In diesem Beitrag werde ich meine Erfahrungen mit der Einrichtung von DMZ für EBS R12 erläutern. Wir werden zuerst einige der wichtigen Begriffe durchgehen
DMZ
Die DMZ, die für Demilitarized Zone steht, besteht aus den Teilen eines Unternehmensnetzwerks, die sich zwischen dem Intranet des Unternehmens und dem Internet befinden. Die DMZ kann ein einfaches LAN mit einem Segment oder in mehrere Regionen unterteilt sein. Der Hauptvorteil einer richtig konfigurierten
DMZ bietet mehr Sicherheit:Im Falle einer Sicherheitsverletzung ist nur der innerhalb der DMZ enthaltene Bereich potenziellen Schäden ausgesetzt, während das Unternehmensintranet einigermaßen geschützt bleibt
Load-Balancer
Load Balancer verteilen die Last einer Anwendung auf viele identisch konfigurierte Server. Diese Verteilung stellt eine konsistente Anwendungsverfügbarkeit sicher, selbst wenn ein oder mehrere Server ausfallen.
Reverse-Proxy
Ein Reverse-Proxy-Server ist ein zwischengeschalteter Server, der zwischen einem Client und dem eigentlichen Webserver sitzt und im Namen des Clients Anfragen an den Webserver stellt. Weitere Informationen zu Reverse-Proxy-Servern finden Sie
Interne Anwendungen Middle Tier
Die mittlere Ebene der internen Anwendungen ist der Server, der für interne Benutzer für den Zugriff auf Oracle E-Business Suite konfiguriert ist. Es führt die folgenden wichtigen Anwendungsdienste aus:
Web- und Formulardienste
Verwaltungs- und Concurrent Manager-Dienste
Berichte und Discoverer-Dienste
Webebene für externe Anwendungen
Die Webschicht für externe Anwendungen ist der Server, der für externe Benutzer für den Zugriff auf Oracle EBusiness Suite konfiguriert ist. Es führt den folgenden Anwendungsdienst aus:
Webserver
So erstellen Sie eine DMZ für EBS R12
(1) Erstellen Sie die externe Webschicht mit Reverse Proxy
Fall A:Ein neuer Server mit Reverse Proxy
Anwendungsebene auf den neuen Server klonen
- Führen Sie adpreclone aus und erstellen Sie eine Sicherung der internen Webebene
- Auf externer Webebene wiederherstellen
- Führen Sie adcfgclone appsTier aus und konfigurieren Sie den externen Knoten
Sobald dies abgeschlossen ist, ändern Sie Folgendes in der Kontextdatei
<TIER_DB oa_var="s_isDB">NO</TIER_DB>
<TIER_ADMIN oa_var="s_isAdmin">NO</TIER_ADMIN>
<TIER_WEB oa_var="s_isWeb">YES</TIER_WEB>
<TIER_FORMS oa_var="s_isForms">NO</TIER_FORMS>
<TIER_NODE oa_var="s_isConc">NO</TIER_NODE>
<TIER_FORMSDEV oa_var="s_isFormsDev">NO</TIER_FORMSDEV>
<TIER_NODEDEV oa_var="s_isConcDev">NO</TIER_NODEDEV>
<TIER_WEBDEV oa_var="s_isWebDev">YES</TIER_WEBDEV>
Ändern Sie Folgendes für den Reverse-Proxy
Fall B:Verwendung des internen Servers als externe Schicht (der interne Server hat eine zusätzliche NIC-Karte) mit Reverse-Proxy
Diese Konfiguration erfordert, dass Ihr interner Anwendungs-Middle-Tier-Server über mindestens zwei Netzwerkschnittstellen verfügt. Eine Netzwerkschnittstelle ist für den externen Einstiegspunkt und eine weitere für den internen Einstiegspunkt erforderlich. Diese Netzwerkschnittstellen müssen so konfiguriert werden, dass sie im DNS in zwei verschiedene Hostnamen aufgelöst werden.
Zum Beispiel:
/etc/hosts of Internal Server
192.30.21.1 int.tech.com int
192.30.21.2 ext.tech.com ext
Erstellen Sie die neue Kontextdatei mit dem folgenden Befehl
$ perl $COMMON_TOP/clone/bin/adclonectx.pl \
contextfile=$CONTEXT_FILE \
outfile= <name of the output file including location>
Wichtiger zu fütternder Parameter
Hostname des Zielsystems (virtuell oder normal) [int]: | ext |
Möchten Sie, dass die Eingaben validiert werden (j/n) [n] ?: | J |
Möchten Sie die Portwerte vom Quellsystem auf dem Zielsystem beibehalten (j/n) [j] ? | J |
Änderungen erforderlich, sobald die Kontextdatei erstellt wurde
AutoConfig-Variable | Erforderlicher Wert |
s_isWeb | JA |
s_isWebDev | JA |
s_http_listen_parameter | Neuer Port für den http-Listener |
s_https_listen_parameter | Neuer Port für den https-Listener |
s_webentryurlprotocol | Setzen Sie den Wert auf das Webeingabeprotokoll |
s_webentryhost | Setzen Sie den Wert auf den Webentry-Host |
s_webentrydomain | Setzen Sie den Wert auf die Webentry-Domain |
s_active_webport | Setzen Sie den Wert auf den aktiven Port |
s_login_page | Stellen Sie den Wert so ein, dass er auf die neue Webentry-Konfiguration zeigt |
s_server_ip_address | Setzen Sie den Wert dieser Variablen auf die IP-Adresse der nach außen gerichteten Netzwerkschnittstelle |
(2)Beenden Sie Concurrent Manager und alle Anwendungsknoten
(3) Instanziiere die neuen Konfigurationsdateien und Profiloptionen basierend auf der neuen Kontextdatei
Die DMZ-Konfiguration erfordert die Verwendung der neuen ServResp-Profiloptionshierarchie für die Oracle-Profiloptionen. Falls noch nicht geschehen, ändern Sie den Hierarchietyp der Profiloptionen in ServResp, indem Sie das SQL-Skript txkChangeProfH.sql wie unten gezeigt ausführen:
$ sqlplus apps/apps @$FND_TOP/patch/115/sql/txkChangeProfH.sql SERVRESP
SQL*Plus: Release 10.1.0.5.0 - Production on Thu Sep 5 01:46:59 2016
Copyright (c) 1982, 2005, Oracle. All rights reserved.
Connected to:
Oracle Database 11g Enterprise Edition Release 11.2.0.3.0 - 64bit Production
With the Partitioning, Automatic Storage Management, OLAP, Data Mining and Real Application Testing options
Changing the hierarchy type for the Profile APPS_WEB_AGENT
Profile APPS_WEB_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile APPS_SERVLET_AGENT
Profile APPS_SERVLET_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile APPS_JSP_AGENT
Profile APPS_JSP_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile APPS_FRAMEWORK_AGENT
Profile APPS_FRAMEWORK_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile ICX_FORMS_LAUNCHER
Profile ICX_FORMS_LAUNCHER hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile ICX_DISCOVERER_LAUNCHER
Profile ICX_DISCOVERER_LAUNCHER hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile ICX_DISCOVERER_VIEWER_LAUNCHER
Profile ICX_DISCOVERER_VIEWER_LAUNCHER hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile HELP_WEB_AGENT
Profile HELP_WEB_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile APPS_PORTAL
Profile APPS_PORTAL hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile CZ_UIMGR_URL
Profile CZ_UIMGR_URL hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile QP_PRICING_ENGINE_URL
Profile QP_PRICING_ENGINE_URL hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile TCF:HOST
Profile TCF:HOST hierarchy type has been successfully changed to SERVRESP
Disconnected from Oracle Database 11g Enterprise Edition Release 11.2.0.3.0 - 64bit Production
With the Partitioning, Automatic Storage Management, OLAP, Data Mining
and Real Application Testing options
(4) Führen Sie Autoconfig für alle Knoten aus, einschließlich externer Knoten
(5) Führen Sie Autoconfig auf den primären internen Knoten aus
(6) Starten Sie das interne System
(7) Knoten-Vertrauensstufe aktualisieren
Setzen Sie den Wert der Profiloption NODE_TRUST_LEVEL auf der externen Webschicht in Ihrer Oracle E-Business Suite Release 12-Umgebung auf Extern..
Führen Sie die folgenden Schritte aus, um den Wert der Profiloption Knoten-Vertrauensstufe für einen bestimmten Knoten in Extern zu ändern:
- Melden Sie sich über die interne URL als sysadmin-Benutzer bei Oracle E-Business Suite an
- Wählen Sie die Zuständigkeit des Systemadministrators aus
- Profil / System auswählen
- Wählen Sie im Fenster „Optionswerte für Systemprofil suchen“ den Server aus, den Sie als externe Webebene festlegen möchten
- Suche nach %NODE%TRUST%. Sie sehen eine Profiloption mit dem Namen "Knoten-Vertrauensstufe". ‘. Der Wert für diese Profiloption auf der Site Stufe ist Normal . Lassen Sie diese Einstellung unverändert.
Setzen Sie den Wert dieser Profiloption auf Extern auf dem Server Stufe. Der Wert auf Site-Ebene sollte auf Normal bleiben
(8) Verantwortlichkeitsliste aktualisieren
Nach dem Aktualisieren des Profilwerts auf Serverebene für die Knotenvertrauensstufe für die externe(n) Webschicht(en) auf Extern können Benutzer keine Verantwortlichkeiten mehr sehen, wenn sie sich über die externe Webebene anmelden. Damit eine Verantwortung auf der externen E-Business Suite-Webschicht verfügbar ist, setzen Sie den Profiloptionswert für die Verantwortungs-Vertrauensstufe für diese Verantwortung auf Extern auf der Verantwortungsebene.
Melden Sie sich über die interne URL
als sysadmin-Benutzer bei Oracle E-Business Suite an- Wählen Sie Systemadministratorverantwortung aus
- Profil / System auswählen
- Wählen Sie im Fenster „Optionswerte des Systemprofils suchen“ die Zuständigkeit aus, die Sie Benutzern zur Verfügung stellen möchten, die sich über die externe Webschicht anmelden
- Suche nach %RESP%TRUST%. Sie sehen eine Profiloption mit dem Namen "Vertrauensstufe der Verantwortung". ‘. Der Wert für diese Profiloption auf site Stufe ist Normal . Lassen Sie diese Einstellung unverändert.
- Setzen Sie den Wert dieser Profiloption für die gewählte Zuständigkeit auf Extern in der Verantwortung Stufe. Der Wert auf Websiteebene sollte Normal bleiben .
Wiederholen Sie dies für alle Verantwortlichkeiten, die Sie von der externen Webschicht verfügbar machen möchten.
(9) Starten Sie die externe Ebene und validieren Sie die Anwendung
adopmnctl.sh start
adoafmctl.sh start
adformsctl.sh start
adoacorectl.sh start
adapcctl.sh start