Se denomina servidor proxy de reenvío a un equipo de la LAN que le permite conectarse fuera de la red sin comprometer la seguridad de la red interna. El uso de los servidores proxy de reenvío es muy habitual en las redes perimetrales (también conocidas como zonas desmilitarizadas [DMZ] o subredes filtradas) para proteger la identidad de los equipos internos. Aunque la mayoría de los servicios de ArcGIS Server no necesitan conectarse fuera de la red, puede que el servicio PrintingTools o los servicios de geoprocesamiento personalizados necesiten acceder a servicios web externos. Si su organización utiliza un servidor proxy de reenvío para conectar externamente, necesitará configurar ArcGIS Server para su uso con el servidor proxy de reenvío.
- Abra un navegador web e inicie sesión en el Directorio del administrador de ArcGIS Server. La URL está en el formato https://machine.domain.com:6443/arcgis/admin.
- Haga clic en Sistema > Propiedades > Actualizar.
- En el cuadro de diálogo Actualizar propiedades del servidor, inserte el siguiente código JSON, sustituyendo la información de su servidor proxy de reenvío:
{ "httpProxyHost": "forwardproxy.domain.com", "httpsProxyHost": "forwardproxy.domain.com", "httpProxyPort": 8888, "httpsProxyPort": 8888, "nonProxyHosts": "portal.domain.com" }
Si su servidor proxy de reenvío requiere autenticación, el nombre de usuario y la contraseña deben incluirse en la cadena de caracteres JSON:
{ "httpProxyHost": "forwardproxy.domain.com", "httpsProxyHost": "forwardproxy.domain.com", "httpProxyPort": 8888, "httpsProxyPort": 8888, "httpProxyUser": "username", "httpsProxyUser": "username", "httpProxyPassword": "password", "httpsProxyPassword": "password", "nonProxyHosts": "portal.domain.com" }
- Se deben incluir siempre todas las propiedades anteriores, incluso si su servidor proxy de reenvío se configura para utilizar únicamente HTTPS.
La propiedad nonProxyHosts debe contener siempre el nombre del equipo en el que está instalado el portal. Si desea federar ArcGIS Server con su portal, esta propiedad también debe incluir el nombre del equipo en el que está instalado ArcGIS Server. Los elementos del equipo y del dominio se separan con barras verticales (|), por ejemplo:
"nonProxyHosts": "portal.domain.com|server.domain.com|*.domain.com"
- Haga clic en Actualizar propiedades.
ArcGIS Server usa ajustes de configuración de proxy de reenvío de dos fuentes: el sistema operativo en el que está instalado ArcGIS Server y las propiedades del sistema del Directorio de administrador de ArcGIS Server. Se recomienda configurar el proxy de reenvío en ambas ubicaciones.
En Linux, la forma estándar de configurar un servidor proxy de reenvío es mediante la variable de entorno http_proxy. Para configurar esta variable de entorno y definir el servidor proxy de reenvío, edite el script init_user_param.sh en el directorio /arcgis/server/usr. Para ello, siga estos pasos:
- Abra el script init_user_param.sh en un editor de texto.
- Localice la línea export http_proxy=http://<user name>:<password>@<proxy-server-name.domain.org>:<port number>/ y modifique la dirección URL de muestra para que coincida con el nombre y el número de puerto de su servidor proxy de reenvío. Si son necesarios un nombre de usuario y una contraseña para conectarse a su servidor proxy de reenvío, especifique los parámetros del nombre de usuario y la contraseña en la dirección URL. Si no son necesarios un nombre de usuario y una contraseña, elimine el texto <user name>:<password>@ de la dirección URL.
- Opcionalmente, puede usar la variable de entorno no_proxy para especificar una lista de dominios para los que no se requiera el proxy predeterminado. Para usar esta variable, anule los comentarios de la línea export no_proxy="<local>;*.<dominio>.<com>" y agregue entradas a esta lista. El carácter de comodín * y <local> se pueden usar al especificar el dominio. Las distintas entradas se deben separar con un punto y coma (;).
- Guarde y cierre el script init_user_param.sh.
- Para que la configuración surta efecto, debe reiniciar ArcGIS Server. Puede hacerlo ejecutando el script startserver.sh en cada servidor SIG en su implementación.
ArcGIS Server está configurado con los ajustes del servidor proxy de reenvío especificados en el script init_user_param.sh.
Un servidor proxy de reenvío puede encapsular el tráfico cifrado o descifrar y volver a cifrar el tráfico. Si ArcGIS Server no parece estar funcionando correctamente con el proxy de reenvío, es probable que el servidor proxy esté descifrando y volviendo a cifrar el tráfico. Un servidor proxy que descifra el tráfico usará una entidad de certificación raíz para presentar los certificados. De manera predeterminada, ArcGIS Server no confía en la entidad de certificación, por lo que debe importar el certificado al almacén de certificados del sistema operativo. Puede hacerlo siguiendo estos pasos.
- Coloque el certificado raíz en una ubicación donde ArcGIS Server tenga los permisos correctos para leer archivos.
- En el equipo en el que esté alojado ArcGIS Server, abra el script init_user_param.sh en un editor de texto yendo al directorio <ArcGIS Server installation directory>/arcgis/server/usr.
- Busque la línea export CA_ROOT_CERTIFICATE_DIR=<Location_to_CA_Root_Certificate> y especifique la ubicación donde se almacenen todos los certificados raíz de CA en el sistema. Es necesario que el directorio especificado sea accesible para la cuenta utilizada para instalar ArcGIS Server. Deberá quitar la marca de comentario de las líneas eliminando las almohadillas (#).
- Guarde y cierre el script init_user_param.sh.
- Reinicie ArcGIS Server. Puede hacer esto ejecutando el script startserver.sh en cada equipo del sitio.
- Repita estos pasos para cada equipo de su sitio de ArcGIS Server.