Настављамо да се упознајемо са новим функцијама система Виндовс Сервер 2012 Р2. Раније смо разговарали о ДропБок корпоративном колеги у Виндовс Сервер 2012 Р2 под називом Ворк Фолдерс. Данас ћемо говорити о још једној иновацији нове платформе сервера - функцијама Проки веб апликације. Проки за веб апликацију је нова функција улоге Удаљени приступ у Виндовс 2012 Р2, који омогућава објављивање ХТТП / ХТТПС апликација које се налазе на ободу корпоративне мреже на клијентским уређајима (пре свега мобилним уређајима) изван његовог обима. Због могућности интеграције са АД ФС (сервис може деловати као АДФС проки), могуће је обезбедити аутентификацију спољних корисника који покушавају да приступе објављеним апликацијама.
Проки за веб апликацију пружа исте могућности објављивања апликација као Форефронт Унифиед Аццесс Гатеваи (УАГ), али ова услуга такође вам омогућава интеракцију са другим серверима и услугама, пружајући тако флексибилнију и струјнију конфигурацију..
Проки за веб апликацију у суштини обавља функцију реверсе реверсе проки, организовање преноса захтева клијената из спољне мреже на интерни сервер и ватрозид је на нивоу апликације.
Сервер са пробном услугом Веб Апплицатион прима екстерни ХТТП / ХТТПС саобраћај и укида га, након чега у његово име покреће нову везу са интерном апликацијом (веб сервер). И.е. спољни корисници не добијају директан приступ интерној апликацији. Одбацује се сваки други промет примљен од прокија за веб апликацију (укључујући ХТТП / ХТТПС захтеве који се могу користити у ДоС, ССЛ и нападима од 0 дана).
Захтеви и кључне карактеристике организације за Веб апликацију проки:
- Систем се може распоредити на серверима који покрећу Виндовс Сервер 2012 Р2 који су укључени у домену Ацтиве Дирецтори са улогама АД ФС и пробног веб апликација. Те улоге морају бити инсталиране на различитим серверима..
- Морате надоградити схему Ацтиве Дирецтори на Виндовс Сервер 2012 Р2 (не требате надоградити контролере домена на Виндовс Сервер 2012 Р2)
- Као клијентски уређаји подржани су уређаји са Виндовс ОС, ИОС (иПад и иПхоне). Рад на клијентима за Андроид и Виндовс Пхоне још увек није завршен
- Аутентификацију клијента обавља Ацтиве Дирецтори Федератион Сервицес (АДФС), која такође делује као АДФС проки..
- Типичан изглед сервера са улогом проки за веб апликацију приказан је на слици. Овај сервер се налази у наменској зони ДМЗ и одвојен је од спољне (Интернет) и интерне мреже (Интранет) заштитним зидовима. У овој конфигурацији проки веб апликације потребна су два интерфејса - унутрашњи (Интранет) и спољни (ДМЗ)
Инсталирајте улогу АДФС-а на Виндовс Сервер 2012 Р2
Да би се обезбедила додатна безбедност, пре-аутентификација спољних клијената врши се на АДФС серверу, у супротном се користи пролазна аутентификација на одредишном серверу апликације (што је мање сигурно). Стога је први корак у конфигурирању проки веб апликације инсталација улоге на засебном серверу Услуге федерације активног директорија.
Када инсталирате АДФС, морате да одаберете ССЛ сертификат који ће се користити за шифровање, као и ДНС имена која ће клијенти користити приликом повезивања (сами ћете морати да креирате одговарајуће уносе у ДНС зони).
Затим морате да одредите кориснички рачун за АДФС услугу. Имајте на уму да име АДФС мора бити наведено у атрибуту Налога главног главног рачуна услуге. То можете да урадите командом:
сетспн -Ф -С хост / адфс.винитпро.ру адфссвц
И на крају, одредите базу података у којој ће се информације чувати: то може бити уграђена база података на истом серверу (ВИД - Виндовс Интернал Датабасе) или засебна база података на наменском СКЛ серверу.
Инсталирајте сервис прокси веб апликација
Следећи корак је конфигурирање саме проки услуге Веб Апплицатион. Подсетимо да је услуга пробне веб апликације у Виндовс Сервер 2012 Р2 део „Удаљени приступ" Инсталирајте сервис Проки веб апликације и покрените чаробњака за подешавање.
У првој фази чаробњак од вас захтева да наведете име АДФС сервера и параметре налога који има приступ овој услузи.
Затим морате навести цертификат (проверите да ли алтернативна имена сертификата садрже име АДФС сервера).
Савет. Проверите да ли су ваше ДНС зоне исправно конфигурисане: сервер са ВАП улогом мора бити у стању да разреши име АДФС сервера, а он заузврат може да разреши име проки сервера. Потврде на оба сервера морају садржавати назив услуге федерације.Објавите апликацију путем проки за веб апликацију
Након што су инсталиране улоге АДФС-а и веб апликације Проки (који такође ради као АДФС проки), можете прећи директно на објављивање изван одређене апликације. То можете учинити помоћу Р конзоле.емоте приступна конзола за управљање.
Покрените чаробњака за објављивање и одредите да ли желите да користите АДФС за претходну оверу (ово је наша опција).
Затим требате да поставите име објављене апликације, коришћени сертификат, спољну УРЛ адресу (користиће га спољни корисници за повезивање) и унутрашњу УРЛ адресу сервера на који ће захтеви бити послани.
Савет. Ако желите да преусмерите спољну апликацију на алтернативни порт, морате је навести у УРЛ-у који упућује на унутрашњи сервер. На пример, ако желите да преусмерите спољне хттпс захтеве (порт 443) на порт 4443, морате да наведете:УРЛ сервера резервног сервера: линц.винитпро.лоцал: 4443
Испуните чаробњака и ово је крај објављивања апликација. Сада, ако покушате да приступите објављеном спољном УРЛ-у помоћу прегледача, прегледач ће се прво преусмерити на сервис за потврду идентитета (АДФС Проки), а након успешне аутентификације корисник ће бити директно послан на интерну веб локацију (веб апликација).
Захваљујући новој услузи веб апликација проки у Виндовс Сервер 2012 Р2, могуће је имплементирати функционалност обрнутог проки сервера како би се објављивали унутрашњи сервиси предузећа без потребе за коришћењем фиревалл-а и производа трећих страна, укључујући Форефронт итд..