フォワード プロキシ サーバーとは、内部ネットワークのセキュリティを損なわずにネットワークの外部と接続できるようにする、LAN 上のコンピューターです。フォワード プロキシ サーバーは、境界ネットワーク (DMZ (DeMilitarized Zone) またはスクリーン サブネットとも呼ばれる) 内で内部コンピューターのアイデンティティを保護するために極めて一般的に使用されています。ほとんどの ArcGIS Server サービスはネットワークの外部と接続する必要はありませんが、これに対して、PrintingTools サービスやカスタム ジオプロセシング サービスは外部 Web サービスへのアクセスを必要とする場合があります。組織サイトで外部への接続にフォワード プロキシ サーバーを使用する場合は、フォワード プロキシ サーバーを使用するよう ArcGIS Server を構成する必要があります。
- Web ブラウザーを開いて、ArcGIS Server Administrator Directory にサイン インします。URL の形式は、https://machine.domain.com:6443/arcgis/admin です。
- [System] > [Properties] > [Update] の順にクリックします。
- [Update Server Properties] ダイアログ ボックスで次の JSON コードを挿入し、フォワード プロキシ サーバー情報と置換します。
{ "httpProxyHost": "forwardproxy.domain.com", "httpsProxyHost": "forwardproxy.domain.com", "httpProxyPort": 8888, "httpsProxyPort": 8888, "nonProxyHosts": "portal.domain.com" }
フォワード プロキシ サーバーに認証が必要な場合、JSON 文字列にユーザー名とパスワードを含める必要があります。
{ "httpProxyHost": "forwardproxy.domain.com", "httpsProxyHost": "forwardproxy.domain.com", "httpProxyPort": 8888, "httpsProxyPort": 8888, "httpProxyUser": "username", "httpsProxyUser": "username", "httpProxyPassword": "password", "httpsProxyPassword": "password", "nonProxyHosts": "portal.domain.com" }
- フォワード プロキシ サーバーが HTTPS を排他的に使用するよう構成されている場合であっても、上記の各プロパティは必ず含める必要があります。
nonProxyHosts プロパティには、ポータルのインストールされているコンピューター名を常に含む必要があります。ArcGIS Server をポータルとフェデレートする場合には、このプロパティには ArcGIS Server のインストールされているコンピューターの名前も含む必要があります。コンピューターとドメイン アイテムは、次のようにパイプ文字 (|) で区切られます。
"nonProxyHosts": "portal.domain.com|server.domain.com|*.domain.com"
- [Update Properties] をクリックします。
ArcGIS Server は、2 つのソースによるフォワード プロキシ構成設定を使用します。それは、ArcGIS Server のインストールされているオペレーティング システムと、ArcGIS Server Administrator Directory 内のシステム プロパティです。フォワード プロキシは両方の場所で構成することをお勧めします。
Linux でフォワード プロキシ サーバーを構成する標準的な方法は、http_proxy 環境変数の使用です。この環境変数を構成して、フォワード プロキシ サーバーを定義するには、/arcgis/server/usr ディレクトリにある init_user_param.sh スクリプトを編集します。これを行うには、次の手順に従います。
- テキスト エディターで init_user_param.sh スクリプトを開きます。
- 「export http_proxy=http://<user name>:<password>@<proxy-server-name.domain.org>:<port number>/」という行を見つけ、ユーザーのフォワード プロキシ サーバーの名前とポート番号に合わせてサンプル URL を変更します。フォワード プロキシ サーバーへの接続にユーザー名とパスワードが必要な場合は、URL 内にユーザー名とパスワードを指定します。ユーザー名とパスワードが不要な場合は、URL から <user name>:<password>@ を削除します。
- 必要に応じて、no_proxy 環境変数を使用して、デフォルト プロキシが必要ないドメインのリストを指定できます。この変数を使用するには、export no_proxy="<local>;*.<domain>.<com>" の行のコメントを解除し、エントリをこのリストに追加します。ドメインを指定するときは、ワイルドカード文字 * と <local> を使用できます。各エントリは、セミコロン (;) で区切る必要があります。
- init_user_param.sh スクリプトを保存し、閉じます。
- 設定を有効にするには、ArcGIS Server を再起動する必要があります。これを行うには、配置内の各 GIS サーバー上で startserver.sh スクリプトを実行する必要があります。
これで、ArcGIS Server に init_user_param.sh スクリプトで指定されたフォワード プロキシ サーバーが設定されます。
フォワード プロキシ サーバーは、暗号化されたトラフィックをトンネルするか、トラフィックを復号してから再暗号化することができます。ArcGIS Server がフォワード プロキシを正しく操作しているように見えない場合、プロキシ サーバーがトラフィックを復号して再暗号化している可能性があります。トラフィックを復号するプロキシ サーバーは、ルート証明機関を使用して証明書を提供します。ArcGIS Server はデフォルトでルート証明機関を信頼しないため、証明書をオペレーティング システムの証明書ストアにインポートする必要があります。この操作を行うには、次の手順に従います。
- ルート証明書を、ArcGIS Server が適切なファイル読み取り権限を持つ場所に配置します。
- ArcGIS Server をホストしているコンピューターで init_user_param.sh ディレクトリを参照して、<ArcGIS Server installation directory>/arcgis/server/usr スクリプトをテキスト エディターで開きます。
- 「export CA_ROOT_CERTIFICATE_DIR=<Location_to_CA_Root_Certificate>」という行を検索し、すべての CA ルート証明書が保存されているシステム上の場所を指定します。指定したディレクトリは、ArcGIS Server をインストールするときに使用されたアカウントからアクセスできる必要があります。シャープ記号 (#) を削除して、行をコメント解除する必要があります。
- init_user_param.sh スクリプトを保存し、閉じます。
- ArcGIS Server を再起動します。これを行うには、サイト内の各コンピューター上で startserver.sh スクリプトを実行します。
- ArcGIS Server サイト内にあるコンピューターごとに、この手順を繰り返します。