In dit bericht zal ik mijn ervaring uitleggen met het instellen van DMZ voor EBS R12. We zullen eerst enkele van de belangrijke termen doornemen
DMZ
De DMZ, wat staat voor Demilitarized Zone, bestaat uit de delen van een bedrijfsnetwerk die zich tussen het bedrijfsintranet en internet bevinden. De DMZ kan een eenvoudig LAN met één segment zijn of kan worden opgesplitst in meerdere regio's. Het belangrijkste voordeel van een goed geconfigureerde
DMZ is een betere beveiliging:in het geval van een inbreuk op de beveiliging wordt alleen het gebied binnen de DMZ blootgesteld aan mogelijke schade, terwijl het bedrijfsintranet enigszins beschermd blijft
Load Balancer
Load balancers verdelen de belasting van een applicatie over veel identiek geconfigureerde servers. Deze distributie zorgt voor een consistente beschikbaarheid van applicaties, zelfs wanneer een of meer servers uitvallen.
Omgekeerde proxy
Een reverse proxy-server is een tussenliggende server die zich tussen een client en de eigenlijke webserver bevindt en namens de client verzoeken doet aan de webserver. U kunt meer informatie vinden over reverse proxy-servers
Interne toepassingen middenlaag
De middelste laag van interne applicaties is de server die is geconfigureerd voor interne gebruikers om toegang te krijgen tot Oracle E-Business Suite. Het voert de volgende belangrijke applicatiediensten uit:
Web- en formulierservices
Administratie en gelijktijdige managerservices
Rapporten en Discoverer Services
Weblaag voor externe toepassingen
De weblaag voor externe toepassingen is de server die is geconfigureerd voor externe gebruikers voor toegang tot Oracle EBusiness Suite. Het voert de volgende applicatieservice uit:
Webserver
DMZ maken voor EBS R12
(1) Maak de externe weblaag met Reverse Proxy
Case A:een nieuwe server met reverse proxy
Applicatielaag klonen naar de nieuwe server
- Voer adpreclone uit en maak een back-up van de interne weblaag
- Herstellen op externe weblaag
- Voer adcfgclone appsTier uit en configureer het externe knooppunt
Zodra dit is voltooid, wijzigt u het volgende in het contextbestand
<TIER_DB oa_var="s_isDB">NO</TIER_DB>
<TIER_ADMIN oa_var="s_isAdmin">NO</TIER_ADMIN>
<TIER_WEB oa_var="s_isWeb">YES</TIER_WEB>
<TIER_FORMS oa_var="s_isForms">NO</TIER_FORMS>
<TIER_NODE oa_var="s_isConc">NO</TIER_NODE>
<TIER_FORMSDEV oa_var="s_isFormsDev">NO</TIER_FORMSDEV>
<TIER_NODEDEV oa_var="s_isConcDev">NO</TIER_NODEDEV>
<TIER_WEBDEV oa_var="s_isWebDev">YES</TIER_WEBDEV>
Wijzig het volgende voor Reverse proxy
Geval B:de interne server gebruiken als de externe laag (interne server heeft een extra NIC-kaart) met reverse proxy
Deze configuratie vereist dat uw interne applicatie-middenlaagserver ten minste twee netwerkinterfaces heeft. Er is één netwerkinterface vereist voor het externe toegangspunt en een andere voor het interne toegangspunt. Deze netwerkinterfaces moeten worden geconfigureerd om te worden omgezet naar twee verschillende hostnamen in de DNS.
Bijvoorbeeld:
/etc/hosts of Internal Server
192.30.21.1 int.tech.com int
192.30.21.2 ext.tech.com ext
Maak het Nieuwe Context-bestand met behulp van de onderstaande opdracht
$ perl $COMMON_TOP/clone/bin/adclonectx.pl \
contextfile=$CONTEXT_FILE \
outfile= <name of the output file including location>
Belangrijke parameter die moet worden ingevoerd
| Hostnaam doelsysteem (virtueel of normaal) [int]: | ext |
| Wilt u dat de invoer wordt gevalideerd (y/n) [n] ?: | J |
| Wilt u de poortwaarden van het bronsysteem op het doelsysteem behouden (y/n) [y] ? | J |
Vereiste wijzigingen zodra het contextbestand is gemaakt
| AutoConfig-variabele | Vereiste waarde |
| s_isWeb | JA |
| s_isWebDev | JA |
| s_http_listen_parameter | Nieuwe poort voor de http-luisteraar |
| s_https_listen_parameter | Nieuwe poort voor de https-luisteraar |
| s_webentryurlprotocol | Stel de waarde in op het webinvoerprotocol |
| s_webentryhost | Stel de waarde in op de webentry-host |
| s_webentrydomain | Stel de waarde in op het webentry-domein |
| s_active_webport | Stel de waarde in op de actieve poort |
| s_login_page | Stel de waarde in om naar de nieuwe webentry-configuratie te verwijzen |
| s_server_ip_address | Stel de waarde van deze variabele in op het IP-adres van de extern gerichte netwerkinterface |
(2)Stop Concurrent Manager en alle applicatieknooppunten
(3) Start de nieuwe configuratiebestanden en profielopties op basis van het nieuwe contextbestand
De DMZ-configuratie vereist het gebruik van de nieuwe ServResp-profieloptiehiërarchie voor de Oracle-profielopties. Als u dit nog niet hebt gedaan, wijzigt u het hiërarchietype van de profielopties in ServResp door het SQL-script txkChangeProfH.sql uit te voeren, zoals hieronder weergegeven:
$ sqlplus apps/apps @$FND_TOP/patch/115/sql/txkChangeProfH.sql SERVRESP
SQL*Plus: Release 10.1.0.5.0 - Production on Thu Sep 5 01:46:59 2016
Copyright (c) 1982, 2005, Oracle. All rights reserved.
Connected to:
Oracle Database 11g Enterprise Edition Release 11.2.0.3.0 - 64bit Production
With the Partitioning, Automatic Storage Management, OLAP, Data Mining and Real Application Testing options
Changing the hierarchy type for the Profile APPS_WEB_AGENT
Profile APPS_WEB_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile APPS_SERVLET_AGENT
Profile APPS_SERVLET_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile APPS_JSP_AGENT
Profile APPS_JSP_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile APPS_FRAMEWORK_AGENT
Profile APPS_FRAMEWORK_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile ICX_FORMS_LAUNCHER
Profile ICX_FORMS_LAUNCHER hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile ICX_DISCOVERER_LAUNCHER
Profile ICX_DISCOVERER_LAUNCHER hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile ICX_DISCOVERER_VIEWER_LAUNCHER
Profile ICX_DISCOVERER_VIEWER_LAUNCHER hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile HELP_WEB_AGENT
Profile HELP_WEB_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile APPS_PORTAL
Profile APPS_PORTAL hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile CZ_UIMGR_URL
Profile CZ_UIMGR_URL hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile QP_PRICING_ENGINE_URL
Profile QP_PRICING_ENGINE_URL hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile TCF:HOST
Profile TCF:HOST hierarchy type has been successfully changed to SERVRESP
Disconnected from Oracle Database 11g Enterprise Edition Release 11.2.0.3.0 - 64bit Production
With the Partitioning, Automatic Storage Management, OLAP, Data Mining
and Real Application Testing options
(4) Voer Autoconfig uit voor alle knooppunten, inclusief externe knooppunten
(5) Voer Autoconfig uit op de primaire interne knooppunten
(6) Start het interne systeem op
(7) Node-vertrouwensniveau bijwerken
Stel de NODE_TRUST_LEVEL profieloptiewaarde op de externe weblaag in uw Oracle E-business Suite Release 12-omgeving in op Extern..
Voer de volgende stappen uit om de waarde van de profieloptiewaarde van het knooppuntvertrouwensniveau te wijzigen in Extern voor een bepaald knooppunt:
- Log in op Oracle E-Business Suite als sysadmin-gebruiker met behulp van de interne URL
- Selecteer de verantwoordelijkheid van de systeembeheerder
- Selecteer profiel / systeem
- Selecteer in het venster 'Vind systeemprofieloptie Waarden' de server die u wilt aanwijzen als de externe weblaag
- Zoek naar%NODE%TRUST%. U ziet een profieloptie met de naam 'Node Trust Level ‘. De waarde voor deze profieloptie op de site niveau is Normaal . Laat deze instelling ongewijzigd.
Stel de waarde van deze profieloptie in op Extern op de server peil. De waarde op siteniveau moet ingesteld blijven op Normaal
(8) Lijst met verantwoordelijkheden bijwerken
Na het bijwerken van de profielwaarde op serverniveau voor Node Trust Level voor de externe webtier(s) naar Extern , kunnen gebruikers geen verantwoordelijkheden meer zien wanneer ze inloggen via de externe weblaag. Om ervoor te zorgen dat een verantwoordelijkheid beschikbaar is vanaf de externe E-Business Suite-weblaag, stelt u de waarde van de profieloptie Responsibility Trust Level voor die verantwoordelijkheid in op Extern op verantwoordelijkheidsniveau.
Log in op Oracle E-Business Suite als sysadmin-gebruiker met behulp van de interne URL
- Selecteer de verantwoordelijkheid van de systeembeheerder
- Selecteer profiel / systeem
- Selecteer in het venster 'Vind systeemprofieloptie Waarden' de verantwoordelijkheid die u beschikbaar wilt stellen aan gebruikers die inloggen via de externe weblaag
- Zoek naar%RESP%TRUST%. U ziet een profieloptie met de naam 'Vertrouwensniveau verantwoordelijkheid ‘. De waarde voor deze profieloptie op site niveau is Normaal . Laat deze instelling ongewijzigd.
- Stel de waarde van deze profieloptie voor de gekozen verantwoordelijkheid in op Extern onder de verantwoordelijkheid peil. De waarde op siteniveau moet Normaal blijven .
Herhaal dit voor alle verantwoordelijkheden die u beschikbaar wilt stellen vanaf de externe weblaag.
(9) Start de externe laag en valideer de toepassing
adopmnctl.sh start
adoafmctl.sh start
adformsctl.sh start
adoacorectl.sh start
adapcctl.sh start