Перенаправляющий прокси-сервер представляет собой компьютер, подключенный к сети LAN, позволяющий устанавливать соединение с внешней сетью, не ставя под угрозу безопасность внутренней сети. Использование перенаправляющего прокси-сервера обычно в пределах пограничной сети (т.н. демилитаризованной зоны [DMZ] или промежуточной подсети) для защиты идентификации внутренних компьютеров. Хотя большинству сервисов ArcGIS Server не требуются подключения к внешним сетям, сервису PrintingTools или пользовательским сервисам геообработки может потребоваться доступ к внешним веб-сайтам. Если организация уже использует перенаправляющий прокси для внешних подключений, нужно настроить ArcGIS Server на работу с ним.
- Откройте веб-браузер и войдите в ArcGIS Server Administrator Directory. URL-адрес имеет формат https://machine.domain.com:6443/arcgis/admin.
- Щелкните Система > Свойства > Обновить.
- В диалоговом окне Обновить свойства сервера введите следующий JSON код, заменив информацию о перенаправляющем прокси-сервере:
{ "httpProxyHost": "forwardproxy.domain.com", "httpsProxyHost": "forwardproxy.domain.com", "httpProxyPort": 8888, "httpsProxyPort": 8888, "nonProxyHosts": "portal.domain.com" }
Если прокси-серверу требуется аутентификация, в строку JSON необходимо включить имя пользователя и пароль:
{ "httpProxyHost": "forwardproxy.domain.com", "httpsProxyHost": "forwardproxy.domain.com", "httpProxyPort": 8888, "httpsProxyPort": 8888, "httpProxyUser": "username", "httpsProxyUser": "username", "httpProxyPassword": "password", "httpsProxyPassword": "password", "nonProxyHosts": "portal.domain.com" }
- Каждое из вышеперечисленных свойств всегда должно быть включено, даже если ваш перенаправляющий прокси-сервер настроен исключительно на использование HTTPS.
Свойство nonProxyHosts всегда должно содержать имя компьютера, на котором установлен портал. Если вы хотите интегрировать ArcGIS Server с вашим порталом, это свойство также должно содержать имя компьютера, на котором установлен ArcGIS Server. Компьютеры и домены разделяются вертикальной чертой (|), например:
"nonProxyHosts": "portal.domain.com|server.domain.com|*.domain.com"
- Щелкните Обновить свойства.
ArcGIS Server использует параметры конфигурации перенаправляющего прокси-сервера из двух источников: операционной системы, в которой установлен ArcGIS Server, и системных свойств в ArcGIS Server Administrator Directory. Рекомендуется настраивать перенаправляющий прокси-сервер в обоих местоположениях.
В Linux стандартный способ настройки обратного прокси-сервера – использование переменной среды http_proxy. Для настройки этой переменной среды и задания перенаправляющего прокси-сервера отредактируйте скрипт init_user_param.sh в папке /arcgis/server/usr. Чтобы сделать это, выполните следующие действия:
- Откройте скрипт init_user_param.sh в текстовом редакторе.
- Найдите строку: export http_proxy=http://<имя_пользователя>:<пароль>@<имя-прокси-сервера.domain.org>:<номер_порта>/ и измените образец URL так, чтобы он соответствовал имени и номеру порта перенаправляющего прокси-сервера. Если для подключения к перенаправляющему прокси-серверу требуется имя пользователя и пароль, укажите их в URL. Если имя пользователя и пароль не требуются, удалите текст <имя_пользователя>:<пароль>@ из URL.
- Дополнительно вы можете использовать переменную среды no_proxy для указания списка доменов, для которых не требуется прокси по умолчанию. Для использования этой переменной раскомментируйте строку export no_proxy="<local>;*.<domain>.<com>"и добавьте записи в список. При указании домена можно использовать символ подстановки * и <local>. Записи должны разделяться точками с запятой (;).
- Сохраните и закройте скрипт init_user_param.sh.
- Чтобы настройки вступили в силу, необходимо перезапустить ArcGIS Server. Вы можете сделать это, выполнив скрипт startserver.sh для каждого ГИС-сервера вашей системы.
ArcGIS Server теперь содержит настройки перенаправляющего прокси-сервера, заданные в скрипте init_user_param.sh.
Перенаправляющий прокси-сервер может либо передавать зашифрованный трафик, либо расшифровывать, а затем заново шифровать трафик. Если вы считаете, что ArcGIS Server работает некорректно с данным перенаправляющим прокси, возможно, что данный прокси-сервер расшифровывает трафик и снова его шифрует. Прокси-сервер, который расшифровывает трафик, использует корневой центр сертификации для предоставления сертификатов. По умолчанию ArcGIS Server не доверяет корневому центру сертификации, поэтому такой сертификат необходимо импортировать в операционную систему хранилища сертификатов. Для этого выполните перечисленные ниже действия.
- Разместите корневой сертификат в папку, к которой у ArcGIS Server есть права на чтение.
- На компьютере с ArcGIS Server откройте в текстовом редакторе скрипт init_user_param.sh, перейдя в директорию <ArcGIS Server installation directory>/arcgis/server/usr.
- Найдите строку export CA_ROOT_CERTIFICATE_DIR=<Location_to_CA_Root_Certificate> и укажите местоположение, где хранятся все корневые сертификаты центра сертификации. Помните, что указанная директория должна быть доступна для той учетной записи, которая использовалась для установки ArcGIS Server. Вам потребуется убрать комментарии в этих строках, удалив знаки решетки (#).
- Сохраните и закройте скрипт init_user_param.sh.
- Перезапустите ArcGIS Server. Вы можете сделать это, выполнив скрипт startserver.sh для каждого компьютера вашего сайта.
- Повторите эти действия для всех компьютеров сайта ArcGIS Server.