Kluwer Online Advies locale infrastructuur
Auteur: Versie: Datum: Bestand:
Kluwer COO Online 1.31 05-03-2013 KLW-MAN-Advies_Locale_Infra-v1_31.docx
Kluwer Online - Advies locale infrastructuur
Kluwer
Inhoudsopgave 1
Browser Instellingen .......................................................................................... 4 1.1 Inleiding ................................................................................................................................... 4 1.2 Internet Explorer (Alle versies) ................................................................................................ 4 1.2.1 Content Blocker ............................................................................................................... 4 1.2.2 Pop-up blocker................................................................................................................. 4 1.2.3 Browser Cookies.............................................................................................................. 5 1.2.4 Phishing Filter .................................................................................................................. 6 1.2.5 Kluwer domeinen toevoegen aan “Vertrouwde Sites” ..................................................... 7 1.2.6 Geavanceerde instellingen .............................................................................................. 8 1.2.7 Internet Zones.................................................................................................................. 9 1.2.8 Compatibiliteitsweergave ............................................................................................... 10 1.3 Mozilla FireFox ...................................................................................................................... 11 1.3.1 Pop-up Blocker .............................................................................................................. 11 1.3.2 Cookies .......................................................................................................................... 11 1.4 Apple Safari (MacOS X) ........................................................................................................ 12 1.4.1 Proxy Instellingen .......................................................................................................... 12
2
Netwerk infrastructuur..................................................................................... 13 2.1 2.2 2.3 2.4
Proxy servers ......................................................................................................................... 13 Wisselende IP externe adressen ........................................................................................... 13 Proxy over Proxy ................................................................................................................... 14 Proxy Bypass ......................................................................................................................... 14
Bijlagen.................................................................................................................... 15 Voorbeeld instellingen Internet Explorer ........................................................................................... 15
§
Datum: 05-03-2013 Kluwer Navigator thuis
Versie: 1.31 Pagina 2 van 16
Kluwer Online - Advies locale infrastructuur
Kluwer
Algemeen Doel van dit document Dit document heeft als doel te informeren en te adviseren over de aspecten van Kluwer online- en Content Integratie producten in beveiligde netwerken en werkplekken. Dit document geeft ICT beheerders inzicht hoe eventuele problemen opgelost kunnen worden. Bepaalde beveiligingsinstellingen van een browser kunnen leiden tot verminderde bruikbaarheid van online applicaties. In het geval van de Kluwer online applicaties kunnen de volgende effecten ontstaan: • Op onverwachte momenten beëindigen van gebruikers sessies. (“Ticket already activated” of “Uw sessie is verlopen” of “De idp parameter mist of is incorrect.”). • Het verschijnen van login schermen (men was even daarvoor toch echt ingelogd). • Wisselend gedrag opvragen documenten soms wel / soms geen toegang. • Delen van pagina’s of documenten worden niet getoond. • Blanco pagina’s. • Incorrecte werking van printfuncties. • Gebruikersinstellingen worden niet opgeslagen.
Browser specificaties Kluwer De browsers die Kluwer officieel ondersteunt zijn: • Internet Explorer 7, 8, 9, 10 • FireFox 7.0 – 17 • Safari 5 (MacOS 10.6 Snow Leopard) Opmerking: In de documentatie zijn bepaalde schermvoorbeelden in het Nederlands en sommige in het Engels, omdat Kluwer niet over alle browsers in combinatie met beveiligingscomponenten beschikt. De voorbeelden in dit document zijn gebaseerd op Internet Explorer 7 en 8, FireFox 10 en Safari 5. In andere versies van deze browsers is de functionaliteit vergelijkbaar.
Disclaimer Iedere organisatie heeft een andere infrastructuur en andere een werkplek omgevingen. Het is daarom niet mogelijk om adviezen te geven die bij iedere organisatie toegepast kunnen worden. Wij adviseren u met uw eigen ICT afdeling af te stemmen welke van de in dit document genoemde adviezen voor uw organisatie van toepassing zijn. Dit document is met de grootst mogelijke zorgvuldigheid samengesteld echter Kluwer is niet verantwoordelijk voor problemen die kunnen ontstaan van het aanpassen van deze instellingen.
§
Datum: 05-03-2013 Kluwer Navigator thuis
Versie: 1.31 Pagina 3 van 16
Kluwer Online - Advies locale infrastructuur
Kluwer
1 Browser Instellingen 1.1
Inleiding
Veel voorkomende problemen doen zich voor in web browsers in combinatie met beveiligingsinstellingen. Dit hoofdstuk beschrijft de instellingen die verstoringen kunnen veroorzaken en voorkomen.
1.2
Internet Explorer (Alle versies)
1.2.1 Content Blocker De content blocker in Internet Explorer evalueert de beveiligingsregels (instellingen in de browser) en op basis daarvan wordt bepaald wat er geblokkeerd dient te worden. Bij gebruik van de content blocker kan de correcte werking van de site niet gegarandeerd worden omdat delen van sites niet geladen worden. Dit kan resulteren in: • Sessie problemen (wel/niet ingelogd zijn, ‘Ticket already activated’ melding) • Delen die niet goed getoond worden • Print overzicht dat geen content toont • Problemen met vormgeving / stijl
Zodra het icoon ( ) van de content blocker verschijnt zijn bij het laden van de desbetreffende pagina één of meerdere onderdelen geblokkeerd.
Oplossingen: • Zorg ervoor dat de pop-up blocker anders wordt ingesteld of Kluwer.nl opgenomen wordt in de configuratie (zie § 1.2.2). • Zorg ervoor dat cookies geaccepteerd worden (zie § 1.2.3). • Voeg de Kluwer domeinen toe aan the “vertrouwde sites” (zie § 1.2.5). • Evalueer de “Geavanceerde Instellingen” (zie § 1.2.6). 1.2.2 Pop-up blocker De pop-up blocker zorgt ervoor dat de zogenaamde ‘pop-up’ windows tegen gehouden kunnen worden. Dit betekent dat op het online platform de printfunctie niet correct werkt of zelfs niet verschijnt.
§
Datum: 05-03-2013 Kluwer Navigator thuis
Versie: 1.31 Pagina 4 van 16
Kluwer Online - Advies locale infrastructuur
Kluwer
Zie (Engels): Internet Options Privacy Pop-up blocker (frame) Settings
Indien een pop-up blocker aan staat zal voor Kluwer een uitzondering gemaakt moeten worden. Neem hier *.kluwer.nl op. Opmerking: Beter is dit centraal te regelen via group policies in het netwerk, dan hoeft niet elke werkplek afzonderlijk ingeregeld te worden.
1.2.3 Browser Cookies Veel Internet applicaties die gebruik maken van gebruikerssessies beroepen zich op het ‘cookie’ mechanisme van een browser. Ook de Kluwer portal maakt gebruik van dit mechanisme. Internet Explorer dient cookies te accepteren. Zie: Internet Options Privacy Settings (frame) Sites… Vervolgens kan hier specifiek een domeinnaam worden opgegeven met de status “Block” of “Allow”. Indien er problemen zijn met cookies dan zal *.kluwer.nl hier toegevoegd moeten worden met de optie “Allow”.
Zie ook de “advanced” opties voor cookies. Het is afhankelijk van de netwerk pollicy wat hier ingesteld moet zijn.
§
Datum: 05-03-2013 Kluwer Navigator thuis
Versie: 1.31 Pagina 5 van 16
Kluwer Online - Advies locale infrastructuur
Kluwer
1.2.4 Phishing Filter Phishing is een vorm van internetfraude waarbij gebruikers worden opgelicht d.m.v. een ‘nep-site’ die probeert gebruikersgegevens of creditcard informatie probeert te ‘ontfrutselen’. Het phishing filter in Internet Explorer is een mechanisme om frauduleuze sites te weren. Echter kan deze controle de performance van sites drastisch in gevaar brengen. Zie onderstaand schermvoorbeeld van het phishingfilter in actie.
Binnen professionele netwerken wordt afgeraden gebruik te maken van een dergelijke oplossing per werkplek. Dit kan centraal geregeld worden in het netwerk (proxy server). Op deze manier heeft afdeling netwerkbeheer ook betere controle over het gedrag ervan. Als er performance problemen optreden bij het openen van sites (o.a. de Kluwer online omgeving) kan er voor gekozen worden het phishing filter uit te zetten. Afhankelijk van de Windows / Browser versie kan het Phishing filter worden uitgeschakeld. Zie onderstaande voorbeelden te vinden in o.a. Internet Instellingen.
Er kan gekozen worden om automatisch controleren uit te zetten. Een andere optie is om het phishing proces volledig uit te schakelen (dit raden wij aan om performance problemen te voorkomen).
§
Datum: 05-03-2013 Kluwer Navigator thuis
Versie: 1.31 Pagina 6 van 16
Kluwer Online - Advies locale infrastructuur
Kluwer
1.2.5 Kluwer domeinen toevoegen aan “Vertrouwde Sites” In Internet browsers, zoals Internet Explorer waar gebruik wordt gemaakt van “Vertrouwde Sites” (dit is een instelling in Internet Explorer, in de Engelse versie heet dit “Trusted Sites”) dient rekening gehouden te worden dat de Kluwer domeinen hierin zijn opgenomen om een correcte werking te garanderen. In sommige organisaties is dit op centraal niveau geregeld en is een dergelijke instelling op werkplekniveau niet nodig. Zie schermvoorbeelden “internet instellingen”: Nederlands: zie tabblad “Beveiliging”. Engels: zie tabblad “Security”.
De volgende domeinen dienen worden opgenomen in the “Vertrouwde sites”. http://*.kluwer.nl https://*.kluwer.nl
Opmerking: Dit kan overigens ook centraal in het netwerk geregeld worden zodat alle werkplekken hier automatisch van zijn voorzien.
§
Datum: 05-03-2013 Kluwer Navigator thuis
Versie: 1.31 Pagina 7 van 16
Kluwer Online - Advies locale infrastructuur
Kluwer
1.2.6 Geavanceerde instellingen In sommige gevallen is het opgeven van “vertrouwde sites” niet voldoende en dienen er extra instellingen gemaakt te worden. Zie instellingen:
Ga naar het onderdeel Nederlands: “Overig” / “Diversen” Engels: “Custom level” 1) Zet pop-up blocker uit.
Dit zorgt ervoor dat bepaalde onderdelen van de website niet geblokkeerd worden. Opmerking: In de meeste gevallen kan dit op niveau van een specifieke site gedaan worden. Dit verdient de voorkeur boven het volledig uitschakelen van de pop-up blocker.
2) Zet Mixed content op “Enabled”.
Dit is o.a. nodig voor het inframen van Kluwer content.
§
Datum: 05-03-2013 Kluwer Navigator thuis
Versie: 1.31 Pagina 8 van 16
Kluwer Online - Advies locale infrastructuur
Kluwer
1.2.7 Internet Zones De internet zones zijn instellingen voor sites die voldoen aan zo’n zone. Per zone kan in het aangepaste niveau instellingen gemaakt worden. Deze instellingen zijn behoorlijk uiteenlopend. In bepaalde gevallen kan het voorkomen dat een site in verschillende zones afgehandeld wordt tijdens een gebruikersessie. In zo’n situatie is niet te voorspellen hoe een site zich gedraagt, dit is sterk afhankelijk van de instellingen. De gebruiker kan verschillende problemen ervaren zoals: • Beëindigden van gebruikerssessies (gebruiker was ingelogd en opeens niet meer) • Authenticatie tussen aanpalende systemen werkt niet (gebruiker navigeert van het ene systeem naar het andere systeem en verliest zijn login-sessie, denk aan het openen van Tools, PDF’s of Handboeken vanaf het Navigator platform). • Single Sign-On werkt niet. • Blanco schermen. • Vastlopen van Internet Explorer.
Bij problemen is raadzaam om na te gaan of de browser zich in een bepaalde zone bevindt. Dit valt af te lezen aan de informatie balk onderin de web browser (status bar).
Bovenstaande illustratie toont de informatiebalk en geeft aan dat de site wordt afgehandeld door de Internet zone (met alle bijbehorende instellingen).
§
Datum: 05-03-2013 Kluwer Navigator thuis
Versie: 1.31 Pagina 9 van 16
Kluwer Online - Advies locale infrastructuur
Kluwer
Wisselingen tussen Internet Zones Indien een site wisselt van een vertrouwde zone (trusted site) naar bijvoorbeeld Internet zone dan zal in vele gevallen een nieuw browser window geopend. Tijdens dit proces vindt een Zone wissel plaats en Internet Explorer begint met een schone lei (oude sessies zijn dan niet meer bekend). Dit geeft in vele gevallen problemen met gebruikerssessies waardoor er verstoring plaatsvindt in de website / webapplicatie.
1.2.8 Compatibiliteitsweergave De compatibiliteitsweergave is in het leven geroepen door Microsoft om sites die volgens de Internet Explorer 7 standaard zijn gemaakt ook te bekijken zijn in Internet Explorer 8 en later. Echter kan de compatibiliteitsweergave het gebruik van een webapplicatie verstoren. Merkbare effecten zijn: • Presentatie van documenten is incorrect (zinnen lopen over elkaar, uitlijning is niet correct, e.d.) • Beperkingen in functionaliteit (knoppen die niet werken, drop-down boxen die niet werken, e.d.).
Bovenstaande afbeelding toont compatibiliteitsweergave ‘aan’. Intranet en compatibiliteitsweergave Tevens wordt bij een standaard installatie (default) van Internet Explorer de compatibiliteitsweergave voor de Intranet-Zone automatisch aangezet. Dit houdt in dat alle applicaties die zich intern in het netwerk (intranet) aangeboden worden zich zo zullen gedragen. Opmerking: gebruikers van Rechtsorde Lokaal dienen hier rekening mee te houden. De optie om compatibiliteitsweergave uit te zetten voor intranet applicaties is te vinden in het pulldown menu: Extra Instellingen voor de compatibiliteitsweergave Of Engelse versie: Tools Compatibility View settings In het scherm is een instelling te vinden die er voor zorgt dat intranet sites in compatibiliteitsweergave gezet worden. Deze optie uitschakelen.
§
Datum: 05-03-2013 Kluwer Navigator thuis
Versie: 1.31 Pagina 10 van 16
Kluwer Online - Advies locale infrastructuur
1.3
Kluwer
Mozilla FireFox
FireFox maakt gebruik van Open Standaarden en geeft de minste problemen met het openen van sites. Een standaard (default) FireFox installatie is afdoende en hoeft niet aangepast te worden.
1.3.1 Pop-up Blocker Er zijn voor FireFox een verscheidenheid aan pop-up blockers in omloop. Let hierbij op dat Kluwer sites niet geblokkeerd worden.
1.3.2 Cookies Cookies dienen geaccepteerd te worden door de brower. Dit is nodig om sessie informatie van de gebruiker op te slaan. Zie internet instellingen in FireFox en kies “Privacy”. Kies vervolgens uit het dropdown menu “Use custom settings for history”. • •
Zorg ervoor dat te allen tijde cookies worden geaccepteerd (Accept cookies from sites). Zorg ervoor ook dat “third-party” cookies worden geaccepteerd. Dit laatste zorgt ervoor dat bij Content Integratie oplossingen in combinatie met inframen van content cookies van derden (Kluwer) worden geaccepteerd.
§
Datum: 05-03-2013 Kluwer Navigator thuis
Versie: 1.31 Pagina 11 van 16
Kluwer Online - Advies locale infrastructuur
1.4
Kluwer
Apple Safari (MacOS X)
Kluwer ondersteunt officieel het gebruik van de Apple Safari browser alleen voor Mac OS 10.6 Snow Leopard besturings-systemen.
1.4.1 Proxy Instellingen In de systeem instellingen van MacOS X kunnen eventuele proxy server instellingen worden opgenomen. Handmatige Proxy Bij de handmatige proxy dient de proxy server en gebruikersnaam en wachtwoord opgegeven te worden. Indien nodig kan het domein worden meegegeven in de gebruikersnaam: “domein\gebruikersnaam”.
Proxy Pac bestand Indien in het netwerk een proxy configuratie beschikbaar is kan hier naar verwezen worden via de URL en of lokaal bestaan. Dit is het zogenaamde Proxy Pac bestand.
§
Datum: 05-03-2013 Kluwer Navigator thuis
Versie: 1.31 Pagina 12 van 16
Kluwer Online - Advies locale infrastructuur
Kluwer
2 Netwerk infrastructuur 2.1
Proxy servers
Proxy servers kunnen tegenwoordig nogal wat taken toebedeeld krijgen. Zo kunnen proxy servers o.a. taken uitvoeren als (veelal deep packet inspection): • Sites controleren op geldigheid (phishing) waarbij per verzoek een site gecontroleerd wordt. • Black- & white-listing is een manier om bepaalde sites helemaal te blokkeren of juist toe te laten. • Specifiek bepaalde type content weren zoals plaatjes, muziek, video e.d. • Advertenties weren. • Internet verkeer omleiden. • Internet gedrag monitoren. • Gebruikers authenticatie. Al deze taken kunnen leiden tot gegevens- en /of performanceverlies. Dit onderdeel kan een cruciale rol spelen bij de correcte werking van een Internetapplicatie / website.
2.2
Wisselende IP externe adressen
In sommige netwerken is de koppeling met het Internet meervoudig uitgevoerd. Hierbij is externe netwerk verkeer van en naar Internet over meerdere providers geregeld. Veelal zit hier een proxy server tussen die dit afhandelt (proxy load balancing). De reden voor meervoudige koppelingen met het internet kan zijn om fail over te garanderen of om de load van en naar Internet te verdelen over ISP’s. Het onderstaande plaatje geeft een overzicht van een webproxy die via meerdere providers gekoppeld is aan het Internet, ook wel “DNS Round Robin” genoemd.
Het effect van een dergelijke opstelling kan zijn dat bij iedere webactie de gebruiker een ander extern IP adres afgeeft. Dit kan bij Kluwer web applicaties problemen geven bij het Kluwer Navigator Hybrid mechanisme, login sessies. Advies Het advies is om IP wisseling per gebruikerssessie te voorkomen in een load balance proxy omgeving. Om een load balance proxy op te zetten zijn meerdere protocollen beschikbaar zoals o.a.: VRRP (Virtual Router Redundancy Protocol), GLBP (Gateway Load Balancing Protocol) en HSRP (Hot Standby Router Protocol). Alle protocollen kunnen gebruikt worden om een load balance proxy te realiseren maar alle kunnen het probleem van wisseling IP’s hebben, dit is een kwestie van de juiste configuratie opnemen. Voorbeeld van Proxy Load Balance met failover.
§
Datum: 05-03-2013 Kluwer Navigator thuis
Versie: 1.31 Pagina 13 van 16
Kluwer Online - Advies locale infrastructuur
2.3
Kluwer
Proxy over Proxy
Organisaties die over meerdere netwerk segmenten Internet verkeer laten lopen, lopen ook de kans via meerdere web proxy servers te lopen. Bij iedere extra ‘hop’ die gemaakt moet worden over een webproxy server neemt de response tijd af. Dit kan veel extra vertraging met zich meebrengen. Bij het gebruik van (‘rich client’) web applicaties kan de gebruiker het gedrag van de applicatie als zeer traag ervaren. Dit kan al gebeuren bij de kleinste handeling zoals het openklikken van menu’s, het openen van informatie bomen of het openen van documenten. Advies In het netwerk van de organisatie dient het internet verkeer over niet meer dan één proxy een internet verbinding op te zetten. Is dat niet mogelijk het aantal proxy servers in serie tot een minimum te beperken. Op deze manier worden er geen extra vertragingen ingebouwd. Houd er rekening mee dat de meeste proxy servers niet alleen Internet routering uitvoeren, maar bijvoorbeeld ook allerlei controles t.b.v. beveiliging. Bij meerdere proxy servers in serie wordt ook dit proces herhaaldelijk uitgevoerd terwijl eenmalig voldoende is.
2.4
Proxy Bypass
Voor complexe netwerk structuren met een Round Robin architectuur kan het nodig zijn de kluwer hostnames op te nemen in de proxy server(s) en deze op ‘Bypass’ te zetten (dit kan per type proxy een andere benaming hebben). Er wordt dan geen authenticatie geforceerd vanuit de proxy server. Kluwer host names op nemen in de proxy server en op Bypass: http://*.kluwer.nl https://*.kluwer.nl
Mogelijk merkbaar effect: • Meerdere ‘407 authenticatie’ verzoeken richting de browser die eindigen in een ‘access denied’. • Een gebruiker ervaart blanco pagina’s. • Een gebruiker ervaart foutmeldingen in de documenten interfaces.
§
Datum: 05-03-2013 Kluwer Navigator thuis
Versie: 1.31 Pagina 14 van 16
Kluwer Online - Advies locale infrastructuur
Kluwer
Bijlagen Voorbeeld instellingen Internet Explorer Hieronder een overzicht van Instellingen waarbij Internet applicaties van Kluwer correct werken, deze zijn gebaseerd op Internet Explorer 7, 8 en 9. Het is niet noodzakelijk deze instellingen exact over te nemen.
§
Datum: 05-03-2013 Kluwer Navigator thuis
Versie: 1.31 Pagina 15 van 16
Kluwer Online - Advies locale infrastructuur
Security
High (werkt niet)
Medium High (werkt wel)
Kluwer
Medium (werkt wel)
Instellingen per beveiligingsniveau In Internet Explorer is het mogelijk om beveiligingsniveaus in te stellen. Hiernaast staat een overzicht van de instellingen per beveiligingsniveau (High, Medium High, Medium)
Site werkt niet Enabled
In de kantlijn staat aangegeven welk effect een bepaalde instelling kan hebben op het gebruik van de online Kluwer producten.
Site werkt niet Enabled
Soms gebruikt Enabled
Tip: De pagina bevat kleine letters; indien uitprinten gewenst is gebruik dan voor deze pagina A3 formaat.
Soms gebruikt Enabled
Site werkt niet Enabled Clipboard copy werkt niet Enabled
§
Datum: 05-03-2013 Kluwer Navigator thuis
Versie: 1.31 Pagina 16 van 16