Dans cet article, je vais expliquer mon expérience avec la configuration de DMZ pour EBS R12. Nous allons d'abord passer en revue certains des termes importants
DMZ
La DMZ, qui signifie zone démilitarisée, comprend les parties d'un réseau d'entreprise situées entre l'intranet de l'entreprise et Internet. La DMZ peut être un simple réseau local à un segment ou elle peut être divisée en plusieurs régions. Le principal avantage d'un correctement configuré
La DMZ est une meilleure sécurité :en cas de faille de sécurité, seule la zone contenue dans la DMZ est exposée à des dommages potentiels, tandis que l'intranet de l'entreprise reste quelque peu protégé
Équilibreur de charge
Les équilibreurs de charge répartissent la charge d'une application sur de nombreux serveurs configurés de manière identique. Cette distribution garantit une disponibilité constante des applications même en cas de panne d'un ou plusieurs serveurs.
Proxy inverse
Un serveur proxy inverse est un serveur intermédiaire qui se situe entre un client et le serveur Web réel et envoie des demandes au serveur Web au nom du client. Vous pouvez trouver plus d'informations sur les serveurs proxy inverses
Niveau intermédiaire des applications internes
Le niveau intermédiaire des applications internes est le serveur configuré pour que les utilisateurs internes accèdent à Oracle E-Business Suite. Il exécute les principaux services d'application suivants :
Services Web et Formulaires
Services d'administration et de gestion simultanée
Rapports et services Discoverer
Niveau Web des applications externes
Le niveau Web des applications externes est le serveur configuré pour que les utilisateurs externes accèdent à Oracle EBusiness Suite. Il exécute le service d'application suivant :
Serveur Web
Comment créer une DMZ pour EBS R12
(1) Créer le niveau Web externe avec proxy inverse
Cas A :Un nouveau serveur avec Reverse Proxy
Cloner le niveau d'application sur le nouveau serveur
- Exécuter adpreclone et effectuer une sauvegarde du niveau Web interne
- Restauration sur le niveau Web externe
- Exécutez adcfgclone appsTier et configurez le nœud externe
Une fois ceci terminé, Changez la suite dans le fichier de contexte
<TIER_DB oa_var="s_isDB">NO</TIER_DB>
<TIER_ADMIN oa_var="s_isAdmin">NO</TIER_ADMIN>
<TIER_WEB oa_var="s_isWeb">YES</TIER_WEB>
<TIER_FORMS oa_var="s_isForms">NO</TIER_FORMS>
<TIER_NODE oa_var="s_isConc">NO</TIER_NODE>
<TIER_FORMSDEV oa_var="s_isFormsDev">NO</TIER_FORMSDEV>
<TIER_NODEDEV oa_var="s_isConcDev">NO</TIER_NODEDEV>
<TIER_WEBDEV oa_var="s_isWebDev">YES</TIER_WEBDEV>
Modifiez les éléments suivants pour le proxy inverse
Cas B :Utilisation du serveur interne comme niveau externe (le serveur interne a une carte réseau supplémentaire) avec un proxy inverse
Cette configuration nécessite que votre serveur d'application interne de niveau intermédiaire ait au moins deux interfaces réseau. Une interface réseau est requise pour le point d'entrée externe et une autre pour le point d'entrée interne. Ces interfaces réseau doivent être configurées pour se résoudre en deux noms d'hôte différents dans le DNS.
Par exemple :
/etc/hosts of Internal Server
192.30.21.1 int.tech.com int
192.30.21.2 ext.tech.com ext
Créez le nouveau fichier de contexte à l'aide de la commande ci-dessous
$ perl $COMMON_TOP/clone/bin/adclonectx.pl \
contextfile=$CONTEXT_FILE \
outfile= <name of the output file including location>
Paramètre important à alimenter
| Nom d'hôte du système cible (virtuel ou normal) [int] : | ext |
| Souhaitez-vous que les entrées soient validées (o/n) [n] ? : | O |
| Souhaitez-vous conserver les valeurs de port du système source sur le système cible (y/n) [y] ? | O |
Modifications requises une fois le fichier de contexte créé
| Variable de configuration automatique | Valeur requise |
| s_isWeb | OUI |
| s_isWebDev | OUI |
| s_http_listen_parameter | Nouveau port pour l'écouteur http |
| s_https_listen_parameter | Nouveau port pour l'écouteur https |
| s_webentryurlprotocol | Définissez la valeur sur le protocole d'entrée Web |
| s_webentryhost | Définissez la valeur sur l'hôte de l'entrée Web |
| s_webentrydomain | Définissez la valeur sur le domaine Webentry |
| s_active_webport | Définissez la valeur sur le port actif |
| s_login_page | Définissez la valeur pour qu'elle pointe vers la nouvelle configuration de l'entrée Web |
| s_server_ip_address | Définissez la valeur de cette variable sur l'adresse IP de l'interface réseau externe |
(2) Arrêtez Concurrent Manager et tous les nœuds d'application
(3) Instancier les nouveaux fichiers de configuration et les options de profil en fonction du nouveau fichier de contexte
La configuration DMZ nécessite l'utilisation de la nouvelle hiérarchie d'options de profil ServResp pour les options de profil Oracle. Si vous ne l'avez pas déjà fait, modifiez le type de hiérarchie des options de profil en ServResp en exécutant le script SQL txkChangeProfH.sql comme indiqué ci-dessous :
$ sqlplus apps/apps @$FND_TOP/patch/115/sql/txkChangeProfH.sql SERVRESP
SQL*Plus: Release 10.1.0.5.0 - Production on Thu Sep 5 01:46:59 2016
Copyright (c) 1982, 2005, Oracle. All rights reserved.
Connected to:
Oracle Database 11g Enterprise Edition Release 11.2.0.3.0 - 64bit Production
With the Partitioning, Automatic Storage Management, OLAP, Data Mining and Real Application Testing options
Changing the hierarchy type for the Profile APPS_WEB_AGENT
Profile APPS_WEB_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile APPS_SERVLET_AGENT
Profile APPS_SERVLET_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile APPS_JSP_AGENT
Profile APPS_JSP_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile APPS_FRAMEWORK_AGENT
Profile APPS_FRAMEWORK_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile ICX_FORMS_LAUNCHER
Profile ICX_FORMS_LAUNCHER hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile ICX_DISCOVERER_LAUNCHER
Profile ICX_DISCOVERER_LAUNCHER hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile ICX_DISCOVERER_VIEWER_LAUNCHER
Profile ICX_DISCOVERER_VIEWER_LAUNCHER hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile HELP_WEB_AGENT
Profile HELP_WEB_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile APPS_PORTAL
Profile APPS_PORTAL hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile CZ_UIMGR_URL
Profile CZ_UIMGR_URL hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile QP_PRICING_ENGINE_URL
Profile QP_PRICING_ENGINE_URL hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile TCF:HOST
Profile TCF:HOST hierarchy type has been successfully changed to SERVRESP
Disconnected from Oracle Database 11g Enterprise Edition Release 11.2.0.3.0 - 64bit Production
With the Partitioning, Automatic Storage Management, OLAP, Data Mining
and Real Application Testing options
(4) Exécutez la configuration automatique de tous les nœuds, y compris les nœuds externes
(5) Exécutez la configuration automatique sur les nœuds internes principaux
(6) Démarrage du système interne
(7) Mettre à jour le niveau de confiance du nœud
Définissez la valeur de l'option de profil NODE_TRUST_LEVEL sur le niveau Web externe dans votre environnement Oracle E-business Suite version 12 sur Externe..
Pour modifier la valeur de l'option de profil Niveau de confiance du nœud sur Externe pour un nœud particulier, procédez comme suit :
- Se connecter à Oracle E-Business Suite en tant qu'utilisateur sysadmin à l'aide de l'URL interne
- Sélectionnez la responsabilité de l'administrateur système
- Sélectionnez Profil/Système
- Dans la fenêtre "Rechercher les valeurs de l'option de profil système", sélectionnez le serveur que vous souhaitez désigner comme niveau Web externe
- Requête pour %NODE%TRUST%. Vous verrez une option de profil nommée "Node Trust Level ‘. La valeur de cette option de profil sur le site le niveau sera Normal . Laissez ce paramètre inchangé.
Définissez la valeur de cette option de profil sur Externe sur le serveur niveau. La valeur au niveau du site doit rester définie sur Normal
(8) Mettre à jour la liste des responsabilités
Après avoir mis à jour la valeur du profil au niveau du serveur pour le niveau de confiance du nœud pour le ou les niveaux Web externes sur External , les utilisateurs ne voient plus aucune responsabilité lorsqu'ils se connectent via le niveau Web externe. Pour qu'une responsabilité soit disponible à partir du niveau Web externe de la suite E-Business, définissez la valeur de l'option de profil Niveau de confiance de la responsabilité pour cette responsabilité sur Externe au niveau de la responsabilité.
Connectez-vous à Oracle E-Business Suite en tant qu'utilisateur sysadmin à l'aide de l'URL interne
- Sélectionner la responsabilité de l'administrateur système
- Sélectionnez Profil/Système
- Dans la fenêtre "Rechercher les valeurs de l'option de profil système", sélectionnez la responsabilité que vous souhaitez mettre à la disposition des utilisateurs se connectant via le niveau Web externe
- Requête pour %RESP%TRUST%. Vous verrez une option de profil nommée "Niveau de confiance de responsabilité ‘. La valeur de cette option de profil sur site le niveau sera Normal . Laissez ce paramètre inchangé.
- Définissez la valeur de cette option de profil pour la responsabilité choisie sur Externe sous la responsabilité niveau. La valeur au niveau du site doit rester Normal .
Répétez l'opération pour toutes les responsabilités que vous souhaitez rendre disponibles à partir du niveau Web externe.
(9) Démarrez le niveau externe et validez l'application
adopmnctl.sh start
adoafmctl.sh start
adformsctl.sh start
adoacorectl.sh start
adapcctl.sh start
