Detta inlägg kommer jag att förklara min erfarenhet av att ställa in DMZ för EBS R12. Vi kommer först att gå igenom några av de viktiga termerna
DMZ
DMZ, som står för Demilitarized Zone, består av de delar av ett företagsnätverk som finns mellan företagets intranät och Internet. DMZ kan vara ett enkelt LAN med ett segment eller så kan det delas upp i flera regioner. Den största fördelen med en korrekt konfigurerad
DMZ är bättre säkerhet:i händelse av ett säkerhetsintrång är endast området inom DMZ utsatt för potentiell skada, medan företagets intranät förblir något skyddat
Load Balancer
Lastbalanserare fördelar en applikations belastning över många identiskt konfigurerade servrar. Denna distribution säkerställer konsekvent applikationstillgänglighet även när en eller flera servrar misslyckas.
Omvänd proxy
En omvänd proxyserver är en mellanserver som sitter mellan en klient och den faktiska webbservern och gör förfrågningar till webbservern för klientens räkning. Du kan hitta mer information om omvända proxyservrar
Interna applikationer mellannivå
Mellanskiktet för interna applikationer är servern som är konfigurerad för att interna användare ska få åtkomst till Oracle E-Business Suite. Den kör följande stora applikationstjänster:
Webb- och formulärtjänster
Administration och Concurrent Manager Services
Rapporter och Discoverer-tjänster
Webbnivå för externa applikationer
Webbnivån för externa applikationer är servern som är konfigurerad för externa användare för åtkomst till Oracle EBusiness Suite. Den kör följande applikationstjänst:
Webbserver
Så skapar du DMZ för EBS R12
(1) Skapa den externa webbnivån med omvänd proxy
Fall A:En ny server med omvänd proxy
Klona applikationsnivån till den nya servern
- Kör adpreclone och säkerhetskopiera den interna webbnivån
- Återställ på extern webbnivå
- Kör adcfgclone appsTier och konfigurera den externa noden
När detta är klart, Ändra följande i kontextfilen
<TIER_DB oa_var="s_isDB">NO</TIER_DB>
<TIER_ADMIN oa_var="s_isAdmin">NO</TIER_ADMIN>
<TIER_WEB oa_var="s_isWeb">YES</TIER_WEB>
<TIER_FORMS oa_var="s_isForms">NO</TIER_FORMS>
<TIER_NODE oa_var="s_isConc">NO</TIER_NODE>
<TIER_FORMSDEV oa_var="s_isFormsDev">NO</TIER_FORMSDEV>
<TIER_NODEDEV oa_var="s_isConcDev">NO</TIER_NODEDEV>
<TIER_WEBDEV oa_var="s_isWebDev">YES</TIER_WEBDEV>
Ändra följande för omvänd proxy
Fall B:Använder den interna servern som extern nivå (intern server har extra NIC-kort) med omvänd proxy
Denna konfiguration kräver att din interna programmellannivåserver har minst två nätverksgränssnitt. Ett nätverksgränssnitt krävs för den externa ingångspunkten och ett annat för den interna ingångspunkten. Dessa nätverksgränssnitt måste konfigureras för att lösas till två olika värdnamn i DNS.
Till exempel:
/etc/hosts of Internal Server
192.30.21.1 int.tech.com int
192.30.21.2 ext.tech.com ext
Skapa den nya kontextfilen med kommandot nedan
$ perl $COMMON_TOP/clone/bin/adclonectx.pl \
contextfile=$CONTEXT_FILE \
outfile= <name of the output file including location>
Viktig parameter som ska matas
| Target System Hostname (virtuellt eller normalt) [int]: | ext |
| Vill du att indata ska valideras (y/n) [n] ?: | Y |
| Vill du bevara portvärdena från källsystemet på målsystemet (y/n) [y] ? | Y |
Ändringar krävs när kontextfilen har skapats
| AutoConfig-variabel | Obligatoriskt värde |
| s_isWeb | JA |
| s_isWebDev | JA |
| s_http_listen_parameter | Ny port för http-lyssnaren |
| s_https_listen_parameter | Ny port för https-lyssnaren |
| s_webentryurlprotocol | Ställ in värdet på webbinmatningsprotokollet |
| s_webentryhost | Ställ in värdet på webentry-värden |
| s_webentrydomin | Ställ in värdet på webentry-domänen |
| s_active_webport | Ställ in värdet på den aktiva porten |
| s_login_page | Ställ in värdet så att det pekar på den nya webbingångskonfigurationen |
| s_server_ip_address | Ställ in värdet på denna variabel till IP-adressen för det externa nätverksgränssnittet |
(2) Stoppa Concurrent Manager och alla applikationsnoder
(3) Instantiera de nya konfigurationsfilerna och profilalternativen baserat på den nya kontextfilen
DMZ-konfigurationen kräver användning av den nya ServResp-profiloptionshierarkin för oracle-profilalternativen. Om du inte redan har gjort det, ändra hierarkitypen för profilalternativ till ServResp genom att köra SQL-skriptet txkChangeProfH.sql som visas nedan:
$ sqlplus apps/apps @$FND_TOP/patch/115/sql/txkChangeProfH.sql SERVRESP
SQL*Plus: Release 10.1.0.5.0 - Production on Thu Sep 5 01:46:59 2016
Copyright (c) 1982, 2005, Oracle. All rights reserved.
Connected to:
Oracle Database 11g Enterprise Edition Release 11.2.0.3.0 - 64bit Production
With the Partitioning, Automatic Storage Management, OLAP, Data Mining and Real Application Testing options
Changing the hierarchy type for the Profile APPS_WEB_AGENT
Profile APPS_WEB_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile APPS_SERVLET_AGENT
Profile APPS_SERVLET_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile APPS_JSP_AGENT
Profile APPS_JSP_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile APPS_FRAMEWORK_AGENT
Profile APPS_FRAMEWORK_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile ICX_FORMS_LAUNCHER
Profile ICX_FORMS_LAUNCHER hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile ICX_DISCOVERER_LAUNCHER
Profile ICX_DISCOVERER_LAUNCHER hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile ICX_DISCOVERER_VIEWER_LAUNCHER
Profile ICX_DISCOVERER_VIEWER_LAUNCHER hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile HELP_WEB_AGENT
Profile HELP_WEB_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile APPS_PORTAL
Profile APPS_PORTAL hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile CZ_UIMGR_URL
Profile CZ_UIMGR_URL hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile QP_PRICING_ENGINE_URL
Profile QP_PRICING_ENGINE_URL hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile TCF:HOST
Profile TCF:HOST hierarchy type has been successfully changed to SERVRESP
Disconnected from Oracle Database 11g Enterprise Edition Release 11.2.0.3.0 - 64bit Production
With the Partitioning, Automatic Storage Management, OLAP, Data Mining
and Real Application Testing options
(4) Kör Autoconfig alla noder inklusive externa noder
(5) Kör Autoconfig på de primära interna noderna
(6) Starta det interna systemet
(7) Uppdatera nodförtroendenivå
Ställ in NODE_TRUST_LEVEL-profilalternativvärdet på den externa webbnivån i din Oracle E-business Suite Release 12-miljö till Extern..
Utför följande steg för att ändra värdet på profilalternativvärdet för Node Trust Level till External för en viss nod:
- Logga in på Oracle E-Business Suite som sysadmin-användare med den interna webbadressen
- Välj systemadministratörens ansvar
- Välj Profil/System
- Välj den server som du vill ange som extern webbnivå i fönstret "Hitta systemprofilalternativvärden"
- Fråga för%NODE%TRUST%. Du kommer att se ett profilalternativ som heter "Node Trust Level ’. Värdet för detta profilalternativ på webbplatsen nivån kommer att vara Normal . Lämna den här inställningen oförändrad.
Ställ in värdet för det här profilalternativet till Extern på servern nivå. Värdet på webbplatsnivån bör förbli inställt på Normal
(8) Uppdatera ansvarslista
Efter att ha uppdaterat profilvärdet på servernivå för Node Trust Level för de externa webbnivåerna till Extern , kan användare inte längre se något ansvar när de loggar in via den externa webbnivån. För att ett ansvar ska vara tillgängligt från den externa E-Business Suite-webbnivån ställer du in värdet på profilalternativet Responsibility Trust Level för det ansvaret till Extern på ansvarsnivå.
Logga in på Oracle E-Business Suite som sysadmin-användare med den interna URL:en
- Välj Systemadministratörsansvar
- Välj Profil/System
- Välj det ansvar som du vill göra tillgängligt för användare som loggar in via den externa webbnivån i fönstret 'Hitta systemprofilalternativvärden'.
- Fråga för%RESP%TRUST%. Du kommer att se ett profilalternativ som heter "Ansvarsförtroendenivå ’. Värdet för detta profilalternativ på webbplats nivån kommer att vara Normal . Lämna den här inställningen oförändrad.
- Ställ in värdet för det här profilalternativet för det valda ansvaret till Extern på ansvar nivå. Värdet på webbplatsnivå bör förbli Normalt .
Upprepa för alla ansvarsområden som du vill göra tillgängliga från den externa webbnivån.
(9) Starta den externa nivån och validera applikationen
adopmnctl.sh start
adoafmctl.sh start
adformsctl.sh start
adoacorectl.sh start
adapcctl.sh start