...
Escenario | Descripción | Recomendación |
|---|---|---|
Web con Proxy | Consiste en utilizar herramientas adicionales para permitir el acceso desde Internet a un servidor de O3 (ubicado por ejemplo en una DMZ). Se lo utiliza para exponer el servicio a internet permitiendo el acceso por ej. ejemplo a http://www.servidor_empresarial.com/o3portal, incluso cuando servidor_empresarial no es el que contiene a O3 |
|
Puerto 8080 expuesto a Internet | Consiste en exponer el puerto 8080 a internet a través de una tercera máquina. |
|
Máquina expuesta a internet | Consiste en tener la máquina sin ningún tipo de protección conectada a internet |
|
...
Este mecanismo es el recomendado ya que brinda la mayor seguridad, dado que se accede desde internet sólo a la funcionalidad permitida.
En este caso se utiliza un servidor Web con capacidad de proxy (por ejemplo Apache o IIS ) se recomiendo recomienda para este caso el uso de un módulo que haga de puente entre el servidor web y el tomcat (el más recomendado es JK Mount).
Se debe hacer proxy de las siguientes aplicaciones Web de O3:
...
- Cambiar la password de la consola JMX (jmx-console): Cambio de password en el caso que estemos en la versión > 5.2.004 ir directo al punto 3 ya que solo se necesita cambiar la password.
- Eliminar "invokers" de JBoss: http://community.jboss.org/wiki/RemoveTheInvokers. La referencia a jms/jbossmq-httpil.sar no es valida para versiones 5.4 de O3, en que se cambio el soporte de JMS de Jboss, el cual no tiene activos conexiones http.
- Deshabilitar la característica de RMIClassLoading de JBoss: http://community.jboss.org/wiki/RMIClassLoadingService: El primer archivo referido es en realidad <jboss>/server/default/conf/jboss-service.xml. Luego, se debe comentar en <jboss>/server/default/deploy/ejb-deployer.xml la linea: <depends optional-attribute-name="WebServiceName">jboss:service=WebService</depends>
...
Máquina expuesta a Internet 
...