Настройка веб-интерфейса

Настройка веб-интерфейса в Hardware Inspector Client/Server осуществляется из Hardware Inspector Client в меню "Сервис"-"Управление веб-интерфейсом".

По умолчанию, после инсталляции Hardware Inspector Server, он пытается запустить встроенный веб-сервер на порту 80 и встроенный API-сервер на порту 8080. При необходимости можно открыть порты для https подключений, обязательно указав в настройках путь к SSL-сертификату вашего домена и приватному ключу.

Для полноценной работы Hardware Inspector Service Desk необходимо в Hardware Inspector Server ввести регистрационный ключ в меню "Сервис"-"Управление сервером" (вкладка "Лицензии").

Настройка совместной работы IIS и встроенного в Hardware Inspector Server веб-сервера

Новое поколение Hardware Inspector Service Desk не требует для своей работы IIS и ASP.NET. Для обеспечения его работы теперь необходимо использовать серверную часть Hardware Inspector Server программного продукта Hardware Inspector Client/Server, в которую встроены веб-сервер и API сервер.

В принципе, после установки Hardware Inspector Server, веб-интерфейс должен заработать сразу, без необходимости что-либо конфигурировать. Но если на машине с Hardware Inspector Server уже работает старое поколение Hardware Inspector Service Desk, то веб-интерфейс нового поколения может не запуститься, так как порт 80 в этом случае может быть уже занят веб-сервером IIS.
В данном руководстве рассматриваем ситуацию, когда необходимый для работы встроенного в Hardware Inspector Server веб-сервера стандартный порт 80 (http) и/или 443 (https) занят другим приложением. Это может быть IIS или какой-то другой веб-сервер.

Дело в том, что порт на сетевом интерфейсе занимается каждым приложением монопольно и блокирует возможность его прослушивания другими приложениями. Это означает что на одном IP адресе прослушивать порт 80/443 может только один веб-сервер.

Решается проблема достаточно просто. В свойствах TCP/IP протокола сетевой карте сервера можно присвоить два (и более) IP адреса. А затем в параметрах одного веб-сервера настроить прослушивание 80/443 порта на одном IP, а в параметрах второго веб-сервера — на втором IP адресе.

Некоторое затруднение может возникнуть с IIS, который норовит захватить 80 и 443 порты на всех сетевых интерфейсах, даже если в Диспетчере служб IIS в свойствах веб-приложения (раздел "Привязка") мы явно указали прослушивать строго определенный IP.
В данной статье мы как раз и рассмотрим шаги, которые помогут более тонко настроить IIS, заставив его обрабатывать http-запросы, поступающие строго на определенные IP адреса сервера.
Это особенно актуально для тех, кто мигрирует со старого поколения Hardware Inspector Service Desk, работающего под управлением IIS+ASP.NET, на новое поколение Hardware Inspector Service Desk. И желает первое время параллельно использовать работу с заявками как старым вариантом Hardware Inspector Service Desk, так и новым вариантом.

При работе приложение слушает порт 80/443 (веб-сервер статического контента) и 8080/8443 (API-сервер). Необходимо обеспечить возможность серверу захватить эти порты, а также открыть их для внешнего подключения в файрволе сервера.

Итак, предположим, что в свойствах TCP/IP v4 сетевой карты сервера изначально был присвоен IP адрес 192.168.1.100 (на нем работают веб-приложения IIS). В дальнейшем мы хотим чтобы IIS работал именно на этом IP, а для встроенного в Hardware Inspector Server веб-сервера мы добавим к сетевому интерфейсу дополнительный IP адрес 192.168.1.101.

На сервере запускаем cmd от имени Администратора (В Проводнике заходим в папку Windows\System32, находим там cmd.exe и правой кнопкой мыши выбираем пункт «Запустить от имени Администратора»).
В открывшемся командном окне исполняем команду:
netstat -ab
В полученном списке находим какие приложения прослушивают (статус LISTENING) порт 80 и 443 на IP адресе 192.168.1.101. При этом следует учесть, что IP адрес 0.0.0.0 означает, что приложение занимает порт вообще на всех сетевых интерфейсах этого компьютера, включая наш 192.168.1.101.

Скорее всего окажется, что IIS занимает порт 80 и 443 приложением w3wp.exe, забиндившись на IP 0.0.0.0. Если наши порты занимает именно IIS, то переходим к следующему разделу этого руководства, которое поможет настроить прослушивание IIS'ом портов только на 192.168.1.100.

В ранее запущенном от имени Администратора командном окне исполняем команду:
netsh
далее набираем:
http
и нажимаем Enter.
Нам необходимо узнать какие IP адреса «захватил» IIS для своей работы. Исполняем команду:
show iplisten
Теперь нам необходимо указать IIS, что он должен работать только на IP адресе 192.168.1.100. Это можно сделать командой:
add iplisten ipaddress=192.168.1.100
В случае необходимости, удалить прослушиваемый адрес из списка IIS можно командой:
delete iplisten ipaddress=192.168.1.100
Далее, выходим командой:
exit
и перезапускаем IIS командой:
iisreset

Настройка встроенного в Hardware Inspector Server веб-сервера

IP адрес, на котором будет прослушиваться 80 и 443 порт настраивается в файле:
C:\ProgramData\Database Harbor\Hardware Inspector Server\HTTP\WebServer.json
в параметре serverStaticContent.http.ip и serverStaticContent.https.ip. Включение веб-сервера статического содержимого осуществляется свойством serverStaticContent.http.active и serverStaticContent.https.active.

Кроме того, можно также указать на какой IP адрес будет забинден API. Для этого необходимо указать значение "192.168.1.101" в параметре serverAPI.http.ip и serverAPI.https.ip.
Если значения IP адреса в четырех свойствах файла WebServer.json оставить пустыми, то будет использоваться IP адрес, который указан во вкладке "Настройки" приложения Hardware Inspector Server.

После установки значения 192.168.1.101, из нашего примера, необходимо перезапустить Hardware Inspector Server.

Настоятельно рекомендуем конфигурировать встроенный веб-сервер и API не прямым редактированием файла C:\ProgramData\Database Harbor\Hardware Inspector Server\HTTP\WebServer.json и C:\ProgramData\Database Harbor\Hardware Inspector Server\HTTP\Root\assets\API.json, а через GUI интерфейс Hardware Inspector Client (меню "Сервис"-"Управление веб-интерфейсом").

Настройка SSL сертификата для работы по протоколу HTTPS

Для исключения вероятности перехвата трафика между браузером и сервером (особенно если веб-сервер открыт для доступа из сети Интернет) желательно использовать протокол HTTPS при подключении к серверу. Для этого необходимо получить SSL сертификат для доменного имени, на котором доступен веб-сервер. Сертификат можно либо приобрести, либо получить бесплатно с помощью сервиса Let's Encrypt.

SSL сертификат состоит из двух файлов (публичный ключ и приватный ключ). Причем в файле с публичным ключом необходимо поместить и публичный ключ(и) вышестоящего(их) сертификационного центра. Иногда поставщик SSL сертификата сразу предоставляет файл с публичным ключом+цепочкой вышестоящих (к примеру, он может иметь название FullChain.pem).

Файлы с сертификатами необходимо поместить в папку C:\ProgramData\Database Harbor\Hardware Inspector Server\HTTP\SSL, а затем прописать путь к ним во вкладках "Встроенный веб-сервер" и "API" формы "Управление веб-интерфейсом" (вызывается в Hardware Inspector Client из меню "Сервис").

Работа Hardware Inspector Service Desk без встроенного веб-сервера

Новый Hardware Inspector Service Desk может работать и без встроенного в Hardware Inspector Server веб-сервера. Это может быть необходимо для интеграции Hardware Inspector Service Desk в интранет-сервера, либо при работе на старых версиях Windows.

Для этого достаточно скопировать статическое содержимое веб-приложения из папки "C:\ProgramData\Database Harbor\Hardware Inspector Server\HTTP\Root\" в сторонний веб-сервер.

Параметры подключения к серверу API, а также некоторые другие базовые параметры, хранятся в файле HTTP\Root\assets\API.json. Изменять параметры можно либо вручную, либо в меню "Сервис"-"Управление веб-интерфейсом" приложения Hardware Inspector Client.

В случае использования стороннего веб-сервера, после каждого обновления версии Hardware Inspector Client/Server необходимо копировать обновившееся содержимое папки "C:\ProgramData\Database Harbor\Hardware Inspector Server\HTTP\Root\" в сторонний веб-сервер.

Настройка файрвола

В любом случае необходимо в настройках файрвола открыть порты для подключения с внешних хостов. Как правило, необходимо открыть порты 80 и 8080 для http, а также 443 и 8443 - для https.

Настройка браузера и прозрачная авторизация пользователей

Для работы прозрачной авторизации необходимо в настройках Internet Explorer, во вкладке "Безопасность" отнести адрес веб-сервера, на котором работает Hardware Inspector Client/Server, к интрасети. А в параметрах безопасности, в разделе "Проверка подлинности пользователя", должен быть разрешен автоматический вход в сеть.

Кроме того, в Hardware Inspector или Hardware Inspector Client в меню "Сервис"-"Параметры" во вкладке "Прочее" необходимо включить Windows-авторизацию в веб-интерфейсе.

Чтобы для пользователя происходила автоматическая авторизация, необходимо из приложения Hardware Inspector или Hardware Inspector Client в справочнике пользователей прописать логин пользователя (включая имя домена) в свойство "Логин" в формате домен\логин. Если в имени домена есть символ ".", то в качестве домена должны фигурировать символы до первой точки.
Но авторизация может осуществляться и без заполнения поля "Логин". Для этого пользователь должен быть привязан к соответствующему ему пользователю в Active Directory. Привязка осуществляется автоматически при импорте пользователя из Active Directory через инструмент "Синхронизация с Active Directory", либо вручную, через кнопку "Привязка к AD" в форме "Синхронизация с Active Directory".

Снятие ограничений демонстрационного режима

Для снятия ограничений необходимо в Hardware Inspector Client в меню "Сервис"-"Управление сервером" во вкладке "Лицензии" ввести регистрационный ключ на Hardware Inspector Service Desk и перезапустить Hardware Inspector Server.

В демонстрационном режиме в веб-интерфейсе смогут авторизоваться только первые 20 пользователей из списка пользователей (при сортировке по алфавиту) и в списке заявок будут отображаться только первые 20 заявок. Таким образом, если при включенной вин-авторизации пользователь не может попасть в веб-интерфейс и у него отображается форма авторизации, то скорее всего для него просто не хватает лимита лицензии Hardware Inspector Service Desk, либо не введен его регистрационный ключ.