthBasicProvider file
AuthUserFile .htpasswd
Require valid-user
ErrorDocument 403 "You need a client side certificate issued by CAcert to access this site"
</Directory>
</source>

Es wird also gegen die .htpasswd-Datei authentifiziert, in welcher alle validen Client-Zertifikate eingetragen sein müssen.

=== Beispiel Client ===

Ist für den Client der CommonName '/C=DE/ST=NRW/L=M\xC3\xBCnster/O=SitePark GmbH/OU=Administration/CN=MyClient' vergeben worden,
so lautet der Inhalt der .htpasswd :

<source lang="conf">
/C=DE/ST=NRW/L=M\xC3\xBCnster/O=SitePark GmbH/OU=Administration/CN=MyClient:xxj31ZMTZzkVA
</source>

Das Passwort entspricht dabei der DES-verschlüsselten Zeichenkette "password". Es wird anscheinend nicht wirklich benutzt.

<noinclude>
[[Kategorie:Installation| 300]]
[[Kategorie:Administration und Konfiguration]]
</noinclude>

Integration des IES in den Apache

2015-05-05T15:56:09Z

CGi:

==Allgemeines==
Der IES ist i.d.R. für sämtliche Dateien im <code>DocumentRoot</code> eines Publishers zuständig. Die Dateien werden entsprechend über den Nutzer des IES angelegt. Da jedoch der Apache diese lesen bzw. über PHP verändern / ergänzen können sollte, empfehlen wir die Zugriffsrechte entsprechend einzustellen. Unter Linux kann das einfach erreicht werden, indem der Nutzer des Webservers auch in die Gruppe <code>ies</code> aufgenommen wird. Die UMASK des IES ist entsprechend voreingestellt.

==Konfiguration des ''DocumentRoot''==
Im ''DocumentRoot'' eines Publikationsbereiches werden neben den eigentlichen Artikeldaten auch noch Systemdaten der IES-Module gespeichert. Diese dienen u.a. zum Aufbau einer Sitemap o.ä.
Damit diese vor direkten URL-Aufrufen geschützt werden können, werden entsprechende ''.htaccess''-Dateien durch die Module generiert.
Hierzu muss im Apache (und im Microsoft IIS über die Erweiterung ''Helicon Ape'') die Auswertung dieser Daten erlaubt werden.

Da der IES sämtliche Daten der Module in das Unterverzeichnis ''/WEB-IES/'' speichert ist die Konfiguration wie folgt möglich:

<source lang="apache">
<VirtualHost *:80>
<Directory "....$PATH_TO_DOCUMENT_ROOT.../WEB-IES">
Options -Indexes
AllowOverride LIMIT
</Directory>
</VirtualHost>
</source>

==Allgemeine Hinweise zur Integration==
''Die Integration des [[IES]] in den "Internet Information Server" von Microsoft ist über den sog. JK-Connector prinzipiell möglich. Weitere Informationen hierzu finden Sie im Internet''

Grundsätzlich empfehlen wir sowohl unter Linux, wie auch unter Windows den Einsatz des Apache-Webservers, da wir aufgrund unserer Erfahrungen hier den besten Support liefern können.

Für die optionale Integration des [[IES]] in den Apache Webserver empfehlen wird das Apache-Modul <code>proxy_http</code>. Folgende Konfiguration kann als Vorlage dienen. Die <code>ProxyPassMatch</code> Anweisungen sind jedoch erst ab der Version 2.2.5 verfügbar.

Folgende Module sind für die unten aufgeführten Konfigurationsvorlagen notwendig:
mod_proxy
mod_proxy_balancer
mod_proxy_http
mod_lbmethod_byrequests # ab Apache 2.4 für proxy notwendig!!!
mod_rewrite
mod_ssl
mod_headers

Da Passwörter und andere vertrauliche Daten mit dem [[IES]] ausgetauscht werden, muss immer '''HTTPS''' für den Apache eingerichtet werden.

<div class="note">
Die Setzung '''ProxyPreserveHost''' legt fest, ob der ursprünglich im Request übergebene Hostname auch beim Proxy-Request angegeben wird, oder ob der Hostname der Balancer-Konfiguration verwendet wird.

Die Proxy-Regeln leiten alle relevanten Anfragen an den CMS-Server weiter. Je nach Ziel-Port, der in der Balance-Konfiguraion angegeben wird, wird der Request an den Apache oder den IES auf dem CMS-Server weitergeleitet. Wir empfehlen hier die Kommunikation über den Apache (Port 80 bei internen Requests, sonst Port 443). Soll der Zugriff direkt auf den IES erfolgen, ist folgende Anpassung der Bind-Address in der sitepark.conf notwendig: IES_BIND_ADDRESS="0.0.0.0" erforderlich. Damit ist der IES aber auch von allen anderen Rechern aus direkt erreichbar.

Im IES sind alle Domains und Aliase in den Publisher-Konfigurationen automatisch für HTTP-Anfragen gebunden, wenn diese für Live-Abfragen aktiviert wurden (''Publikationsbereich als Modul verwenden'' - Wir raten in diesem Zusammenhang dringend zu der Einschränkung auf ein bestimmtes Verzeichnis). Das bedeutet, dass alle Anfragen an eine der in den Publishern konfigurierten Domains, die an den IES geleitet werden, über den IES mit entsprechenden DocumentRoot ausgeführt werden. Aufrufe von IES-Modulen sind mit diesen URLs damit daher nicht möglich. Sollen direkt Funktionen des IES (z.B. InfoSite oder IES-API) angesprochen werden, muss der IES über einen Domain-Namen oder eine IP aufgerufen werden, die in keinen Publisher konfiguriert wurde.
</div>

==Hinweise zur Integration des IES in den Apache==
Für die Integration des IES in den Apache sollte ein eigener Virtueller Host eingerichtet werden. Für diesen Virtueller Host ist '''kein''' DocumentRoot notwendig!

===Aufruf des IES Über den Apache===

<source lang="apache">
<VirtualHost *:80>

ServerName <<cms-host>>

# Alle gültigen IES-Anfragen, die auf Port 80 erfolgen, sollten vollständig an Port 443 umgelenkt werden. Diese Aufrufe können zum einen durch
# Redakteure erfolgen, die häufig URLs ohne "https" eingeben, zum anderen aber auch durch Aufrufe, die durch SPML- bzw. JSP-Seiten erzeugt werden,
# da diese intern über "http" auf Port 8080 bearbeitet werden und keine Informationen dazu haben, dass SSL von Außen eingesetzt wird.
RedirectMatch ^(.*)$ https://<<cms-host>>$1

</VirtualHost>
<VirtualHost *:443>

ServerName <<cms-host>>

ErrorLog /var/log/apache2/<<cms-host>>.err
CustomLog /var/log/apache2/<<cms-host>>.log combined

# Infosite redirect
RewriteEngine On
RewriteRule ^/$ /ies/infosite/ [R,L]

###################################
# IES integration using mod_proxy #
###################################

# security
ProxyRequests Off

# timeout
ProxyTimeout 3600

# always keep the host header
ProxyPreserveHost On

# load balancer
<Proxy balancer://ies-balancer>
Order Deny,Allow
Allow from All
BalancerMember http://localhost:8080 timeout=3600 retry=0
</Proxy>

ProxyPassMatch ^(/ies/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
ProxyPassMatch ^(/infosite-webdav/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
ProxyPassMatch ^(/xip/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
ProxyPassMatch ^(/infosite/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On

# Innerhalb eines Virtuellen Hosts für HTTPS sollte immer der Header X-IES-SCHEME auf https gesetzt werden, da nur so
# innerhalb von IES-Applikationen ${system.baseurl} richtig aufgelöst wird. Weitere X-IES Header-Angaben sind i.d.R. nicht notwendig
#RequestHeader set X-IES-SERVER-NAME "ies.intern.net" # evtl. abweichender ServerName
#RequestHeader set X-IES-SERVER-PORT "1443" # evtl. abweichender Port
RequestHeader set X-IES-SCHEME "https"

</VirtualHost>
</source>

==Hinweise zur Integration von IES-Anfragen in dem Apache des Webservers==

===Webseiten-Apache-Konfiguration mit Zugriff auf den lokalen Webnode===
Für Zugriffe des Apache auf den lokalen IES-Webnode (z.B. für Solr-Suchen) ist folgende Konfiguration notwendig:

<source lang="apache">
<VirtualHost *:80>
...
ProxyTimeout 3600
<Proxy balancer://ies-webnode-balancer>
Order Deny,Allow
Allow from All
BalancerMember http://localhost:8381
</Proxy>
ProxyPassMatch ^(/ies-webnode/.*)$ balancer://ies-webnode-balancer$1
...
</VirtualHost>
</source>

===Webseiten-Apache-Konfiguration mit IES-API Zugriff===

Dies Konfiguration ist notwendig für:
*den I-Link im SRPC-Modus in InfoSite6
*Module und Komponenten mit Live-Abfragen (zB. Verzeichnismodul mit der Möglichkeit Objekte anzulegen)
*CityCall mit Anbindung an das Ticketsystem

<source lang="apache">
<VirtualHost *:80>

ServerName <<hostname>>
DocumentRoot ...

ErrorLog ...
CustomLog ...
...

###################################
# IES integration using mod_proxy #
###################################

# security
ProxyRequests Off

# always keep the host header
ProxyPreserveHost Off

# Bei Zugriff auf BalanceMember via HTTPS einzelne Setzungen aktivieren
SSLProxyEngine On
SSLProxyVerify none
SSLProxyCheckPeerCN Off
SSLProxyCheckPeerName Off
SSLProxyCheckPeerExpire Off

# timeout
ProxyTimeout 3600

# load balancer IES-API
<Proxy balancer://ies-api-balancer>
Order Deny,Allow
Allow from All
# Wenn lokal: BalancerMember http://localhost:8080 timeout=3600 retry=0
BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0
</Proxy>

ProxyPassMatch ^(/ies/api/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
####### oder auf bestimmte Module begrenzt: ######
# ProxyPassMatch ^(/ies/MODUL/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# Beispiele:
# ProxyPassMatch ^(/ies/formservice/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# ProxyPassMatch ^(/ies/infoticket/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# ProxyPassMatch ^(/ies/jslibs/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On

</VirtualHost>
</source>

===Webseiten-Apache-Konfiguration für Publikationsbereiche mit Live-Komponenten===

Publikationsbereiche des IES die Live-Komponenten verwenden und somit auf den IES zugreifen müssen, werden wie folgt konfiguriert.
Diese Konfiguration kann für aktuelle Anforderungen mit Zugriffen auf den IES über die IES-API nicht verwendet werden.

<source lang="apache">
<VirtualHost *:80>

ServerName ...
DocumentRoot ...

ErrorLog ...
CustomLog ...

...

###################################
# IES integration using mod_proxy #
###################################

# security
ProxyRequests Off

# always keep the host header
ProxyPreserveHost On

# timeout
ProxyTimeout 3600

# Bei Zugriff auf BalanceMember via HTTPS einzelne Setzungen aktivieren
SSLProxyEngine On
SSLProxyVerify none
SSLProxyCheckPeerCN Off
SSLProxyCheckPeerName Off
SSLProxyCheckPeerExpire Off

# load balancer
<Proxy balancer://ies-balancer>
Order Deny,Allow
Allow from All
BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0

# Alternativ kann auch direkt der Apache des CMS-Systems angesprochen werden,
# da dieser Anfragen automatisch intern an den IES weiterleitet.
#BalancerMember http://<<cms-host>>:80 timeout=3600 retry=0

# Bei Zugriff via SSL empfehlen wir die Verschlüsselung über den Apache zu konfigurieren.
# Dieser leitet dann die unverschlüsselte Anfrage an den lokalen IES (intern über Port 8080)
# Wird der BalanceMember via HTTPS angesprochen muss noch SSLProxyEngine auf ON gesetzt werden (s.o.)
#BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0
</Proxy>

# Der Ordner, der am Publisher für SPML-Live-Seiten konfiguriert wurde muss für "<<spml_live_folder>>" eingesetzt werden
ProxyPassMatch ^(/<<spml_live_folder>>/.*\.spml(;jsessionid=\w+)?(\?.*)?)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
ProxyPassMatch ^(/<<spml_live_folder>>/ies/binary/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
# danach sollte, um die taglibs und andere für den IES notwendigen Elemente NICHT vom Apache ausliefern zu lassen, der Zugriff durch den Apache verboten werden
<Directory <<DocumentRoot>>/WEB-INF>
Order deny,allow
Deny from all
</Directory>

# COUNTER
# Variante 1: RedirectMatch auf den Server (CMS muss öffentlich erreichbar sein)
#RedirectMatch ^/ies/counter(.*) https://<<cms-host>>/ies/infosite/counter$1

# Variante 2: Rewrite, wenn über eine RewriteCondition noch Bedingungen angegeben werde sollen.
# Rewrite um die Counter-Aufrufe (unabhaengig von Aliases) an das CMS (mit der konfigurierten Publisher-URL) zu schicken
RewriteEngine on

# Zugriff auf das CMS nur über den Webserver (als Proxy)
RewriteRule ^/ies/counter(.*) https://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
RewriteRule ^/infosite/counter(.*) https://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
RewriteRule ^/ies/infosite/counter(.*) https://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind

</VirtualHost>
</source>

===Alternative Variante, wenn IES-API UND SPML-Seite unterstützt werden müssen===

''Für den I-Link im SRPC-Modus in InfoSite6 muss der Zugriff auf die IES-API konfiguriert werden.''

Damit nun sowohl Live-Abfragen (SPML-Seiten im DocumentRoot eines Publishers), als auch IES-Funktionen (wie die IES-API) von einer URL aufgerufen werden können ist ein kleiner Umweg notwendig, der hier beschrieben wird:

Es ist für jede Domain, für die diese zwei Formen des Zugriffs auf den IES notwendig sind, ein eigener Domain-Name, der auf den CMS-Server zeigt notwendig. Dieser kann entweder im DNS oder auch nur in den HOST-Dateien des CMS- und Webservers eingetragen werden. Weiterhin wird dieser Domain-Name über IES-Admin als Alias im entsprecheden Publisher konfiguriert. Auch sollte der Domain-Name im Apache als ServerAlias für den IES konfiguriert werden.

Unterschiedliche Balancer-Regeln auf dem Webserver sorgen nun dafür, dass so entwerder IES-Funktionen oder Live-Funktionen des Publishers ausgeführt werden, indem entweder die Alias-URL des Publishers oder die URL des IES verwendet wird.

In dem unten aufgeführten Beispiel wird die Kommunikation via HTTPs realisiert. Der Domain-Name <<ies-alias-hostname>> und CMS-Host <<cms-host>> ist entsprechend zu ersetzen.

Beispiel:
www.stadt-goldenberg.de
<<cms-host>: ies.stadt-goldenberg.de
<<ies-alias-hostname>>: ies-www.stadt-goldenberg.de
<<spml_live_folder>>: /live

<source lang="apache">
<VirtualHost *:80>

ServerName ...
DocumentRoot ...

ErrorLog ...
CustomLog ...

...

###################################
# IES integration using mod_proxy #
###################################

# security
ProxyRequests Off

# always keep the host header
############# WICHTIG: muss auf 'Off' stehen, damit der Wert des Balancers übertragen wird #################
ProxyPreserveHost Off

# Bei Zugriff auf BalanceMember via HTTPS einzelne Setzungen aktivieren
SSLProxyEngine On
SSLProxyVerify none
SSLProxyCheckPeerCN Off
SSLProxyCheckPeerName Off
SSLProxyCheckPeerExpire Off

# timeout
ProxyTimeout 3600

# load balancer IES
<Proxy balancer://ies-balancer>
Order Deny,Allow
Allow from All
############# WICHTIG: Es muss der richtige Hostname gesetzt werden #################
BalancerMember https://<<ies-alias-hostname>>:443 timeout=3600 retry=0
</Proxy>

# Der Ordner, der am Publisher für SPML-Live-Seiten konfiguriert wurde muss für "<<spml_live_folder>>" eingesetzt werden
ProxyPassMatch ^(/<<spml_live_folder>>/.*\.spml(;jsessionid=\w+)?(\?.*)?)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
ProxyPassMatch ^(/<<spml_live_folder>>/ies/binary/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
# danach sollte, um die taglibs und andere für den IES notwendigen Elemente NICHT vom Apache ausliefern zu lassen, der Zugriff durch den Apache verboten werden
<Directory <<DocumentRoot>>/WEB-INF>
Order deny,allow
Deny from all
</Directory>

# load balancer IES-API
<Proxy balancer://ies-api-balancer>
Order Deny,Allow
Allow from All
# Wenn lokal: BalancerMember http://localhost:8080 timeout=3600 retry=0
BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0
</Proxy>
ProxyPassMatch ^(/ies/api/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
####### weitere Module ######
# ProxyPassMatch ^(/ies/MODUL/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# Beispiele:
# ProxyPassMatch ^(/ies/formservice/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# ProxyPassMatch ^(/ies/infoticket/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# ProxyPassMatch ^(/ies/jslibs/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On

# COUNTER
# Variante 1: RedirectMatch auf den Server (CMS muss öffentlich erreichbar sein)
#RedirectMatch ^/ies/counter(.*) https://<<cms-host>>/ies/infosite/counter$1

# Variante 2: Rewrite, wenn über eine RewriteCondition noch Bedingungen angegeben werde sollen.
# Rewrite um die Counter-Aufrufe (unabhaengig von Aliases) an das CMS (mit der konfigurierten Publisher-URL) zu schicken
RewriteEngine on

# Zugriff auf das CMS nur über den Webserver (als Proxy)
RewriteRule ^/ies/counter(.*) http[s]://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
RewriteRule ^/infosite/counter(.*) http[s]://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
RewriteRule ^/ies/infosite/counter(.*) http[s]://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind

</VirtualHost>
</source>

=== Apache-Konfiguration Version < 2.2.5 ===

Bei älteren Apache-Versionen (< Version 2.2.5) ist unter Umständen statt einer <code>ProxyPassMatch</code> eine <code>RewriteRule</code> einzusetzen:

<source lang="apache">
###################################
# IES integration using mod_proxy #
###################################

# security
ProxyRequests Off

# always keep the host header
ProxyPreserveHost On

# timeout
ProxyTimeout 3600

# load balancer
<Proxy balancer://ies-balancer>
Order Deny,Allow
Allow from All
BalancerMember http://localhost:8080 timeout=3600 retry=0
</Proxy>

RewriteEngine On
RewriteRule ^(/<<spml_live_folder>>/.*\.spml(;jsessionid=\w+)?(\?.*)?) balancer://ies-balancer$1 [P]
RewriteRule ^(/<<spml_live_folder>>/ies/binary/.*)$ balancer://ies-balancer$1 [P]
# danach sollte, um die taglibs und andere für den IES notwendigen Elemente NICHT vom Apache ausliefern zu lassen, der Zugriff durch den Apache verboten werden
<Directory <<DocumentRoot>>/WEB-INF>
Order deny,allow
Deny from all
</Directory>

RewriteRule ^(/infosite-webdav/.*)$ balancer://ies-balancer$1 [P]

# Innerhalb eines Virtuellen Hosts für HTTPS sollte immer der
# Header X-IES-SCHEME auf https gesetzt werden,
# da nur so innerhalb von IES-Applikationen ${system.baseurl}
# richtig aufgelöst wird.
#RequestHeader set X-IES-SCHEME "https"
</source>

=== Counter Konfiguration für einen Virtual-Host, der von verschiedenen CMS-Server geschrieben wird (z.B. für CityCall115). ===
In der Virtual-Host Konfiguration des Webservers genügt dieser Eintrag für die Weiterleitung der Counter-Aufrufe:
<source lang="apache">
...
# Alle Counter-Requests an eine vom CMS gepflegte PHP-Seite:
RewriteRule ^/ies/counter(.*) /counter.php$1 [L,NE]
...
</source>

Hier der Inhalt der php Seite 'counter.php' am Beispiel CityCall für Wuppertal/Remscheid/Solingen
<source lang="php">
<?php
if (!empty($_GET)) {
$client = substr(htmlspecialchars($_GET["SYS_CNTR_id"]),0,5);
$prefix = "";

// Für den Fall, dass es auch auf Testservern eingesetzt wird
if (strrpos($_SERVER['SERVER_NAME'],"test")) {
$prefix = ".test";
}

$url = null;

//
// Unterscheide anhand der Server- und ClientId des übergebenen
// Counter-Artikels die Server für die Weiterleitung

// Wuppertal
if ($client === "10237") {
$url = "http://cms-w".$prefix.".wuppertal.de/ies/infosite/counter";

// Remscheid
} else if ($client === "14638") {
$url = "http://cms-rs".$prefix.".remscheid.de/ies/infosite/counter";

// Solingen
} else if ($client === "15601") {
$url = "http://cms-sg".$prefix.".solingen.de/ies/infosite/counter";
}

// Die Parameter des Aufrufes ergänzen und die Seite mit einem Timeout (3 bis 5 Sekunden) aufrufen.
if ($url !== null) {
$url .= "?".$_SERVER['QUERY_STRING'];

$context = stream_context_create(array("http" => array("timeout" => 3)));
return file_get_contents($url, NULL, $context);
}
}
?>
</source>

== Integration eines Client Certificates in die Kommunikation mit dem CMS-Server ==

Um dem Webserver zu gestatten sich dem CMS gegenüber als valider Client zu authentifizieren kann ein client-Zertifikat eingebunden werden.
Allgemein empfiehlt sich das genaue Studium der Apache-Doku zu diesem Thema: http://httpd.apache.org/docs/2.4/ssl/ssl_howto.html

Folgendes Szenario wird hier exemplarisch vorgestellt:
Web-Client <--> öffentlicher Webserver mit Client-Zertifikat <-- HTTPS --> CMS-Server intern
D.h. der Webbrowser sendet über den öffentlichen Webserver als Proxy seine Anforderungen an das CMS.
Dabei verwendet der Proxy das konfigurierte Client-Zertifikat, um sich dem CMS-Server gegenüber zu autorisieren.
Ob der Webbrowser über HTTP oder HTTPS mit dem Proxy kommuniziert ist unerheblich. Die Kommunikation mit dem CMS erfolgt immer über HTTPS.

=== Konfiguration auf dem öffentlichen Webserver / Proxy ===

Zunächst wird eine Datei both.pem aus dem nicht verschlüsselten Zertifikat und dem zugehörigen Schlüssel erzeugt:
<pre> cat client.pem client.key > both.pem </pre>

Diese Datei wird als Client-Zertifikat eingebunden, z.B.:

<source lang="apache">
SSLProxyMachineCertificateFile /etc/httpd/ssl/both.pem
</source>

=== Konfiguration auf dem CMS-System ===

Bei der klassischen SSL-Konfiguration muss dem Server zusätzlich das Haupt-CA-Zertifikat CA.pem, mit dem die Client-Schlüssel erzeugt wurden,
bekannt gemacht werden:

<source lang="apache">
SSLEngine on
SSLProxyEngine on
SSLCipherSuite ALL:!ADH:!EXPORT:+RSA:+HIGH:+MEDIUM:-RC4:-LOW
SSLProtocol All -SSLv2 -SSLv3
SSLCertificateFile /etc/httpd/ssl/server.cert
SSLCertificateKeyFile /etc/httpd/ssl/server.key
SSLCACertificateFile /etc/httpd/ssl/CA/CA.pem
</source>

In dem betreffenden geschützten Verzeichnis ist dann eine Art Schein-Basic-Authentication nach dem folgenden Muster einzurichten:

<source lang="apache">
<Directory /webserver-path>
SSLVerifyClient require
SSLVerifyDepth 5
SSLOptions +FakeBasicAuth
SSLRequireSSL
AuthName "Secure Area"
AuthType basic
AuthBasicProvider file
AuthUserFile .htpasswd
Require valid-user
ErrorDocument 403 "You need a client side certificate issued by CAcert to access this site"
</Directory>
</source>

Es wird also gegen die .htpasswd-Datei authentifiziert, in welcher alle validen Client-Zertifikate eingetragen sein müssen.

<noinclude>
[[Kategorie:Installation| 300]]
[[Kategorie:Administration und Konfiguration]]
</noinclude>

Integration des IES in den Apache

2015-05-05T15:55:19Z

CGi:

==Allgemeines==
Der IES ist i.d.R. für sämtliche Dateien im <code>DocumentRoot</code> eines Publishers zuständig. Die Dateien werden entsprechend über den Nutzer des IES angelegt. Da jedoch der Apache diese lesen bzw. über PHP verändern / ergänzen können sollte, empfehlen wir die Zugriffsrechte entsprechend einzustellen. Unter Linux kann das einfach erreicht werden, indem der Nutzer des Webservers auch in die Gruppe <code>ies</code> aufgenommen wird. Die UMASK des IES ist entsprechend voreingestellt.

==Konfiguration des ''DocumentRoot''==
Im ''DocumentRoot'' eines Publikationsbereiches werden neben den eigentlichen Artikeldaten auch noch Systemdaten der IES-Module gespeichert. Diese dienen u.a. zum Aufbau einer Sitemap o.ä.
Damit diese vor direkten URL-Aufrufen geschützt werden können, werden entsprechende ''.htaccess''-Dateien durch die Module generiert.
Hierzu muss im Apache (und im Microsoft IIS über die Erweiterung ''Helicon Ape'') die Auswertung dieser Daten erlaubt werden.

Da der IES sämtliche Daten der Module in das Unterverzeichnis ''/WEB-IES/'' speichert ist die Konfiguration wie folgt möglich:

<source lang="apache">
<VirtualHost *:80>
<Directory "....$PATH_TO_DOCUMENT_ROOT.../WEB-IES">
Options -Indexes
AllowOverride LIMIT
</Directory>
</VirtualHost>
</source>

==Allgemeine Hinweise zur Integration==
''Die Integration des [[IES]] in den "Internet Information Server" von Microsoft ist über den sog. JK-Connector prinzipiell möglich. Weitere Informationen hierzu finden Sie im Internet''

Grundsätzlich empfehlen wir sowohl unter Linux, wie auch unter Windows den Einsatz des Apache-Webservers, da wir aufgrund unserer Erfahrungen hier den besten Support liefern können.

Für die optionale Integration des [[IES]] in den Apache Webserver empfehlen wird das Apache-Modul <code>proxy_http</code>. Folgende Konfiguration kann als Vorlage dienen. Die <code>ProxyPassMatch</code> Anweisungen sind jedoch erst ab der Version 2.2.5 verfügbar.

Folgende Module sind für die unten aufgeführten Konfigurationsvorlagen notwendig:
mod_proxy
mod_proxy_balancer
mod_proxy_http
mod_lbmethod_byrequests # ab Apache 2.4 für proxy notwendig!!!
mod_rewrite
mod_ssl
mod_headers

Da Passwörter und andere vertrauliche Daten mit dem [[IES]] ausgetauscht werden, muss immer '''HTTPS''' für den Apache eingerichtet werden.

<div class="note">
Die Setzung '''ProxyPreserveHost''' legt fest, ob der ursprünglich im Request übergebene Hostname auch beim Proxy-Request angegeben wird, oder ob der Hostname der Balancer-Konfiguration verwendet wird.

Die Proxy-Regeln leiten alle relevanten Anfragen an den CMS-Server weiter. Je nach Ziel-Port, der in der Balance-Konfiguraion angegeben wird, wird der Request an den Apache oder den IES auf dem CMS-Server weitergeleitet. Wir empfehlen hier die Kommunikation über den Apache (Port 80 bei internen Requests, sonst Port 443). Soll der Zugriff direkt auf den IES erfolgen, ist folgende Anpassung der Bind-Address in der sitepark.conf notwendig: IES_BIND_ADDRESS="0.0.0.0" erforderlich. Damit ist der IES aber auch von allen anderen Rechern aus direkt erreichbar.

Im IES sind alle Domains und Aliase in den Publisher-Konfigurationen automatisch für HTTP-Anfragen gebunden, wenn diese für Live-Abfragen aktiviert wurden (''Publikationsbereich als Modul verwenden'' - Wir raten in diesem Zusammenhang dringend zu der Einschränkung auf ein bestimmtes Verzeichnis). Das bedeutet, dass alle Anfragen an eine der in den Publishern konfigurierten Domains, die an den IES geleitet werden, über den IES mit entsprechenden DocumentRoot ausgeführt werden. Aufrufe von IES-Modulen sind mit diesen URLs damit daher nicht möglich. Sollen direkt Funktionen des IES (z.B. InfoSite oder IES-API) angesprochen werden, muss der IES über einen Domain-Namen oder eine IP aufgerufen werden, die in keinen Publisher konfiguriert wurde.
</div>

==Hinweise zur Integration des IES in den Apache==
Für die Integration des IES in den Apache sollte ein eigener Virtueller Host eingerichtet werden. Für diesen Virtueller Host ist '''kein''' DocumentRoot notwendig!

===Aufruf des IES Über den Apache===

<source lang="apache">
<VirtualHost *:80>

ServerName <<cms-host>>

# Alle gültigen IES-Anfragen, die auf Port 80 erfolgen, sollten vollständig an Port 443 umgelenkt werden. Diese Aufrufe können zum einen durch
# Redakteure erfolgen, die häufig URLs ohne "https" eingeben, zum anderen aber auch durch Aufrufe, die durch SPML- bzw. JSP-Seiten erzeugt werden,
# da diese intern über "http" auf Port 8080 bearbeitet werden und keine Informationen dazu haben, dass SSL von Außen eingesetzt wird.
RedirectMatch ^(.*)$ https://<<cms-host>>$1

</VirtualHost>
<VirtualHost *:443>

ServerName <<cms-host>>

ErrorLog /var/log/apache2/<<cms-host>>.err
CustomLog /var/log/apache2/<<cms-host>>.log combined

# Infosite redirect
RewriteEngine On
RewriteRule ^/$ /ies/infosite/ [R,L]

###################################
# IES integration using mod_proxy #
###################################

# security
ProxyRequests Off

# timeout
ProxyTimeout 3600

# always keep the host header
ProxyPreserveHost On

# load balancer
<Proxy balancer://ies-balancer>
Order Deny,Allow
Allow from All
BalancerMember http://localhost:8080 timeout=3600 retry=0
</Proxy>

ProxyPassMatch ^(/ies/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
ProxyPassMatch ^(/infosite-webdav/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
ProxyPassMatch ^(/xip/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
ProxyPassMatch ^(/infosite/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On

# Innerhalb eines Virtuellen Hosts für HTTPS sollte immer der Header X-IES-SCHEME auf https gesetzt werden, da nur so
# innerhalb von IES-Applikationen ${system.baseurl} richtig aufgelöst wird. Weitere X-IES Header-Angaben sind i.d.R. nicht notwendig
#RequestHeader set X-IES-SERVER-NAME "ies.intern.net" # evtl. abweichender ServerName
#RequestHeader set X-IES-SERVER-PORT "1443" # evtl. abweichender Port
RequestHeader set X-IES-SCHEME "https"

</VirtualHost>
</source>

==Hinweise zur Integration von IES-Anfragen in dem Apache des Webservers==

===Webseiten-Apache-Konfiguration mit Zugriff auf den lokalen Webnode===
Für Zugriffe des Apache auf den lokalen IES-Webnode (z.B. für Solr-Suchen) ist folgende Konfiguration notwendig:

<source lang="apache">
<VirtualHost *:80>
...
ProxyTimeout 3600
<Proxy balancer://ies-webnode-balancer>
Order Deny,Allow
Allow from All
BalancerMember http://localhost:8381
</Proxy>
ProxyPassMatch ^(/ies-webnode/.*)$ balancer://ies-webnode-balancer$1
...
</VirtualHost>
</source>

===Webseiten-Apache-Konfiguration mit IES-API Zugriff===

Dies Konfiguration ist notwendig für:
*den I-Link im SRPC-Modus in InfoSite6
*Module und Komponenten mit Live-Abfragen (zB. Verzeichnismodul mit der Möglichkeit Objekte anzulegen)
*CityCall mit Anbindung an das Ticketsystem

<source lang="apache">
<VirtualHost *:80>

ServerName <<hostname>>
DocumentRoot ...

ErrorLog ...
CustomLog ...
...

###################################
# IES integration using mod_proxy #
###################################

# security
ProxyRequests Off

# always keep the host header
ProxyPreserveHost Off

# Bei Zugriff auf BalanceMember via HTTPS einzelne Setzungen aktivieren
SSLProxyEngine On
SSLProxyVerify none
SSLProxyCheckPeerCN Off
SSLProxyCheckPeerName Off
SSLProxyCheckPeerExpire Off

# timeout
ProxyTimeout 3600

# load balancer IES-API
<Proxy balancer://ies-api-balancer>
Order Deny,Allow
Allow from All
# Wenn lokal: BalancerMember http://localhost:8080 timeout=3600 retry=0
BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0
</Proxy>

ProxyPassMatch ^(/ies/api/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
####### oder auf bestimmte Module begrenzt: ######
# ProxyPassMatch ^(/ies/MODUL/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# Beispiele:
# ProxyPassMatch ^(/ies/formservice/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# ProxyPassMatch ^(/ies/infoticket/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# ProxyPassMatch ^(/ies/jslibs/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On

</VirtualHost>
</source>

===Webseiten-Apache-Konfiguration für Publikationsbereiche mit Live-Komponenten===

Publikationsbereiche des IES die Live-Komponenten verwenden und somit auf den IES zugreifen müssen, werden wie folgt konfiguriert.
Diese Konfiguration kann für aktuelle Anforderungen mit Zugriffen auf den IES über die IES-API nicht verwendet werden.

<source lang="apache">
<VirtualHost *:80>

ServerName ...
DocumentRoot ...

ErrorLog ...
CustomLog ...

...

###################################
# IES integration using mod_proxy #
###################################

# security
ProxyRequests Off

# always keep the host header
ProxyPreserveHost On

# timeout
ProxyTimeout 3600

# Bei Zugriff auf BalanceMember via HTTPS einzelne Setzungen aktivieren
SSLProxyEngine On
SSLProxyVerify none
SSLProxyCheckPeerCN Off
SSLProxyCheckPeerName Off
SSLProxyCheckPeerExpire Off

# load balancer
<Proxy balancer://ies-balancer>
Order Deny,Allow
Allow from All
BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0

# Alternativ kann auch direkt der Apache des CMS-Systems angesprochen werden,
# da dieser Anfragen automatisch intern an den IES weiterleitet.
#BalancerMember http://<<cms-host>>:80 timeout=3600 retry=0

# Bei Zugriff via SSL empfehlen wir die Verschlüsselung über den Apache zu konfigurieren.
# Dieser leitet dann die unverschlüsselte Anfrage an den lokalen IES (intern über Port 8080)
# Wird der BalanceMember via HTTPS angesprochen muss noch SSLProxyEngine auf ON gesetzt werden (s.o.)
#BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0
</Proxy>

# Der Ordner, der am Publisher für SPML-Live-Seiten konfiguriert wurde muss für "<<spml_live_folder>>" eingesetzt werden
ProxyPassMatch ^(/<<spml_live_folder>>/.*\.spml(;jsessionid=\w+)?(\?.*)?)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
ProxyPassMatch ^(/<<spml_live_folder>>/ies/binary/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
# danach sollte, um die taglibs und andere für den IES notwendigen Elemente NICHT vom Apache ausliefern zu lassen, der Zugriff durch den Apache verboten werden
<Directory <<DocumentRoot>>/WEB-INF>
Order deny,allow
Deny from all
</Directory>

# COUNTER
# Variante 1: RedirectMatch auf den Server (CMS muss öffentlich erreichbar sein)
#RedirectMatch ^/ies/counter(.*) https://<<cms-host>>/ies/infosite/counter$1

# Variante 2: Rewrite, wenn über eine RewriteCondition noch Bedingungen angegeben werde sollen.
# Rewrite um die Counter-Aufrufe (unabhaengig von Aliases) an das CMS (mit der konfigurierten Publisher-URL) zu schicken
RewriteEngine on

# Zugriff auf das CMS nur über den Webserver (als Proxy)
RewriteRule ^/ies/counter(.*) https://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
RewriteRule ^/infosite/counter(.*) https://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
RewriteRule ^/ies/infosite/counter(.*) https://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind

</VirtualHost>
</source>

===Alternative Variante, wenn IES-API UND SPML-Seite unterstützt werden müssen===

''Für den I-Link im SRPC-Modus in InfoSite6 muss der Zugriff auf die IES-API konfiguriert werden.''

Damit nun sowohl Live-Abfragen (SPML-Seiten im DocumentRoot eines Publishers), als auch IES-Funktionen (wie die IES-API) von einer URL aufgerufen werden können ist ein kleiner Umweg notwendig, der hier beschrieben wird:

Es ist für jede Domain, für die diese zwei Formen des Zugriffs auf den IES notwendig sind, ein eigener Domain-Name, der auf den CMS-Server zeigt notwendig. Dieser kann entweder im DNS oder auch nur in den HOST-Dateien des CMS- und Webservers eingetragen werden. Weiterhin wird dieser Domain-Name über IES-Admin als Alias im entsprecheden Publisher konfiguriert. Auch sollte der Domain-Name im Apache als ServerAlias für den IES konfiguriert werden.

Unterschiedliche Balancer-Regeln auf dem Webserver sorgen nun dafür, dass so entwerder IES-Funktionen oder Live-Funktionen des Publishers ausgeführt werden, indem entweder die Alias-URL des Publishers oder die URL des IES verwendet wird.

In dem unten aufgeführten Beispiel wird die Kommunikation via HTTPs realisiert. Der Domain-Name <<ies-alias-hostname>> und CMS-Host <<cms-host>> ist entsprechend zu ersetzen.

Beispiel:
www.stadt-goldenberg.de
<<cms-host>: ies.stadt-goldenberg.de
<<ies-alias-hostname>>: ies-www.stadt-goldenberg.de
<<spml_live_folder>>: /live

<source lang="apache">
<VirtualHost *:80>

ServerName ...
DocumentRoot ...

ErrorLog ...
CustomLog ...

...

###################################
# IES integration using mod_proxy #
###################################

# security
ProxyRequests Off

# always keep the host header
############# WICHTIG: muss auf 'Off' stehen, damit der Wert des Balancers übertragen wird #################
ProxyPreserveHost Off

# Bei Zugriff auf BalanceMember via HTTPS einzelne Setzungen aktivieren
SSLProxyEngine On
SSLProxyVerify none
SSLProxyCheckPeerCN Off
SSLProxyCheckPeerName Off
SSLProxyCheckPeerExpire Off

# timeout
ProxyTimeout 3600

# load balancer IES
<Proxy balancer://ies-balancer>
Order Deny,Allow
Allow from All
############# WICHTIG: Es muss der richtige Hostname gesetzt werden #################
BalancerMember https://<<ies-alias-hostname>>:443 timeout=3600 retry=0
</Proxy>

# Der Ordner, der am Publisher für SPML-Live-Seiten konfiguriert wurde muss für "<<spml_live_folder>>" eingesetzt werden
ProxyPassMatch ^(/<<spml_live_folder>>/.*\.spml(;jsessionid=\w+)?(\?.*)?)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
ProxyPassMatch ^(/<<spml_live_folder>>/ies/binary/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
# danach sollte, um die taglibs und andere für den IES notwendigen Elemente NICHT vom Apache ausliefern zu lassen, der Zugriff durch den Apache verboten werden
<Directory <<DocumentRoot>>/WEB-INF>
Order deny,allow
Deny from all
</Directory>

# load balancer IES-API
<Proxy balancer://ies-api-balancer>
Order Deny,Allow
Allow from All
# Wenn lokal: BalancerMember http://localhost:8080 timeout=3600 retry=0
BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0
</Proxy>
ProxyPassMatch ^(/ies/api/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
####### weitere Module ######
# ProxyPassMatch ^(/ies/MODUL/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# Beispiele:
# ProxyPassMatch ^(/ies/formservice/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# ProxyPassMatch ^(/ies/infoticket/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# ProxyPassMatch ^(/ies/jslibs/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On

# COUNTER
# Variante 1: RedirectMatch auf den Server (CMS muss öffentlich erreichbar sein)
#RedirectMatch ^/ies/counter(.*) https://<<cms-host>>/ies/infosite/counter$1

# Variante 2: Rewrite, wenn über eine RewriteCondition noch Bedingungen angegeben werde sollen.
# Rewrite um die Counter-Aufrufe (unabhaengig von Aliases) an das CMS (mit der konfigurierten Publisher-URL) zu schicken
RewriteEngine on

# Zugriff auf das CMS nur über den Webserver (als Proxy)
RewriteRule ^/ies/counter(.*) http[s]://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
RewriteRule ^/infosite/counter(.*) http[s]://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
RewriteRule ^/ies/infosite/counter(.*) http[s]://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind

</VirtualHost>
</source>

=== Apache-Konfiguration Version < 2.2.5 ===

Bei älteren Apache-Versionen (< Version 2.2.5) ist unter Umständen statt einer <code>ProxyPassMatch</code> eine <code>RewriteRule</code> einzusetzen:

<source lang="apache">
###################################
# IES integration using mod_proxy #
###################################

# security
ProxyRequests Off

# always keep the host header
ProxyPreserveHost On

# timeout
ProxyTimeout 3600

# load balancer
<Proxy balancer://ies-balancer>
Order Deny,Allow
Allow from All
BalancerMember http://localhost:8080 timeout=3600 retry=0
</Proxy>

RewriteEngine On
RewriteRule ^(/<<spml_live_folder>>/.*\.spml(;jsessionid=\w+)?(\?.*)?) balancer://ies-balancer$1 [P]
RewriteRule ^(/<<spml_live_folder>>/ies/binary/.*)$ balancer://ies-balancer$1 [P]
# danach sollte, um die taglibs und andere für den IES notwendigen Elemente NICHT vom Apache ausliefern zu lassen, der Zugriff durch den Apache verboten werden
<Directory <<DocumentRoot>>/WEB-INF>
Order deny,allow
Deny from all
</Directory>

RewriteRule ^(/infosite-webdav/.*)$ balancer://ies-balancer$1 [P]

# Innerhalb eines Virtuellen Hosts für HTTPS sollte immer der
# Header X-IES-SCHEME auf https gesetzt werden,
# da nur so innerhalb von IES-Applikationen ${system.baseurl}
# richtig aufgelöst wird.
#RequestHeader set X-IES-SCHEME "https"
</source>

=== Counter Konfiguration für einen Virtual-Host, der von verschiedenen CMS-Server geschrieben wird (z.B. für CityCall115). ===
In der Virtual-Host Konfiguration des Webservers genügt dieser Eintrag für die Weiterleitung der Counter-Aufrufe:
<source lang="apache">
...
# Alle Counter-Requests an eine vom CMS gepflegte PHP-Seite:
RewriteRule ^/ies/counter(.*) /counter.php$1 [L,NE]
...
</source>

Hier der Inhalt der php Seite 'counter.php' am Beispiel CityCall für Wuppertal/Remscheid/Solingen
<source lang="php">
<?php
if (!empty($_GET)) {
$client = substr(htmlspecialchars($_GET["SYS_CNTR_id"]),0,5);
$prefix = "";

// Für den Fall, dass es auch auf Testservern eingesetzt wird
if (strrpos($_SERVER['SERVER_NAME'],"test")) {
$prefix = ".test";
}

$url = null;

//
// Unterscheide anhand der Server- und ClientId des übergebenen
// Counter-Artikels die Server für die Weiterleitung

// Wuppertal
if ($client === "10237") {
$url = "http://cms-w".$prefix.".wuppertal.de/ies/infosite/counter";

// Remscheid
} else if ($client === "14638") {
$url = "http://cms-rs".$prefix.".remscheid.de/ies/infosite/counter";

// Solingen
} else if ($client === "15601") {
$url = "http://cms-sg".$prefix.".solingen.de/ies/infosite/counter";
}

// Die Parameter des Aufrufes ergänzen und die Seite mit einem Timeout (3 bis 5 Sekunden) aufrufen.
if ($url !== null) {
$url .= "?".$_SERVER['QUERY_STRING'];

$context = stream_context_create(array("http" => array("timeout" => 3)));
return file_get_contents($url, NULL, $context);
}
}
?>
</source>

=== Integration eines Client Certificates in die Kommunikation mit dem CMS-Server ===

Um dem Webserver zu gestatten sich dem CMS gegenüber als valider Client zu authentifizieren kann ein client-Zertifikat eingebunden werden.
Allgemein empfiehlt sich das genaue Studium der Apache-Doku zu diesem Thema: http://httpd.apache.org/docs/2.4/ssl/ssl_howto.html

Folgendes Szenario wird hier exemplarisch vorgestellt:
Web-Client <--> öffentlicher Webserver mit Client-Zertifikat <-- HTTPS --> CMS-Server intern
D.h. der Webbrowser sendet über den öffentlichen Webserver als Proxy seine Anforderungen an das CMS.
Dabei verwendet der Proxy das konfigurierte Client-Zertifikat, um sich dem CMS-Server gegenüber zu autorisieren.
Ob der Webbrowser über HTTP oder HTTPS mit dem Proxy kommuniziert ist unerheblich. Die Kommunikation mit dem CMS erfolgt immer über HTTPS.

* Konfiguration auf dem öffentlichen Webserver / Proxy

Zunächst wird eine Datei both.pem aus dem nicht verschlüsselten Zertifikat und dem zugehörigen Schlüssel erzeugt:
<pre> cat client.pem client.key > both.pem </pre>

Diese Datei wird als Client-Zertifikat eingebunden, z.B.:

<source lang="apache">
SSLProxyMachineCertificateFile /etc/httpd/ssl/both.pem
</source>

* Konfiguration auf dem CMS-System

Bei der klassischen SSL-Konfiguration muss dem Server zusätzlich das Haupt-CA-Zertifikat CA.pem, mit dem die Client-Schlüssel erzeugt wurden,
bekannt gemacht werden:

<source lang="apache">
SSLEngine on
SSLProxyEngine on
SSLCipherSuite ALL:!ADH:!EXPORT:+RSA:+HIGH:+MEDIUM:-RC4:-LOW
SSLProtocol All -SSLv2 -SSLv3
SSLCertificateFile /etc/httpd/ssl/server.cert
SSLCertificateKeyFile /etc/httpd/ssl/server.key
SSLCACertificateFile /etc/httpd/ssl/CA/CA.pem
</source>

In dem betreffenden geschützten Verzeichnis ist dann eine Art Schein-Basic-Authentication nach dem folgenden Muster einzurichten:

<source lang="apache">
<Directory /webserver-path>
SSLVerifyClient require
SSLVerifyDepth 5
SSLOptions +FakeBasicAuth
SSLRequireSSL
AuthName "Secure Area"
AuthType basic
AuthBasicProvider file
AuthUserFile .htpasswd
Require valid-user
ErrorDocument 403 "You need a client side certificate issued by CAcert to access this site"
</Directory>
</source>

Es wird also gegen die .htpasswd-Datei authentifiziert, in welcher alle validen Client-Zertifikate eingetragen sein müssen.

<noinclude>
[[Kategorie:Installation| 300]]
[[Kategorie:Administration und Konfiguration]]
</noinclude>

Integration des IES in den Apache

2015-05-05T15:44:41Z

CGi:

==Allgemeines==
Der IES ist i.d.R. für sämtliche Dateien im <code>DocumentRoot</code> eines Publishers zuständig. Die Dateien werden entsprechend über den Nutzer des IES angelegt. Da jedoch der Apache diese lesen bzw. über PHP verändern / ergänzen können sollte, empfehlen wir die Zugriffsrechte entsprechend einzustellen. Unter Linux kann das einfach erreicht werden, indem der Nutzer des Webservers auch in die Gruppe <code>ies</code> aufgenommen wird. Die UMASK des IES ist entsprechend voreingestellt.

==Konfiguration des ''DocumentRoot''==
Im ''DocumentRoot'' eines Publikationsbereiches werden neben den eigentlichen Artikeldaten auch noch Systemdaten der IES-Module gespeichert. Diese dienen u.a. zum Aufbau einer Sitemap o.ä.
Damit diese vor direkten URL-Aufrufen geschützt werden können, werden entsprechende ''.htaccess''-Dateien durch die Module generiert.
Hierzu muss im Apache (und im Microsoft IIS über die Erweiterung ''Helicon Ape'') die Auswertung dieser Daten erlaubt werden.

Da der IES sämtliche Daten der Module in das Unterverzeichnis ''/WEB-IES/'' speichert ist die Konfiguration wie folgt möglich:

<source lang="apache">
<VirtualHost *:80>
<Directory "....$PATH_TO_DOCUMENT_ROOT.../WEB-IES">
Options -Indexes
AllowOverride LIMIT
</Directory>
</VirtualHost>
</source>

==Allgemeine Hinweise zur Integration==
''Die Integration des [[IES]] in den "Internet Information Server" von Microsoft ist über den sog. JK-Connector prinzipiell möglich. Weitere Informationen hierzu finden Sie im Internet''

Grundsätzlich empfehlen wir sowohl unter Linux, wie auch unter Windows den Einsatz des Apache-Webservers, da wir aufgrund unserer Erfahrungen hier den besten Support liefern können.

Für die optionale Integration des [[IES]] in den Apache Webserver empfehlen wird das Apache-Modul <code>proxy_http</code>. Folgende Konfiguration kann als Vorlage dienen. Die <code>ProxyPassMatch</code> Anweisungen sind jedoch erst ab der Version 2.2.5 verfügbar.

Folgende Module sind für die unten aufgeführten Konfigurationsvorlagen notwendig:
mod_proxy
mod_proxy_balancer
mod_proxy_http
mod_lbmethod_byrequests # ab Apache 2.4 für proxy notwendig!!!
mod_rewrite
mod_ssl
mod_headers

Da Passwörter und andere vertrauliche Daten mit dem [[IES]] ausgetauscht werden, muss immer '''HTTPS''' für den Apache eingerichtet werden.

<div class="note">
Die Setzung '''ProxyPreserveHost''' legt fest, ob der ursprünglich im Request übergebene Hostname auch beim Proxy-Request angegeben wird, oder ob der Hostname der Balancer-Konfiguration verwendet wird.

Die Proxy-Regeln leiten alle relevanten Anfragen an den CMS-Server weiter. Je nach Ziel-Port, der in der Balance-Konfiguraion angegeben wird, wird der Request an den Apache oder den IES auf dem CMS-Server weitergeleitet. Wir empfehlen hier die Kommunikation über den Apache (Port 80 bei internen Requests, sonst Port 443). Soll der Zugriff direkt auf den IES erfolgen, ist folgende Anpassung der Bind-Address in der sitepark.conf notwendig: IES_BIND_ADDRESS="0.0.0.0" erforderlich. Damit ist der IES aber auch von allen anderen Rechern aus direkt erreichbar.

Im IES sind alle Domains und Aliase in den Publisher-Konfigurationen automatisch für HTTP-Anfragen gebunden, wenn diese für Live-Abfragen aktiviert wurden (''Publikationsbereich als Modul verwenden'' - Wir raten in diesem Zusammenhang dringend zu der Einschränkung auf ein bestimmtes Verzeichnis). Das bedeutet, dass alle Anfragen an eine der in den Publishern konfigurierten Domains, die an den IES geleitet werden, über den IES mit entsprechenden DocumentRoot ausgeführt werden. Aufrufe von IES-Modulen sind mit diesen URLs damit daher nicht möglich. Sollen direkt Funktionen des IES (z.B. InfoSite oder IES-API) angesprochen werden, muss der IES über einen Domain-Namen oder eine IP aufgerufen werden, die in keinen Publisher konfiguriert wurde.
</div>

==Hinweise zur Integration des IES in den Apache==
Für die Integration des IES in den Apache sollte ein eigener Virtueller Host eingerichtet werden. Für diesen Virtueller Host ist '''kein''' DocumentRoot notwendig!

===Aufruf des IES Über den Apache===

<source lang="apache">
<VirtualHost *:80>

ServerName <<cms-host>>

# Alle gültigen IES-Anfragen, die auf Port 80 erfolgen, sollten vollständig an Port 443 umgelenkt werden. Diese Aufrufe können zum einen durch
# Redakteure erfolgen, die häufig URLs ohne "https" eingeben, zum anderen aber auch durch Aufrufe, die durch SPML- bzw. JSP-Seiten erzeugt werden,
# da diese intern über "http" auf Port 8080 bearbeitet werden und keine Informationen dazu haben, dass SSL von Außen eingesetzt wird.
RedirectMatch ^(.*)$ https://<<cms-host>>$1

</VirtualHost>
<VirtualHost *:443>

ServerName <<cms-host>>

ErrorLog /var/log/apache2/<<cms-host>>.err
CustomLog /var/log/apache2/<<cms-host>>.log combined

# Infosite redirect
RewriteEngine On
RewriteRule ^/$ /ies/infosite/ [R,L]

###################################
# IES integration using mod_proxy #
###################################

# security
ProxyRequests Off

# timeout
ProxyTimeout 3600

# always keep the host header
ProxyPreserveHost On

# load balancer
<Proxy balancer://ies-balancer>
Order Deny,Allow
Allow from All
BalancerMember http://localhost:8080 timeout=3600 retry=0
</Proxy>

ProxyPassMatch ^(/ies/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
ProxyPassMatch ^(/infosite-webdav/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
ProxyPassMatch ^(/xip/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
ProxyPassMatch ^(/infosite/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On

# Innerhalb eines Virtuellen Hosts für HTTPS sollte immer der Header X-IES-SCHEME auf https gesetzt werden, da nur so
# innerhalb von IES-Applikationen ${system.baseurl} richtig aufgelöst wird. Weitere X-IES Header-Angaben sind i.d.R. nicht notwendig
#RequestHeader set X-IES-SERVER-NAME "ies.intern.net" # evtl. abweichender ServerName
#RequestHeader set X-IES-SERVER-PORT "1443" # evtl. abweichender Port
RequestHeader set X-IES-SCHEME "https"

</VirtualHost>
</source>

==Hinweise zur Integration von IES-Anfragen in dem Apache des Webservers==

===Webseiten-Apache-Konfiguration mit Zugriff auf den lokalen Webnode===
Für Zugriffe des Apache auf den lokalen IES-Webnode (z.B. für Solr-Suchen) ist folgende Konfiguration notwendig:

<source lang="apache">
<VirtualHost *:80>
...
ProxyTimeout 3600
<Proxy balancer://ies-webnode-balancer>
Order Deny,Allow
Allow from All
BalancerMember http://localhost:8381
</Proxy>
ProxyPassMatch ^(/ies-webnode/.*)$ balancer://ies-webnode-balancer$1
...
</VirtualHost>
</source>

===Webseiten-Apache-Konfiguration mit IES-API Zugriff===

Dies Konfiguration ist notwendig für:
*den I-Link im SRPC-Modus in InfoSite6
*Module und Komponenten mit Live-Abfragen (zB. Verzeichnismodul mit der Möglichkeit Objekte anzulegen)
*CityCall mit Anbindung an das Ticketsystem

<source lang="apache">
<VirtualHost *:80>

ServerName <<hostname>>
DocumentRoot ...

ErrorLog ...
CustomLog ...
...

###################################
# IES integration using mod_proxy #
###################################

# security
ProxyRequests Off

# always keep the host header
ProxyPreserveHost Off

# Bei Zugriff auf BalanceMember via HTTPS einzelne Setzungen aktivieren
SSLProxyEngine On
SSLProxyVerify none
SSLProxyCheckPeerCN Off
SSLProxyCheckPeerName Off
SSLProxyCheckPeerExpire Off

# timeout
ProxyTimeout 3600

# load balancer IES-API
<Proxy balancer://ies-api-balancer>
Order Deny,Allow
Allow from All
# Wenn lokal: BalancerMember http://localhost:8080 timeout=3600 retry=0
BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0
</Proxy>

ProxyPassMatch ^(/ies/api/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
####### oder auf bestimmte Module begrenzt: ######
# ProxyPassMatch ^(/ies/MODUL/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# Beispiele:
# ProxyPassMatch ^(/ies/formservice/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# ProxyPassMatch ^(/ies/infoticket/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# ProxyPassMatch ^(/ies/jslibs/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On

</VirtualHost>
</source>

===Webseiten-Apache-Konfiguration für Publikationsbereiche mit Live-Komponenten===

Publikationsbereiche des IES die Live-Komponenten verwenden und somit auf den IES zugreifen müssen, werden wie folgt konfiguriert.
Diese Konfiguration kann für aktuelle Anforderungen mit Zugriffen auf den IES über die IES-API nicht verwendet werden.

<source lang="apache">
<VirtualHost *:80>

ServerName ...
DocumentRoot ...

ErrorLog ...
CustomLog ...

...

###################################
# IES integration using mod_proxy #
###################################

# security
ProxyRequests Off

# always keep the host header
ProxyPreserveHost On

# timeout
ProxyTimeout 3600

# Bei Zugriff auf BalanceMember via HTTPS einzelne Setzungen aktivieren
SSLProxyEngine On
SSLProxyVerify none
SSLProxyCheckPeerCN Off
SSLProxyCheckPeerName Off
SSLProxyCheckPeerExpire Off

# load balancer
<Proxy balancer://ies-balancer>
Order Deny,Allow
Allow from All
BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0

# Alternativ kann auch direkt der Apache des CMS-Systems angesprochen werden,
# da dieser Anfragen automatisch intern an den IES weiterleitet.
#BalancerMember http://<<cms-host>>:80 timeout=3600 retry=0

# Bei Zugriff via SSL empfehlen wir die Verschlüsselung über den Apache zu konfigurieren.
# Dieser leitet dann die unverschlüsselte Anfrage an den lokalen IES (intern über Port 8080)
# Wird der BalanceMember via HTTPS angesprochen muss noch SSLProxyEngine auf ON gesetzt werden (s.o.)
#BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0
</Proxy>

# Der Ordner, der am Publisher für SPML-Live-Seiten konfiguriert wurde muss für "<<spml_live_folder>>" eingesetzt werden
ProxyPassMatch ^(/<<spml_live_folder>>/.*\.spml(;jsessionid=\w+)?(\?.*)?)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
ProxyPassMatch ^(/<<spml_live_folder>>/ies/binary/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
# danach sollte, um die taglibs und andere für den IES notwendigen Elemente NICHT vom Apache ausliefern zu lassen, der Zugriff durch den Apache verboten werden
<Directory <<DocumentRoot>>/WEB-INF>
Order deny,allow
Deny from all
</Directory>

# COUNTER
# Variante 1: RedirectMatch auf den Server (CMS muss öffentlich erreichbar sein)
#RedirectMatch ^/ies/counter(.*) https://<<cms-host>>/ies/infosite/counter$1

# Variante 2: Rewrite, wenn über eine RewriteCondition noch Bedingungen angegeben werde sollen.
# Rewrite um die Counter-Aufrufe (unabhaengig von Aliases) an das CMS (mit der konfigurierten Publisher-URL) zu schicken
RewriteEngine on

# Zugriff auf das CMS nur über den Webserver (als Proxy)
RewriteRule ^/ies/counter(.*) https://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
RewriteRule ^/infosite/counter(.*) https://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
RewriteRule ^/ies/infosite/counter(.*) https://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind

</VirtualHost>
</source>

===Alternative Variante, wenn IES-API UND SPML-Seite unterstützt werden müssen===

''Für den I-Link im SRPC-Modus in InfoSite6 muss der Zugriff auf die IES-API konfiguriert werden.''

Damit nun sowohl Live-Abfragen (SPML-Seiten im DocumentRoot eines Publishers), als auch IES-Funktionen (wie die IES-API) von einer URL aufgerufen werden können ist ein kleiner Umweg notwendig, der hier beschrieben wird:

Es ist für jede Domain, für die diese zwei Formen des Zugriffs auf den IES notwendig sind, ein eigener Domain-Name, der auf den CMS-Server zeigt notwendig. Dieser kann entweder im DNS oder auch nur in den HOST-Dateien des CMS- und Webservers eingetragen werden. Weiterhin wird dieser Domain-Name über IES-Admin als Alias im entsprecheden Publisher konfiguriert. Auch sollte der Domain-Name im Apache als ServerAlias für den IES konfiguriert werden.

Unterschiedliche Balancer-Regeln auf dem Webserver sorgen nun dafür, dass so entwerder IES-Funktionen oder Live-Funktionen des Publishers ausgeführt werden, indem entweder die Alias-URL des Publishers oder die URL des IES verwendet wird.

In dem unten aufgeführten Beispiel wird die Kommunikation via HTTPs realisiert. Der Domain-Name <<ies-alias-hostname>> und CMS-Host <<cms-host>> ist entsprechend zu ersetzen.

Beispiel:
www.stadt-goldenberg.de
<<cms-host>: ies.stadt-goldenberg.de
<<ies-alias-hostname>>: ies-www.stadt-goldenberg.de
<<spml_live_folder>>: /live

<source lang="apache">
<VirtualHost *:80>

ServerName ...
DocumentRoot ...

ErrorLog ...
CustomLog ...

...

###################################
# IES integration using mod_proxy #
###################################

# security
ProxyRequests Off

# always keep the host header
############# WICHTIG: muss auf 'Off' stehen, damit der Wert des Balancers übertragen wird #################
ProxyPreserveHost Off

# Bei Zugriff auf BalanceMember via HTTPS einzelne Setzungen aktivieren
SSLProxyEngine On
SSLProxyVerify none
SSLProxyCheckPeerCN Off
SSLProxyCheckPeerName Off
SSLProxyCheckPeerExpire Off

# timeout
ProxyTimeout 3600

# load balancer IES
<Proxy balancer://ies-balancer>
Order Deny,Allow
Allow from All
############# WICHTIG: Es muss der richtige Hostname gesetzt werden #################
BalancerMember https://<<ies-alias-hostname>>:443 timeout=3600 retry=0
</Proxy>

# Der Ordner, der am Publisher für SPML-Live-Seiten konfiguriert wurde muss für "<<spml_live_folder>>" eingesetzt werden
ProxyPassMatch ^(/<<spml_live_folder>>/.*\.spml(;jsessionid=\w+)?(\?.*)?)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
ProxyPassMatch ^(/<<spml_live_folder>>/ies/binary/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
# danach sollte, um die taglibs und andere für den IES notwendigen Elemente NICHT vom Apache ausliefern zu lassen, der Zugriff durch den Apache verboten werden
<Directory <<DocumentRoot>>/WEB-INF>
Order deny,allow
Deny from all
</Directory>

# load balancer IES-API
<Proxy balancer://ies-api-balancer>
Order Deny,Allow
Allow from All
# Wenn lokal: BalancerMember http://localhost:8080 timeout=3600 retry=0
BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0
</Proxy>
ProxyPassMatch ^(/ies/api/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
####### weitere Module ######
# ProxyPassMatch ^(/ies/MODUL/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# Beispiele:
# ProxyPassMatch ^(/ies/formservice/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# ProxyPassMatch ^(/ies/infoticket/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# ProxyPassMatch ^(/ies/jslibs/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On

# COUNTER
# Variante 1: RedirectMatch auf den Server (CMS muss öffentlich erreichbar sein)
#RedirectMatch ^/ies/counter(.*) https://<<cms-host>>/ies/infosite/counter$1

# Variante 2: Rewrite, wenn über eine RewriteCondition noch Bedingungen angegeben werde sollen.
# Rewrite um die Counter-Aufrufe (unabhaengig von Aliases) an das CMS (mit der konfigurierten Publisher-URL) zu schicken
RewriteEngine on

# Zugriff auf das CMS nur über den Webserver (als Proxy)
RewriteRule ^/ies/counter(.*) http[s]://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
RewriteRule ^/infosite/counter(.*) http[s]://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
RewriteRule ^/ies/infosite/counter(.*) http[s]://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind

</VirtualHost>
</source>

=== Apache-Konfiguration Version < 2.2.5 ===

Bei älteren Apache-Versionen (< Version 2.2.5) ist unter Umständen statt einer <code>ProxyPassMatch</code> eine <code>RewriteRule</code> einzusetzen:

<source lang="apache">
###################################
# IES integration using mod_proxy #
###################################

# security
ProxyRequests Off

# always keep the host header
ProxyPreserveHost On

# timeout
ProxyTimeout 3600

# load balancer
<Proxy balancer://ies-balancer>
Order Deny,Allow
Allow from All
BalancerMember http://localhost:8080 timeout=3600 retry=0
</Proxy>

RewriteEngine On
RewriteRule ^(/<<spml_live_folder>>/.*\.spml(;jsessionid=\w+)?(\?.*)?) balancer://ies-balancer$1 [P]
RewriteRule ^(/<<spml_live_folder>>/ies/binary/.*)$ balancer://ies-balancer$1 [P]
# danach sollte, um die taglibs und andere für den IES notwendigen Elemente NICHT vom Apache ausliefern zu lassen, der Zugriff durch den Apache verboten werden
<Directory <<DocumentRoot>>/WEB-INF>
Order deny,allow
Deny from all
</Directory>

RewriteRule ^(/infosite-webdav/.*)$ balancer://ies-balancer$1 [P]

# Innerhalb eines Virtuellen Hosts für HTTPS sollte immer der
# Header X-IES-SCHEME auf https gesetzt werden,
# da nur so innerhalb von IES-Applikationen ${system.baseurl}
# richtig aufgelöst wird.
#RequestHeader set X-IES-SCHEME "https"
</source>

=== Counter Konfiguration für einen Virtual-Host, der von verschiedenen CMS-Server geschrieben wird (z.B. für CityCall115). ===
In der Virtual-Host Konfiguration des Webservers genügt dieser Eintrag für die Weiterleitung der Counter-Aufrufe:
<source lang="apache">
...
# Alle Counter-Requests an eine vom CMS gepflegte PHP-Seite:
RewriteRule ^/ies/counter(.*) /counter.php$1 [L,NE]
...
</source>

Hier der Inhalt der php Seite 'counter.php' am Beispiel CityCall für Wuppertal/Remscheid/Solingen
<source lang="php">
<?php
if (!empty($_GET)) {
$client = substr(htmlspecialchars($_GET["SYS_CNTR_id"]),0,5);
$prefix = "";

// Für den Fall, dass es auch auf Testservern eingesetzt wird
if (strrpos($_SERVER['SERVER_NAME'],"test")) {
$prefix = ".test";
}

$url = null;

//
// Unterscheide anhand der Server- und ClientId des übergebenen
// Counter-Artikels die Server für die Weiterleitung

// Wuppertal
if ($client === "10237") {
$url = "http://cms-w".$prefix.".wuppertal.de/ies/infosite/counter";

// Remscheid
} else if ($client === "14638") {
$url = "http://cms-rs".$prefix.".remscheid.de/ies/infosite/counter";

// Solingen
} else if ($client === "15601") {
$url = "http://cms-sg".$prefix.".solingen.de/ies/infosite/counter";
}

// Die Parameter des Aufrufes ergänzen und die Seite mit einem Timeout (3 bis 5 Sekunden) aufrufen.
if ($url !== null) {
$url .= "?".$_SERVER['QUERY_STRING'];

$context = stream_context_create(array("http" => array("timeout" => 3)));
return file_get_contents($url, NULL, $context);
}
}
?>
</source>

=== Integration eines Client Certificates in die Kommunikation mit dem CMS-Server ===

Um dem Webserver zu gestatten sich dem CMS gegenüber als valider Client zu authentifizieren kann ein client-Zertifikat eingebunden werden.
Allgemein empfiehlt sich das genaue Studium der Apache-Doku zu diesem Thema: http://httpd.apache.org/docs/2.4/ssl/ssl_howto.html

Folgendes Szenario wird hier exemplarisch vorgestellt:
Web-Client <--> öffentlicher Webserver mit Client-Zertifikat <-- HTTPS --> CMS-Server intern
D.h. er Webbrowser sendet über den öffentlichen Webserver als Proxy seine Anforderungen an das CMS.
Dabei verwendet der Proxy das konfigurierte Client-Zertifikat, um sich dem CMS-Server gegenüber zu autorisieren.
Ob der Webbrowser über HTTP oder HTTPS mit dem Porxy kommuniziert ist unerheblich, Die Kommunikation mit dem CMS erfolgt immer über HTTPS.

==== Konfiguration auf dem öffentlichen Webserver / Proxy ====

Zunächst wird eine Datei both.pem aus dem nicht verschlüsselten Zertifikat und dem zugehörigen Schlüssel erzeugt:
<pre> cat client.pem client.key > both.pem </pre>

Diese Datei wird als Client-Zertifikat eingebunden, z.B.:

<source lang="apache">
SSLProxyMachineCertificateFile /etc/httpd/ssl/both.pem
</source>

==== Konfiguration auf dem CMS-System ====

<source lang="apache">
SSLProxyEngine on
SSLProxyCACertificateFile /etc/httpd/ssl/CA.cert
SSLProxyVerify require
SSLProxyVerifyDepth 2
SSLProxyMachineCertificateFile /etc/httpd/ssl/both.cert
</source>

<noinclude>
[[Kategorie:Installation| 300]]
[[Kategorie:Administration und Konfiguration]]
</noinclude>

Integration des IES in den Apache

2015-05-05T09:56:27Z

CGi:

==Allgemeines==
Der IES ist i.d.R. für sämtliche Dateien im <code>DocumentRoot</code> eines Publishers zuständig. Die Dateien werden entsprechend über den Nutzer des IES angelegt. Da jedoch der Apache diese lesen bzw. über PHP verändern / ergänzen können sollte, empfehlen wir die Zugriffsrechte entsprechend einzustellen. Unter Linux kann das einfach erreicht werden, indem der Nutzer des Webservers auch in die Gruppe <code>ies</code> aufgenommen wird. Die UMASK des IES ist entsprechend voreingestellt.

==Konfiguration des ''DocumentRoot''==
Im ''DocumentRoot'' eines Publikationsbereiches werden neben den eigentlichen Artikeldaten auch noch Systemdaten der IES-Module gespeichert. Diese dienen u.a. zum Aufbau einer Sitemap o.ä.
Damit diese vor direkten URL-Aufrufen geschützt werden können, werden entsprechende ''.htaccess''-Dateien durch die Module generiert.
Hierzu muss im Apache (und im Microsoft IIS über die Erweiterung ''Helicon Ape'') die Auswertung dieser Daten erlaubt werden.

Da der IES sämtliche Daten der Module in das Unterverzeichnis ''/WEB-IES/'' speichert ist die Konfiguration wie folgt möglich:

<source lang="apache">
<VirtualHost *:80>
<Directory "....$PATH_TO_DOCUMENT_ROOT.../WEB-IES">
Options -Indexes
AllowOverride LIMIT
</Directory>
</VirtualHost>
</source>

==Allgemeine Hinweise zur Integration==
''Die Integration des [[IES]] in den "Internet Information Server" von Microsoft ist über den sog. JK-Connector prinzipiell möglich. Weitere Informationen hierzu finden Sie im Internet''

Grundsätzlich empfehlen wir sowohl unter Linux, wie auch unter Windows den Einsatz des Apache-Webservers, da wir aufgrund unserer Erfahrungen hier den besten Support liefern können.

Für die optionale Integration des [[IES]] in den Apache Webserver empfehlen wird das Apache-Modul <code>proxy_http</code>. Folgende Konfiguration kann als Vorlage dienen. Die <code>ProxyPassMatch</code> Anweisungen sind jedoch erst ab der Version 2.2.5 verfügbar.

Folgende Module sind für die unten aufgeführten Konfigurationsvorlagen notwendig:
mod_proxy
mod_proxy_balancer
mod_proxy_http
mod_lbmethod_byrequests # ab Apache 2.4 für proxy notwendig!!!
mod_rewrite
mod_ssl
mod_headers

Da Passwörter und andere vertrauliche Daten mit dem [[IES]] ausgetauscht werden, muss immer '''HTTPS''' für den Apache eingerichtet werden.

<div class="note">
Die Setzung '''ProxyPreserveHost''' legt fest, ob der ursprünglich im Request übergebene Hostname auch beim Proxy-Request angegeben wird, oder ob der Hostname der Balancer-Konfiguration verwendet wird.

Die Proxy-Regeln leiten alle relevanten Anfragen an den CMS-Server weiter. Je nach Ziel-Port, der in der Balance-Konfiguraion angegeben wird, wird der Request an den Apache oder den IES auf dem CMS-Server weitergeleitet. Wir empfehlen hier die Kommunikation über den Apache (Port 80 bei internen Requests, sonst Port 443). Soll der Zugriff direkt auf den IES erfolgen, ist folgende Anpassung der Bind-Address in der sitepark.conf notwendig: IES_BIND_ADDRESS="0.0.0.0" erforderlich. Damit ist der IES aber auch von allen anderen Rechern aus direkt erreichbar.

Im IES sind alle Domains und Aliase in den Publisher-Konfigurationen automatisch für HTTP-Anfragen gebunden, wenn diese für Live-Abfragen aktiviert wurden (''Publikationsbereich als Modul verwenden'' - Wir raten in diesem Zusammenhang dringend zu der Einschränkung auf ein bestimmtes Verzeichnis). Das bedeutet, dass alle Anfragen an eine der in den Publishern konfigurierten Domains, die an den IES geleitet werden, über den IES mit entsprechenden DocumentRoot ausgeführt werden. Aufrufe von IES-Modulen sind mit diesen URLs damit daher nicht möglich. Sollen direkt Funktionen des IES (z.B. InfoSite oder IES-API) angesprochen werden, muss der IES über einen Domain-Namen oder eine IP aufgerufen werden, die in keinen Publisher konfiguriert wurde.
</div>

==Hinweise zur Integration des IES in den Apache==
Für die Integration des IES in den Apache sollte ein eigener Virtueller Host eingerichtet werden. Für diesen Virtueller Host ist '''kein''' DocumentRoot notwendig!

===Aufruf des IES Über den Apache===

<source lang="apache">
<VirtualHost *:80>

ServerName <<cms-host>>

# Alle gültigen IES-Anfragen, die auf Port 80 erfolgen, sollten vollständig an Port 443 umgelenkt werden. Diese Aufrufe können zum einen durch
# Redakteure erfolgen, die häufig URLs ohne "https" eingeben, zum anderen aber auch durch Aufrufe, die durch SPML- bzw. JSP-Seiten erzeugt werden,
# da diese intern über "http" auf Port 8080 bearbeitet werden und keine Informationen dazu haben, dass SSL von Außen eingesetzt wird.
RedirectMatch ^(.*)$ https://<<cms-host>>$1

</VirtualHost>
<VirtualHost *:443>

ServerName <<cms-host>>

ErrorLog /var/log/apache2/<<cms-host>>.err
CustomLog /var/log/apache2/<<cms-host>>.log combined

# Infosite redirect
RewriteEngine On
RewriteRule ^/$ /ies/infosite/ [R,L]

###################################
# IES integration using mod_proxy #
###################################

# security
ProxyRequests Off

# timeout
ProxyTimeout 3600

# always keep the host header
ProxyPreserveHost On

# load balancer
<Proxy balancer://ies-balancer>
Order Deny,Allow
Allow from All
BalancerMember http://localhost:8080 timeout=3600 retry=0
</Proxy>

ProxyPassMatch ^(/ies/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
ProxyPassMatch ^(/infosite-webdav/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
ProxyPassMatch ^(/xip/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
ProxyPassMatch ^(/infosite/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On

# Innerhalb eines Virtuellen Hosts für HTTPS sollte immer der Header X-IES-SCHEME auf https gesetzt werden, da nur so
# innerhalb von IES-Applikationen ${system.baseurl} richtig aufgelöst wird. Weitere X-IES Header-Angaben sind i.d.R. nicht notwendig
#RequestHeader set X-IES-SERVER-NAME "ies.intern.net" # evtl. abweichender ServerName
#RequestHeader set X-IES-SERVER-PORT "1443" # evtl. abweichender Port
RequestHeader set X-IES-SCHEME "https"

</VirtualHost>
</source>

==Hinweise zur Integration von IES-Anfragen in dem Apache des Webservers==

===Webseiten-Apache-Konfiguration mit Zugriff auf den lokalen Webnode===
Für Zugriffe des Apache auf den lokalen IES-Webnode (z.B. für Solr-Suchen) ist folgende Konfiguration notwendig:

<source lang="apache">
<VirtualHost *:80>
...
ProxyTimeout 3600
<Proxy balancer://ies-webnode-balancer>
Order Deny,Allow
Allow from All
BalancerMember http://localhost:8381
</Proxy>
ProxyPassMatch ^(/ies-webnode/.*)$ balancer://ies-webnode-balancer$1
...
</VirtualHost>
</source>

===Webseiten-Apache-Konfiguration mit IES-API Zugriff===

Dies Konfiguration ist notwendig für:
*den I-Link im SRPC-Modus in InfoSite6
*Module und Komponenten mit Live-Abfragen (zB. Verzeichnismodul mit der Möglichkeit Objekte anzulegen)
*CityCall mit Anbindung an das Ticketsystem

<source lang="apache">
<VirtualHost *:80>

ServerName <<hostname>>
DocumentRoot ...

ErrorLog ...
CustomLog ...
...

###################################
# IES integration using mod_proxy #
###################################

# security
ProxyRequests Off

# always keep the host header
ProxyPreserveHost Off

# Bei Zugriff auf BalanceMember via HTTPS einzelne Setzungen aktivieren
SSLProxyEngine On
SSLProxyVerify none
SSLProxyCheckPeerCN Off
SSLProxyCheckPeerName Off
SSLProxyCheckPeerExpire Off

# timeout
ProxyTimeout 3600

# load balancer IES-API
<Proxy balancer://ies-api-balancer>
Order Deny,Allow
Allow from All
# Wenn lokal: BalancerMember http://localhost:8080 timeout=3600 retry=0
BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0
</Proxy>

ProxyPassMatch ^(/ies/api/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
####### oder auf bestimmte Module begrenzt: ######
# ProxyPassMatch ^(/ies/MODUL/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# Beispiele:
# ProxyPassMatch ^(/ies/formservice/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# ProxyPassMatch ^(/ies/infoticket/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# ProxyPassMatch ^(/ies/jslibs/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On

</VirtualHost>
</source>

===Webseiten-Apache-Konfiguration für Publikationsbereiche mit Live-Komponenten===

Publikationsbereiche des IES die Live-Komponenten verwenden und somit auf den IES zugreifen müssen, werden wie folgt konfiguriert.
Diese Konfiguration kann für aktuelle Anforderungen mit Zugriffen auf den IES über die IES-API nicht verwendet werden.

<source lang="apache">
<VirtualHost *:80>

ServerName ...
DocumentRoot ...

ErrorLog ...
CustomLog ...

...

###################################
# IES integration using mod_proxy #
###################################

# security
ProxyRequests Off

# always keep the host header
ProxyPreserveHost On

# timeout
ProxyTimeout 3600

# Bei Zugriff auf BalanceMember via HTTPS einzelne Setzungen aktivieren
SSLProxyEngine On
SSLProxyVerify none
SSLProxyCheckPeerCN Off
SSLProxyCheckPeerName Off
SSLProxyCheckPeerExpire Off

# load balancer
<Proxy balancer://ies-balancer>
Order Deny,Allow
Allow from All
BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0

# Alternativ kann auch direkt der Apache des CMS-Systems angesprochen werden,
# da dieser Anfragen automatisch intern an den IES weiterleitet.
#BalancerMember http://<<cms-host>>:80 timeout=3600 retry=0

# Bei Zugriff via SSL empfehlen wir die Verschlüsselung über den Apache zu konfigurieren.
# Dieser leitet dann die unverschlüsselte Anfrage an den lokalen IES (intern über Port 8080)
# Wird der BalanceMember via HTTPS angesprochen muss noch SSLProxyEngine auf ON gesetzt werden (s.o.)
#BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0
</Proxy>

# Der Ordner, der am Publisher für SPML-Live-Seiten konfiguriert wurde muss für "<<spml_live_folder>>" eingesetzt werden
ProxyPassMatch ^(/<<spml_live_folder>>/.*\.spml(;jsessionid=\w+)?(\?.*)?)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
ProxyPassMatch ^(/<<spml_live_folder>>/ies/binary/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
# danach sollte, um die taglibs und andere für den IES notwendigen Elemente NICHT vom Apache ausliefern zu lassen, der Zugriff durch den Apache verboten werden
<Directory <<DocumentRoot>>/WEB-INF>
Order deny,allow
Deny from all
</Directory>

# COUNTER
# Variante 1: RedirectMatch auf den Server (CMS muss öffentlich erreichbar sein)
#RedirectMatch ^/ies/counter(.*) https://<<cms-host>>/ies/infosite/counter$1

# Variante 2: Rewrite, wenn über eine RewriteCondition noch Bedingungen angegeben werde sollen.
# Rewrite um die Counter-Aufrufe (unabhaengig von Aliases) an das CMS (mit der konfigurierten Publisher-URL) zu schicken
RewriteEngine on

# Zugriff auf das CMS nur über den Webserver (als Proxy)
RewriteRule ^/ies/counter(.*) https://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
RewriteRule ^/infosite/counter(.*) https://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
RewriteRule ^/ies/infosite/counter(.*) https://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind

</VirtualHost>
</source>

===Alternative Variante, wenn IES-API UND SPML-Seite unterstützt werden müssen===

''Für den I-Link im SRPC-Modus in InfoSite6 muss der Zugriff auf die IES-API konfiguriert werden.''

Damit nun sowohl Live-Abfragen (SPML-Seiten im DocumentRoot eines Publishers), als auch IES-Funktionen (wie die IES-API) von einer URL aufgerufen werden können ist ein kleiner Umweg notwendig, der hier beschrieben wird:

Es ist für jede Domain, für die diese zwei Formen des Zugriffs auf den IES notwendig sind, ein eigener Domain-Name, der auf den CMS-Server zeigt notwendig. Dieser kann entweder im DNS oder auch nur in den HOST-Dateien des CMS- und Webservers eingetragen werden. Weiterhin wird dieser Domain-Name über IES-Admin als Alias im entsprecheden Publisher konfiguriert. Auch sollte der Domain-Name im Apache als ServerAlias für den IES konfiguriert werden.

Unterschiedliche Balancer-Regeln auf dem Webserver sorgen nun dafür, dass so entwerder IES-Funktionen oder Live-Funktionen des Publishers ausgeführt werden, indem entweder die Alias-URL des Publishers oder die URL des IES verwendet wird.

In dem unten aufgeführten Beispiel wird die Kommunikation via HTTPs realisiert. Der Domain-Name <<ies-alias-hostname>> und CMS-Host <<cms-host>> ist entsprechend zu ersetzen.

Beispiel:
www.stadt-goldenberg.de
<<cms-host>: ies.stadt-goldenberg.de
<<ies-alias-hostname>>: ies-www.stadt-goldenberg.de
<<spml_live_folder>>: /live

<source lang="apache">
<VirtualHost *:80>

ServerName ...
DocumentRoot ...

ErrorLog ...
CustomLog ...

...

###################################
# IES integration using mod_proxy #
###################################

# security
ProxyRequests Off

# always keep the host header
############# WICHTIG: muss auf 'Off' stehen, damit der Wert des Balancers übertragen wird #################
ProxyPreserveHost Off

# Bei Zugriff auf BalanceMember via HTTPS einzelne Setzungen aktivieren
SSLProxyEngine On
SSLProxyVerify none
SSLProxyCheckPeerCN Off
SSLProxyCheckPeerName Off
SSLProxyCheckPeerExpire Off

# timeout
ProxyTimeout 3600

# load balancer IES
<Proxy balancer://ies-balancer>
Order Deny,Allow
Allow from All
############# WICHTIG: Es muss der richtige Hostname gesetzt werden #################
BalancerMember https://<<ies-alias-hostname>>:443 timeout=3600 retry=0
</Proxy>

# Der Ordner, der am Publisher für SPML-Live-Seiten konfiguriert wurde muss für "<<spml_live_folder>>" eingesetzt werden
ProxyPassMatch ^(/<<spml_live_folder>>/.*\.spml(;jsessionid=\w+)?(\?.*)?)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
ProxyPassMatch ^(/<<spml_live_folder>>/ies/binary/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
# danach sollte, um die taglibs und andere für den IES notwendigen Elemente NICHT vom Apache ausliefern zu lassen, der Zugriff durch den Apache verboten werden
<Directory <<DocumentRoot>>/WEB-INF>
Order deny,allow
Deny from all
</Directory>

# load balancer IES-API
<Proxy balancer://ies-api-balancer>
Order Deny,Allow
Allow from All
# Wenn lokal: BalancerMember http://localhost:8080 timeout=3600 retry=0
BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0
</Proxy>
ProxyPassMatch ^(/ies/api/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
####### weitere Module ######
# ProxyPassMatch ^(/ies/MODUL/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# Beispiele:
# ProxyPassMatch ^(/ies/formservice/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# ProxyPassMatch ^(/ies/infoticket/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# ProxyPassMatch ^(/ies/jslibs/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On

# COUNTER
# Variante 1: RedirectMatch auf den Server (CMS muss öffentlich erreichbar sein)
#RedirectMatch ^/ies/counter(.*) https://<<cms-host>>/ies/infosite/counter$1

# Variante 2: Rewrite, wenn über eine RewriteCondition noch Bedingungen angegeben werde sollen.
# Rewrite um die Counter-Aufrufe (unabhaengig von Aliases) an das CMS (mit der konfigurierten Publisher-URL) zu schicken
RewriteEngine on

# Zugriff auf das CMS nur über den Webserver (als Proxy)
RewriteRule ^/ies/counter(.*) http[s]://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
RewriteRule ^/infosite/counter(.*) http[s]://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
RewriteRule ^/ies/infosite/counter(.*) http[s]://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind

</VirtualHost>
</source>

=== Apache-Konfiguration Version < 2.2.5 ===

Bei älteren Apache-Versionen (< Version 2.2.5) ist unter Umständen statt einer <code>ProxyPassMatch</code> eine <code>RewriteRule</code> einzusetzen:

<source lang="apache">
###################################
# IES integration using mod_proxy #
###################################

# security
ProxyRequests Off

# always keep the host header
ProxyPreserveHost On

# timeout
ProxyTimeout 3600

# load balancer
<Proxy balancer://ies-balancer>
Order Deny,Allow
Allow from All
BalancerMember http://localhost:8080 timeout=3600 retry=0
</Proxy>

RewriteEngine On
RewriteRule ^(/<<spml_live_folder>>/.*\.spml(;jsessionid=\w+)?(\?.*)?) balancer://ies-balancer$1 [P]
RewriteRule ^(/<<spml_live_folder>>/ies/binary/.*)$ balancer://ies-balancer$1 [P]
# danach sollte, um die taglibs und andere für den IES notwendigen Elemente NICHT vom Apache ausliefern zu lassen, der Zugriff durch den Apache verboten werden
<Directory <<DocumentRoot>>/WEB-INF>
Order deny,allow
Deny from all
</Directory>

RewriteRule ^(/infosite-webdav/.*)$ balancer://ies-balancer$1 [P]

# Innerhalb eines Virtuellen Hosts für HTTPS sollte immer der
# Header X-IES-SCHEME auf https gesetzt werden,
# da nur so innerhalb von IES-Applikationen ${system.baseurl}
# richtig aufgelöst wird.
#RequestHeader set X-IES-SCHEME "https"
</source>

=== Counter Konfiguration für einen Virtual-Host, der von verschiedenen CMS-Server geschrieben wird (z.B. für CityCall115). ===
In der Virtual-Host Konfiguration des Webservers genügt dieser Eintrag für die Weiterleitung der Counter-Aufrufe:
<source lang="apache">
...
# Alle Counter-Requests an eine vom CMS gepflegte PHP-Seite:
RewriteRule ^/ies/counter(.*) /counter.php$1 [L,NE]
...
</source>

Hier der Inhalt der php Seite 'counter.php' am Beispiel CityCall für Wuppertal/Remscheid/Solingen
<source lang="php">
<?php
if (!empty($_GET)) {
$client = substr(htmlspecialchars($_GET["SYS_CNTR_id"]),0,5);
$prefix = "";

// Für den Fall, dass es auch auf Testservern eingesetzt wird
if (strrpos($_SERVER['SERVER_NAME'],"test")) {
$prefix = ".test";
}

$url = null;

//
// Unterscheide anhand der Server- und ClientId des übergebenen
// Counter-Artikels die Server für die Weiterleitung

// Wuppertal
if ($client === "10237") {
$url = "http://cms-w".$prefix.".wuppertal.de/ies/infosite/counter";

// Remscheid
} else if ($client === "14638") {
$url = "http://cms-rs".$prefix.".remscheid.de/ies/infosite/counter";

// Solingen
} else if ($client === "15601") {
$url = "http://cms-sg".$prefix.".solingen.de/ies/infosite/counter";
}

// Die Parameter des Aufrufes ergänzen und die Seite mit einem Timeout (3 bis 5 Sekunden) aufrufen.
if ($url !== null) {
$url .= "?".$_SERVER['QUERY_STRING'];

$context = stream_context_create(array("http" => array("timeout" => 3)));
return file_get_contents($url, NULL, $context);
}
}
?>
</source>

=== Integration eines Client Certificates in die Kommunikation mit dem CMS-Server ===

Um dem Webserver zu gestatten sich dem CMS gegenüber als valider Client zu authentifizieren kann ein client-Zertifikat eingebunden werden.

<source lang="apache">
SSLProxyEngine on
SSLProxyCACertificateFile /etc/httpd/ssl/CA.cert
SSLProxyVerify require
SSLProxyVerifyDepth 2
SSLProxyMachineCertificateFile /etc/httpd/ssl/both.cert
</source>

Sehr gute Doku zu dem Thema: http://httpd.apache.org/docs/2.4/ssl/ssl_howto.html

<noinclude>
[[Kategorie:Installation| 300]]
[[Kategorie:Administration und Konfiguration]]
</noinclude>

Integration des IES in den Apache

2015-05-05T08:32:32Z

CGi:

==Allgemeines==
Der IES ist i.d.R. für sämtliche Dateien im <code>DocumentRoot</code> eines Publishers zuständig. Die Dateien werden entsprechend über den Nutzer des IES angelegt. Da jedoch der Apache diese lesen bzw. über PHP verändern / ergänzen können sollte, empfehlen wir die Zugriffsrechte entsprechend einzustellen. Unter Linux kann das einfach erreicht werden, indem der Nutzer des Webservers auch in die Gruppe <code>ies</code> aufgenommen wird. Die UMASK des IES ist entsprechend voreingestellt.

==Konfiguration des ''DocumentRoot''==
Im ''DocumentRoot'' eines Publikationsbereiches werden neben den eigentlichen Artikeldaten auch noch Systemdaten der IES-Module gespeichert. Diese dienen u.a. zum Aufbau einer Sitemap o.ä.
Damit diese vor direkten URL-Aufrufen geschützt werden können, werden entsprechende ''.htaccess''-Dateien durch die Module generiert.
Hierzu muss im Apache (und im Microsoft IIS über die Erweiterung ''Helicon Ape'') die Auswertung dieser Daten erlaubt werden.

Da der IES sämtliche Daten der Module in das Unterverzeichnis ''/WEB-IES/'' speichert ist die Konfiguration wie folgt möglich:

<source lang="apache">
<VirtualHost *:80>
<Directory "....$PATH_TO_DOCUMENT_ROOT.../WEB-IES">
Options -Indexes
AllowOverride LIMIT
</Directory>
</VirtualHost>
</source>

==Allgemeine Hinweise zur Integration==
''Die Integration des [[IES]] in den "Internet Information Server" von Microsoft ist über den sog. JK-Connector prinzipiell möglich. Weitere Informationen hierzu finden Sie im Internet''

Grundsätzlich empfehlen wir sowohl unter Linux, wie auch unter Windows den Einsatz des Apache-Webservers, da wir aufgrund unserer Erfahrungen hier den besten Support liefern können.

Für die optionale Integration des [[IES]] in den Apache Webserver empfehlen wird das Apache-Modul <code>proxy_http</code>. Folgende Konfiguration kann als Vorlage dienen. Die <code>ProxyPassMatch</code> Anweisungen sind jedoch erst ab der Version 2.2.5 verfügbar.

Folgende Module sind für die unten aufgeführten Konfigurationsvorlagen notwendig:
mod_proxy
mod_proxy_balancer
mod_proxy_http
mod_lbmethod_byrequests # ab Apache 2.4 für proxy notwendig!!!
mod_rewrite
mod_ssl
mod_headers

Da Passwörter und andere vertrauliche Daten mit dem [[IES]] ausgetauscht werden, muss immer '''HTTPS''' für den Apache eingerichtet werden.

<div class="note">
Die Setzung '''ProxyPreserveHost''' legt fest, ob der ursprünglich im Request übergebene Hostname auch beim Proxy-Request angegeben wird, oder ob der Hostname der Balancer-Konfiguration verwendet wird.

Die Proxy-Regeln leiten alle relevanten Anfragen an den CMS-Server weiter. Je nach Ziel-Port, der in der Balance-Konfiguraion angegeben wird, wird der Request an den Apache oder den IES auf dem CMS-Server weitergeleitet. Wir empfehlen hier die Kommunikation über den Apache (Port 80 bei internen Requests, sonst Port 443). Soll der Zugriff direkt auf den IES erfolgen, ist folgende Anpassung der Bind-Address in der sitepark.conf notwendig: IES_BIND_ADDRESS="0.0.0.0" erforderlich. Damit ist der IES aber auch von allen anderen Rechern aus direkt erreichbar.

Im IES sind alle Domains und Aliase in den Publisher-Konfigurationen automatisch für HTTP-Anfragen gebunden, wenn diese für Live-Abfragen aktiviert wurden (''Publikationsbereich als Modul verwenden'' - Wir raten in diesem Zusammenhang dringend zu der Einschränkung auf ein bestimmtes Verzeichnis). Das bedeutet, dass alle Anfragen an eine der in den Publishern konfigurierten Domains, die an den IES geleitet werden, über den IES mit entsprechenden DocumentRoot ausgeführt werden. Aufrufe von IES-Modulen sind mit diesen URLs damit daher nicht möglich. Sollen direkt Funktionen des IES (z.B. InfoSite oder IES-API) angesprochen werden, muss der IES über einen Domain-Namen oder eine IP aufgerufen werden, die in keinen Publisher konfiguriert wurde.
</div>

==Hinweise zur Integration des IES in den Apache==
Für die Integration des IES in den Apache sollte ein eigener Virtueller Host eingerichtet werden. Für diesen Virtueller Host ist '''kein''' DocumentRoot notwendig!

===Aufruf des IES Über den Apache===

<source lang="apache">
<VirtualHost *:80>

ServerName <<cms-host>>

# Alle gültigen IES-Anfragen, die auf Port 80 erfolgen, sollten vollständig an Port 443 umgelenkt werden. Diese Aufrufe können zum einen durch
# Redakteure erfolgen, die häufig URLs ohne "https" eingeben, zum anderen aber auch durch Aufrufe, die durch SPML- bzw. JSP-Seiten erzeugt werden,
# da diese intern über "http" auf Port 8080 bearbeitet werden und keine Informationen dazu haben, dass SSL von Außen eingesetzt wird.
RedirectMatch ^(.*)$ https://<<cms-host>>$1

</VirtualHost>
<VirtualHost *:443>

ServerName <<cms-host>>

ErrorLog /var/log/apache2/<<cms-host>>.err
CustomLog /var/log/apache2/<<cms-host>>.log combined

# Infosite redirect
RewriteEngine On
RewriteRule ^/$ /ies/infosite/ [R,L]

###################################
# IES integration using mod_proxy #
###################################

# security
ProxyRequests Off

# timeout
ProxyTimeout 3600

# always keep the host header
ProxyPreserveHost On

# load balancer
<Proxy balancer://ies-balancer>
Order Deny,Allow
Allow from All
BalancerMember http://localhost:8080 timeout=3600 retry=0
</Proxy>

ProxyPassMatch ^(/ies/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
ProxyPassMatch ^(/infosite-webdav/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
ProxyPassMatch ^(/xip/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
ProxyPassMatch ^(/infosite/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On

# Innerhalb eines Virtuellen Hosts für HTTPS sollte immer der Header X-IES-SCHEME auf https gesetzt werden, da nur so
# innerhalb von IES-Applikationen ${system.baseurl} richtig aufgelöst wird. Weitere X-IES Header-Angaben sind i.d.R. nicht notwendig
#RequestHeader set X-IES-SERVER-NAME "ies.intern.net" # evtl. abweichender ServerName
#RequestHeader set X-IES-SERVER-PORT "1443" # evtl. abweichender Port
RequestHeader set X-IES-SCHEME "https"

</VirtualHost>
</source>

==Hinweise zur Integration von IES-Anfragen in dem Apache des Webservers==

===Webseiten-Apache-Konfiguration mit Zugriff auf den lokalen Webnode===
Für Zugriffe des Apache auf den lokalen IES-Webnode (z.B. für Solr-Suchen) ist folgende Konfiguration notwendig:

<source lang="apache">
<VirtualHost *:80>
...
ProxyTimeout 3600
<Proxy balancer://ies-webnode-balancer>
Order Deny,Allow
Allow from All
BalancerMember http://localhost:8381
</Proxy>
ProxyPassMatch ^(/ies-webnode/.*)$ balancer://ies-webnode-balancer$1
...
</VirtualHost>
</source>

===Webseiten-Apache-Konfiguration mit IES-API Zugriff===

Dies Konfiguration ist notwendig für:
*den I-Link im SRPC-Modus in InfoSite6
*Module und Komponenten mit Live-Abfragen (zB. Verzeichnismodul mit der Möglichkeit Objekte anzulegen)
*CityCall mit Anbindung an das Ticketsystem

<source lang="apache">
<VirtualHost *:80>

ServerName <<hostname>>
DocumentRoot ...

ErrorLog ...
CustomLog ...
...

###################################
# IES integration using mod_proxy #
###################################

# security
ProxyRequests Off

# always keep the host header
ProxyPreserveHost Off

# Bei Zugriff auf BalanceMember via HTTPS einzelne Setzungen aktivieren
SSLProxyEngine On
SSLProxyVerify none
SSLProxyCheckPeerCN Off
SSLProxyCheckPeerName Off
SSLProxyCheckPeerExpire Off

# timeout
ProxyTimeout 3600

# load balancer IES-API
<Proxy balancer://ies-api-balancer>
Order Deny,Allow
Allow from All
# Wenn lokal: BalancerMember http://localhost:8080 timeout=3600 retry=0
BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0
</Proxy>

ProxyPassMatch ^(/ies/api/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
####### oder auf bestimmte Module begrenzt: ######
# ProxyPassMatch ^(/ies/MODUL/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# Beispiele:
# ProxyPassMatch ^(/ies/formservice/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# ProxyPassMatch ^(/ies/infoticket/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# ProxyPassMatch ^(/ies/jslibs/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On

</VirtualHost>
</source>

===Webseiten-Apache-Konfiguration für Publikationsbereiche mit Live-Komponenten===

Publikationsbereiche des IES die Live-Komponenten verwenden und somit auf den IES zugreifen müssen, werden wie folgt konfiguriert.
Diese Konfiguration kann für aktuelle Anforderungen mit Zugriffen auf den IES über die IES-API nicht verwendet werden.

<source lang="apache">
<VirtualHost *:80>

ServerName ...
DocumentRoot ...

ErrorLog ...
CustomLog ...

...

###################################
# IES integration using mod_proxy #
###################################

# security
ProxyRequests Off

# always keep the host header
ProxyPreserveHost On

# timeout
ProxyTimeout 3600

# Bei Zugriff auf BalanceMember via HTTPS einzelne Setzungen aktivieren
SSLProxyEngine On
SSLProxyVerify none
SSLProxyCheckPeerCN Off
SSLProxyCheckPeerName Off
SSLProxyCheckPeerExpire Off

# load balancer
<Proxy balancer://ies-balancer>
Order Deny,Allow
Allow from All
BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0

# Alternativ kann auch direkt der Apache des CMS-Systems angesprochen werden,
# da dieser Anfragen automatisch intern an den IES weiterleitet.
#BalancerMember http://<<cms-host>>:80 timeout=3600 retry=0

# Bei Zugriff via SSL empfehlen wir die Verschlüsselung über den Apache zu konfigurieren.
# Dieser leitet dann die unverschlüsselte Anfrage an den lokalen IES (intern über Port 8080)
# Wird der BalanceMember via HTTPS angesprochen muss noch SSLProxyEngine auf ON gesetzt werden (s.o.)
#BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0
</Proxy>

# Der Ordner, der am Publisher für SPML-Live-Seiten konfiguriert wurde muss für "<<spml_live_folder>>" eingesetzt werden
ProxyPassMatch ^(/<<spml_live_folder>>/.*\.spml(;jsessionid=\w+)?(\?.*)?)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
ProxyPassMatch ^(/<<spml_live_folder>>/ies/binary/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
# danach sollte, um die taglibs und andere für den IES notwendigen Elemente NICHT vom Apache ausliefern zu lassen, der Zugriff durch den Apache verboten werden
<Directory <<DocumentRoot>>/WEB-INF>
Order deny,allow
Deny from all
</Directory>

# COUNTER
# Variante 1: RedirectMatch auf den Server (CMS muss öffentlich erreichbar sein)
#RedirectMatch ^/ies/counter(.*) https://<<cms-host>>/ies/infosite/counter$1

# Variante 2: Rewrite, wenn über eine RewriteCondition noch Bedingungen angegeben werde sollen.
# Rewrite um die Counter-Aufrufe (unabhaengig von Aliases) an das CMS (mit der konfigurierten Publisher-URL) zu schicken
RewriteEngine on

# Zugriff auf das CMS nur über den Webserver (als Proxy)
RewriteRule ^/ies/counter(.*) https://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
RewriteRule ^/infosite/counter(.*) https://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
RewriteRule ^/ies/infosite/counter(.*) https://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind

</VirtualHost>
</source>

===Alternative Variante, wenn IES-API UND SPML-Seite unterstützt werden müssen===

''Für den I-Link im SRPC-Modus in InfoSite6 muss der Zugriff auf die IES-API konfiguriert werden.''

Damit nun sowohl Live-Abfragen (SPML-Seiten im DocumentRoot eines Publishers), als auch IES-Funktionen (wie die IES-API) von einer URL aufgerufen werden können ist ein kleiner Umweg notwendig, der hier beschrieben wird:

Es ist für jede Domain, für die diese zwei Formen des Zugriffs auf den IES notwendig sind, ein eigener Domain-Name, der auf den CMS-Server zeigt notwendig. Dieser kann entweder im DNS oder auch nur in den HOST-Dateien des CMS- und Webservers eingetragen werden. Weiterhin wird dieser Domain-Name über IES-Admin als Alias im entsprecheden Publisher konfiguriert. Auch sollte der Domain-Name im Apache als ServerAlias für den IES konfiguriert werden.

Unterschiedliche Balancer-Regeln auf dem Webserver sorgen nun dafür, dass so entwerder IES-Funktionen oder Live-Funktionen des Publishers ausgeführt werden, indem entweder die Alias-URL des Publishers oder die URL des IES verwendet wird.

In dem unten aufgeführten Beispiel wird die Kommunikation via HTTPs realisiert. Der Domain-Name <<ies-alias-hostname>> und CMS-Host <<cms-host>> ist entsprechend zu ersetzen.

Beispiel:
www.stadt-goldenberg.de
<<cms-host>: ies.stadt-goldenberg.de
<<ies-alias-hostname>>: ies-www.stadt-goldenberg.de
<<spml_live_folder>>: /live

<source lang="apache">
<VirtualHost *:80>

ServerName ...
DocumentRoot ...

ErrorLog ...
CustomLog ...

...

###################################
# IES integration using mod_proxy #
###################################

# security
ProxyRequests Off

# always keep the host header
############# WICHTIG: muss auf 'Off' stehen, damit der Wert des Balancers übertragen wird #################
ProxyPreserveHost Off

# Bei Zugriff auf BalanceMember via HTTPS einzelne Setzungen aktivieren
SSLProxyEngine On
SSLProxyVerify none
SSLProxyCheckPeerCN Off
SSLProxyCheckPeerName Off
SSLProxyCheckPeerExpire Off

# timeout
ProxyTimeout 3600

# load balancer IES
<Proxy balancer://ies-balancer>
Order Deny,Allow
Allow from All
############# WICHTIG: Es muss der richtige Hostname gesetzt werden #################
BalancerMember https://<<ies-alias-hostname>>:443 timeout=3600 retry=0
</Proxy>

# Der Ordner, der am Publisher für SPML-Live-Seiten konfiguriert wurde muss für "<<spml_live_folder>>" eingesetzt werden
ProxyPassMatch ^(/<<spml_live_folder>>/.*\.spml(;jsessionid=\w+)?(\?.*)?)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
ProxyPassMatch ^(/<<spml_live_folder>>/ies/binary/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
# danach sollte, um die taglibs und andere für den IES notwendigen Elemente NICHT vom Apache ausliefern zu lassen, der Zugriff durch den Apache verboten werden
<Directory <<DocumentRoot>>/WEB-INF>
Order deny,allow
Deny from all
</Directory>

# load balancer IES-API
<Proxy balancer://ies-api-balancer>
Order Deny,Allow
Allow from All
# Wenn lokal: BalancerMember http://localhost:8080 timeout=3600 retry=0
BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0
</Proxy>
ProxyPassMatch ^(/ies/api/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
####### weitere Module ######
# ProxyPassMatch ^(/ies/MODUL/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# Beispiele:
# ProxyPassMatch ^(/ies/formservice/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# ProxyPassMatch ^(/ies/infoticket/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# ProxyPassMatch ^(/ies/jslibs/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On

# COUNTER
# Variante 1: RedirectMatch auf den Server (CMS muss öffentlich erreichbar sein)
#RedirectMatch ^/ies/counter(.*) https://<<cms-host>>/ies/infosite/counter$1

# Variante 2: Rewrite, wenn über eine RewriteCondition noch Bedingungen angegeben werde sollen.
# Rewrite um die Counter-Aufrufe (unabhaengig von Aliases) an das CMS (mit der konfigurierten Publisher-URL) zu schicken
RewriteEngine on

# Zugriff auf das CMS nur über den Webserver (als Proxy)
RewriteRule ^/ies/counter(.*) http[s]://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
RewriteRule ^/infosite/counter(.*) http[s]://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
RewriteRule ^/ies/infosite/counter(.*) http[s]://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind

</VirtualHost>
</source>

=== Apache-Konfiguration Version < 2.2.5 ===

Bei älteren Apache-Versionen (< Version 2.2.5) ist unter Umständen statt einer <code>ProxyPassMatch</code> eine <code>RewriteRule</code> einzusetzen:

<source lang="apache">
###################################
# IES integration using mod_proxy #
###################################

# security
ProxyRequests Off

# always keep the host header
ProxyPreserveHost On

# timeout
ProxyTimeout 3600

# load balancer
<Proxy balancer://ies-balancer>
Order Deny,Allow
Allow from All
BalancerMember http://localhost:8080 timeout=3600 retry=0
</Proxy>

RewriteEngine On
RewriteRule ^(/<<spml_live_folder>>/.*\.spml(;jsessionid=\w+)?(\?.*)?) balancer://ies-balancer$1 [P]
RewriteRule ^(/<<spml_live_folder>>/ies/binary/.*)$ balancer://ies-balancer$1 [P]
# danach sollte, um die taglibs und andere für den IES notwendigen Elemente NICHT vom Apache ausliefern zu lassen, der Zugriff durch den Apache verboten werden
<Directory <<DocumentRoot>>/WEB-INF>
Order deny,allow
Deny from all
</Directory>

RewriteRule ^(/infosite-webdav/.*)$ balancer://ies-balancer$1 [P]

# Innerhalb eines Virtuellen Hosts für HTTPS sollte immer der
# Header X-IES-SCHEME auf https gesetzt werden,
# da nur so innerhalb von IES-Applikationen ${system.baseurl}
# richtig aufgelöst wird.
#RequestHeader set X-IES-SCHEME "https"
</source>

=== Counter Konfiguration für einen Virtual-Host, der von verschiedenen CMS-Server geschrieben wird (z.B. für CityCall115). ===
In der Virtual-Host Konfiguration des Webservers genügt dieser Eintrag für die Weiterleitung der Counter-Aufrufe:
<source lang="apache">
...
# Alle Counter-Requests an eine vom CMS gepflegte PHP-Seite:
RewriteRule ^/ies/counter(.*) /counter.php$1 [L,NE]
...
</source>

Hier der Inhalt der php Seite 'counter.php' am Beispiel CityCall für Wuppertal/Remscheid/Solingen
<source lang="php">
<?php
if (!empty($_GET)) {
$client = substr(htmlspecialchars($_GET["SYS_CNTR_id"]),0,5);
$prefix = "";

// Für den Fall, dass es auch auf Testservern eingesetzt wird
if (strrpos($_SERVER['SERVER_NAME'],"test")) {
$prefix = ".test";
}

$url = null;

//
// Unterscheide anhand der Server- und ClientId des übergebenen
// Counter-Artikels die Server für die Weiterleitung

// Wuppertal
if ($client === "10237") {
$url = "http://cms-w".$prefix.".wuppertal.de/ies/infosite/counter";

// Remscheid
} else if ($client === "14638") {
$url = "http://cms-rs".$prefix.".remscheid.de/ies/infosite/counter";

// Solingen
} else if ($client === "15601") {
$url = "http://cms-sg".$prefix.".solingen.de/ies/infosite/counter";
}

// Die Parameter des Aufrufes ergänzen und die Seite mit einem Timeout (3 bis 5 Sekunden) aufrufen.
if ($url !== null) {
$url .= "?".$_SERVER['QUERY_STRING'];

$context = stream_context_create(array("http" => array("timeout" => 3)));
return file_get_contents($url, NULL, $context);
}
}
?>
</source>

=== Integration eines Client Certificates in die Kommunikation mit dem CMS-Server ===

Um dem Webserver zu gestatten sich dem CMS gegenüber als valider Client zu authentifizieren kann ein client-Zertifikat eingebunden werden.

<source lang="apache">
SSLProxyEngine on
SSLProxyCACertificateFile /etc/httpd/ssl/CA.cert
SSLProxyVerify require
SSLProxyVerifyDepth 2
SSLProxyMachineCertificateFile /etc/httpd/ssl/both.cert
</source>

<noinclude>
[[Kategorie:Installation| 300]]
[[Kategorie:Administration und Konfiguration]]
</noinclude>

Integration des IES in den Apache

2015-05-05T08:30:57Z

CGi:

==Allgemeines==
Der IES ist i.d.R. für sämtliche Dateien im <code>DocumentRoot</code> eines Publishers zuständig. Die Dateien werden entsprechend über den Nutzer des IES angelegt. Da jedoch der Apache diese lesen bzw. über PHP verändern / ergänzen können sollte, empfehlen wir die Zugriffsrechte entsprechend einzustellen. Unter Linux kann das einfach erreicht werden, indem der Nutzer des Webservers auch in die Gruppe <code>ies</code> aufgenommen wird. Die UMASK des IES ist entsprechend voreingestellt.

==Konfiguration des ''DocumentRoot''==
Im ''DocumentRoot'' eines Publikationsbereiches werden neben den eigentlichen Artikeldaten auch noch Systemdaten der IES-Module gespeichert. Diese dienen u.a. zum Aufbau einer Sitemap o.ä.
Damit diese vor direkten URL-Aufrufen geschützt werden können, werden entsprechende ''.htaccess''-Dateien durch die Module generiert.
Hierzu muss im Apache (und im Microsoft IIS über die Erweiterung ''Helicon Ape'') die Auswertung dieser Daten erlaubt werden.

Da der IES sämtliche Daten der Module in das Unterverzeichnis ''/WEB-IES/'' speichert ist die Konfiguration wie folgt möglich:

<source lang="apache">
<VirtualHost *:80>
<Directory "....$PATH_TO_DOCUMENT_ROOT.../WEB-IES">
Options -Indexes
AllowOverride LIMIT
</Directory>
</VirtualHost>
</source>

==Allgemeine Hinweise zur Integration==
''Die Integration des [[IES]] in den "Internet Information Server" von Microsoft ist über den sog. JK-Connector prinzipiell möglich. Weitere Informationen hierzu finden Sie im Internet''

Grundsätzlich empfehlen wir sowohl unter Linux, wie auch unter Windows den Einsatz des Apache-Webservers, da wir aufgrund unserer Erfahrungen hier den besten Support liefern können.

Für die optionale Integration des [[IES]] in den Apache Webserver empfehlen wird das Apache-Modul <code>proxy_http</code>. Folgende Konfiguration kann als Vorlage dienen. Die <code>ProxyPassMatch</code> Anweisungen sind jedoch erst ab der Version 2.2.5 verfügbar.

Folgende Module sind für die unten aufgeführten Konfigurationsvorlagen notwendig:
mod_proxy
mod_proxy_balancer
mod_proxy_http
mod_lbmethod_byrequests # ab Apache 2.4 für proxy notwendig!!!
mod_rewrite
mod_ssl
mod_headers

Da Passwörter und andere vertrauliche Daten mit dem [[IES]] ausgetauscht werden, muss immer '''HTTPS''' für den Apache eingerichtet werden.

<div class="note">
Die Setzung '''ProxyPreserveHost''' legt fest, ob der ursprünglich im Request übergebene Hostname auch beim Proxy-Request angegeben wird, oder ob der Hostname der Balancer-Konfiguration verwendet wird.

Die Proxy-Regeln leiten alle relevanten Anfragen an den CMS-Server weiter. Je nach Ziel-Port, der in der Balance-Konfiguraion angegeben wird, wird der Request an den Apache oder den IES auf dem CMS-Server weitergeleitet. Wir empfehlen hier die Kommunikation über den Apache (Port 80 bei internen Requests, sonst Port 443). Soll der Zugriff direkt auf den IES erfolgen, ist folgende Anpassung der Bind-Address in der sitepark.conf notwendig: IES_BIND_ADDRESS="0.0.0.0" erforderlich. Damit ist der IES aber auch von allen anderen Rechern aus direkt erreichbar.

Im IES sind alle Domains und Aliase in den Publisher-Konfigurationen automatisch für HTTP-Anfragen gebunden, wenn diese für Live-Abfragen aktiviert wurden (''Publikationsbereich als Modul verwenden'' - Wir raten in diesem Zusammenhang dringend zu der Einschränkung auf ein bestimmtes Verzeichnis). Das bedeutet, dass alle Anfragen an eine der in den Publishern konfigurierten Domains, die an den IES geleitet werden, über den IES mit entsprechenden DocumentRoot ausgeführt werden. Aufrufe von IES-Modulen sind mit diesen URLs damit daher nicht möglich. Sollen direkt Funktionen des IES (z.B. InfoSite oder IES-API) angesprochen werden, muss der IES über einen Domain-Namen oder eine IP aufgerufen werden, die in keinen Publisher konfiguriert wurde.
</div>

==Hinweise zur Integration des IES in den Apache==
Für die Integration des IES in den Apache sollte ein eigener Virtueller Host eingerichtet werden. Für diesen Virtueller Host ist '''kein''' DocumentRoot notwendig!

===Aufruf des IES Über den Apache===

<source lang="apache">
<VirtualHost *:80>

ServerName <<cms-host>>

# Alle gültigen IES-Anfragen, die auf Port 80 erfolgen, sollten vollständig an Port 443 umgelenkt werden. Diese Aufrufe können zum einen durch
# Redakteure erfolgen, die häufig URLs ohne "https" eingeben, zum anderen aber auch durch Aufrufe, die durch SPML- bzw. JSP-Seiten erzeugt werden,
# da diese intern über "http" auf Port 8080 bearbeitet werden und keine Informationen dazu haben, dass SSL von Außen eingesetzt wird.
RedirectMatch ^(.*)$ https://<<cms-host>>$1

</VirtualHost>
<VirtualHost *:443>

ServerName <<cms-host>>

ErrorLog /var/log/apache2/<<cms-host>>.err
CustomLog /var/log/apache2/<<cms-host>>.log combined

# Infosite redirect
RewriteEngine On
RewriteRule ^/$ /ies/infosite/ [R,L]

###################################
# IES integration using mod_proxy #
###################################

# security
ProxyRequests Off

# timeout
ProxyTimeout 3600

# always keep the host header
ProxyPreserveHost On

# load balancer
<Proxy balancer://ies-balancer>
Order Deny,Allow
Allow from All
BalancerMember http://localhost:8080 timeout=3600 retry=0
</Proxy>

ProxyPassMatch ^(/ies/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
ProxyPassMatch ^(/infosite-webdav/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
ProxyPassMatch ^(/xip/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
ProxyPassMatch ^(/infosite/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On

# Innerhalb eines Virtuellen Hosts für HTTPS sollte immer der Header X-IES-SCHEME auf https gesetzt werden, da nur so
# innerhalb von IES-Applikationen ${system.baseurl} richtig aufgelöst wird. Weitere X-IES Header-Angaben sind i.d.R. nicht notwendig
#RequestHeader set X-IES-SERVER-NAME "ies.intern.net" # evtl. abweichender ServerName
#RequestHeader set X-IES-SERVER-PORT "1443" # evtl. abweichender Port
RequestHeader set X-IES-SCHEME "https"

</VirtualHost>
</source>

==Hinweise zur Integration von IES-Anfragen in dem Apache des Webservers==

===Webseiten-Apache-Konfiguration mit Zugriff auf den lokalen Webnode===
Für Zugriffe des Apache auf den lokalen IES-Webnode (z.B. für Solr-Suchen) ist folgende Konfiguration notwendig:

<source lang="apache">
<VirtualHost *:80>
...
ProxyTimeout 3600
<Proxy balancer://ies-webnode-balancer>
Order Deny,Allow
Allow from All
BalancerMember http://localhost:8381
</Proxy>
ProxyPassMatch ^(/ies-webnode/.*)$ balancer://ies-webnode-balancer$1
...
</VirtualHost>
</source>

===Webseiten-Apache-Konfiguration mit IES-API Zugriff===

Dies Konfiguration ist notwendig für:
*den I-Link im SRPC-Modus in InfoSite6
*Module und Komponenten mit Live-Abfragen (zB. Verzeichnismodul mit der Möglichkeit Objekte anzulegen)
*CityCall mit Anbindung an das Ticketsystem

<source lang="apache">
<VirtualHost *:80>

ServerName <<hostname>>
DocumentRoot ...

ErrorLog ...
CustomLog ...
...

###################################
# IES integration using mod_proxy #
###################################

# security
ProxyRequests Off

# always keep the host header
ProxyPreserveHost Off

# Bei Zugriff auf BalanceMember via HTTPS einzelne Setzungen aktivieren
SSLProxyEngine On
SSLProxyVerify none
SSLProxyCheckPeerCN Off
SSLProxyCheckPeerName Off
SSLProxyCheckPeerExpire Off

# timeout
ProxyTimeout 3600

# load balancer IES-API
<Proxy balancer://ies-api-balancer>
Order Deny,Allow
Allow from All
# Wenn lokal: BalancerMember http://localhost:8080 timeout=3600 retry=0
BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0
</Proxy>

ProxyPassMatch ^(/ies/api/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
####### oder auf bestimmte Module begrenzt: ######
# ProxyPassMatch ^(/ies/MODUL/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# Beispiele:
# ProxyPassMatch ^(/ies/formservice/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# ProxyPassMatch ^(/ies/infoticket/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# ProxyPassMatch ^(/ies/jslibs/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On

</VirtualHost>
</source>

===Webseiten-Apache-Konfiguration für Publikationsbereiche mit Live-Komponenten===

Publikationsbereiche des IES die Live-Komponenten verwenden und somit auf den IES zugreifen müssen, werden wie folgt konfiguriert.
Diese Konfiguration kann für aktuelle Anforderungen mit Zugriffen auf den IES über die IES-API nicht verwendet werden.

<source lang="apache">
<VirtualHost *:80>

ServerName ...
DocumentRoot ...

ErrorLog ...
CustomLog ...

...

###################################
# IES integration using mod_proxy #
###################################

# security
ProxyRequests Off

# always keep the host header
ProxyPreserveHost On

# timeout
ProxyTimeout 3600

# Bei Zugriff auf BalanceMember via HTTPS einzelne Setzungen aktivieren
SSLProxyEngine On
SSLProxyVerify none
SSLProxyCheckPeerCN Off
SSLProxyCheckPeerName Off
SSLProxyCheckPeerExpire Off

# load balancer
<Proxy balancer://ies-balancer>
Order Deny,Allow
Allow from All
BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0

# Alternativ kann auch direkt der Apache des CMS-Systems angesprochen werden,
# da dieser Anfragen automatisch intern an den IES weiterleitet.
#BalancerMember http://<<cms-host>>:80 timeout=3600 retry=0

# Bei Zugriff via SSL empfehlen wir die Verschlüsselung über den Apache zu konfigurieren.
# Dieser leitet dann die unverschlüsselte Anfrage an den lokalen IES (intern über Port 8080)
# Wird der BalanceMember via HTTPS angesprochen muss noch SSLProxyEngine auf ON gesetzt werden (s.o.)
#BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0
</Proxy>

# Der Ordner, der am Publisher für SPML-Live-Seiten konfiguriert wurde muss für "<<spml_live_folder>>" eingesetzt werden
ProxyPassMatch ^(/<<spml_live_folder>>/.*\.spml(;jsessionid=\w+)?(\?.*)?)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
ProxyPassMatch ^(/<<spml_live_folder>>/ies/binary/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
# danach sollte, um die taglibs und andere für den IES notwendigen Elemente NICHT vom Apache ausliefern zu lassen, der Zugriff durch den Apache verboten werden
<Directory <<DocumentRoot>>/WEB-INF>
Order deny,allow
Deny from all
</Directory>

# COUNTER
# Variante 1: RedirectMatch auf den Server (CMS muss öffentlich erreichbar sein)
#RedirectMatch ^/ies/counter(.*) https://<<cms-host>>/ies/infosite/counter$1

# Variante 2: Rewrite, wenn über eine RewriteCondition noch Bedingungen angegeben werde sollen.
# Rewrite um die Counter-Aufrufe (unabhaengig von Aliases) an das CMS (mit der konfigurierten Publisher-URL) zu schicken
RewriteEngine on

# Zugriff auf das CMS nur über den Webserver (als Proxy)
RewriteRule ^/ies/counter(.*) https://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
RewriteRule ^/infosite/counter(.*) https://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
RewriteRule ^/ies/infosite/counter(.*) https://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind

</VirtualHost>
</source>

===Alternative Variante, wenn IES-API UND SPML-Seite unterstützt werden müssen===

''Für den I-Link im SRPC-Modus in InfoSite6 muss der Zugriff auf die IES-API konfiguriert werden.''

Damit nun sowohl Live-Abfragen (SPML-Seiten im DocumentRoot eines Publishers), als auch IES-Funktionen (wie die IES-API) von einer URL aufgerufen werden können ist ein kleiner Umweg notwendig, der hier beschrieben wird:

Es ist für jede Domain, für die diese zwei Formen des Zugriffs auf den IES notwendig sind, ein eigener Domain-Name, der auf den CMS-Server zeigt notwendig. Dieser kann entweder im DNS oder auch nur in den HOST-Dateien des CMS- und Webservers eingetragen werden. Weiterhin wird dieser Domain-Name über IES-Admin als Alias im entsprecheden Publisher konfiguriert. Auch sollte der Domain-Name im Apache als ServerAlias für den IES konfiguriert werden.

Unterschiedliche Balancer-Regeln auf dem Webserver sorgen nun dafür, dass so entwerder IES-Funktionen oder Live-Funktionen des Publishers ausgeführt werden, indem entweder die Alias-URL des Publishers oder die URL des IES verwendet wird.

In dem unten aufgeführten Beispiel wird die Kommunikation via HTTPs realisiert. Der Domain-Name <<ies-alias-hostname>> und CMS-Host <<cms-host>> ist entsprechend zu ersetzen.

Beispiel:
www.stadt-goldenberg.de
<<cms-host>: ies.stadt-goldenberg.de
<<ies-alias-hostname>>: ies-www.stadt-goldenberg.de
<<spml_live_folder>>: /live

<source lang="apache">
<VirtualHost *:80>

ServerName ...
DocumentRoot ...

ErrorLog ...
CustomLog ...

...

###################################
# IES integration using mod_proxy #
###################################

# security
ProxyRequests Off

# always keep the host header
############# WICHTIG: muss auf 'Off' stehen, damit der Wert des Balancers übertragen wird #################
ProxyPreserveHost Off

# Bei Zugriff auf BalanceMember via HTTPS einzelne Setzungen aktivieren
SSLProxyEngine On
SSLProxyVerify none
SSLProxyCheckPeerCN Off
SSLProxyCheckPeerName Off
SSLProxyCheckPeerExpire Off

# timeout
ProxyTimeout 3600

# load balancer IES
<Proxy balancer://ies-balancer>
Order Deny,Allow
Allow from All
############# WICHTIG: Es muss der richtige Hostname gesetzt werden #################
BalancerMember https://<<ies-alias-hostname>>:443 timeout=3600 retry=0
</Proxy>

# Der Ordner, der am Publisher für SPML-Live-Seiten konfiguriert wurde muss für "<<spml_live_folder>>" eingesetzt werden
ProxyPassMatch ^(/<<spml_live_folder>>/.*\.spml(;jsessionid=\w+)?(\?.*)?)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
ProxyPassMatch ^(/<<spml_live_folder>>/ies/binary/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
# danach sollte, um die taglibs und andere für den IES notwendigen Elemente NICHT vom Apache ausliefern zu lassen, der Zugriff durch den Apache verboten werden
<Directory <<DocumentRoot>>/WEB-INF>
Order deny,allow
Deny from all
</Directory>

# load balancer IES-API
<Proxy balancer://ies-api-balancer>
Order Deny,Allow
Allow from All
# Wenn lokal: BalancerMember http://localhost:8080 timeout=3600 retry=0
BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0
</Proxy>
ProxyPassMatch ^(/ies/api/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
####### weitere Module ######
# ProxyPassMatch ^(/ies/MODUL/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# Beispiele:
# ProxyPassMatch ^(/ies/formservice/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# ProxyPassMatch ^(/ies/infoticket/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# ProxyPassMatch ^(/ies/jslibs/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On

# COUNTER
# Variante 1: RedirectMatch auf den Server (CMS muss öffentlich erreichbar sein)
#RedirectMatch ^/ies/counter(.*) https://<<cms-host>>/ies/infosite/counter$1

# Variante 2: Rewrite, wenn über eine RewriteCondition noch Bedingungen angegeben werde sollen.
# Rewrite um die Counter-Aufrufe (unabhaengig von Aliases) an das CMS (mit der konfigurierten Publisher-URL) zu schicken
RewriteEngine on

# Zugriff auf das CMS nur über den Webserver (als Proxy)
RewriteRule ^/ies/counter(.*) http[s]://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
RewriteRule ^/infosite/counter(.*) http[s]://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
RewriteRule ^/ies/infosite/counter(.*) http[s]://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind

</VirtualHost>
</source>

=== Apache-Konfiguration Version < 2.2.5 ===

Bei älteren Apache-Versionen (< Version 2.2.5) ist unter Umständen statt einer <code>ProxyPassMatch</code> eine <code>RewriteRule</code> einzusetzen:

<source lang="apache">
###################################
# IES integration using mod_proxy #
###################################

# security
ProxyRequests Off

# always keep the host header
ProxyPreserveHost On

# timeout
ProxyTimeout 3600

# load balancer
<Proxy balancer://ies-balancer>
Order Deny,Allow
Allow from All
BalancerMember http://localhost:8080 timeout=3600 retry=0
</Proxy>

RewriteEngine On
RewriteRule ^(/<<spml_live_folder>>/.*\.spml(;jsessionid=\w+)?(\?.*)?) balancer://ies-balancer$1 [P]
RewriteRule ^(/<<spml_live_folder>>/ies/binary/.*)$ balancer://ies-balancer$1 [P]
# danach sollte, um die taglibs und andere für den IES notwendigen Elemente NICHT vom Apache ausliefern zu lassen, der Zugriff durch den Apache verboten werden
<Directory <<DocumentRoot>>/WEB-INF>
Order deny,allow
Deny from all
</Directory>

RewriteRule ^(/infosite-webdav/.*)$ balancer://ies-balancer$1 [P]

# Innerhalb eines Virtuellen Hosts für HTTPS sollte immer der
# Header X-IES-SCHEME auf https gesetzt werden,
# da nur so innerhalb von IES-Applikationen ${system.baseurl}
# richtig aufgelöst wird.
#RequestHeader set X-IES-SCHEME "https"
</source>

=== Counter Konfiguration für einen Virtual-Host, der von verschiedenen CMS-Server geschrieben wird (z.B. für CityCall115). ===
In der Virtual-Host Konfiguration des Webservers genügt dieser Eintrag für die Weiterleitung der Counter-Aufrufe:
<source lang="apache">
...
# Alle Counter-Requests an eine vom CMS gepflegte PHP-Seite:
RewriteRule ^/ies/counter(.*) /counter.php$1 [L,NE]
...
</source>

Hier der Inhalt der php Seite 'counter.php' am Beispiel CityCall für Wuppertal/Remscheid/Solingen
<source lang="php">
<?php
if (!empty($_GET)) {
$client = substr(htmlspecialchars($_GET["SYS_CNTR_id"]),0,5);
$prefix = "";

// Für den Fall, dass es auch auf Testservern eingesetzt wird
if (strrpos($_SERVER['SERVER_NAME'],"test")) {
$prefix = ".test";
}

$url = null;

//
// Unterscheide anhand der Server- und ClientId des übergebenen
// Counter-Artikels die Server für die Weiterleitung

// Wuppertal
if ($client === "10237") {
$url = "http://cms-w".$prefix.".wuppertal.de/ies/infosite/counter";

// Remscheid
} else if ($client === "14638") {
$url = "http://cms-rs".$prefix.".remscheid.de/ies/infosite/counter";

// Solingen
} else if ($client === "15601") {
$url = "http://cms-sg".$prefix.".solingen.de/ies/infosite/counter";
}

// Die Parameter des Aufrufes ergänzen und die Seite mit einem Timeout (3 bis 5 Sekunden) aufrufen.
if ($url !== null) {
$url .= "?".$_SERVER['QUERY_STRING'];

$context = stream_context_create(array("http" => array("timeout" => 3)));
return file_get_contents($url, NULL, $context);
}
}
?>
</source>

=== Integration eines Client Certificates ===

<source lang="apache">

SSLProxyEngine on
SSLProxyCACertificateFile /etc/httpd/ssl/CA.cert
SSLProxyVerify require
SSLProxyVerifyDepth 2
SSLProxyMachineCertificateFile /etc/httpd/ssl/both.cert

</source>

<noinclude>
[[Kategorie:Installation| 300]]
[[Kategorie:Administration und Konfiguration]]
</noinclude>