Перенаправляющий прокси-сервер представляет собой компьютер, подключенный к сети LAN, позволяющий устанавливать соединение с внешней сетью, не ставя под угрозу безопасность внутренней сети. Использование перенаправляющего прокси-сервера обычно в пределах пограничной сети (т.н. демилитаризованной зоны [DMZ] или промежуточной подсети) для защиты идентификации внутренних компьютеров. Хотя большинству сервисов ArcGIS Server не требуются подключения к внешним сетям, сервису PrintingTools или пользовательским сервисам геообработки может потребоваться доступ к внешним веб-сайтам. Если организация уже использует перенаправляющий прокси для внешних подключений, нужно настроить ArcGIS Server на работу с ним.
- Откройте веб-браузер и войдите в ArcGIS Server Administrator Directory. URL-адрес имеет формат https://machine.domain.com:6443/arcgis/admin.
- Щелкните Система > Свойства > Обновить.
- В диалоговом окне Обновить свойства сервера введите следующий JSON код, заменив информацию о перенаправляющем прокси-сервере:
{ "httpProxyHost": "forwardproxy.domain.com", "httpsProxyHost": "forwardproxy.domain.com", "httpProxyPort": 80, "httpsProxyPort": 443, "nonProxyHosts": "portal.domain.com" }
Если прокси-серверу требуется аутентификация, в строку JSON необходимо включить имя пользователя и пароль:
{ "httpProxyHost": "forwardproxy.domain.com", "httpsProxyHost": "forwardproxy.domain.com", "httpProxyPort": 80, "httpsProxyPort": 443, "httpProxyUser": "username", "httpsProxyUser": "username", "httpProxyPassword": "password", "httpsProxyPassword": "password", "nonProxyHosts": "portal.domain.com" }
Если перенаправляющий прокси-сервер настроен на работу только по HTTPS, удалите из JSON все свойства http.
Свойство nonProxyHosts всегда должно содержать имя компьютера, на котором установлен портал. Если вы хотите интегрировать ArcGIS Server со своим порталом, это свойство должно также включать имя машины, на которой установлен ArcGIS Server. Компьютеры и домены разделяются вертикальной чертой (|), например:
"nonProxyHosts": "portal.domain.com|server.domain.com|*.domain.com"
- Щелкните Обновить свойства.
ArcGIS Server использует настройки конфигурации перенаправляющего прокси из двух источников: операционной системы, в которой установлен ArcGIS Server, и свойств системы из ArcGIS Server Administrator Directory. Рекомендуется настраивать перенаправляющий прокси-сервер в обоих местоположениях.
В Linux стандартный способ настройки обратного прокси-сервера – использование переменной среды http_proxy. Для настройки этой переменной среды и задания перенаправляющего прокси-сервера отредактируйте скрипт init_user_param.sh в папке /arcgis/server/usr. Чтобы сделать это, выполните следующие действия:
- Откройте скрипт init_user_param.sh в текстовом редакторе.
- Найдите строку: export http_proxy=http://<имя_пользователя>:<пароль>@<имя-прокси-сервера.domain.org>:<номер_порта>/ и измените образец URL так, чтобы он соответствовал имени и номеру порта перенаправляющего прокси-сервера. Если для подключения к перенаправляющему прокси-серверу требуется имя пользователя и пароль, укажите их в URL. Если имя пользователя и пароль не требуются, удалите текст <имя_пользователя>:<пароль>@ из URL.
- Дополнительно вы можете использовать переменную среды no_proxy для указания списка доменов, для которых не требуется прокси по умолчанию. Для использования этой переменной раскомментируйте строку export no_proxy="<local>;*.<domain>.<com>"и добавьте записи в список. При указании домена можно использовать символ подстановки * и <local>. Записи должны разделяться точками с запятой (;).
- Сохраните и закройте скрипт init_user_param.sh.
- Чтобы настройки вступили в силу, необходимо перезапустить ArcGIS Server. Вы можете сделать это, выполнив скрипт startserver.sh для каждого ГИС-сервера вашей системы.
ArcGIS Server теперь содержит настройки перенаправляющего прокси-сервера, заданные в скрипте init_user_param.sh.
Перенаправляющий прокси-сервер может либо передавать зашифрованный трафик, либо расшифровывать, а затем заново шифровать трафик. Если вы считаете, что ArcGIS Server работает некорректно с данным перенаправляющим прокси, возможно, что данный прокси-сервер расшифровывает трафик и снова его шифрует. Прокси-сервер, который расшифровывает трафик, использует корневой центр сертификации для предоставления сертификатов. По умолчанию ArcGIS Server не доверяет корневому центру сертификации, поэтому такой сертификат необходимо импортировать в операционную систему хранилища сертификатов. Для этого выполните перечисленные ниже действия.
- Разместите корневой сертификат в папку, к которой у ArcGIS Server есть права на чтение.
- На компьютере с ArcGIS Server откройте в текстовом редакторе скрипт init_user_param.sh, перейдя в директорию <ArcGIS Server installation directory>/arcgis/server/usr.
- Найдите строку export CA_ROOT_CERTIFICATE_DIR=<Location_to_CA_Root_Certificate> и укажите местоположение, где хранятся все корневые сертификаты центра сертификации. Помните, что указанная директория должна быть доступна для той учетной записи, которая использовалась для установки ArcGIS Server. Вам потребуется убрать комментарии в этих строках, удалив знаки решетки (#).
- Сохраните и закройте скрипт init_user_param.sh.
- Перезапустите ArcGIS Server. Вы можете сделать это, выполнив скрипт startserver.sh для каждого компьютера вашего сайта.
- Повторите эти действия для всех компьютеров сайта ArcGIS Server.