Este post explicarei minha experiência com a configuração de DMZ para EBS R12. Vamos primeiro passar por alguns dos termos importantes
DMZ
A DMZ, que significa Zona Desmilitarizada, consiste nas partes de uma rede corporativa que estão entre a intranet corporativa e a Internet. A DMZ pode ser uma LAN simples de um segmento ou pode ser dividida em várias regiões. O principal benefício de uma configuração
A DMZ é a melhor segurança:no caso de uma violação de segurança, apenas a área contida na DMZ fica exposta a danos potenciais, enquanto a intranet corporativa permanece um pouco protegida
Balanceador de carga
Os balanceadores de carga distribuem a carga de um aplicativo em muitos servidores configurados de forma idêntica. Essa distribuição garante a disponibilidade consistente do aplicativo mesmo quando um ou mais servidores falham.
Proxy reverso
Um servidor proxy reverso é um servidor intermediário que fica entre um cliente e o servidor Web real e faz solicitações ao servidor Web em nome do cliente. Você pode encontrar mais informações sobre servidores proxy reversos
Nível intermediário de aplicativos internos
A camada intermediária de aplicativos internos é o servidor configurado para que usuários internos acessem o Oracle E-Business Suite. Ele executa os seguintes serviços principais de aplicativos:
Serviços da Web e de formulários
Serviços de administração e gerenciamento simultâneo
Relatórios e serviços do Discoverer
Nível da Web de aplicativos externos
A camada da Web de aplicativos externos é o servidor configurado para usuários externos para acessar o Oracle EBusiness Suite. Ele executa o seguinte serviço de aplicativo:
servidor web
Como criar DMZ para EBS R12
(1) Criar o nível da Web externo com proxy reverso
Caso A:Um novo servidor com proxy reverso
Clonar camada de aplicativo para o novo servidor
- Execute o adpreclone e faça backup do nível da Web interno
- Restaurar no nível da Web externo
- Execute adcfgclone appsTier e configure o nó externo
Quando isso for concluído, altere o seguinte no arquivo de contexto
<TIER_DB oa_var="s_isDB">NO</TIER_DB>
<TIER_ADMIN oa_var="s_isAdmin">NO</TIER_ADMIN>
<TIER_WEB oa_var="s_isWeb">YES</TIER_WEB>
<TIER_FORMS oa_var="s_isForms">NO</TIER_FORMS>
<TIER_NODE oa_var="s_isConc">NO</TIER_NODE>
<TIER_FORMSDEV oa_var="s_isFormsDev">NO</TIER_FORMSDEV>
<TIER_NODEDEV oa_var="s_isConcDev">NO</TIER_NODEDEV>
<TIER_WEBDEV oa_var="s_isWebDev">YES</TIER_WEBDEV>
Altere o seguinte para proxy reverso
Caso B:usando o servidor interno como camada externa (o servidor interno tem placa NIC extra) com proxy reverso
Essa configuração requer que o servidor de camada intermediária do aplicativo interno tenha pelo menos duas interfaces de rede. Uma interface de rede é necessária para o ponto de entrada externo e outra para o ponto de entrada interno. Essas interfaces de rede devem ser configuradas para resolver dois nomes de host diferentes no DNS.
Por exemplo:
/etc/hosts of Internal Server
192.30.21.1 int.tech.com int
192.30.21.2 ext.tech.com ext
Crie o arquivo New Context usando o comando abaixo
$ perl $COMMON_TOP/clone/bin/adclonectx.pl \
contextfile=$CONTEXT_FILE \
outfile= <name of the output file including location>
Parâmetro importante a ser alimentado
| Nome do host do sistema de destino (virtual ou normal) [int]: | ext |
| Você deseja que as entradas sejam validadas (s/n) [n] ?: | S |
| Deseja preservar os valores de porta do sistema de origem no sistema de destino (s/n) [y] ? | S |
Alterações necessárias após a criação do arquivo de contexto
| Variável de configuração automática | Valor obrigatório |
| s_isWeb | SIM |
| s_isWebDev | SIM |
| s_http_listen_parameter | Nova porta para o ouvinte http |
| s_https_listen_parameter | Nova porta para o ouvinte https |
| s_webentryurlprotocol | Defina o valor para o protocolo de entrada da Web |
| s_webentryhost | Defina o valor para o host webentry |
| s_webentrydomain | Defina o valor para o domínio webentry |
| s_active_webport | Defina o valor para a porta ativa |
| s_login_page | Defina o valor para apontar para a nova configuração de entrada da web |
| s_server_ip_address | Defina o valor desta variável para o endereço IP da interface de rede externa |
(2) Parar o Concurrent Manager e todos os nós do aplicativo
(3) Instanciar os novos arquivos de configuração e opções de perfil com base no novo arquivo de contexto
A configuração DMZ requer o uso da nova hierarquia de opções de perfil ServResp para as opções de perfil oracle. Caso ainda não tenha feito isso, altere o tipo de hierarquia de opções de perfil para ServResp executando o script SQL txkChangeProfH.sql conforme mostrado abaixo:
$ sqlplus apps/apps @$FND_TOP/patch/115/sql/txkChangeProfH.sql SERVRESP
SQL*Plus: Release 10.1.0.5.0 - Production on Thu Sep 5 01:46:59 2016
Copyright (c) 1982, 2005, Oracle. All rights reserved.
Connected to:
Oracle Database 11g Enterprise Edition Release 11.2.0.3.0 - 64bit Production
With the Partitioning, Automatic Storage Management, OLAP, Data Mining and Real Application Testing options
Changing the hierarchy type for the Profile APPS_WEB_AGENT
Profile APPS_WEB_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile APPS_SERVLET_AGENT
Profile APPS_SERVLET_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile APPS_JSP_AGENT
Profile APPS_JSP_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile APPS_FRAMEWORK_AGENT
Profile APPS_FRAMEWORK_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile ICX_FORMS_LAUNCHER
Profile ICX_FORMS_LAUNCHER hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile ICX_DISCOVERER_LAUNCHER
Profile ICX_DISCOVERER_LAUNCHER hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile ICX_DISCOVERER_VIEWER_LAUNCHER
Profile ICX_DISCOVERER_VIEWER_LAUNCHER hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile HELP_WEB_AGENT
Profile HELP_WEB_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile APPS_PORTAL
Profile APPS_PORTAL hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile CZ_UIMGR_URL
Profile CZ_UIMGR_URL hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile QP_PRICING_ENGINE_URL
Profile QP_PRICING_ENGINE_URL hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile TCF:HOST
Profile TCF:HOST hierarchy type has been successfully changed to SERVRESP
Disconnected from Oracle Database 11g Enterprise Edition Release 11.2.0.3.0 - 64bit Production
With the Partitioning, Automatic Storage Management, OLAP, Data Mining
and Real Application Testing options
(4) Execute a configuração automática de todos os nós, incluindo nós externos
(5) Execute a configuração automática nos nós internos primários
(6) Inicialização do sistema interno
(7) Atualizar o nível de confiança do nó
Defina o valor da opção de perfil NODE_TRUST_LEVEL na camada da Web externa em seu ambiente Oracle E-business Suite Release 12 como Externo..
Para alterar o valor da opção de perfil Node Trust Level para External para um determinado nó, execute as seguintes etapas:
- Faça login no Oracle E-Business Suite como usuário sysadmin usando a URL interna
- Selecione a responsabilidade do administrador do sistema
- Selecionar perfil/sistema
- Na janela "Localizar valores da opção de perfil do sistema", selecione o servidor que você deseja designar como o nível da Web externo
- Consulte %NODE%TRUST%. Você verá uma opção de perfil chamada 'Nível de confiança do nó '. O valor para esta opção de perfil no site o nível será Normal . Deixe esta configuração inalterada.
Defina o valor desta opção de perfil como Externo no servidor nível. O valor do nível do site deve permanecer definido como Normal
(8) Atualizar Lista de Responsabilidades
Depois de atualizar o valor do perfil no nível do servidor para o nível de confiança do nó para os níveis da Web externos para Externo , os usuários não poderão mais ver nenhuma responsabilidade quando fizerem login por meio da camada da Web externa. Para que uma responsabilidade esteja disponível no nível da Web externo do E-Business Suite, defina o valor da opção de perfil Nível de confiança de responsabilidade para essa responsabilidade como Externo ao nível da responsabilidade.
Faça login no Oracle E-Business Suite como usuário sysadmin usando a URL interna
- Selecione a responsabilidade do administrador do sistema
- Selecionar perfil/sistema
- Na janela "Localizar valores da opção de perfil do sistema", selecione a responsabilidade que você deseja disponibilizar para os usuários que fizerem login por meio da camada da Web externa
- Consulta para%RESP%TRUST%. Você verá uma opção de perfil chamada 'Nível de confiança de responsabilidade '. O valor para esta opção de perfil em site o nível será Normal . Deixe esta configuração inalterada.
- Defina o valor desta opção de perfil para a responsabilidade escolhida como Externo sob a responsabilidade nível. O valor no nível do site deve permanecer Normal .
Repita para todas as responsabilidades que você deseja disponibilizar na camada da Web externa.
(9) Inicie o nível externo e valide o aplicativo
adopmnctl.sh start
adoafmctl.sh start
adformsctl.sh start
adoacorectl.sh start
adapcctl.sh start
