Мова: Українська
Якщо ви розгортаєте ActivityInfo за балансувальником навантаження або зворотним проксі-сервером, що забезпечує завершення SSL, ви повинні оновити конфігурацію ActivityInfo, щоб сервер ActivityInfo знав, що він повинен приймати незахищені запити через http, водночас продовжуючи показувати захищені HTTPS URL-адреси в електронних листах-сповіщеннях та інших матеріалах, призначених для користувачів.
Режим HTTPS-проксі підтримується в ActivityInfo Standalone Server, версія 4.0.15 та новіших.
Оновлення config.ini
Ви можете увімкнути режим «HTTPS-проксі», відредагувавши файл config.ini ActivityInfo. Наприклад:
[Server]
Https Port=8080
Https Proxy=True
Використання змінних середовища
Ви також можете надавати значення конфігурації за допомогою змінних середовища.
Це особливо зручно для передачі конфігурації в ActivityInfo, що працює в контейнері Docker. Наступний файл Docker Compose включає в себе розділ «environment», який використовується, щоб увімкнути режим HTTPS-проксі:
version: "3"
networks:
web:
external: true
services:
activityinfo:
image: activityinfo/activityinfo:5.0.0
volumes:
- activityinfo:/data
environment:
- ACTIVITYINFO_SERVER_HTTPS_PROXY=TRUE
- ACTIVITYINFO_SERVER_DOMAIN=activityinfo.example.gov
networks:
- web
volumes:
activityinfo:
Переконайтеся, що заголовок X-Real-IP встановлено
Сервер ActivityInfo Standalone реалізує обмеження частоти запитів на основі IP-адреси для низки кінцевих точок, включаючи сторінку входу. Якщо з однієї IP-адреси буде зроблено забагато невдалих спроб входу, сервер ActivityInfo Standalone тимчасово заблокує цю IP-адресу від подальших спроб входу на кілька хвилин. Це захист від атак грубої сили (Brute-force) та атак розпилення паролів (Password spraying).
Щоб уникнути блокування всіх користувачів, важливо, щоб сервер ActivityInfo Standalone міг точно ідентифікувати IP-адресу всіх запитів, а не просто пов'язував кожен запит з IP-адресою проксі-сервера. Коли режим HTTPS-проксі увімкнено, сервер ActivityInfo Standalone покладається на стандартний HTTP-заголовок X-Real-IP для надання цієї інформації. Переконайтеся, що ваш проксі-сервер правильно встановлює цей заголовок, щоб уникнути блокування всіх ваших користувачів!
Traefik перенаправляє цей заголовок за замовчуванням, і більшість файлів конфігурації Nginx також включатимуть це. Приклад файлу конфігурації Nginx:
server {
server_name activityinfo.example.gov
location / {
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_pass http://localhost:8080;
proxy_redirect http://localhost:8080 https://FQHOST;
}
}