Si implementa ActivityInfo detrás de un balanceador de carga o un proxy inverso que proporciona terminación SSL, debe actualizar la configuración de ActivityInfo para que el servidor de ActivityInfo sepa que debe aceptar solicitudes no seguras a través de http, y al mismo tiempo presentar URL HTTPS seguras en los correos electrónicos de notificación y otros materiales dirigidos al usuario.
El modo Proxy Https es compatible con el Servidor Independiente de ActivityInfo, versión 4.0.15 y posteriores.
Actualizar config.ini
Puede permitir el modo "Proxy HTTPS" editando el archivo config.ini de ActivityInfo. Por ejemplo:
[Server]
Https Port=8080
Https Proxy=True
Usar variables de entorno
También puede proporcionar valores de configuración utilizando variables de entorno.
Esto es especialmente útil para pasar la configuración a ActivityInfo que se ejecuta en un contenedor Docker. El siguiente archivo de Docker Compose incluye una sección de "entorno" utilizada para permitir el modo Proxy HTTPS:
version: "3"
networks:
web:
external: true
services:
activityinfo:
image: activityinfo/activityinfo:4.1.3
volumes:
- activityinfo:/data
environment:
- ACTIVITYINFO_SERVER_HTTPS_PROXY=TRUE
- ACTIVITYINFO_SERVER_DOMAIN=activityinfo.example.gov
networks:
- web
volumes:
activityinfo:
Asegúrese de que la cabecera X-Real-IP está configurada
El servidor Independiente de ActivityInfo implementa la limitación de velocidad basada en la dirección IP para una serie de puntos finales, incluida la página de inicio de sesión. Si una única dirección IP realiza demasiados intentos de inicio de sesión fallidos, el servidor independiente de ActivityInfo bloqueará temporalmente esa dirección IP para que no pueda realizar más intentos de inicio de sesión durante unos minutos. Se trata de una defensa contra los ataques de fuerza bruta y los ataques de pulverización de contraseñas.
Para evitar el bloqueo de todos los usuarios, es importante que el servidor independiente de ActivityInfo pueda identificar con precisión la dirección IP de todas las solicitudes, en lugar de limitarse a vincular cada solicitud a la IP del servidor proxy. Cuando el modo Proxy HTTPS está habilitado, el servidor Independiente de ActivityInfo se basa en la cabecera HTTP convencional X-Real-IP
para proporcionar esta información. ¡Asegúrese de que su servidor proxy está configurando correctamente esta cabecera para evitar bloquear a todos sus usuarios!
Traefik reenvía esta cabecera por defecto, y la mayoría de los archivos de configuración de Nginx también la incluirán. Un ejemplo de archivo de configuración de Nginx:
server {
server_name activityinfo.example.gov
location / {
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_pass http://localhost:8080;
proxy_redirect http://localhost:8080 https://FQHOST;
}
}