Autodesk MapGuide Enterprise a tvorba bezpečného webu – 1. díl

V případě, že ovšem není nutné přistupovat k administračnímu a autorizačnímu rozhraní z veřejné sítě, lze využít alternativní instalace uvedené v závěru tohoto seriálu.

Veškerý popis nastavení je zmíněn pro anglickou mutaci serverových Windows, postupy v české mutaci budou proto velmi podobné, ne-li analogické.

Server Microsoft Windows 2003 a IIS

Tato konfigurace je určena pro operační systém Microsoft® Windows® 2003, který používá IIS (Internet Information Services – internetová informační služba) 5.2 a PHP. Ačkoliv je zde zmíněn právě tento operační systém, budou postupy pro podobné verze Windows, které podporují IIS podobné.

Během následujícího textu bude použito označení pro webový adresář , který koresponduje s adresářem obvykle umístěným zde: C:Program FilesAutodeskMapGuideEnterprise2008WebServerExtensions.

Instalace

Proveďte standardní instalaci serveru. Během instalace webových rozšíření (web server extensions) se ujistěte, že jsou vybrány volby IIS a PHP. Jestliže necháte zatrženou volbu instalace .NET, bude následující postup mírně odlišný. Více informací o tomto typu instalace naleznete v dokumentu “Installation and Configuring on Windows”, který je umístěn na jednom z instalačních médií.

Přednastavená instalace vytvoří v rámci IIS virtuální adresář pojmenovaný mapguide2009 umístěný pod výchozí webový server.

Vytvoření adresáře wwwsecure

Zkopírujte adresář www a nazvěte jej wwwsecure. Adresář wwwsecure obsahuje konfigurační informace a soubory vyžadované pro administraci a autorizaci webu.

Omezení adresáře www pouze pro běh aplikací

Následující kroky omezí adresář www (tj. http:///mapguide2009) pro pouhé spouštění aplikací, nikoliv pro administraci a autorizaci. Pro znemožnění autorizace otevřete soubor v umístění wwwwebconfig.ini a v něm změňte záznam DisableAuthoring z hodnoty 0 na 1. Když tento zásah provedete, řádek by měl vypadat následovně: DisableAuthoring = 1

Soubor poté uložte. V případě, že byl tento proces úspěšně proveden, aplikace Autodesk MapGuide® Studio by již neměla být schopna se k webu pomocí protokolu HTTP připojit.
Pro zákaz administrace webu stačí smazat adresář určený pro administraci – wwwmapadmin.

Nastavení zabezpečeného připojení pro administraci a autorizaci

Dále je popsán postup potřebný pro nastavení bezpečného připojení pro administraci a autorizaci. V závěru tohoto nastavení byste měli být schopni k webu přistupovat z URL v tomto tvaru: https:///mapguide2009. Číslovka na konci URL je určena verzí programu, proto se může lišit v závislosti na verzi programu, kterou instalujete. Zachování pojmenování virtuálního adresáře mapguide2009 (nebo třeba mapguide2009) je vhodné, protože poté není třeba manuálně modifikovat všechny skripty a směrovat je na jiný virtuální adresář.

Vytvoření nové Web Site

Na začátku je třeba vytvořit novou Web Site pomocí manažera Internetové informační služby.

Po zvolení New – Web Site je zobrazen dialog, ve kterém jste dotázáni na popis nové website. Vyberte jakékoliv vhodné a popisné jméno, například Secure Site (bezpečný web) a klepněte na Next. V dialogu IP Address and Port Settings změňte TCP port na nějaký nepoužívaný (např. 8008) a klepněte na Next. Nyní definujte cestu k adresáři Web Site Home. Základní cesta c:inetpubwwwroot by měla stačit. Dvakrát zvolte Next, projděte dialogové okno Web Site Access Permissions a pro vytvoření nové website na závěr klepněte na Finish.

(Následující instrukce pro nastavení rozšíření web serveru lze také nalézt v dokumentu Installing and Configuring on Windows.)

Vytvoření virtuálního adresáře

Dalším krokem je začlenění adresáře wwwsecure, který jsme již dříve vytvořili. Jak ukazuje obrázek níže – stačí klepnout pravým tlačítkem na naši Secure Site a vybrat New>Virtual Directory.

Nastavte alias name (označení virtuálního adresáře) na mapguide2009, jako obsahový (zdrojový) adresář vyberte wwwsecure a přístupová práva k adresáři ponechte tak, jak jsou.

Poté klepněte pravým tlačítkem myši na vytvořený virtuální adresář a vyberte Properties. Zvolte tlačítko Create a nastavte vlastnosti podle grafiky uvedené níže:

Nastavení CGI

Obvyklým krokem by nyní bylo nastavení mapování fcgi na FastCGI agenta. Vzhledem k tomu, že ale pro FastCGI v registrech existuje pouze jedno globální nastavení, všechna spojení používají pouze jediné nastavení uloženév souboru webconfig.ini. Tento přístup proto není vhodný do doby, než bude možné používat dva rozdílné soubory webconfig.ini – jeden s povolenou autorizací a administrací a druhý nikoliv.

Aby bylo možné tento problém obejít, použijeme pro website standardní CGI. Sice to znamená, že dojde ke zpomalení zpracování, ale dokud autorizace a administrace neprobíhají příliš často a intenzivně, neznamená to žádný zásadní nedostatek. Pro nastavení správného mapování klepněte na tlačítko Configuration a pro php mapování přidejte program php-cgi.exe program (v dialogu pro procházení změňte filtr z *.dll na *.exe) jak je uvedeno na obráku níže:

Všimněte si, že je pro spustitelný textový řetězec nutné doplnit uvozovky. Stejně tak by řetězec neměl obsahovat mezery, proto je vhodné např. “Program Files” nahradit za “Progra~1”.

Vytvoření virtuálního adresáře mapguide2009

Dále otevřete virtuální adresář mapguide2009 a vyberte na složce mapagent volbu Properties. Vytvořte aplikaci podle parametrů, které jsou zobrazeny v grafice níže:

Klepněte na konfigurační tlačítko a přidejte mapování fcgi.

Ujistěte se, že spustitelným souborem je MapAgent.exe a že celý řetězec je uveden v uvozovkách. Jestliže navíc řetězec obsahuje mezery, zbavte se jich stejně jak je uvedeno v předchozím textu u nastavení standardního CGI.

Povolení Web Service Extensions

Poté otevřete složku Web Service Extensions, jak ukazuje grafika níže:

Přidejte nové rozšíření pojmenované Secure MapGuide a přidejte referenci k souboru wwwsecuremapagentmapagent.exe. Jako status pro Secure MapGuide extension zvolte Allow (povoleno).

Nastavení metody autentifikace

U virtuálního adresáře mapguide2008 vyberte volbu Properties a klepněte na záložku Directory Security. V poli Authentication and access control zvolte Edit a zkontrolujte, zda je zobrazeno totéž, co vidíte níže:

Nastavení Custom Errors (uživatelských chyb)

V tomtéž okně vlastností klepněte na záložku Custom Errors, vyberte všechny HTTP chyby 401 a klepněte na Set to Default.

Nastavení virtuálních adresářů

Aby bylo možné využít prohlížečů pro náhledy v aplikaci MapGuide Studio, je nutné odpovídajícím způsobem nastavit virtuální adresáře. Jako podadresář adresáře mapguide2008 vytvořte virtuální adresář nazvaný mapviewerajax a nasměrujte ho na: wwwsecuremapviewerphp. Poté otevřete vlastnosti tohoto adresáře, klepněte nazáložku Documents a přidejte soubor ajaxviewer.php do seznamu obvyklých dokumentů. Klepněte na záložku Virtual Directory a ujistěte se, že u volby Execute Permissions – je nastaveno Scripts and Executables – Skripty a spustitelné soubory (jak je zobrazeno níže).

Předchozích pár kroků ještě jednou zopakujte a vytvořte virtuální adresář pro Autodesk® DWF™ Viewer s názvem mapviewerdwf namísto mapviewerajax a nasměrováním souboru dwfviewer.php namísto ajaxviewer.php.

Zabezpečení webu

Vyzkoušejte, zda vytvořený web opravdu funguje. Prostřednictvím Studia se připojte k adrese http://:8008/mapguide2008.

Aby bylo možné web zabezpečit, je třeba zajistit serverový certifikát pro bezpečnou komunikaci. Existuje proto spoustu podkladů a informačních zdrojů , které popisují, jak bezpečný web vytvořit (například něco od Microsoftu: http://support.microsoft.com/kb/299875). Jakmile je již certifikát vytvořen a nainstalován, otevřete vlastnosti virtuálního adresáře mapguide2008. Vyberte záložku Directory Security (zabezpečení adresáře) a v sekci Secure communications (bezpečná komunikace) klepněte na Edit. Zde vyberte volbu Select Require Secure Channel (SSL) a také Require 128-Bit Encryption.

V případě, že se objeví dialogové okno nebo chybová stránka ohledně certifikátu, když se připojujete k zabezpečené stránce pomocí prohlížeče Microsoft® Internet Explorer® , nebude možné se k webu připojit ani z prostředí Studia. Pro zabezpečenou komunikaci třeba je používat pouze platné certifikáty, ověřené certifikační autoritou.