Modo proxy HTTPS

Este artículo se ha traducido del inglés mediante IA y puede contener errores. Sus comentarios nos ayudarán a mejorar.

Si despliega ActivityInfo detrás de un balanceador de carga o un proxy inverso que proporciona terminación SSL, debe actualizar la configuración de ActivityInfo para que el servidor de ActivityInfo sepa que debe aceptar solicitudes no seguras a través de http, mientras sigue presentando URLs HTTPS seguras en los correos electrónicos de notificación y otros materiales dirigidos al usuario.

El modo Proxy Https es compatible con el Servidor Autónomo de ActivityInfo, versión 4.0.15 y posteriores.

Actualización de config.ini

Puede permitir el modo "Proxy HTTPS" editando el archivo config.ini de ActivityInfo. Por ejemplo:

[Server]
Https Port=8080
Https Proxy=True

Uso de variables de entorno

También puede proporcionar valores de configuración utilizando variables de entorno.

Esto es especialmente conveniente para pasar la configuración a ActivityInfo que se ejecuta en un contenedor Docker. El siguiente archivo Docker Compose incluye una sección de "entorno" utilizada para permitir el modo Proxy HTTPS:

version: "3"
networks:
  web:
    external: true

services:
  activityinfo:
    image: activityinfo/activityinfo:5.0.0
    volumes:
      - activityinfo:/data
    environment:
      - ACTIVITYINFO_SERVER_HTTPS_PROXY=TRUE
      - ACTIVITYINFO_SERVER_DOMAIN=activityinfo.example.gov
    networks:
      - web
volumes:
  activityinfo:

Asegúrese de que la cabecera X-Real-IP está configurada

El servidor Autónomo de ActivityInfo implementa una limitación de velocidad basada en la dirección IP para una serie de puntos finales, incluyendo la página de inicio de sesión. Si una única dirección IP realiza demasiados intentos de inicio de sesión fallidos, el servidor autónomo de ActivityInfo bloqueará temporalmente esa dirección IP para que no pueda realizar más intentos de inicio de sesión durante unos minutos. Esta es una defensa contra los ataques de fuerza bruta y los ataques de pulverización de contraseñas.

Para evitar el bloqueo de todos los usuarios, es importante que el servidor autónomo de ActivityInfo pueda identificar con precisión la dirección IP de todas las solicitudes, en lugar de simplemente vincular cada solicitud a la IP del servidor proxy. Cuando el modo Proxy HTTPS está habilitado, el servidor Autónomo de ActivityInfo se basa en la cabecera HTTP X-Real-IP convencional para proporcionar esta información. ¡Asegúrese de que su servidor proxy está configurando correctamente esta cabecera para evitar bloquear a todos sus usuarios!

Traefik reenvía esta cabecera por predeterminado, y la mayoría de los archivos de configuración de Nginx también la incluirán. Un ejemplo de archivo de configuración de Nginx:

server {
    server_name activityinfo.example.gov

    location / {
      proxy_set_header        Host $host;
      proxy_set_header        X-Real-IP $remote_addr;

      proxy_pass              http://localhost:8080;
      proxy_redirect          http://localhost:8080 https://FQHOST;
    }
}

Siguiente elemento

Configuración de Mapbox