Integration des IES in den Apache: Unterschied zwischen den Versionen
Sed (Diskussion | Beiträge) |
Sed (Diskussion | Beiträge) |
||
(47 dazwischenliegende Versionen von 4 Benutzern werden nicht angezeigt) | |||
Zeile 20: | Zeile 20: | ||
==Allgemeine Hinweise zur Integration== | ==Allgemeine Hinweise zur Integration== | ||
''Die Integration des [[IES]] in den "Internet Information Server" von Microsoft ist über den sog. JK-Connector prinzipiell möglich. Weitere Informationen hierzu finden Sie im Internet'' | ''Die Integration des [[IES]] in den "Internet Information Server" von Microsoft ist über den sog. JK-Connector prinzipiell möglich. Weitere Informationen hierzu finden Sie im Internet'' | ||
− | |||
− | |||
Für die optionale Integration des [[IES]] in den Apache Webserver empfehlen wird das Apache-Modul <code>proxy_http</code>. Folgende Konfiguration kann als Vorlage dienen. Die <code>ProxyPassMatch</code> Anweisungen sind jedoch erst ab der Version 2.2.5 verfügbar. | Für die optionale Integration des [[IES]] in den Apache Webserver empfehlen wird das Apache-Modul <code>proxy_http</code>. Folgende Konfiguration kann als Vorlage dienen. Die <code>ProxyPassMatch</code> Anweisungen sind jedoch erst ab der Version 2.2.5 verfügbar. | ||
Zeile 36: | Zeile 34: | ||
Da Passwörter und andere vertrauliche Daten mit dem [[IES]] ausgetauscht werden, muss immer '''HTTPS''' für den Apache eingerichtet werden. | Da Passwörter und andere vertrauliche Daten mit dem [[IES]] ausgetauscht werden, muss immer '''HTTPS''' für den Apache eingerichtet werden. | ||
+ | |||
+ | <div class="note"> | ||
+ | Die Setzung '''ProxyPreserveHost''' legt fest, ob der ursprünglich im Request übergebene Hostname auch beim Proxy-Request angegeben wird, oder ob der Hostname der Balancer-Konfiguration verwendet wird. | ||
+ | |||
+ | Die Proxy-Regeln leiten alle relevanten Anfragen an den CMS-Server weiter. Je nach Ziel-Port, der in der Balance-Konfiguraion angegeben wird, wird der Request an den Apache oder den IES auf dem CMS-Server weitergeleitet. Wir empfehlen hier die Kommunikation über den Apache (Port 80 bei internen Requests, sonst Port 443). Soll der Zugriff direkt auf den IES erfolgen, ist folgende Anpassung der Bind-Address in der sitepark.conf notwendig: IES_BIND_ADDRESS="0.0.0.0" erforderlich. Damit ist der IES aber auch von allen anderen Rechern aus direkt erreichbar. | ||
+ | |||
+ | Im IES sind alle Domains und Aliase in den Publisher-Konfigurationen automatisch für HTTP-Anfragen gebunden, wenn diese für Live-Abfragen aktiviert wurden (''Publikationsbereich als Modul verwenden'' - Wir raten in diesem Zusammenhang dringend zu der Einschränkung auf ein bestimmtes Verzeichnis). Das bedeutet, dass alle Anfragen an eine der in den Publishern konfigurierten Domains, die an den IES geleitet werden, über den IES mit entsprechenden DocumentRoot ausgeführt werden. Aufrufe von IES-Modulen sind mit diesen URLs damit daher nicht möglich. Sollen direkt Funktionen des IES (z.B. InfoSite oder IES-API) angesprochen werden, muss der IES über einen Domain-Namen oder eine IP aufgerufen werden, die in keinen Publisher konfiguriert wurde. | ||
+ | </div> | ||
==Hinweise zur Integration des IES in den Apache== | ==Hinweise zur Integration des IES in den Apache== | ||
− | |||
Für die Integration des IES in den Apache sollte ein eigener Virtueller Host eingerichtet werden. Für diesen Virtueller Host ist '''kein''' DocumentRoot notwendig! | Für die Integration des IES in den Apache sollte ein eigener Virtueller Host eingerichtet werden. Für diesen Virtueller Host ist '''kein''' DocumentRoot notwendig! | ||
− | === IES Apache | + | ===Aufruf des IES Über den Apache=== |
<source lang="apache"> | <source lang="apache"> | ||
Zeile 53: | Zeile 58: | ||
RedirectMatch ^(.*)$ https://<<cms-host>>$1 | RedirectMatch ^(.*)$ https://<<cms-host>>$1 | ||
+ | </VirtualHost> | ||
+ | <VirtualHost *:80> | ||
+ | # Redirects | ||
+ | ServerName infosite.<<cms-domain>> | ||
+ | ServerAlias citygov.<<cms-domain>> | ||
+ | ServerAlias newsdesk.<<cms-domain>> | ||
+ | ServerAlias infosite5.<<cms-domain>> | ||
+ | ServerAlias infosite6.<<cms-domain>> | ||
+ | |||
+ | <IfModule mod_rewrite.c> | ||
+ | RewriteEngine on | ||
+ | |||
+ | RewriteCond %{HTTP_HOST} infosite6.<<cms-domain>> [OR] | ||
+ | RewriteCond %{HTTP_HOST} infosite.<<cms-domain>> | ||
+ | RewriteRule ^/$ https://<<cms-host>>/ies/infosite6/ [L,R=301] | ||
+ | |||
+ | RewriteCond %{HTTP_HOST} infosite5.<<cms-domain>> | ||
+ | RewriteRule ^/$ https://<<cms-host>>/ies/infosite/control/ [L,R=301] | ||
+ | |||
+ | RewriteCond %{HTTP_HOST} newsdesk.<<cms-domain>> | ||
+ | RewriteRule ^/$ https://<<cms-host>>/ies/infosite/control/?SYS_gui=gui2 [L,R=301] | ||
+ | |||
+ | RewriteCond %{HTTP_HOST} citygov.<<cms-domain>> | ||
+ | RewriteRule ^/$ https://<<cms-host>>/ies/module/city-gov/ [L,R=301] | ||
+ | </IfModule> | ||
</VirtualHost> | </VirtualHost> | ||
<VirtualHost *:443> | <VirtualHost *:443> | ||
Zeile 60: | Zeile 90: | ||
ErrorLog /var/log/apache2/<<cms-host>>.err | ErrorLog /var/log/apache2/<<cms-host>>.err | ||
CustomLog /var/log/apache2/<<cms-host>>.log combined | CustomLog /var/log/apache2/<<cms-host>>.log combined | ||
+ | |||
+ | RewriteCond %{REQUEST_METHOD} !^(GET|POST|HEAD) | ||
+ | RewriteRule .* - [R=405,L] | ||
# Infosite redirect | # Infosite redirect | ||
RewriteEngine On | RewriteEngine On | ||
− | RewriteRule ^/$ /ies/ | + | RewriteRule ^/$ /ies/admin/ [R,L] |
Zeile 78: | Zeile 111: | ||
# always keep the host header | # always keep the host header | ||
ProxyPreserveHost On | ProxyPreserveHost On | ||
+ | #X-Forwarded-Proto | ||
+ | #X-Forwarded-Port | ||
+ | #X-Forwarded-Host | ||
# load balancer | # load balancer | ||
<Proxy balancer://ies-balancer> | <Proxy balancer://ies-balancer> | ||
− | + | Require all granted | |
− | + | ||
+ | #AuthType Basic | ||
+ | #AuthName "IES Server" | ||
+ | #AuthUserFile "/etc/.htpasswd" | ||
+ | #Require valid-user | ||
+ | #Require ip 192.168.1 | ||
+ | |||
BalancerMember http://localhost:8080 timeout=3600 retry=0 | BalancerMember http://localhost:8080 timeout=3600 retry=0 | ||
</Proxy> | </Proxy> | ||
− | + | # Weiterleitung aller IES-Modul Anfragen an den IES | |
− | ProxyPassMatch ^(/ies/.*)$ | + | ProxyPassMatch ^(/ies/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On |
− | + | # Sollte es Pulikationsbereiche mit Live spml Seiten geben, muss dieser Match ergänzt werden!!! | |
− | ProxyPassMatch ^( | + | #ProxyPassMatch ^(.*\.spml(;jsessionid=\w+)?(\?.*)?)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On |
− | |||
# Innerhalb eines Virtuellen Hosts für HTTPS sollte immer der Header X-IES-SCHEME auf https gesetzt werden, da nur so | # Innerhalb eines Virtuellen Hosts für HTTPS sollte immer der Header X-IES-SCHEME auf https gesetzt werden, da nur so | ||
Zeile 96: | Zeile 137: | ||
#RequestHeader set X-IES-SERVER-PORT "1443" # evtl. abweichender Port | #RequestHeader set X-IES-SERVER-PORT "1443" # evtl. abweichender Port | ||
RequestHeader set X-IES-SCHEME "https" | RequestHeader set X-IES-SCHEME "https" | ||
+ | |||
+ | Header set X-Frame-Options SAMEORIGIN | ||
+ | |||
+ | <LocationMatch "/ies/.*/rpc"> | ||
+ | Header Set Cache-Control "max-age=0, no-store, no-cache, must-revalidate" | ||
+ | Header Unset ETag | ||
+ | FileETag None | ||
+ | </LocationMatch> | ||
</VirtualHost> | </VirtualHost> | ||
</source> | </source> | ||
− | |||
==Hinweise zur Integration von IES-Anfragen in dem Apache des Webservers== | ==Hinweise zur Integration von IES-Anfragen in dem Apache des Webservers== | ||
Zeile 111: | Zeile 159: | ||
ProxyTimeout 3600 | ProxyTimeout 3600 | ||
<Proxy balancer://ies-webnode-balancer> | <Proxy balancer://ies-webnode-balancer> | ||
+ | # Apache >= 2.4 | ||
+ | #Require all denied | ||
+ | #Require host localhost | ||
+ | #Require ip 82.140.11.34 127.0.0.1 | ||
+ | |||
+ | # Apache 2.2 | ||
Order Deny,Allow | Order Deny,Allow | ||
− | Allow from | + | Deny from all |
+ | Allow from 82.140.11.34 127.0.0.1 localhost | ||
+ | |||
BalancerMember http://localhost:8381 | BalancerMember http://localhost:8381 | ||
</Proxy> | </Proxy> | ||
Zeile 121: | Zeile 177: | ||
===Webseiten-Apache-Konfiguration mit IES-API Zugriff=== | ===Webseiten-Apache-Konfiguration mit IES-API Zugriff=== | ||
− | + | ||
Dies Konfiguration ist notwendig für: | Dies Konfiguration ist notwendig für: | ||
*den I-Link im SRPC-Modus in InfoSite6 | *den I-Link im SRPC-Modus in InfoSite6 | ||
*Module und Komponenten mit Live-Abfragen (zB. Verzeichnismodul mit der Möglichkeit Objekte anzulegen) | *Module und Komponenten mit Live-Abfragen (zB. Verzeichnismodul mit der Möglichkeit Objekte anzulegen) | ||
*CityCall mit Anbindung an das Ticketsystem | *CityCall mit Anbindung an das Ticketsystem | ||
− | |||
<source lang="apache"> | <source lang="apache"> | ||
Zeile 147: | Zeile 202: | ||
# always keep the host header | # always keep the host header | ||
ProxyPreserveHost Off | ProxyPreserveHost Off | ||
+ | |||
+ | # Bei Zugriff auf BalanceMember via HTTPS einzelne Setzungen aktivieren | ||
+ | SSLProxyEngine On | ||
+ | SSLProxyVerify none | ||
+ | SSLProxyCheckPeerCN Off | ||
+ | SSLProxyCheckPeerName Off | ||
+ | SSLProxyCheckPeerExpire Off | ||
+ | #ProxyRemote https://<<cms-host>> http://proxy.xxx.de:8080 | ||
# timeout | # timeout | ||
Zeile 153: | Zeile 216: | ||
# load balancer IES-API | # load balancer IES-API | ||
<Proxy balancer://ies-api-balancer> | <Proxy balancer://ies-api-balancer> | ||
+ | # Apache >= 2.4 | ||
+ | #Require all granted | ||
+ | |||
+ | # Apache 2.2 | ||
Order Deny,Allow | Order Deny,Allow | ||
Allow from All | Allow from All | ||
+ | |||
# Wenn lokal: BalancerMember http://localhost:8080 timeout=3600 retry=0 | # Wenn lokal: BalancerMember http://localhost:8080 timeout=3600 retry=0 | ||
BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0 | BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0 | ||
Zeile 171: | Zeile 239: | ||
===Webseiten-Apache-Konfiguration für Publikationsbereiche mit Live-Komponenten=== | ===Webseiten-Apache-Konfiguration für Publikationsbereiche mit Live-Komponenten=== | ||
+ | |||
Publikationsbereiche des IES die Live-Komponenten verwenden und somit auf den IES zugreifen müssen, werden wie folgt konfiguriert. | Publikationsbereiche des IES die Live-Komponenten verwenden und somit auf den IES zugreifen müssen, werden wie folgt konfiguriert. | ||
+ | Diese Konfiguration kann für aktuelle Anforderungen mit Zugriffen auf den IES über die IES-API nicht verwendet werden. | ||
<source lang="apache"> | <source lang="apache"> | ||
Zeile 198: | Zeile 268: | ||
# Bei Zugriff auf BalanceMember via HTTPS einzelne Setzungen aktivieren | # Bei Zugriff auf BalanceMember via HTTPS einzelne Setzungen aktivieren | ||
− | + | SSLProxyEngine On | |
− | + | SSLProxyVerify none | |
− | + | SSLProxyCheckPeerCN Off | |
− | + | SSLProxyCheckPeerName Off | |
− | + | SSLProxyCheckPeerExpire Off | |
# load balancer | # load balancer | ||
<Proxy balancer://ies-balancer> | <Proxy balancer://ies-balancer> | ||
+ | # Apache >= 2.4 | ||
+ | #Require all granted | ||
+ | |||
+ | # Apache 2.2 | ||
Order Deny,Allow | Order Deny,Allow | ||
Allow from All | Allow from All | ||
− | BalancerMember | + | |
+ | # Werden nur spml Seiten aufgerufen, kann der Zugriff, der nur über php erfolgen soll, | ||
+ | # auf den Webserver selbst beschränkt werden | ||
+ | # Apache >= 2.4 | ||
+ | #Require all granted | ||
+ | #Require host localhost [Hostname des Webservers] | ||
+ | #Require ip 127.0.0.1 [IP-Adresse des Webservers] | ||
+ | # Apache 2.2 | ||
+ | #Deny from all | ||
+ | #Allow from localhost [IP-Adresse des Webservers] | ||
+ | |||
+ | BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0 | ||
# Alternativ kann auch direkt der Apache des CMS-Systems angesprochen werden, | # Alternativ kann auch direkt der Apache des CMS-Systems angesprochen werden, | ||
Zeile 226: | Zeile 311: | ||
# danach sollte, um die taglibs und andere für den IES notwendigen Elemente NICHT vom Apache ausliefern zu lassen, der Zugriff durch den Apache verboten werden | # danach sollte, um die taglibs und andere für den IES notwendigen Elemente NICHT vom Apache ausliefern zu lassen, der Zugriff durch den Apache verboten werden | ||
<Directory <<DocumentRoot>>/WEB-INF> | <Directory <<DocumentRoot>>/WEB-INF> | ||
− | + | # Apache >= 2.4 | |
− | + | #Require all denied | |
+ | |||
+ | # Apache 2.2 | ||
+ | Order deny,allow | ||
+ | Deny from all | ||
</Directory> | </Directory> | ||
Zeile 248: | Zeile 337: | ||
===Alternative Variante, wenn IES-API UND SPML-Seite unterstützt werden müssen=== | ===Alternative Variante, wenn IES-API UND SPML-Seite unterstützt werden müssen=== | ||
+ | |||
''Für den I-Link im SRPC-Modus in InfoSite6 muss der Zugriff auf die IES-API konfiguriert werden.'' | ''Für den I-Link im SRPC-Modus in InfoSite6 muss der Zugriff auf die IES-API konfiguriert werden.'' | ||
− | + | Damit nun sowohl Live-Abfragen (SPML-Seiten im DocumentRoot eines Publishers), als auch IES-Funktionen (wie die IES-API) von einer URL aufgerufen werden können ist ein kleiner Umweg notwendig, der hier beschrieben wird: | |
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | Damit nun sowohl Live-Abfragen (SPML-Seiten im DocumentRoot eines Publishers), als auch IES-Funktionen (wie die IES-API) von einer URL aufgerufen werden können ist ein kleiner Umweg notwendig, der hier beschrieben | ||
Es ist für jede Domain, für die diese zwei Formen des Zugriffs auf den IES notwendig sind, ein eigener Domain-Name, der auf den CMS-Server zeigt notwendig. Dieser kann entweder im DNS oder auch nur in den HOST-Dateien des CMS- und Webservers eingetragen werden. Weiterhin wird dieser Domain-Name über IES-Admin als Alias im entsprecheden Publisher konfiguriert. Auch sollte der Domain-Name im Apache als ServerAlias für den IES konfiguriert werden. | Es ist für jede Domain, für die diese zwei Formen des Zugriffs auf den IES notwendig sind, ein eigener Domain-Name, der auf den CMS-Server zeigt notwendig. Dieser kann entweder im DNS oder auch nur in den HOST-Dateien des CMS- und Webservers eingetragen werden. Weiterhin wird dieser Domain-Name über IES-Admin als Alias im entsprecheden Publisher konfiguriert. Auch sollte der Domain-Name im Apache als ServerAlias für den IES konfiguriert werden. | ||
Zeile 270: | Zeile 353: | ||
<<ies-alias-hostname>>: ies-www.stadt-goldenberg.de | <<ies-alias-hostname>>: ies-www.stadt-goldenberg.de | ||
<<spml_live_folder>>: /live | <<spml_live_folder>>: /live | ||
− | |||
<source lang="apache"> | <source lang="apache"> | ||
<VirtualHost *:80> | <VirtualHost *:80> | ||
− | ServerName | + | ServerName ... |
DocumentRoot ... | DocumentRoot ... | ||
Zeile 306: | Zeile 388: | ||
# load balancer IES | # load balancer IES | ||
<Proxy balancer://ies-balancer> | <Proxy balancer://ies-balancer> | ||
+ | # Apache >= 2.4 | ||
+ | #Require all granted | ||
+ | |||
+ | # Apache 2.2 | ||
Order Deny,Allow | Order Deny,Allow | ||
Allow from All | Allow from All | ||
+ | |||
+ | # Werden nur spml Seiten aufgerufen, kann der Zugriff, der nur über php erfolgen soll, | ||
+ | # auf den Webserver selbst beschränkt werden | ||
+ | # Apache >= 2.4 | ||
+ | #Require all granted | ||
+ | #Require host localhost [Hostname des Webservers] | ||
+ | #Require ip 127.0.0.1 [IP-Adresse des Webservers] | ||
+ | # Apache 2.2 | ||
+ | #Deny from all | ||
+ | #Allow from localhost [IP-Adresse des Webservers] | ||
+ | |||
############# WICHTIG: Es muss der richtige Hostname gesetzt werden ################# | ############# WICHTIG: Es muss der richtige Hostname gesetzt werden ################# | ||
BalancerMember https://<<ies-alias-hostname>>:443 timeout=3600 retry=0 | BalancerMember https://<<ies-alias-hostname>>:443 timeout=3600 retry=0 | ||
Zeile 317: | Zeile 414: | ||
# danach sollte, um die taglibs und andere für den IES notwendigen Elemente NICHT vom Apache ausliefern zu lassen, der Zugriff durch den Apache verboten werden | # danach sollte, um die taglibs und andere für den IES notwendigen Elemente NICHT vom Apache ausliefern zu lassen, der Zugriff durch den Apache verboten werden | ||
<Directory <<DocumentRoot>>/WEB-INF> | <Directory <<DocumentRoot>>/WEB-INF> | ||
+ | # Apache >= 2.4 | ||
+ | #Require all denied | ||
+ | |||
+ | # Apache 2.2 | ||
Order deny,allow | Order deny,allow | ||
Deny from all | Deny from all | ||
Zeile 323: | Zeile 424: | ||
# load balancer IES-API | # load balancer IES-API | ||
<Proxy balancer://ies-api-balancer> | <Proxy balancer://ies-api-balancer> | ||
+ | # Apache >= 2.4 | ||
+ | #Require all granted | ||
+ | |||
+ | # Apache 2.2 | ||
Order Deny,Allow | Order Deny,Allow | ||
Allow from All | Allow from All | ||
+ | |||
# Wenn lokal: BalancerMember http://localhost:8080 timeout=3600 retry=0 | # Wenn lokal: BalancerMember http://localhost:8080 timeout=3600 retry=0 | ||
BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0 | BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0 | ||
Zeile 350: | Zeile 456: | ||
</VirtualHost> | </VirtualHost> | ||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
</source> | </source> | ||
Zeile 403: | Zeile 467: | ||
</source> | </source> | ||
− | Hier der Inhalt der php Seite 'counter.php' am Beispiel CityCall für | + | Hier der Inhalt der php Seite 'counter.php' am Beispiel CityCall für Stadt und Kreis Goldenberg |
<source lang="php"> | <source lang="php"> | ||
<?php | <?php | ||
Zeile 421: | Zeile 485: | ||
// Counter-Artikels die Server für die Weiterleitung | // Counter-Artikels die Server für die Weiterleitung | ||
− | // | + | // Stadt Goldenberg |
− | if ($client === " | + | if ($client === "10123") { |
− | $url = "http://cms | + | $url = "http://cms".$prefix.".stadt-goldenberg.de/ies/infosite/counter"; |
− | // | + | // Kreis Goldenberg |
− | } else if ($client === " | + | } else if ($client === "10456") { |
− | $url = "http://cms | + | $url = "http://cms".$prefix.".kreis-goldenberg.de/ies/infosite/counter"; |
− | |||
− | |||
− | |||
} | } | ||
Zeile 445: | Zeile 506: | ||
</source> | </source> | ||
+ | == Integration eines sog. Client Zertifikats für die Kommunikation mit dem CMS-Server (optionale Konfiguration) == | ||
+ | |||
+ | Um dem Webserver zu gestatten sich dem CMS gegenüber als valider Client zu authentifizieren kann ein client-Zertifikat eingebunden werden. | ||
+ | Allgemein empfiehlt sich das genaue Studium der Apache-Doku zu diesem Thema: http://httpd.apache.org/docs/2.4/ssl/ssl_howto.html | ||
+ | |||
+ | Folgendes Szenario wird hier exemplarisch vorgestellt: | ||
+ | Web-Client <--> öffentlicher Webserver mit Client-Zertifikat <-- HTTPS --> CMS-Server intern | ||
+ | D.h. der Webbrowser sendet über den öffentlichen Webserver als Proxy seine Anforderungen an das CMS. | ||
+ | Dabei verwendet der Proxy das konfigurierte Client-Zertifikat, um sich dem CMS-Server gegenüber zu autorisieren. | ||
+ | Ob der Webbrowser über HTTP oder HTTPS mit dem Proxy kommuniziert ist unerheblich. Die Kommunikation mit dem CMS erfolgt immer über HTTPS. | ||
+ | |||
+ | === Konfiguration auf dem öffentlichen Webserver / Proxy === | ||
+ | |||
+ | Zunächst wird eine Datei both.pem aus dem nicht verschlüsselten Zertifikat und dem zugehörigen Schlüssel erzeugt: | ||
+ | <pre> cat client.pem client.key > both.pem </pre> | ||
+ | |||
+ | Diese Datei wird als Client-Zertifikat eingebunden, z.B.: | ||
+ | |||
+ | <source lang="apache"> | ||
+ | SSLProxyMachineCertificateFile /etc/httpd/ssl/both.pem | ||
+ | </source> | ||
+ | |||
+ | === Konfiguration auf dem CMS-System === | ||
+ | |||
+ | Bei der klassischen SSL-Konfiguration muss dem Server zusätzlich das Haupt-CA-Zertifikat CA.pem, mit dem die Client-Schlüssel erzeugt wurden, | ||
+ | bekannt gemacht werden: | ||
+ | |||
+ | <source lang="apache"> | ||
+ | SSLEngine on | ||
+ | SSLProxyEngine on | ||
+ | SSLCipherSuite ALL:!ADH:!EXPORT:+RSA:+HIGH:+MEDIUM:-RC4:-LOW | ||
+ | SSLProtocol All -SSLv2 -SSLv3 | ||
+ | SSLCertificateFile /etc/httpd/ssl/server.cert | ||
+ | SSLCertificateKeyFile /etc/httpd/ssl/server.key | ||
+ | SSLCACertificateFile /etc/httpd/ssl/CA/CA.pem | ||
+ | </source> | ||
+ | |||
+ | In dem betreffenden geschützten Verzeichnis ist dann eine Art Schein-Basic-Authentication nach dem folgenden Muster einzurichten: | ||
+ | |||
+ | <source lang="apache"> | ||
+ | <Directory /webserver-path> | ||
+ | SSLVerifyClient require | ||
+ | SSLVerifyDepth 5 | ||
+ | SSLOptions +FakeBasicAuth | ||
+ | SSLRequireSSL | ||
+ | AuthName "Secure Area" | ||
+ | AuthType basic | ||
+ | AuthBasicProvider file | ||
+ | AuthUserFile .htpasswd | ||
+ | Require valid-user | ||
+ | ErrorDocument 403 "You need a client side certificate issued by CAcert to access this site" | ||
+ | |||
+ | # Optionale Freigabe Für Let's Encrypt | ||
+ | #Require expr %{REQUEST_URI} =~ m#^/.well-known/acme-challenge/# | ||
+ | </Directory> | ||
+ | </source> | ||
+ | |||
+ | Es wird also gegen die .htpasswd-Datei authentifiziert, in welcher alle validen Client-Zertifikate eingetragen sein müssen. | ||
+ | |||
+ | === .htpasswd-Beispiel für die Client-Authentifizierung === | ||
+ | |||
+ | Ist für den Client der CommonName '/C=DE/ST=NRW/L=M\xC3\xBCnster/O=SitePark GmbH/OU=Administration/CN=MyClient' vergeben worden, | ||
+ | so lautet der Inhalt der .htpasswd : | ||
+ | |||
+ | <source lang="text"> | ||
+ | /C=DE/ST=NRW/L=M\xC3\xBCnster/O=SitePark GmbH/OU=Administration/CN=MyClient:xxj31ZMTZzkVA | ||
+ | </source> | ||
+ | |||
+ | Das Passwort entspricht dabei der DES-verschlüsselten Zeichenkette "password". Es wird anscheinend nicht wirklich benutzt. | ||
Aktuelle Version vom 9. Dezember 2022, 13:13 Uhr
Allgemeines
Der IES ist i.d.R. für sämtliche Dateien im DocumentRoot
eines Publishers zuständig. Die Dateien werden entsprechend über den Nutzer des IES angelegt. Da jedoch der Apache diese lesen bzw. über PHP verändern / ergänzen können sollte, empfehlen wir die Zugriffsrechte entsprechend einzustellen. Unter Linux kann das einfach erreicht werden, indem der Nutzer des Webservers auch in die Gruppe ies
aufgenommen wird. Die UMASK des IES ist entsprechend voreingestellt.
Konfiguration des DocumentRoot
Im DocumentRoot eines Publikationsbereiches werden neben den eigentlichen Artikeldaten auch noch Systemdaten der IES-Module gespeichert. Diese dienen u.a. zum Aufbau einer Sitemap o.ä. Damit diese vor direkten URL-Aufrufen geschützt werden können, werden entsprechende .htaccess-Dateien durch die Module generiert. Hierzu muss im Apache (und im Microsoft IIS über die Erweiterung Helicon Ape) die Auswertung dieser Daten erlaubt werden.
Da der IES sämtliche Daten der Module in das Unterverzeichnis /WEB-IES/ speichert ist die Konfiguration wie folgt möglich:
<VirtualHost *:80>
<Directory "....$PATH_TO_DOCUMENT_ROOT.../WEB-IES">
Options -Indexes
AllowOverride LIMIT
</Directory>
</VirtualHost>
Allgemeine Hinweise zur Integration
Die Integration des IES in den "Internet Information Server" von Microsoft ist über den sog. JK-Connector prinzipiell möglich. Weitere Informationen hierzu finden Sie im Internet
Für die optionale Integration des IES in den Apache Webserver empfehlen wird das Apache-Modul proxy_http
. Folgende Konfiguration kann als Vorlage dienen. Die ProxyPassMatch
Anweisungen sind jedoch erst ab der Version 2.2.5 verfügbar.
Folgende Module sind für die unten aufgeführten Konfigurationsvorlagen notwendig:
mod_proxy mod_proxy_balancer mod_proxy_http mod_lbmethod_byrequests # ab Apache 2.4 für proxy notwendig!!! mod_rewrite mod_ssl mod_headers
Da Passwörter und andere vertrauliche Daten mit dem IES ausgetauscht werden, muss immer HTTPS für den Apache eingerichtet werden.
Die Setzung ProxyPreserveHost legt fest, ob der ursprünglich im Request übergebene Hostname auch beim Proxy-Request angegeben wird, oder ob der Hostname der Balancer-Konfiguration verwendet wird.
Die Proxy-Regeln leiten alle relevanten Anfragen an den CMS-Server weiter. Je nach Ziel-Port, der in der Balance-Konfiguraion angegeben wird, wird der Request an den Apache oder den IES auf dem CMS-Server weitergeleitet. Wir empfehlen hier die Kommunikation über den Apache (Port 80 bei internen Requests, sonst Port 443). Soll der Zugriff direkt auf den IES erfolgen, ist folgende Anpassung der Bind-Address in der sitepark.conf notwendig: IES_BIND_ADDRESS="0.0.0.0" erforderlich. Damit ist der IES aber auch von allen anderen Rechern aus direkt erreichbar.
Im IES sind alle Domains und Aliase in den Publisher-Konfigurationen automatisch für HTTP-Anfragen gebunden, wenn diese für Live-Abfragen aktiviert wurden (Publikationsbereich als Modul verwenden - Wir raten in diesem Zusammenhang dringend zu der Einschränkung auf ein bestimmtes Verzeichnis). Das bedeutet, dass alle Anfragen an eine der in den Publishern konfigurierten Domains, die an den IES geleitet werden, über den IES mit entsprechenden DocumentRoot ausgeführt werden. Aufrufe von IES-Modulen sind mit diesen URLs damit daher nicht möglich. Sollen direkt Funktionen des IES (z.B. InfoSite oder IES-API) angesprochen werden, muss der IES über einen Domain-Namen oder eine IP aufgerufen werden, die in keinen Publisher konfiguriert wurde.
Hinweise zur Integration des IES in den Apache
Für die Integration des IES in den Apache sollte ein eigener Virtueller Host eingerichtet werden. Für diesen Virtueller Host ist kein DocumentRoot notwendig!
Aufruf des IES Über den Apache
<VirtualHost *:80>
ServerName <<cms-host>>
# Alle gültigen IES-Anfragen, die auf Port 80 erfolgen, sollten vollständig an Port 443 umgelenkt werden. Diese Aufrufe können zum einen durch
# Redakteure erfolgen, die häufig URLs ohne "https" eingeben, zum anderen aber auch durch Aufrufe, die durch SPML- bzw. JSP-Seiten erzeugt werden,
# da diese intern über "http" auf Port 8080 bearbeitet werden und keine Informationen dazu haben, dass SSL von Außen eingesetzt wird.
RedirectMatch ^(.*)$ https://<<cms-host>>$1
</VirtualHost>
<VirtualHost *:80>
# Redirects
ServerName infosite.<<cms-domain>>
ServerAlias citygov.<<cms-domain>>
ServerAlias newsdesk.<<cms-domain>>
ServerAlias infosite5.<<cms-domain>>
ServerAlias infosite6.<<cms-domain>>
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{HTTP_HOST} infosite6.<<cms-domain>> [OR]
RewriteCond %{HTTP_HOST} infosite.<<cms-domain>>
RewriteRule ^/$ https://<<cms-host>>/ies/infosite6/ [L,R=301]
RewriteCond %{HTTP_HOST} infosite5.<<cms-domain>>
RewriteRule ^/$ https://<<cms-host>>/ies/infosite/control/ [L,R=301]
RewriteCond %{HTTP_HOST} newsdesk.<<cms-domain>>
RewriteRule ^/$ https://<<cms-host>>/ies/infosite/control/?SYS_gui=gui2 [L,R=301]
RewriteCond %{HTTP_HOST} citygov.<<cms-domain>>
RewriteRule ^/$ https://<<cms-host>>/ies/module/city-gov/ [L,R=301]
</IfModule>
</VirtualHost>
<VirtualHost *:443>
ServerName <<cms-host>>
ErrorLog /var/log/apache2/<<cms-host>>.err
CustomLog /var/log/apache2/<<cms-host>>.log combined
RewriteCond %{REQUEST_METHOD} !^(GET|POST|HEAD)
RewriteRule .* - [R=405,L]
# Infosite redirect
RewriteEngine On
RewriteRule ^/$ /ies/admin/ [R,L]
###################################
# IES integration using mod_proxy #
###################################
# security
ProxyRequests Off
# timeout
ProxyTimeout 3600
# always keep the host header
ProxyPreserveHost On
#X-Forwarded-Proto
#X-Forwarded-Port
#X-Forwarded-Host
# load balancer
<Proxy balancer://ies-balancer>
Require all granted
#AuthType Basic
#AuthName "IES Server"
#AuthUserFile "/etc/.htpasswd"
#Require valid-user
#Require ip 192.168.1
BalancerMember http://localhost:8080 timeout=3600 retry=0
</Proxy>
# Weiterleitung aller IES-Modul Anfragen an den IES
ProxyPassMatch ^(/ies/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
# Sollte es Pulikationsbereiche mit Live spml Seiten geben, muss dieser Match ergänzt werden!!!
#ProxyPassMatch ^(.*\.spml(;jsessionid=\w+)?(\?.*)?)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
# Innerhalb eines Virtuellen Hosts für HTTPS sollte immer der Header X-IES-SCHEME auf https gesetzt werden, da nur so
# innerhalb von IES-Applikationen ${system.baseurl} richtig aufgelöst wird. Weitere X-IES Header-Angaben sind i.d.R. nicht notwendig
#RequestHeader set X-IES-SERVER-NAME "ies.intern.net" # evtl. abweichender ServerName
#RequestHeader set X-IES-SERVER-PORT "1443" # evtl. abweichender Port
RequestHeader set X-IES-SCHEME "https"
Header set X-Frame-Options SAMEORIGIN
<LocationMatch "/ies/.*/rpc">
Header Set Cache-Control "max-age=0, no-store, no-cache, must-revalidate"
Header Unset ETag
FileETag None
</LocationMatch>
</VirtualHost>
Hinweise zur Integration von IES-Anfragen in dem Apache des Webservers
Webseiten-Apache-Konfiguration mit Zugriff auf den lokalen Webnode
Für Zugriffe des Apache auf den lokalen IES-Webnode (z.B. für Solr-Suchen) ist folgende Konfiguration notwendig:
<VirtualHost *:80>
...
ProxyTimeout 3600
<Proxy balancer://ies-webnode-balancer>
# Apache >= 2.4
#Require all denied
#Require host localhost
#Require ip 82.140.11.34 127.0.0.1
# Apache 2.2
Order Deny,Allow
Deny from all
Allow from 82.140.11.34 127.0.0.1 localhost
BalancerMember http://localhost:8381
</Proxy>
ProxyPassMatch ^(/ies-webnode/.*)$ balancer://ies-webnode-balancer$1
...
</VirtualHost>
Webseiten-Apache-Konfiguration mit IES-API Zugriff
Dies Konfiguration ist notwendig für:
- den I-Link im SRPC-Modus in InfoSite6
- Module und Komponenten mit Live-Abfragen (zB. Verzeichnismodul mit der Möglichkeit Objekte anzulegen)
- CityCall mit Anbindung an das Ticketsystem
<VirtualHost *:80>
ServerName <<hostname>>
DocumentRoot ...
ErrorLog ...
CustomLog ...
...
###################################
# IES integration using mod_proxy #
###################################
# security
ProxyRequests Off
# always keep the host header
ProxyPreserveHost Off
# Bei Zugriff auf BalanceMember via HTTPS einzelne Setzungen aktivieren
SSLProxyEngine On
SSLProxyVerify none
SSLProxyCheckPeerCN Off
SSLProxyCheckPeerName Off
SSLProxyCheckPeerExpire Off
#ProxyRemote https://<<cms-host>> http://proxy.xxx.de:8080
# timeout
ProxyTimeout 3600
# load balancer IES-API
<Proxy balancer://ies-api-balancer>
# Apache >= 2.4
#Require all granted
# Apache 2.2
Order Deny,Allow
Allow from All
# Wenn lokal: BalancerMember http://localhost:8080 timeout=3600 retry=0
BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0
</Proxy>
ProxyPassMatch ^(/ies/api/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
####### oder auf bestimmte Module begrenzt: ######
# ProxyPassMatch ^(/ies/MODUL/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# Beispiele:
# ProxyPassMatch ^(/ies/formservice/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# ProxyPassMatch ^(/ies/infoticket/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# ProxyPassMatch ^(/ies/jslibs/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
</VirtualHost>
Webseiten-Apache-Konfiguration für Publikationsbereiche mit Live-Komponenten
Publikationsbereiche des IES die Live-Komponenten verwenden und somit auf den IES zugreifen müssen, werden wie folgt konfiguriert. Diese Konfiguration kann für aktuelle Anforderungen mit Zugriffen auf den IES über die IES-API nicht verwendet werden.
<VirtualHost *:80>
ServerName ...
DocumentRoot ...
ErrorLog ...
CustomLog ...
...
###################################
# IES integration using mod_proxy #
###################################
# security
ProxyRequests Off
# always keep the host header
ProxyPreserveHost On
# timeout
ProxyTimeout 3600
# Bei Zugriff auf BalanceMember via HTTPS einzelne Setzungen aktivieren
SSLProxyEngine On
SSLProxyVerify none
SSLProxyCheckPeerCN Off
SSLProxyCheckPeerName Off
SSLProxyCheckPeerExpire Off
# load balancer
<Proxy balancer://ies-balancer>
# Apache >= 2.4
#Require all granted
# Apache 2.2
Order Deny,Allow
Allow from All
# Werden nur spml Seiten aufgerufen, kann der Zugriff, der nur über php erfolgen soll,
# auf den Webserver selbst beschränkt werden
# Apache >= 2.4
#Require all granted
#Require host localhost [Hostname des Webservers]
#Require ip 127.0.0.1 [IP-Adresse des Webservers]
# Apache 2.2
#Deny from all
#Allow from localhost [IP-Adresse des Webservers]
BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0
# Alternativ kann auch direkt der Apache des CMS-Systems angesprochen werden,
# da dieser Anfragen automatisch intern an den IES weiterleitet.
#BalancerMember http://<<cms-host>>:80 timeout=3600 retry=0
# Bei Zugriff via SSL empfehlen wir die Verschlüsselung über den Apache zu konfigurieren.
# Dieser leitet dann die unverschlüsselte Anfrage an den lokalen IES (intern über Port 8080)
# Wird der BalanceMember via HTTPS angesprochen muss noch SSLProxyEngine auf ON gesetzt werden (s.o.)
#BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0
</Proxy>
# Der Ordner, der am Publisher für SPML-Live-Seiten konfiguriert wurde muss für "<<spml_live_folder>>" eingesetzt werden
ProxyPassMatch ^(/<<spml_live_folder>>/.*\.spml(;jsessionid=\w+)?(\?.*)?)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
ProxyPassMatch ^(/<<spml_live_folder>>/ies/binary/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
# danach sollte, um die taglibs und andere für den IES notwendigen Elemente NICHT vom Apache ausliefern zu lassen, der Zugriff durch den Apache verboten werden
<Directory <<DocumentRoot>>/WEB-INF>
# Apache >= 2.4
#Require all denied
# Apache 2.2
Order deny,allow
Deny from all
</Directory>
# COUNTER
# Variante 1: RedirectMatch auf den Server (CMS muss öffentlich erreichbar sein)
#RedirectMatch ^/ies/counter(.*) https://<<cms-host>>/ies/infosite/counter$1
# Variante 2: Rewrite, wenn über eine RewriteCondition noch Bedingungen angegeben werde sollen.
# Rewrite um die Counter-Aufrufe (unabhaengig von Aliases) an das CMS (mit der konfigurierten Publisher-URL) zu schicken
RewriteEngine on
# Zugriff auf das CMS nur über den Webserver (als Proxy)
RewriteRule ^/ies/counter(.*) https://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
RewriteRule ^/infosite/counter(.*) https://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
RewriteRule ^/ies/infosite/counter(.*) https://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
</VirtualHost>
Alternative Variante, wenn IES-API UND SPML-Seite unterstützt werden müssen
Für den I-Link im SRPC-Modus in InfoSite6 muss der Zugriff auf die IES-API konfiguriert werden.
Damit nun sowohl Live-Abfragen (SPML-Seiten im DocumentRoot eines Publishers), als auch IES-Funktionen (wie die IES-API) von einer URL aufgerufen werden können ist ein kleiner Umweg notwendig, der hier beschrieben wird:
Es ist für jede Domain, für die diese zwei Formen des Zugriffs auf den IES notwendig sind, ein eigener Domain-Name, der auf den CMS-Server zeigt notwendig. Dieser kann entweder im DNS oder auch nur in den HOST-Dateien des CMS- und Webservers eingetragen werden. Weiterhin wird dieser Domain-Name über IES-Admin als Alias im entsprecheden Publisher konfiguriert. Auch sollte der Domain-Name im Apache als ServerAlias für den IES konfiguriert werden.
Unterschiedliche Balancer-Regeln auf dem Webserver sorgen nun dafür, dass so entwerder IES-Funktionen oder Live-Funktionen des Publishers ausgeführt werden, indem entweder die Alias-URL des Publishers oder die URL des IES verwendet wird.
In dem unten aufgeführten Beispiel wird die Kommunikation via HTTPs realisiert. Der Domain-Name <<ies-alias-hostname>> und CMS-Host <<cms-host>> ist entsprechend zu ersetzen.
Beispiel:
www.stadt-goldenberg.de <<cms-host>: ies.stadt-goldenberg.de <<ies-alias-hostname>>: ies-www.stadt-goldenberg.de <<spml_live_folder>>: /live
<VirtualHost *:80>
ServerName ...
DocumentRoot ...
ErrorLog ...
CustomLog ...
...
###################################
# IES integration using mod_proxy #
###################################
# security
ProxyRequests Off
# always keep the host header
############# WICHTIG: muss auf 'Off' stehen, damit der Wert des Balancers übertragen wird #################
ProxyPreserveHost Off
# Bei Zugriff auf BalanceMember via HTTPS einzelne Setzungen aktivieren
SSLProxyEngine On
SSLProxyVerify none
SSLProxyCheckPeerCN Off
SSLProxyCheckPeerName Off
SSLProxyCheckPeerExpire Off
# timeout
ProxyTimeout 3600
# load balancer IES
<Proxy balancer://ies-balancer>
# Apache >= 2.4
#Require all granted
# Apache 2.2
Order Deny,Allow
Allow from All
# Werden nur spml Seiten aufgerufen, kann der Zugriff, der nur über php erfolgen soll,
# auf den Webserver selbst beschränkt werden
# Apache >= 2.4
#Require all granted
#Require host localhost [Hostname des Webservers]
#Require ip 127.0.0.1 [IP-Adresse des Webservers]
# Apache 2.2
#Deny from all
#Allow from localhost [IP-Adresse des Webservers]
############# WICHTIG: Es muss der richtige Hostname gesetzt werden #################
BalancerMember https://<<ies-alias-hostname>>:443 timeout=3600 retry=0
</Proxy>
# Der Ordner, der am Publisher für SPML-Live-Seiten konfiguriert wurde muss für "<<spml_live_folder>>" eingesetzt werden
ProxyPassMatch ^(/<<spml_live_folder>>/.*\.spml(;jsessionid=\w+)?(\?.*)?)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
ProxyPassMatch ^(/<<spml_live_folder>>/ies/binary/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
# danach sollte, um die taglibs und andere für den IES notwendigen Elemente NICHT vom Apache ausliefern zu lassen, der Zugriff durch den Apache verboten werden
<Directory <<DocumentRoot>>/WEB-INF>
# Apache >= 2.4
#Require all denied
# Apache 2.2
Order deny,allow
Deny from all
</Directory>
# load balancer IES-API
<Proxy balancer://ies-api-balancer>
# Apache >= 2.4
#Require all granted
# Apache 2.2
Order Deny,Allow
Allow from All
# Wenn lokal: BalancerMember http://localhost:8080 timeout=3600 retry=0
BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0
</Proxy>
ProxyPassMatch ^(/ies/api/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
####### weitere Module ######
# ProxyPassMatch ^(/ies/MODUL/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# Beispiele:
# ProxyPassMatch ^(/ies/formservice/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# ProxyPassMatch ^(/ies/infoticket/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# ProxyPassMatch ^(/ies/jslibs/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# COUNTER
# Variante 1: RedirectMatch auf den Server (CMS muss öffentlich erreichbar sein)
#RedirectMatch ^/ies/counter(.*) https://<<cms-host>>/ies/infosite/counter$1
# Variante 2: Rewrite, wenn über eine RewriteCondition noch Bedingungen angegeben werde sollen.
# Rewrite um die Counter-Aufrufe (unabhaengig von Aliases) an das CMS (mit der konfigurierten Publisher-URL) zu schicken
RewriteEngine on
# Zugriff auf das CMS nur über den Webserver (als Proxy)
RewriteRule ^/ies/counter(.*) http[s]://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
RewriteRule ^/infosite/counter(.*) http[s]://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
RewriteRule ^/ies/infosite/counter(.*) http[s]://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
</VirtualHost>
Counter Konfiguration für einen Virtual-Host, der von verschiedenen CMS-Server geschrieben wird (z.B. für CityCall115).
In der Virtual-Host Konfiguration des Webservers genügt dieser Eintrag für die Weiterleitung der Counter-Aufrufe:
...
# Alle Counter-Requests an eine vom CMS gepflegte PHP-Seite:
RewriteRule ^/ies/counter(.*) /counter.php$1 [L,NE]
...
Hier der Inhalt der php Seite 'counter.php' am Beispiel CityCall für Stadt und Kreis Goldenberg
<?php
if (!empty($_GET)) {
$client = substr(htmlspecialchars($_GET["SYS_CNTR_id"]),0,5);
$prefix = "";
// Für den Fall, dass es auch auf Testservern eingesetzt wird
if (strrpos($_SERVER['SERVER_NAME'],"test")) {
$prefix = ".test";
}
$url = null;
//
// Unterscheide anhand der Server- und ClientId des übergebenen
// Counter-Artikels die Server für die Weiterleitung
// Stadt Goldenberg
if ($client === "10123") {
$url = "http://cms".$prefix.".stadt-goldenberg.de/ies/infosite/counter";
// Kreis Goldenberg
} else if ($client === "10456") {
$url = "http://cms".$prefix.".kreis-goldenberg.de/ies/infosite/counter";
}
// Die Parameter des Aufrufes ergänzen und die Seite mit einem Timeout (3 bis 5 Sekunden) aufrufen.
if ($url !== null) {
$url .= "?".$_SERVER['QUERY_STRING'];
$context = stream_context_create(array("http" => array("timeout" => 3)));
return file_get_contents($url, NULL, $context);
}
}
?>
Integration eines sog. Client Zertifikats für die Kommunikation mit dem CMS-Server (optionale Konfiguration)
Um dem Webserver zu gestatten sich dem CMS gegenüber als valider Client zu authentifizieren kann ein client-Zertifikat eingebunden werden. Allgemein empfiehlt sich das genaue Studium der Apache-Doku zu diesem Thema: http://httpd.apache.org/docs/2.4/ssl/ssl_howto.html
Folgendes Szenario wird hier exemplarisch vorgestellt: Web-Client <--> öffentlicher Webserver mit Client-Zertifikat <-- HTTPS --> CMS-Server intern D.h. der Webbrowser sendet über den öffentlichen Webserver als Proxy seine Anforderungen an das CMS. Dabei verwendet der Proxy das konfigurierte Client-Zertifikat, um sich dem CMS-Server gegenüber zu autorisieren. Ob der Webbrowser über HTTP oder HTTPS mit dem Proxy kommuniziert ist unerheblich. Die Kommunikation mit dem CMS erfolgt immer über HTTPS.
Konfiguration auf dem öffentlichen Webserver / Proxy
Zunächst wird eine Datei both.pem aus dem nicht verschlüsselten Zertifikat und dem zugehörigen Schlüssel erzeugt:
cat client.pem client.key > both.pem
Diese Datei wird als Client-Zertifikat eingebunden, z.B.:
SSLProxyMachineCertificateFile /etc/httpd/ssl/both.pem
Konfiguration auf dem CMS-System
Bei der klassischen SSL-Konfiguration muss dem Server zusätzlich das Haupt-CA-Zertifikat CA.pem, mit dem die Client-Schlüssel erzeugt wurden, bekannt gemacht werden:
SSLEngine on
SSLProxyEngine on
SSLCipherSuite ALL:!ADH:!EXPORT:+RSA:+HIGH:+MEDIUM:-RC4:-LOW
SSLProtocol All -SSLv2 -SSLv3
SSLCertificateFile /etc/httpd/ssl/server.cert
SSLCertificateKeyFile /etc/httpd/ssl/server.key
SSLCACertificateFile /etc/httpd/ssl/CA/CA.pem
In dem betreffenden geschützten Verzeichnis ist dann eine Art Schein-Basic-Authentication nach dem folgenden Muster einzurichten:
<Directory /webserver-path>
SSLVerifyClient require
SSLVerifyDepth 5
SSLOptions +FakeBasicAuth
SSLRequireSSL
AuthName "Secure Area"
AuthType basic
AuthBasicProvider file
AuthUserFile .htpasswd
Require valid-user
ErrorDocument 403 "You need a client side certificate issued by CAcert to access this site"
# Optionale Freigabe Für Let's Encrypt
#Require expr %{REQUEST_URI} =~ m#^/.well-known/acme-challenge/#
</Directory>
Es wird also gegen die .htpasswd-Datei authentifiziert, in welcher alle validen Client-Zertifikate eingetragen sein müssen.
.htpasswd-Beispiel für die Client-Authentifizierung
Ist für den Client der CommonName '/C=DE/ST=NRW/L=M\xC3\xBCnster/O=SitePark GmbH/OU=Administration/CN=MyClient' vergeben worden, so lautet der Inhalt der .htpasswd :
/C=DE/ST=NRW/L=M\xC3\xBCnster/O=SitePark GmbH/OU=Administration/CN=MyClient:xxj31ZMTZzkVA
Das Passwort entspricht dabei der DES-verschlüsselten Zeichenkette "password". Es wird anscheinend nicht wirklich benutzt.