Режим HTTPS-проксі

Мова: Українська
Цю статтю перекладено з англійської за допомогою ШІ, тому вона може містити помилки. Ваші відгуки допоможуть нам її покращити.

Якщо ви розгортаєте ActivityInfo за балансувальником навантаження або зворотним проксі-сервером, що забезпечує завершення SSL, ви повинні оновити конфігурацію ActivityInfo, щоб сервер ActivityInfo знав, що він повинен приймати незахищені запити через http, водночас продовжуючи показувати захищені HTTPS URL-адреси в електронних листах-сповіщеннях та інших матеріалах, призначених для користувачів.

Режим HTTPS-проксі підтримується в ActivityInfo Standalone Server, версія 4.0.15 та новіших.

Оновлення config.ini

Ви можете увімкнути режим «HTTPS-проксі», відредагувавши файл config.ini ActivityInfo. Наприклад:

[Server]
Https Port=8080
Https Proxy=True

Використання змінних середовища

Ви також можете надавати значення конфігурації за допомогою змінних середовища.

Це особливо зручно для передачі конфігурації в ActivityInfo, що працює в контейнері Docker. Наступний файл Docker Compose включає в себе розділ «environment», який використовується, щоб увімкнути режим HTTPS-проксі:

version: "3"
networks:
  web:
    external: true

services:
  activityinfo:
    image: activityinfo/activityinfo:5.0.0
    volumes:
      - activityinfo:/data
    environment:
      - ACTIVITYINFO_SERVER_HTTPS_PROXY=TRUE
      - ACTIVITYINFO_SERVER_DOMAIN=activityinfo.example.gov
    networks:
      - web
volumes:
  activityinfo:

Переконайтеся, що заголовок X-Real-IP встановлено

Сервер ActivityInfo Standalone реалізує обмеження частоти запитів на основі IP-адреси для низки кінцевих точок, включаючи сторінку входу. Якщо з однієї IP-адреси буде зроблено забагато невдалих спроб входу, сервер ActivityInfo Standalone тимчасово заблокує цю IP-адресу від подальших спроб входу на кілька хвилин. Це захист від атак грубої сили (Brute-force) та атак розпилення паролів (Password spraying).

Щоб уникнути блокування всіх користувачів, важливо, щоб сервер ActivityInfo Standalone міг точно ідентифікувати IP-адресу всіх запитів, а не просто пов'язував кожен запит з IP-адресою проксі-сервера. Коли режим HTTPS-проксі увімкнено, сервер ActivityInfo Standalone покладається на стандартний HTTP-заголовок X-Real-IP для надання цієї інформації. Переконайтеся, що ваш проксі-сервер правильно встановлює цей заголовок, щоб уникнути блокування всіх ваших користувачів!

Traefik перенаправляє цей заголовок за замовчуванням, і більшість файлів конфігурації Nginx також включатимуть це. Приклад файлу конфігурації Nginx:

server {
    server_name activityinfo.example.gov

    location / {
      proxy_set_header        Host $host;
      proxy_set_header        X-Real-IP $remote_addr;

      proxy_pass              http://localhost:8080;
      proxy_redirect          http://localhost:8080 https://FQHOST;
    }
}
Наступний елемент
Налаштування Mapbox