Autodesk MapGuide Enterprise a tvorba bezpečného webu – 2. díl

Windows 2003 a Red Hat Enterprise Linux 4 používající Apache

Tato konfigurace je určena pro operační systémyWindows 2003 a Red Hat® Enterprise Linux® 4, které využívají webový server Apache a technologii PHP.

Během následujícího textu bude použito označení pro webový adresář , který koresponduje s adresářem obvykle umístěným zde: C:Program FilesAutodeskMapGuideEnterprise2008WebServerExtensions v případě Windows a /opt/Autodesk/mapguideenterprise2008/webserverextensions v případě Linuxu.

Instalace

Proveďte standardní instalaci serveru. Poté nainstalujte webová rozšíření a pouze se během instalace ujistěte, že instalujete kompletní balík.

Instalace webového serveru Apache 2 včetně mod_ssl

Instalovaný webový server Apache neobsahuje mod_ssl, který je třeba pro zabezpečenou komunikaci přes https.

Proto přepište adresáře C:Program FilesAutodeskMapGuideEnterprise2008WebServerExtensionsApache2 a

/opt/Autodesk/mapguideenterprise2008/webserverextensions/apache2 verzí Apache 2.0, která již mod_ssl obsahuje. Ujistěte se ovšem, že nepřepisujete soubor conf/httpd.conf f, protože ten obsahuje konfigurační informace pro Autodesk MapGuide Enterprise.

Na závěr tuto konfiguraci otestuje, abyste měli jistotu, že vše před dalším nastavením funguje.

Vytvoření adresáře wwwsecure

Zkopírujte adresář www a nazvěte jej wwwsecure. Adresář wwwsecure obsahuje konfigurační informace a soubory vyžadované pro administraci a autorizaci webu.

Omezení adresáře www pouze pro běh aplikací

Následující kroky omezí adresář www (tj. http:///mapguide2009) pro pouhé spouštění aplikací, nikoliv pro administraci a autorizaci. Pro znemožnění autorizace otevřete soubor v umístění wwwwebconfig.ini a v něm změňte záznam DisableAuthoring z hodnoty 0 na 1. Když tento zásah provedete, řádek by měl vypadat následovně: DisableAuthoring = 1

Soubor poté uložte. V případě, že byl tento proces úspěšně proveden, aplikace Autodesk MapGuide® Studio by již neměla být schopna se k webu pomocí protokolu HTTP připojit.
Pro zákaz administrace webu stačí smazat adresář určený pro administraci – wwwmapadmin.

Nastavení zabezpečeného připojení pro administraci a autorizaci

Dále je popsán postup potřebný pro nastavení bezpečného připojení pro administraci a autorizaci. V závěru tohoto nastavení byste měli být schopni k webu přistupovat z URL v tomto tvaru: https:///mapguide2009. Číslovka na konci URL je určena verzí programu, proto se může lišit v závislosti na verzi programu, kterou instalujete. Zachování pojmenování virtuálního adresáře mapguide2009 (nebo třeba mapguide2009) je vhodné, protože poté není třeba manuálně modifikovat všechny skripty a směrovat je na jiný virtuální adresář.

Vytvoření souboru ssl.conf

Jestliže v adresáři Apache2/confneexistuje soubor ssl.conf , použijte dokumentaci k webovému serveru Apache pro vytvoření a nastavení standardního souboru ssl.conf.

Nastavení bezpečného CGI Agenta

Obvyklým krokem by nyní bylo nastavení mapování fcgi na FastCGI agenta. Vzhledem k tomu, že ale pro FastCGI v registrech existuje pouze jedno globální nastavení, všechna spojení používají pouze jediné nastavení uloženév souboru webconfig.ini. Tento přístup proto není vhodný do doby, než bude možné používat dva rozdílné soubory webconfig.ini – jeden s povolenou autorizací a administrací a druhý nikoliv.

Aby bylo možné tento problém obejít, použijeme pro website standardní CGI.

V sekci VirtualHost v rámci souboru ssl.conf přidejte několik odstavců kódu pro konfiguraci cgi agenta pro webové použití. Následující cesty jsou určeny pro prostředí Windows, pro použití v Linuxu je třeba odpovídajícím způsobem nahradit část cest a případně i cestu k aplikaci MapGuideEnterprise2009:

ScriptAlias /mapguide2009/mapagent/mapagent.fcgi „C:/Program

Files/Autodesk/MapGuideEnterprise2008/WebServerExtensions/www/mapa

gent/mapagent.exe“

AliasMatch ^/mapguide2009/mapviewerajax/([^?])(.*)$ „C:/Program

Files/Autodesk/MapGuideEnterprise2008/WebServerExtensions/www/mapv

iewerphp/$1$2″

AliasMatch ^/mapguide2009/mapviewerajax/(.*)$ „C:/Program

Files/Autodesk/MapGuideEnterprise2008/WebServerExtensions/www/mapv

iewerphp/ajaxviewer.php$1″

AliasMatch ^/mapguide2009/mapviewerdwf/([^?])(.*)$ „C:/Program

Files/Autodesk/MapGuideEnterprise2008/WebServerExtensions/www/mapv

iewerphp/$1$2″

AliasMatch ^/mapguide2009/mapviewerdwf/(.*)$ „C:/Program

Files/Autodesk/MapGuideEnterprise2008/WebServerExtensions/www/mapv

iewerphp/dwfviewer.php$1″

Alias /mapguide2009 „C:/Program Files/Autodesk/MapGuideEnterprise2008/WebServerExtensions/www/“

Files/Autodesk/MapGuideEnterprise2008/WebServerExtensions/www/“>

AllowOverride All

Options All

Order allow,deny

Allow from all

# Restrict access via HTTP to webconfig.ini

Order allow,deny

Deny from all

# Regular CGI MapAgent

AddHandler cgi-script exe

RewriteEngine on

RewriteRule .* – [E=REMOTE_USER:%,L]

Test zabezpečeného webu

Po spuštění webového serveru Apache byste měli být schopni se k webu připojit pomocí URL:

http:///mapguide2009.

Konfigurace, která nevyžaduje HTTPS

V rámci této konfigurace není třeba zabezpečení pomocí HTTPS, protože nástroje pro administraci a autorizaci jsou umístěny na počítači až za firewallem (viz grafika níže).

Všimněte si, že server, na kterém běží veřejné webové aplikace je z internetu přímo přístupný, a proto je nutné striktně omezit práva pro autorizaci a administraci jak bylo popsáno dříve.