3.6 Sichere Netzwerkkonfiguration

In diesem Abschnitt finden Sie Beschreibungen der für LiveCycle erforderlichen Protokolle und Anschlüsse sowie Empfehlungen für die Bereitstellung von LiveCycle in einer sicheren Netzwerkkonfiguration.

    3.6.1 Physische Architektur von LiveCycle

    Diese Abbildung zeigt die Komponenten und Protokolle einer typischen LiveCycle-Bereitstellung einschließlich der entsprechenden Firewall-Topologie.

    Grafik in Originalgröße anzeigen

    3.6.2 Von LiveCycle verwendete Netzwerkprotokolle

    Wenn Sie, wie im vorherigen Abschnitt beschrieben, eine sichere Netzwerkarchitektur konfigurieren, sind die folgenden Netzwerkprotokolle für die Interaktion zwischen LiveCycle und anderen Systemen in Ihrem Unternehmensnetzwerk erforderlich.

    Protokoll

    Verwendung

    HTTP

    • Browser zeigt Configuration Manager und Endbenutzer-Webanwendungen an

    • Alle SOAP-Verbindungen

    SOAP

    • Webdienst-Clientanwendungen wie .NET-Anwendungen

    • Adobe Reader® verwendet SOAP für LiveCycle-Server-Webdienste

    • Adobe Flash®-Anwendungen verwenden SOAP für LiveCycle-Server-Webdienste

    • LiveCycle SDK-Aufrufe bei der Verwendung im SOAP-Modus

    • Workbench-Entwurfsumgebung

    RMI

    LiveCycle SDK-Aufrufe bei der Verwendung im Enterprise JavaBeans-Modus (EJB)

    IMAP/POP3

    • Auf E-Mail basierende Eingabe für einen Dienst (E-Mail-Endpunkt)

    • Aufgabenbenachrichtigungen per E-Mail

    UNC-Dateieingabe/ausgabe

    LiveCycle-Überwachung von überwachten Ordnern auf Eingabe in einen Dienst (Überwachter Ordner-Endpunkt)

    LDAP

    • Synchronisierung von Informationen über Firmenbenutzer und -gruppen in einem Ordner

    • LDAP-Authentifizierung für interaktive Benutzer

    JDBC

    • Abfrage- und Prozeduraufrufe an eine externe Datenbank, die während des Ausführung eines Prozesses mithilfe des JDBC-Diensts durchgeführt werden

    • LiveCycle-Repository für den internen Zugriff

    WebDAV

    Ermöglicht das Remote-Durchsuchen der Entwurfsversion des LiveCycle-Repositorys (Formulare, Fragmente usw.) durch einen beliebigen WebDAV-Client

    AMF

    Adobe Flash-Anwendungen, in denen LiveCycle-Serverdienste mit einem Remoting-Endpunkt konfiguriert sind

    JMX

    LiveCycle legt MBeans für die Überwachung mit JMX offen

    3.6.3 Anschlüsse für Anwendungsserver

    In diesem Abschnitt werden die Standardanschlüsse (und alternativen Konfigurationsbereiche) für jeden unterstützten Anwendungsservertyp beschrieben. Abhängig davon, welche Netzwerkfunktionalität Sie für Clients bereitstellen möchten, die eine Verbindung zu dem Anwendungsserver herstellen, auf dem LiveCycle ausgeführt wird, müssen diese Anschlüsse in der inneren Firewall aktiviert bzw. deaktiviert werden.

    Hinweis: Standardmäßig legt der Server mehrere JMX MBeans unter dem Namespace adobe.com offen. Dabei werden nur für die Überwachung des Serverzustands nützliche Informationen offengelegt. Um die Offenlegung von Informationen zu verhindern, sollten Sie jedoch Aufrufe von einem nicht vertrauenswürdigen Netzwerk davon abhalten, JMX MBeans zu suchen und auf Serverzustandsmetriken zuzugreifen.

    JBoss-Anschlüsse

    Zweck

    Anschluss

    Zugriff auf Webanwendungen

    [JBoss-Stammordner]/server/all/deploy/jbossweb-tomcat50.sar/server.xml

    HTTP/1.1 Connector-Anschluss 8080

    AJP 1.3 Connector-Anschluss 8009

    SSL/TLS Connector-Anschluss 8443

    Zugriff auf LiveCycle-Serverdienste

    [JBoss-Stammordner]/server/all/conf/jboss-service.xml

    WebService-Anschluss 8083

    NamingService-Anschluss 1099

    RMIport 1098

    RMIObjectPort 4444

    PooledInvoker ServerBindPort 4445

    Unterstützung für J2EE-Cluster

    [JBoss-Stammordner]/server/all/deploy/cluster-service.xml

    ha.jndi.HANamingService-Anschluss 1100

    RmiPort 1101

    RMIObjectPort 4447

    (nur Cluster) ServerBindPort 4446

    CORBA-Unterstützung

    [JBoss-Stammordner]/server/all/conf/jacorb.properties

    OAPort 3528

    OASSLPort 3529

    SNMP-Unterstützung

    [JBoss-Stammordner]/server/all/deploy/snmp-adaptor.sar/META-INF/jbossservice. XML

    Anschlüsse 1161, 1162

    [JBoss-Stammordner]/server/all/deploy/snmp-adaptor.sar/managers.xml

    Anschluss 1162

    WebLogic-Anschlüsse

    Zweck

    Anschluss

    Zugriff auf Webanwendungen

    • Überwachungsanschluss des Verwaltungsservers: 7001 (Standard)

    • Überwachungsanschluss des Verwaltungsservers: 7002 (Standard)

    • Für verwalteten Server konfigurierter Anschluss, z. B. 8001

    WebLogic-Verwaltungsanschlüsse sind für den Zugriff auf LiveCycle nicht erforderlich

    • Überwachungsanschluss des verwalteten Servers: Konfigurierbar zwischen 1 und 65534

    • SSL-Überwachungsanschluss des verwalteten Servers: Konfigurierbar zwischen 1 und 65534

    • Überwachungsanschluss von Node Manager: 5556 (Standard)

    WebSphere 6.1-Anschlüsse

    Informationen zu WebSphere 6.1-Anschlüssen, die für LiveCycle erforderlich sind, finden Sie in „Port number settings in WebSphere Application Server versions“.

    WebSphere 7.0-Anschlüsse

    Informationen über WebSphere 7.0-Anschlüsse, die für LiveCycle erforderlich sind, finden Sie unter http://publib.boulder.ibm.com/infocenter/wasinfo/v7r0/index.jsp?topic=/com.ibm.websphere.migration.express.doc/info/exp/ae/rmig_portnumber.html.

    3.6.4 Konfigurieren von SSL

    Bezogen auf die in Abschnitt 3.6.1 Physische Architektur von LiveCycle beschriebene physische Architektur, sollten Sie SSL für alle Verbindungen konfigurieren, die Sie verwenden möchten. Besonders alle SOAP-Verbindungen müssen über SSL erfolgen, um die Offenlegung von Benutzerberechtigungen im Netzwerk zu verhindern.

    Anweisungen zum Konfigurieren von SSL auf JBoss, WebLogic und WebSphere finden Sie unter „SSL konfigurieren“ in der LiveCycle Administration-Hilfe.

    3.6.5 SSL-Umleitung konfigurieren

    Nachdem Sie den Anwendungsserver auf die Unterstützung von SSL konfiguriert haben, müssen Sie sicherstellen, dass der gesamte HTTP-Verkehr zu LiveCycle-Anwendungen und -Diensten gezwungen wird, den SSL-Anschluss zu verwenden.

    Informationen zum Konfigurieren der SSL-Umleitung für WebSphere oder WebLogic finden Sie in der Dokumentation zu Ihrem jeweiligen Anwendungsserver.

    1. Wechseln Sie zur Datei „adobe-livecycle-jboss.ear“ und dekomprimieren Sie sie.

    2. Extrahieren Sie die Datei „adminui.war“ und öffnen Sie die Datei „web.xml“ zur Bearbeitung.

    3. Fügen Sie der Datei „web.xml“ den folgenden Code hinzu:

    <security-constraint> 
    <web-resource-collection> 
        <web-resource-name>app or resource name</web-resource-name> 
        <url-pattern>/*</url-pattern> 
        <!-- define all url patterns that need to be protected--> 
        <http-method>GET</http-method> 
        <http-method>POST</http-method> 
    </web-resource-collection> 
    <user-data-constraint> 
        <transport-guarantee>CONFIDENTIAL</transport-guarantee> 
    </user-data-constraint> 
</security-constraint>