3.6 Configuration réseau sécurisée

Cette section décrit les protocoles et les ports requis par LiveCycle et propose des recommandations pour déployer LiveCycle dans une configuration réseau sécurisée.

3.6.1 Architecture physique de LiveCycle

Cette image présente les composants et les protocoles utilisés dans un déploiement classique de LiveCycle, dont la topologie de pare-feu appropriée.

3.6.2 Protocoles réseau utilisés par LiveCycle 

Lorsque vous configurez une architecture réseau sécurisée comme décrit dans la section précédente, les protocoles réseau suivants sont requis pour l’interaction entre LiveCycle et d’autres systèmes dans le réseau de votre entreprise.

Protocole

Utilisation

HTTP

  • Le navigateur affiche Configuration Manager et des applications Web d’utilisateur final.

  • Toutes les connexions SOAP

SOAP

  • Applications clientes de services Web telles que les applications .NET

  • Adobe Reader® utilise SOAP pour les services Web de LiveCycle Server

  • Les applications Adobe Flash® utilisent SOAP pour les services Web de serveur LiveCycle

  • Appels du SDK LiveCycle si utilisation en mode SOAP

  • Environnement de création de Workbench

RMI

Appels du SDK LiveCycle si utilisation en mode Enterprise JavaBeans (EJB)

IMAP / POP3

  • Entrée par courrier électronique dans un service (point de fin de courrier électronique)

  • Notifications des tâches utilisateur par courrier électronique

UNC File IO

Surveillance de LiveCycle des dossiers de contrôle pour l’entrée dans un service (point de fin de dossier de contrôle)

LDAP

  • Synchronisations des informations relatives aux utilisateurs et aux groupes de l’entreprise dans un annuaire

  • Authentification LDAP pour les utilisateurs interactifs

JDBC

  • Appels de requête et de procédure à une base de données externe lors de l’exécution d’un processus utilisant le service JDBC

  • Référentiel LiveCycle d’accès interne

WebDAV

Permet la navigation à distance dans le référentiel de conception LiveCycle (formulaires, fragments, etc.) par tout client WebDAV.

AMF

Applications Adobe Flash, dans lesquelles les services de serveur LiveCycle sont configurés avec un point de fin Remoting.

JMX

LiveCycle expose les MBeans pour le contrôle avec JMX.

3.6.3 Ports de serveur d’applications

Cette section décrit les ports par défaut (et les plages de configurations alternatives) pour chaque type de serveur d’applications pris en charge. Ces ports doivent être activés ou désactivés sur le pare-feu interne, selon la fonctionnalité réseau que vous souhaitez autoriser aux clients qui se connectent au serveur d’applications qui exécute LiveCycle.

Remarque : Par défaut, le serveur expose plusieurs MBeans JMX sous l’espace de nom adobe.com. Seules les informations utiles à la surveillance de la santé du serveur sont exposées. Toutefois, pour éviter toute divulgation d’informations, interdisez aux appelants dans un réseau non approuvé de rechercher les MBean JMX et d’accéder aux mesures de santé.

Ports JBoss

Fonction

Port

Accès aux applications Web

[racine JBoss]/server/all/deploy/jbossweb-tomcat50.sar/server.xml

Port HTTP/1.1 Connector 8080

Port AJP 1.3 Connector 8009

Port SSL/TLS Connector 8443

Accès aux services de LiveCycle Server

[racine JBoss]/server/all/conf/jboss-service.xml

Port WebService 8083

Port NamingService 1099

RMIport à partir de 1098

RMIObjectPort à partir de 4444

PooledInvoker ServerBindPort 4445

Prise en charge des grappes de serveurs J2EE

[racine JBoss]/server/all/deploy/cluster-service.xml

Port ha.jndi.HANamingService à partir de 1100

RmiPort 1101

RMIObjectPort 4447

(Grappes de serveurs uniquement) ServerBindPort 4446

Prise en charge de CORBA

[racine JBoss]/server/all/conf/jacorb.properties

OAPort 3528

OASSLPort 3529

Prise en charge de SNMP

[racine JBoss]/server/all/deploy/snmp-adaptor.sar/META-INF/jbossservice. xml

Ports 1161, 1162

[racine JBoss]/server/all/deploy/snmp-adaptor.sar/managers.xml

Port 1162

Ports WebLogic

Fonction

Port

Accès aux applications Web

  • Port d’écoute d’Admin Server : 7001 par défaut

  • Port d’écoute SSL d’Admin Server : 7002 par défaut

  • Port configuré pour Managed Server, par exemple 8001

Ports d’administration de WebLogic non requis pour l’accès à LiveCycle 

  • Port d’écoute de Managed Server : configurable de 1 à 65534

  • Port d’écoute SSL de Managed Server : configurable de 1 à 65534

  • Port d’écoute de Node Manager : 5556 par défaut

Ports WebSphere 6.1

Pour plus de détails sur les ports WebSphere 6.1 requis par LiveCycle, consultez Paramètres des numéros de ports dans les versions de WebSphere Application Server.

Ports WebSphere 7.0

Pour plus d’informations sur les ports WebSphere 7.0 requis par LiveCycle, visitez le site Web http://publib.boulder.ibm.com/infocenter/wasinfo/v7r0/index.jsp?topic=/com.ibm.websphere.migration.express.doc/info/exp/ae/rmig_portnumber.html.

3.6.4 Configuration de SSL

En vous référant à l’architecture physique décrite dans la section 3.6.1 Architecture physique de LiveCycle, configurez SSL pour toutes les connexions que vous prévoyez d’utiliser. Spécifiquement, toutes les connexions SOAP doivent être établies via SSL pour empêcher que les informations d’identification des utilisateurs soient exposées sur un réseau.

Pour savoir de quelle manière configurer le protocole SSL sur JBoss, WebLogic et WebSphere, voir Configuration de SSL dans Aide à l’administration de LiveCycle.

3.6.5 Configuration de la redirection SSL

Après avoir configuré votre serveur d’applications pour qu’il prenne en charge SSL, vous devez vous assurer que l’ensemble du trafic HTTP vers les applications et les services LiveCycle utilise le port SSL.

Pour configurer la redirection SSL pour WebSphere et WebLogic, reportez-vous à la documentation de votre serveur d’applications.

  1. Accédez au fichier adobe-livecycle-jboss.ear et décompressez-le.

  2. Extrayez le fichier adminui.war et ouvrez le fichier web.xml pour le modifier.

  3. Ajoutez le code suivant au fichier web.xml :

<security-constraint> 
    <web-resource-collection> 
        <web-resource-name>app or resource name</web-resource-name> 
        <url-pattern>/*</url-pattern> 
        <!-- define all url patterns that need to be protected--> 
        <http-method>GET</http-method> 
        <http-method>POST</http-method> 
    </web-resource-collection> 
    <user-data-constraint> 
        <transport-guarantee>CONFIDENTIAL</transport-guarantee> 
    </user-data-constraint> 
</security-constraint>