Authentication Service and Communication Log Service
1. Um Messages an den inneren Server senden zu können, muss der Message Service des DMZ Integration Servers gestartet sein (was grundsätzlich ohnehin in einer DMZ-Konfiguration erforderlich ist). Das geschieht durch den entsprechenden Abschnitt der Datei ./etc/factory_dmz.xml im DMZ Server. Die Remote-Schnittstelle soll ebenfalls aktiviert werden (analog Kapitel Konfiguration inneres System). Sie ist z. B. erforderlich, wenn ein neuer FTP-Benutzer angelegt wird, dem auch auf der DMZ ein Home-Verzeichnis erzeugt werden soll.
2. Ein DMZ Server (in einfacher DMZ-Konfiguration) oder mehrere DMZ Server (in einem DMZ-Verbund) müssen jeweils über ihren Message Authentication Service auf den Authentication Service des inneren Servers zugreifen. Die Datei ./etc/auth_dmz.xml enthält als Kommentarabschnitte die wichtigsten Konfigurationsparameter. Die erforderliche Mindestangabe ist defaultTarget, das ist die IP-Adresse oder der DNS Name des inneren Servers. Dabei wird als Default die Portnummer 8020 verwendet.
<Configure class="com.ebd.hub.services.auth.MessageAuthenticationService"><!-- The Message Queue for receiving from DMZ. Default if not set: System:AuthCall<Set name="messageContext">System</Set><Set name="messageQueue">AuthCall</Set>--><!-- Host and port for forwarding Messages. Use it if no Routes are defined for Message Service. If no routes and no defaultTargetis defined, the service can not connect. If the port is omitted, the default port 8020 is used. --><Set name="defaultTarget">192.168.93.67</Set>...Wenn der Message Service des inneren Servers auf einer abweichenden Portnummer hört, muss die Portnummer angegeben werden, z. B.: 192.168.93.67:8722
Hinweis: Das defaultTarget ist die einfachste Möglichkeit, eine Route zum inneren Message Service zu konfigurieren, falls in der Datei ./etc/message.xml (DMZ) keine Routen konfiguriert sind. Wenn es aber für den Message Service des DMZ bereits explizite Routen gibt, wird der Parameter defaultTarget vom Message Authentication Service ignoriert. Falls die Message Queue noch nicht existiert, wird sie beim Start erzeugt. Der Name der Queue muss mit der Konfiguration des inneren Servers (siehe Kapitel Konfiguration inneres System ) übereinstimmen. Empfehlung: verwenden Sie den Standard-Namen (Abschnitt auskommentieren). Der Message Communication Log Service hat analog gleichnamige Konfigurationsparameter, der Default für die Message Queue ist dort aber System:CommlogCall.
3. Die Netzverbindung zwischen dem DMZ Server und dem inneren Server ist üblicherweise durch eine Firewall gesichert. Die Firewall-Konfiguration muss TCP-Verbindungen, eingehend, vom DMZ Server (bzw. in einem DMZ-Verbund von allen DMZ Servern) zu dem Message Port des inneren Servers (Default: 8020) zulassen. Der Message Authentication Service und der Message Communication Log Service arbeiten beide mit der gleichen Target-Portnummer. Die Konfiguration des defaultTarget soll identisch sein. Dieser Port wird auch vom Communication Forward Manager (DMZ) genutzt. Dadurch muss in der Firewall nur ein einziger Port, der Message Port (Default: 8020) für eingehende Verbindungen aus der DMZ in das innere Netz freigeschaltet werden.
4. Zusatzfunktion: Der Message Communication Log Service erlaubt es, genau wie der Communication Log Service, dass sich eine Anwendung als Communication Log Listener registriert, um über Ereignisse und Einträge informiert zu werden, die vom Communication Log Service geloggt werden. Das wird aber im Standard nicht verwendet. Um dieses Feature nutzen zu können, ist folgendes zusätzlich erforderlich.
DMZ-Server: Das Remote Interface des Message Service muss aktiviert werden.
Firewall: TCP-Verbindung vom inneren Server zum DMZ Remote Interface (Port 8020).