3.6 Sichere Netzwerkkonfiguration

In diesem Abschnitt finden Sie Beschreibungen der für LiveCycle erforderlichen Protokolle und Anschlüsse sowie Empfehlungen für die Bereitstellung von LiveCycle in einer sicheren Netzwerkkonfiguration.

3.6.1 Physische Architektur von LiveCycle

Diese Abbildung zeigt die Komponenten und Protokolle einer typischen LiveCycle-Bereitstellung einschließlich der entsprechenden Firewall-Topologie.

3.6.2 Von LiveCycle verwendete Netzwerkprotokolle

Wenn Sie, wie im vorherigen Abschnitt beschrieben, eine sichere Netzwerkarchitektur konfigurieren, sind die folgenden Netzwerkprotokolle für die Interaktion zwischen LiveCycle und anderen Systemen in Ihrem Unternehmensnetzwerk erforderlich.

Protokoll

Verwendung

HTTP

  • Browser zeigt Configuration Manager und Endbenutzer-Webanwendungen an

  • Alle SOAP-Verbindungen

SOAP

  • Webdienst-Clientanwendungen wie .NET-Anwendungen

  • Adobe Reader® verwendet SOAP für LiveCycle-Server-Webdienste

  • Adobe Flash®-Anwendungen verwenden SOAP für LiveCycle-Server-Webdienste

  • LiveCycle SDK-Aufrufe bei der Verwendung im SOAP-Modus

  • Workbench-Entwurfsumgebung

RMI

LiveCycle SDK-Aufrufe bei der Verwendung im Enterprise JavaBeans-Modus (EJB)

IMAP/POP3

  • Auf E-Mail basierende Eingabe für einen Dienst (E-Mail-Endpunkt)

  • Aufgabenbenachrichtigungen per E-Mail

UNC-Dateieingabe/ausgabe

LiveCycle-Überwachung von überwachten Ordnern auf Eingabe in einen Dienst (Überwachter Ordner-Endpunkt)

LDAP

  • Synchronisierung von Informationen über Firmenbenutzer und -gruppen in einem Ordner

  • LDAP-Authentifizierung für interaktive Benutzer

JDBC

  • Abfrage- und Prozeduraufrufe an eine externe Datenbank, die während des Ausführung eines Prozesses mithilfe des JDBC-Diensts durchgeführt werden

  • LiveCycle-Repository für den internen Zugriff

WebDAV

Ermöglicht das Remote-Durchsuchen der Entwurfsversion des LiveCycle-Repositorys (Formulare, Fragmente usw.) durch einen beliebigen WebDAV-Client

AMF

Adobe Flash-Anwendungen, in denen LiveCycle-Serverdienste mit einem Remoting-Endpunkt konfiguriert sind

JMX

LiveCycle legt MBeans für die Überwachung mit JMX offen

3.6.3 Anschlüsse für Anwendungsserver

In diesem Abschnitt werden die Standardanschlüsse (und alternativen Konfigurationsbereiche) für jeden unterstützten Anwendungsservertyp beschrieben. Abhängig davon, welche Netzwerkfunktionalität Sie für Clients bereitstellen möchten, die eine Verbindung zu dem Anwendungsserver herstellen, auf dem LiveCycle ausgeführt wird, müssen diese Anschlüsse in der inneren Firewall aktiviert bzw. deaktiviert werden.

Hinweis: Standardmäßig legt der Server mehrere JMX MBeans unter dem Namespace adobe.com offen. Dabei werden nur für die Überwachung des Serverzustands nützliche Informationen offengelegt. Um die Offenlegung von Informationen zu verhindern, sollten Sie jedoch Aufrufe von einem nicht vertrauenswürdigen Netzwerk davon abhalten, JMX MBeans zu suchen und auf Serverzustandsmetriken zuzugreifen.

JBoss-Anschlüsse

Zweck

Anschluss

Zugriff auf Webanwendungen

[JBoss-Stammordner]/server/all/deploy/jbossweb-tomcat50.sar/server.xml

HTTP/1.1 Connector-Anschluss 8080

AJP 1.3 Connector-Anschluss 8009

SSL/TLS Connector-Anschluss 8443

Zugriff auf LiveCycle-Serverdienste

[JBoss-Stammordner]/server/all/conf/jboss-service.xml

WebService-Anschluss 8083

NamingService-Anschluss 1099

RMIport 1098

RMIObjectPort 4444

PooledInvoker ServerBindPort 4445

Unterstützung für J2EE-Cluster

[JBoss-Stammordner]/server/all/deploy/cluster-service.xml

ha.jndi.HANamingService-Anschluss 1100

RmiPort 1101

RMIObjectPort 4447

(nur Cluster) ServerBindPort 4446

CORBA-Unterstützung

[JBoss-Stammordner]/server/all/conf/jacorb.properties

OAPort 3528

OASSLPort 3529

SNMP-Unterstützung

[JBoss-Stammordner]/server/all/deploy/snmp-adaptor.sar/META-INF/jbossservice. XML

Anschlüsse 1161, 1162

[JBoss-Stammordner]/server/all/deploy/snmp-adaptor.sar/managers.xml

Anschluss 1162

WebLogic-Anschlüsse

Zweck

Anschluss

Zugriff auf Webanwendungen

  • Überwachungsanschluss des Verwaltungsservers: 7001 (Standard)

  • Überwachungsanschluss des Verwaltungsservers: 7002 (Standard)

  • Für verwalteten Server konfigurierter Anschluss, z. B. 8001

WebLogic-Verwaltungsanschlüsse sind für den Zugriff auf LiveCycle nicht erforderlich

  • Überwachungsanschluss des verwalteten Servers: Konfigurierbar zwischen 1 und 65534

  • SSL-Überwachungsanschluss des verwalteten Servers: Konfigurierbar zwischen 1 und 65534

  • Überwachungsanschluss von Node Manager: 5556 (Standard)

WebSphere 6.1-Anschlüsse

Informationen zu WebSphere 6.1-Anschlüssen, die für LiveCycle erforderlich sind, finden Sie in „Port number settings in WebSphere Application Server versions“.

WebSphere 7.0-Anschlüsse

Informationen über WebSphere 7.0-Anschlüsse, die für LiveCycle erforderlich sind, finden Sie unter http://publib.boulder.ibm.com/infocenter/wasinfo/v7r0/index.jsp?topic=/com.ibm.websphere.migration.express.doc/info/exp/ae/rmig_portnumber.html.

3.6.4 Konfigurieren von SSL

Bezogen auf die in Abschnitt 3.6.1 Physische Architektur von LiveCycle beschriebene physische Architektur, sollten Sie SSL für alle Verbindungen konfigurieren, die Sie verwenden möchten. Besonders alle SOAP-Verbindungen müssen über SSL erfolgen, um die Offenlegung von Benutzerberechtigungen im Netzwerk zu verhindern.

Anweisungen zum Konfigurieren von SSL auf JBoss, WebLogic und WebSphere finden Sie unter „SSL konfigurieren“ in der LiveCycle Administration-Hilfe.

3.6.5 SSL-Umleitung konfigurieren

Nachdem Sie den Anwendungsserver auf die Unterstützung von SSL konfiguriert haben, müssen Sie sicherstellen, dass der gesamte HTTP-Verkehr zu LiveCycle-Anwendungen und -Diensten gezwungen wird, den SSL-Anschluss zu verwenden.

Informationen zum Konfigurieren der SSL-Umleitung für WebSphere oder WebLogic finden Sie in der Dokumentation zu Ihrem jeweiligen Anwendungsserver.

  1. Wechseln Sie zur Datei „adobe-livecycle-jboss.ear“ und dekomprimieren Sie sie.

  2. Extrahieren Sie die Datei „adminui.war“ und öffnen Sie die Datei „web.xml“ zur Bearbeitung.

  3. Fügen Sie der Datei „web.xml“ den folgenden Code hinzu:

<security-constraint> 
    <web-resource-collection> 
        <web-resource-name>app or resource name</web-resource-name> 
        <url-pattern>/*</url-pattern> 
        <!-- define all url patterns that need to be protected--> 
        <http-method>GET</http-method> 
        <http-method>POST</http-method> 
    </web-resource-collection> 
    <user-data-constraint> 
        <transport-guarantee>CONFIDENTIAL</transport-guarantee> 
    </user-data-constraint> 
</security-constraint>