Helios Orange eServer

Z Asseco Solutions
Přejít na: navigace, hledání
groups: lcs ; lcseditor ; partner (ro) ; translator (ro) ; customer (ro) ; anonymous (ro) ;

Obsah

HELIOS eServer

HELIOS eServer (eServer) je modul systému HELIOS Orange (HeO), který umožňuje přístup k údajům v systému prostřednictvím webové služby využívající architekturu REST (Representational State Transfer).


Řešení sServer se sestává z následujících souborů:

  • HeliosEServer.EXE – webová služba zprostředkovávající údaje mezi HeO a klientem (tunel; neumožňuje doménové přihlašování)
  • HeliosEServerService.EXE – varianta webové služby, která je instalovaná jako služba do MS Windows
  • HeliosRuntime.EXE – HeO bez uživatelského rozhraní, který slouží jako zdroj údajů
  • Libeay32.dll knihovna pro komunikaci (v adresáři Helios)
  • ssleay32.dll knihovna pro komunikaci (v adresáři Helios)


eServer vyžaduje dále soubory z HeO a to: HeKonfig.dll, Helios.ini. RegPlugin.ini. Tyto soubory mohou být umístěny ve stejném adresáři jako HeliosEServer.EXE, nebo cestu na ně je možné nastavit v konfiguraci (možnost Helios Config Path).

V případě potřeby jazykových verzí, je potřebné, aby jazykové knihovny DLL (HeGB.dll, HeSK.dll,...) byly umístěné ve stejném adresáři jako HeliosEServer.EXE.



Tip Pro eServer a HELIOS Zoom je založena vlastní sekce ve [znalostní databázi - "Helios na cesty"].
Tip Je možné, aby uživatel, který má právo přistupovat přes eServer do HELIOS Orange, měl tři současně spuštěné přístupy (instance Runtime). To znamená, že pod jedním uživatelským účtem je možné najednou pracovat například na počítači, tabletu a mobilu.
Upozornění Počet současně běžících instancí HELIOS Orange a Helios Runtime na jednom serveru je technicky omezen na 60. V případě potřeby většího počtu současných přístupů je třeba zvážit, zda se nemá spouštět Runtime vždy jen ve chvíli čtení nebo zápisu (mimo tyto chvíle je odhlášen), nebo zda nevyužívat jedno přihlášení pro více činností, nebo zda není vhodné spustit další eServer na jiném serveru.


Instalace

eServer můžete využívat jako samostatně spouštěné EXE, nebo nainstalovat jako službu ve Windows (doporučené použití). Soubory najdete v adresáři, kde máte nainstalovaný HELIOS Orange, podadresář eServer. Při update HELIOS Orange jsou aktualizovány i soubory v podadresáři eServer, proto je nutné zvolit jednu z níže uvedených variant umístění souborů eServeru:

  • Ponechání v podadresáři eServer - pří každém update HELIOS Orange je nutné službu HELIOSeServer zastavit, a po update spustit. Je zaručeno, že verze HELIOS Orange a HELIOS Orange eServer jsou stejné.
  • Přesunutí do jiného adresáře - update HELIOS Orange je možné provést bez zastavení služby. Je ale nutné aktuální verzi eServeru po update překopírovat do daného adresáře, aby byla verze eServeru a HELIOS Orange stejná (při přesunu je nutné službu zastavit). Přesunutí do jiného adresáře (například na jiném serveru) může být i z bezpečnostních důvodů.


eServer nainstalujete v následujících krocích (spoločné pro EXE a pro službu):

  1. Zkontrolujte, zda adresář, v kterém máte uložené "EXE" soubory, je zapisovatelný (právo zápisu) pro uživatele, kterým budete pokračovat v instalaci (kvůli zápisu HeliosEServer.ini, v kterém jsou uložena všechna potřebná nastavení). Od verze Windows 8 a vyšší nebývá právo zápisu, pokud je eServer umístěn v Program Files.
  2. Spusťte HeliosEServer.EXE, počkejte na zobrazení okna.
    Pokud se při spuštění HeliosEServer.EXE zobrazuje záznam v logu "... - port is occupied", již probíhá komunikace - toto je informace, že HeliosEServer.EXE nemůže zahájit komunikaci (je spuštěn jiný HeliosEServer.EXE, nebo běží služba - službu je možné zastavit na záložce Service) .
    EServer 1 Formular.png
  3. Klikněte na tlačítko "Open web console".
  4. Otevře se webový prohlížeč, který bude zobrazovat data z přenastaveného portu místního počítače.
    EServer 2 Login.png
  5. Přihlaste se výchozím heslem "Helios100953" (heslo po prvním přihlášení změňte).
  6. Zobrazí se webová konzole eServeru. Bližší popis konzole je v kapitole Webová konzole.
    EServer 3 Web.png
  7. Vyberte volbu "Config" pro úpravu konfigurace.
    EServer 4 Konfiguracia.png
  8. Konkrétní nastavení je uvedeno v části Konfigurace. Pokud nejsou překopírovány konfigurační soubory Heliosu do složky eServeru, je nutné zadat do "Helios Config Path" cestu na konfigurační soubory (zpravidla jsou ve stejné složce jako Helios.EXE). Provedené změny uložte tlačítkem "Save" ve spodní části.
    Při zjišťování chyb je možné nastavit "Log Priority" na hodnoty 0 až 3 , po ověření funkčnosti je vhodné nastavit na hodnotu 1. Dále je vhodné nastavit vlastní adresář na tvorbu logů - "File Path". Pro každý den vzniká samostatný soubor logu (když není vyplněná cesta, tak jsou soubory ukládány do stejné složky jako je eServer).
  9. Pokud chcete využívat eServer jako samostatné EXE, tak zavřete okno z bodu 1, a znovu spusťte EXE pro použití upravených nastavení.
  10. Pokud chcete nainstalovat službu do Windows, tak v okně eServeru klikněte na záložku Service.
    EServer 5 Service.png
  11. Pro instalaci služby klikněte na tlačítko "Install service". V případě, že je zapnuté UAC, bude třeba potvrdit spuštění akce jako administrátor (případně je třeba potvrdit spuštění stisknutím tlačítka OK na nově otevřeném dialogovém okně). Dále klikněte na tlačítko "Start service". Po stisknutí tlačítka spuštění je uvedený status "Start pending", pro aktualizaci stavu je třeba stisknout tlačítko "Refresh status" - status se po chvíli změní na "Running". V případě problému naleznete více informací v souboru logu.
  12. Zavřete okno. Váš eServer je připraven k použití.
  13. Pro zvýšení bezpečnosti doporučujeme nastavit soubor HeliosEServer.ini k zápisu jen uživateli, pod kterým běží služba, nebo který spouští HeliosEServer.EXE.
  14. eServer umožňuje přístup do HELIOS Orange uživatelům definovaným na SQL serveru, aby tito uživatelé mohli eServer využívat, musí být v konfiguraci uživatelů v HELIOS Orange zařazeni do eServeru. Nastavení přístupových práv v HELIOS Orange je eServerem respektováno.
    HeOU1.png
  15. Je třeba zajistit dostupnost eServeru z internetu – průchodnost přes všechny firewally až na cílový server, kde daná služba běží (hraniční firewall do internetu, všechny routery, Windows Server firewall).
JAK NEJLÉPE:
Jak nejlépe

V případě, že máte aktivní HTTP protokol, je možné pro ověření funkčnosti použít webový prohlížeč, kde zadáte "http://localhost:{HTTPPort}/datasnap/rest/THeliosMethods/GetEServerVersion" pro zobrazení verze eServeru.

Příklad http://localhost:8080/datasnap/rest/THeliosMethods/GetEServerVersion

Pokud je všechno v pořádku, zobrazí se Vám odpověď eServeru:

{
"result": [
{
"type": "HeliosResultTypes.ResultString.THeliosResultString",
"id": 1,
"fields": {
"Result": "2.0.2015.0252",
"Version": "",
"IsError": false,
"ErrorMessage": "",
"ResultType": "hrtResult"
}
}
]
}

Když odpověď obsahuje "IsError": true, tak nastala chyba, která je uvedená v hodnotě "ErrorMessage":.

Webová konzole

Webová konzole slouží ke konfiguraci eServeru, a zobrazení vybraných informací o stavu serveru. Pro první přihlášení je třeba zadat výchozí heslo "Helios100953", které doporučujeme po přihlášení změnit. Port, na kterém konzole komunikuje, je možné upravit v konfiguraci (výchozí port je 8081).

EServer 2 Login.png


Server info

V této části jsou zobrazeny vybrané informace o serveru, na kterém běží eServer, i o samotném eServeru. Jsou zde například čísla portů pro komunikaci, vytížení procesorů a jednotlivých jader, využití paměti (celková paměť, využitá a volná), ...
EServer 3 Web.png


Konfigurace (Config)

Táto část slouží k nastavení parametrů eServeru.
EServer 4 Konfiguracia.png
Nastavení jsou rozdělené do částí. U každé části je možnost zobrazit nápovědu (ikona s otazníkem), která zobrazí stručný popis jednotlivých nastavení.
EServer 6 SettingsDetail.png


Konfigurace obsahuje následující části:

Helios - nastavení související s HELIOS Orange

  • Helios Config Path – cesta na konfigurační soubory HELIOS Orange (HeKonfig.dll, Helios.ini, RegPlugin.ini). Pokud není vyplněná, eServer soubory hledá v adresáři, kde je HeliosEServer.EXE. Pokud chcete využívat stejné soubory, které používá Vaše aktuální instalace HELIOS Orange, tak zadejte cestu na adresář s Helios.EXE.
Predvolená hodnota: není vyplněno (prázdný řetězec)


Settings – nastavení pro eServer

  • TCP/IP Port – port, na kterém bude eServer spouštět protokol TCP/IP (pokud je 0, tak tento způsob připojení nebude dostupný).
Výchozí hodnota: 211
  • HTTP Port – port, na kterém bude eServer spouštět protokol HTTP (pokud je 0, tak tento způsob připojení nebude dostupný).
Výchozí hodnota: 8080
  • Min Port, Max Port – interval portů, na kterých bude probíhat interní komunikace mezi eServerem a HeliosRuntime. Tyto porty by neměly byť přístupné z internetu, a mělo by jich být minimálně tolik, kolik klientů se bude připojovat k eServeru. Každé připojení využije jeden port.
Výchozí hodnota: Min Port – 230, Max Port: 65530
  • Session Timeout – doba platnosti připojení v minutách. Určuje dobu, po kterou bude eServer udržovat aktivní instanci Helios Runtime. Po vypršení bude ukončená, a bude nutné se znovu přihlásit.
Výchozí hodnota: 30
  • HTTPS Port – port, na kterém bude eServer spouštět protokol HTTPS (pokud je 0, tak tento způsob připojení nebude dostupný).
Výchozí hodnota: 0
  • Certificate File Name – cesta a název souboru s certifikátem, který bude použitý k zabezpečení připojení přes HTTPS protokol. Otestované jsou soubory s certifikátem s příponou pem a crt.
Výchozí hodnota: není vyplněno (prázdný řetězec)
  • Key File Name – cesta a název souboru s klíčem pro certifikát (soubory s příponou key).
Výchozí hodnota: není vyplněno (prázdný řetězec)
  • Root Certificate File Name – cesta a název souboru s certifikátem certifikační autority (otestovaný jsou soubory s příponou crt).
Výchozí hodnota: není vyplněno (prázdný řetězec)
Dotaz nebo informativní hláška Z hlediska nastavení aplikace HELIOS Zoom je vazba na porty následující: protokol DataSnap využívá TCP/IP, protokol REST dle nastavení využívá HTTP nebo HTTPS.


Log - Nastavení pro logování

Logy se vytváří tak, že pro každý den je vytvořen samostatný soubor.

  • Priority – priorita logovaných zpráv. Zprávy mají prioritu 1 - 3. Pokud bude nastaveno:
    • 1 - logovat se budou zprávy s prioritou 1,
    • 2 - logovat se budou zprávy s prioritami 1 a 2,
    • 3 - logovat se budou zprávy s prioritami 1, 2 a 3,
    • 0 - logování neprobíhá.
Výchozí hodnota: 0
  • File Extension – přípona souboru pro logování.
Výchozí hodnota: txt
  • File Path - místo, kam se mají ukládat soubory s logy (pokud nebude vyplněno, tak se budou soubory ukládat do stejného adresáře, ve kterém je HeliosEServer.EXE).
Výchozí hodnota: není vyplněno (prázdný řetězec)
  • File Name - název souboru pro logování zpráv z eServeru.
Výchozí hodnota: HeliosEServerLog
  • Runtime File Name – název souboru pro logování zpráv z Helios Runtime.
Výchozí hodnota: HeliosRuntimeLog
Tip Logování doporučujeme spouštět v případě ladění, testování a zjišťování chyb. V běžném provozu postačuje logovat zprávy s prioritou 1, nebo logování vypnout - hodnota 0.
Tip Některé vybrané zprávy mají prioritu 9, je tedy možné nastavit prioritu i na hodnotu 9.


Web Console – nastavení pro webovou konzoli

  • HTTP Port – port, na kterém komunikuje webová konzole.
Výchozí hodnota: 8081
  • Admin Password – heslo pro přístup do webové konzole (stejné heslo musí být zadáno v Admin Password Repeat).
Výchozí hodnota: Helios100953
  • Admin Password Repeat – zopakování hesla, které je uvedeno v Admin Password. Pokud hesla v Admin Password a Admin Password Repeat nejsou shodná, nedojde k uložení konfigurace.
Výchozí hodnota: Helios100953


Statistics – nastavení pro statistiky

  • Enabled – určuje, zda budou statistiky vytvářené.
Výchozí hodnota: 0 (vypnuto)
  • Database – databáze, do které budou statistiky ukládané. Není doporučené využívat databázi HELIOS Orange. Vhodnější je jiná, samostatná databáze.
Výchozí hodnota: HeliosEServerStats
  • Username – přihlašovací jméno uživatele, který bude použitý při ukládání statistik. Je doporučené, aby to nebyl uživatel z role sysadmin.
Výchozí hodnota: není vyplněno (prázdný řetězec)
  • Password – heslo uživatele, který bude použitý při ukládání statistik.
Výchozí hodnota: není vyplněno (prázdný řetězec)
Tip Statistiky doporučujeme spouštět v případě ladění, testování a zjišťování chyb. V běžném provozu by měly být statistiky vypnuty z důvodu omezení růstu databáze s uloženými statistikami.


Save - uložení

  • Konfiguraci uložíte kliknutím na tlačítko Save. Údaje se zapisují do HeliosEServer.ini (do adresáře, ve kterém se nachází HeliosEServer.EXE). Pokud soubor neexistuje, bude vytvořený. V případě, že nebude soubor, nebo adresář (v případě neexistence souboru) zapisovatelný, tak nebude zobrazené tlačítko Save, ale bude zobrazena hláška informující o tom, že není možné uložit konfiguraci.
  • Pokud jsou zapnuté statistiky, tak při ukládání probíhá kontrola, zda existují potřebné tabulky a databáze. Pokud neexistují, eServer se je pokusí založit. Pokud zadaný uživatel nemá právo vytvářet databázové objekty, zobrazí se dotaz na zadání přihlašovacích údajů uživatele, který bude využit pro založení objektů.


Připojení (Sessions)

V části Připojení je možné vidět všechny aktívní připojení k eServeru.
EServer 7 Sessions.png
Po kliknutí na vybrané připojení se zobrazí detail s dalšími údaji.
EServer 8 SessionDetail.png


Log (Current Log)

Zobrazuje obsah souboru s logem eServeru z aktuálního dne.

Statistiky (Statistics)

Tato část je přístupná jen tehdy, pokud jsou v konfiguraci zapnuté statistiky. Zobrazují se zde vybrané přehledy z připojení k eServeru.

HTTPS

eServer podporuje zabezpečený HTTPS protokol. Pro jeho zprovoznění je třeba splnit následující body:

  1. Doplnit instalaci eServeru o OpenSLL knihovny
  2. Získat nebo vygenerovat certifikáty pro RSA šifrování

Knihovny OpenSSL

eServer tyto knihovny standardně v instalaci neobsahuje (je to obvyklá situace vyplývající z licenčních podmínek produktu OpenSSL). Je třeba aby si instalaci stáhl a nainstaloval až koncový uživatel.

Přeložené knihovny je možné stáhnout z více zdrojů. Použít lze například tento zdroj http://slproweb.com/products/Win32OpenSSL.html:

http://slproweb.com/download/Win32OpenSSL_Light-1_0_2k.exe

Je nutné použít 32 bitovou verzi knihoven a doporučujeme verzi 1.0.2k, u které máme funkčnost ověřenou. Instalační program vytvoří složku OpenSSL-Win32 na systémovém disku. Potřebné DLL knihovny standardně umístí do složky s Windows, kde si je eServer automaticky vyhledá. Pokud by nastaly problémy, můžete knihovní soubory libeay32.dll a ssleay32.dll zkopírovat přímo do složky kde je HeliosEServer.EXE.

Upozornění Po instalaci OpenSSL restartujte počítač!.

SSL certifikáty

Optimální by bylo použít ověřený komerční certifikát například od Thawte nebo jiné certifikační autority (za který se platí roční poplatky), ale pro interní provoz nebo pokud akceptujete vyšší riziko napadení zabezpečené komunikace MiM útokem, je možné použít vlastnoručně podepsaný certifikát (self-signed).

Certifikáty je možné vygenerovat různým způsobem, ale jelikož jste už OpenSSL museli instalovat v eServeru, je nejjednodušší použít přímo tento nástroj. Postup je následující:

Vygenerování soukromého klíče

Nejdříve je nutné vygenerovat soukromý RSA klíč (jde o 1024 bitový RSA klíč šifrovaný metodou 3-DES a uložený v čitelném PEM formátu):

Příklad openssl genrsa -des3 -out server.key 1024

Openssl02.PNG

Heslo můžete použít libovolné, ale poznamenejte si ho. V dalších krocích ho sice z klíče odstraníte, ale budete ho k tomu potřebovat.

Vytvoří se soubor server.key, jeho název můžete pochopitelně zvolit dle sebe.

Vygenerování žádosti o podpis certifikátu

Nyní můžete vytvořit žádost o podepsání certifikátu (CSR = Certificate Signing Request). Tuto žádost můžete buď odeslat certifikační autoritě v procesu vydávání ověřeného certifkátu, nebo v dalších krocích si vytvořit certifikát vlastnoručně podepsaný.

Příklad openssl req -new -key server.key -out server.csr

Openssl03.PNG

Pokud budete chtít žádost uplatnit u některé certifikační autority, doporučujeme prostudovat návod, jak vyplnit jednotlivé položky. Jinak je vyplňte dle vlastního uvážení. Nepoužívejte diakritiku! 'Extra' údaje nevyplňujte.

Na začátku vložíte heslo soukromého klíče server.key, které jste si v předchozím kroku poznamenali.

Po dokončení se vytvoří soubor server.csr, který obsahuje žádost o podpis certifikátu.

Odstranění hesla ze soukromého klíče

Pro správnou činnost eServeru je třeba, aby soukromý klíč bylo možné použít bez ověřování hesla. Z klíče je proto nutné odebrat šifrování a heslo.

Upozornění Je třeba si uvědomit, že po odstranění hesla může soukromý klíč použít kdokoliv, kdo se k němu dostane. Je proto vhodné zajistit přístup do složky kde bude umístěn (složka s eSeverem) pouze správcům systému.

V navrhovaném postupu se nejdříve provede záloha klíče pod název server.key.org a pak se z něj vytvoří klíč bez hesla s názvem server.key:

Příklad ren server.key server.key.org
openssl rsa -in server.key.org -out server.key


Openssl04.PNG

Vygenerování vlastnoručně podepsaného certifikátu

Nyní můžete vygenerovat vlastnoručně podepsaný certifikát, který pak můžete použít pro zajištění šifrované HTTPS komunikace eServeru. Klientská aplikace Zoom akceptuje při HTTPS komunikaci i nedůvěryhodné certifikáty vlastnoručně podepsané, což sice snižuje odolnost proti kyberútokům typu Men in the Middle, ale zjednodušuje a zlevňuje nasazení HTTPS protokolu.

Jelikož je heslo ze soukromého klíče již odstraněné, není nutné ho při generování certifikátu již zadávat:

Příklad openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
Tip Parametr -days určuje dobu platnosti certifikátu. V příkladu se generuje certifikát platný 365 dnů. Použijte počet dnů dle vašeho uvážení.

Openssl05.PNG

Výsledný soubor server.crt použijete jako serverový certifikát v eServeru.

Soubor:Příklad.jpg==== Použití soukromého klíče a serverového certifikátu ====

Po provedení přechozího postupu budou ve složce s OpenSSL soubory server.key a server.crt.

Openssl06.PNG

Doporučujeme tyto soubory přesunout do složky s eServerem a následně nastavit parametry HTTPS protokolu:

Eserverconfighttps.PNG

HTTPS Port

Obvyklá hodnota je 443, ale technicky je možné použít libovolný port. V případě přístupu na https port z internetu je dobré konzultovat tuto hodnotu se správce sítě z důvodu konfigurace hraničního routeru a nastavení firewallu.

Certificate File Name

Zde použijete soubor serverového certifikátu server.crt vytvořený v předchozím postupu.

Key File Name

Zde použijete soubor soukromého klíče server.key vytvořený v předchozím postupu.

Upozornění Je třeba použít celou cestu k souboru a to i v případě, že jsou soubory ve složce s eServerem.

Příklad nastavení údajů v profilu Zoomu pro eServer na lokálním počítači:

Zoomserver.PNG

Za obsah tohoto článku odpovídá Jan Žoček, máte-li k obsahu připomínky, pošlete nám mail
Osobní nástroje
Jmenné prostory
Varianty
Akce
Navigace
dokumentace orange
dokumentace easy
společné návody a tipy
interní dokumentace
Nástroje
další nástroje
Tisk/export