MOA SP/SS-Administration

Module für Online-Applikationen

Projekt moa

MOA-SP/SS

Übersicht

Basis-Installation
(Webservice)

Basis-Installation
(Klassenbibliothek)

Konfiguration

Optionale
Komponenten

Zurück

Optionale
Komponenten
IIS
Apache
HSM
PostgreSQL

Konfiguration der optionalen Komponenten

Konfiguration des Microsoft Internet Information Server (optional)

Den MOA SP/SS Webservices kann optional ein MS IIS vorgeschaltet sein. In diesem Fall übernimmt der MS IIS die HTTP- bzw. HTTPS-Kommunikation mit dem Aufrufer des Webservices. Die Kommunikation zwischen MS IIS und dem in Tomcat deployten Webservice wird durch Jakarta mod_jk durchgeführt. Die angeführten Konfigurationsschritte gehen von einer MS IIS Standard-Installation aus.

Konfiguration von Jakarta mod_jk im MS IIS
Für die Kommunikation des MS IIS mit dem im Tomcat deployten Webservice wird das ISAPI-Modul von Jakarta mod_jk im MS IIS installiert und konfiguriert. Eine detaillierte Installations- und Konfigurationsanleitung gibt das mod_jk IIS HowTo. Beispiele für workers.properties und uriworkermap.properties Dateien liegen im Verzeichnis $MOA_SPSS_INST/tomcat bei.

Konfiguration von Tomcat
Damit Tomcat die Aufrufe, die von MS IIS mittels Jakarta mod_jk weiterleitet, entgegennehmen kann, muss in $CATALINA_HOME/conf/server.xml der AJP 1.3 Connector aktiviert werden. Im Gegenzug können die Connectoren für HTTP und HTTPS deaktiviert werden. Das geschieht am einfachsten durch Ein- bzw. Auskommentieren der entsprechenden Connector Konfigurations-Elemente in dieser Datei. Die Datei $MOA_SPSS_INST/tomcat/server.mod_jk.xml enthält eine Konfiguration, die ausschließlich den Port für den mod_jk Connector offen lässt.

Konfiguration von SSL
Die Dokumentation zum Einrichten von SSL auf dem MS IIS steht nach Installation des IIS unter http://localhost/iisHelp/ bzw. online zur Verfügung.

Konfiguration des Apache Webservers (optional)

Den MOA SP/SS Webservices kann ein Apache Webserver vorgeschaltet sein. Das Prinzip funktioniert wie bei MS IIS, auch hier wird Jakarta mod_jk für die Kommunikation zwischen Webserver und Tomcat eingesetzt. Die angeführten Konfigurationsschritte gehen von einer Standard-Installation des Apache Webservers aus und sind ident für die Versionen 1.3.x und 2.0.x.

Konfiguration von Jakarta mod_jk im Apache Webserver
Um das MOA-SPSS Webservice hinter einem Apache Webserver zu betreiben, ist die Konfiguration des Apache-Moduls mod_jk erforderlich. Eine detaillierte Installations- und Konfigurationsanleitung gibt das mod_jk Apache HowTo. Ein Beispiel für eine workers.properties Datei liegt im Verzeichnis $MOA_SPSS_INST/tomcat bei.
Um das MOA SP/SS Webservice dem Apache Webserver bekannt zu machen, sind zumindest folgende Einträge im globalen Kontext der Apache-Konfigurationsdatei notwendig:

    LoadModule jk_module /usr/lib/apache/mod_jk.so
    AddModule jk_module
    JkOptions +ForwardKeySize +ForwardURICompat
              -ForwardDirectories
    JkWorkersFile conf/workers.properties    
    JkMount /moa-spss/* moaworker

Die Pfad- und Dateinamen können je nach existierender Apache Installation geringfügig variieren.

Konfiguration von Tomcat
Die Konfiguration von Tomcat ist analog wie im Abschnitt über den MS IIS durchzuführen.

Konfiguration von SSL mit mod_SSL
Apache kann in Verbindung mit mod_SSL als SSL-Endpunkt für das MOA SP/SS Webservice fungieren. In diesem Fall entfällt die SSL-Konfiguration in Tomcat, da Apache und Tomcat auch im Fall von SSL Daten via mod_jk austauschen. Eine detaillierte Installations- und Konfigurationsanleitung von mod_SSL gibt die Online-Dokumentation.

Bei der Verwendung von Client-Authentisierung muss darauf geachtet werden, dass mod_ssl die HTTP-Header mit den Informationen über das Client-Zertifikat exportiert. Dies wird durch Angabe der Option

    SSLOptions +ExportCertData +StdEnvVars

in der Apache-Konfiguration erreicht. Je nach vorhandener SSL-Konfiguration des Apache Webservers kann diese Option im globalen Kontext, im Kontext des Virtual Hosts oder im Kontexts eines Verzeichnisses spezifiziert werden.

HSM, am Beispiel Eracom protectserver orange external (optional)

Eracom protectserver orange external wird gemäß der Installationsanleitung installiert.

Die Bibliotheken in $MOA_SPSS_INST/pkcs11 müssen anschließend in den Library-Pfad des jeweiligen Betriebssystems kopiert werden (Windows 2000: ein Verzeichnis, das in der Umgebungsvariablen PATH vorhanden ist; Linux: ein Verzeichnis, das in der Umgebungsvariablen LD_LIBRARY_PATH vorhanden ist). Der Name der PKCS#11-Bibliothek wird als Wert des Attributs /MOAConfiguration/HardwareKeyModule/@name in der Konfigurationsdatei verwendet.

Konfiguration von PostgreSQL (optional)

Die MOA SP/SS Module können PostgreSQL zum Zwischenspeichern von Certificate Revocation Lists (CRLs) und zum Abspeichern von Log-Meldungen verwenden. In beiden Fällen wird eine installierte und konfigurierte Datenbank vorausgesetzt. Eine detaillierte Übersicht über die Installation und Konfiguration von PostgreSQL gibt die Online-Dokumentation. Hinweis: Eine Möglichkeit, PostgreSQL unter MS Windows zu installieren, besteht darin, Cygwin mit dem PostgreSQL-Package zu installieren. Alternative Installationsvarianten werden auf dieser Seite angeführt.

Anlegen eines Benutzers und einer Datenbank für MOA
Damit die MOA SP/SS Module eine Verbindung zu PostgreSQL aufbauen kann, müssen der Name eines PostgreSQL-Benutzers und einer -Datenbank bekannt sein. Sollten diese nicht vorhanden sein, kann mit folgenden Kommandos ein Benutzer namens moa und eine Datenbank namens moadb angelegt werden:

    createuser -U postgres -d -A -P moa
    createdb -U moa moadb

Da die MOA SP/SS Module über JDBC mit der Datenbank kommunizieren, ist in der Folge die Angabe einer JDBC-URL notwendig, die die Verbindungsparameter enthält. Wurden der Benutzer und die Datenbank wie im obigen Beispiel angelegt, ist folgende JDBC-URL anzugeben (durchgeschrieben, in einer Zeile):

    jdbc:postgresql://host/moadb?user=moa&
      password=moapass

(Annahme: als Passwort für den Benutzer moa wurde moapass gewählt). Die Zeichen jdbc:postgresql:// sind unveränderliche Bestandteile einer PostgreSQL JDBC-URL. host gibt den Rechner an, auf dem PostgreSQL läuft. Der nächste Parameter (moadb) identifiziert den Namen der Datenbank. Über die Parameter user= und pass= werden Benutzer und Passwort bekanntgegeben.

Caching von CRLs
Zum Cachen von CRLs müssen in der MOA SP/SS Konfigurationsdatei die Einträge archiveRevocationInfo auf true und DataBaseArchiveParameter.JDBCUrl auf eine gültige JDBC-URL gesetzt werden. Da es sich hier um einen Eintrag in eine XML-Datei handelt, muss das Zeichen "&" in der oben gezeigten JDBC-URL durch die Zeichenfolge "&" ersetzt werden.

Logging
Für das Logging in eine PostgreSQL Datenbank mittels Jakarta Log4j muss zunächst eine Tabelle für die Log-Meldungen angelegt werden. Dies kann mit folgendem SQL-Statement erreicht werden:

    create table spss_log 
      (log_time timestamp, 
       log_level varchar(5), 
       log_msg text);

Um das Logging in die Datenbank Log4j bekannt zu machen, muss die Log4j-Konfiguration adaptiert werden. Die Datei $MOA_SPSS_INST/conf/moa-spss/log4j.properties enthält bereits eine beispielhafte Jakarta Log4j-Konfiguration für das Logging in eine PostgreSQL Datenbank, die standardmäßig ausgeschaltet ist. Wie beim Caching von CRLs ist auch hier die Angabe einer JDBC-URL notwendig, damit die MOA SP/SS Module eine Verbindung zur Datenbank aufnehmen können.
Hinweis: Bei Tests hat sich das Logging in eine Datenbank mit Jakarta Log4j als Performance-Engpass herausgestellt. Es wird deshalb empfohlen, auf dieses Feature zu verzichten.