Настройка функций сервера PAS
Продукт PAS поставляется предварительно настроенным с определенными серверными функциями и фильтрами HTTP-запросов (известными как valves), которые активируются при каждом клиентском запросе. Стандартные конфигурации PAS по умолчанию эффективны в большинстве сценариев, однако некоторые функции и/или фильтры могут быть деактивированы для обеспечения безопасности или оптимизации времени обработки HTTP-запросов в зависимости от специфических требований. Для управления параметрами сервера рекомендуется использовать утилиту командной строки tcman:
tcman.{bat|sh} feature <feature-name>={on|off}
| Функция | По умолчанию | Описание |
| SecurityListener | off | Для запуска сервера требуются права администратора |
| HTTP | on | Разрешать HTTP-клиентские соединения |
| HTTPS | on | Разрешать HTTPS-клиентские соединения |
| AJP13 | off | Включить конектор с серверов HTTPd/IIS |
| Cluster | off | Включить кластеризацию Tomcat |
| RemoteHostValve | on | Фильтровать клиентский доступ по имени DNS-узла |
| RemoteAddrValve | on | Фильтровать клиентский доступ по IP-адресу |
| SingleSignOn | on | Включить единый вход Tomcat SSO в веб-приложениях |
| AccessLog | on | Отслеживание клиентских HTTP-запросов и ответов |
| CrawlerSessionManager | on | Уменьшите влияние веб-приложений-поисковиков (Web Crawler) на пул сеансов |
| StuckSessionValve | on | Сообщать о подозрительных зависших HTTP-запросах |
Рекомендации по настройке:
- StuckSessionValve: применяется ко всем развернутым веб-приложениям, включая OpenEdge, выполняющим запросы на языке ABL. Настройка может приводить к ложным срабатываниям, поэтому информация, предоставляемая этой функцией, должна рассматриваться как информативная, а не как ошибка.
- CrawlerSessionManager: защищает от большого количества HTTP-сессий, инициируемых внешними индексаторами веб-страниц, которые могут потреблять значительное количество памяти. Для экземпляров PAS for OpenEdge, подключенных к Интернету, рекомендуется активировать данную функцию (значение on). В случае интранет-экземпляров PAS for OpenEdge функцию можно деактивировать (значение off).
- AccessLog: Данная функция использует время обработки для форматирования и записи данных отслеживания HTTP-клиентов. Ее ценность субъективна, поэтому рекомендуется отключать эту функцию, если она не является необходимой.
- SingleSignOn (SSO): позволяет пользователям осуществлять аутентификацию в PAS for OpenEdge только один раз для всех веб-приложений в определенной области (realm). Веб-приложения Apache Tomcat management и OpenEdge remote administration совместно используют одну область realm и получают выгоду от единого входа. Веб-приложения OpenEdge (oeabl.war) также могут воспользоваться этой функциональностью, если они настроены для обеспечения безопасности контейнеров. Если в производственной среде PAS for OpenEdge веб-приложения для администрирования не развернуты или не требуется единый вход, функцию SSO можно деактивировать.
- Кластеры экземпляров PAS for OpenEdge: кластеры представляют собой продвинутые архитектурные решения веб-серверов и должны быть активированы только при необходимости для поддержки приложений ABL с использованием нескольких экземпляров PAS for OpenEdge.
- SecurityListener: данная функция используется редко, но предоставляется для конфигураций производственной безопасности, соответствующих лучшим практикам. Функция должна быть активирована только в случае уверенности в том, что экземпляры PAS for OpenEdge развернуты с необходимыми разрешениями для файлов и каталогов операционной системы.
- RemoteHostValve и RemoteAddrValve: по умолчанию эти фильтры разрешают все имена и адреса хостов, что обеспечивает минимальные накладные расходы. Поскольку DNS и IP-адреса не являются надежными для идентификации интернет-клиентов, эти фильтры могут быть деактивированы, если PAS for OpenEdge подключен к Интернету. Они могут быть более полезны в случаях, когда PAS for OpenEdge функционирует в защищенной интрасети, которую сайт конечного пользователя считает безопасной.