下節詳細說明可根據您的需求和環境特性執行的伺服器端組態。
這些配置必須由管理員和On-premise代管模型執行。
對於Hosted部署,伺服器端設定只能由Adobe設定。 不過,您可以在「控制面板」中設定某些設定(例如,IPallowlist管理或URL權限)。
如需詳細資訊,請參閱下列章節:
Campaign Classic組態檔會儲存在Adobe Campaign安裝資料夾的conf資料夾中。 配置分佈在兩個檔案上:
<instance>
.xml (其中 instance是實例的名稱):實例的特定配置。如果您在多個實例之間共用伺服器,請在其相關檔案中輸入每個實例的特定參數。每個運算子都必須連結至區域才能登入例項,且運算子IP必須包含在安全區域中定義的位址或位址集中。 安全區設定是在Adobe Campaign伺服器的設定檔案中執行。
操作員從控制台(Administration > Access management > Operators節點)中的配置檔案連結到安全區域。 瞭解如何在本節中將區域連結至Campaign運算子。
區域由以下項定義:
安全區域互鎖,這表示在另一個區域中定義新區域可以減少可登錄該區域的運算子數量,同時增加分配給每個運算子的權限。
必須在伺服器配置期間在serverConf.xml檔案中定義區域。 serverConf.xml中的所有可用參數都列在部分中。
每個區域都定義權限,例如:
每個運算子都必須連結至區域。如果運算子的IP位址屬於區域所定義的範圍,運算子可登入執行個體。
操作員的IP地址可以定義在多個區域中。 在這種情況下,運算子接收每個區域的可用權限的set。
現成可用的serverConf.xml檔案包括三個區域:public、VPN和LAN。
現成可用的配置是安全的。不過,在從舊版Adobe Campaign移轉之前,可能需要暫時降低安全性,才能移轉並核准新規則。
如何在serverConf.xml檔案中定義區域的示例:
<securityZone allowDebug="false" allowHTTP="false" label="Public Network" name="public">
<subNetwork label="All addresses" mask="*" name="all"/>
<securityZone allowDebug="true" allowHTTP="false" label="Private Network (VPN)"
name="vpn" showErrors="true">
<securityZone allowDebug="true" allowEmptyPassword="true" allowHTTP="true"
allowUserPassword="false" label="Private Network (LAN)" name="lan"
sessionTokenOnly="true" showErrors="true">
<subNetwork label="Lan 1" mask="192.168.0.0/16" name="lan1"/>
<subNetwork label="Lan 2" mask="172.16.0.0/12" name="lan2"/>
<subNetwork label="Lan 3" mask="10.0.0.0/8" name="lan3"/>
<subNetwork label="Localhost" mask="127.0.0.1/16" name="locahost"/>
<subNetwork label="Lan (IPv6)" mask="fc00::/7" name="lan6"/>
<subNetwork label="Localhost (IPv6)" mask="::1/128" name="localhost6"/>
</securityZone>
</securityZone>
</securityZone>
定義區域的所有權利如下:
<login>/<password>
」在區域定義中,每個具有true值的屬性都會降低安全性。
使用消息中心時,如果存在多個執行實例,則需要使用定義為true的sessionTokenOnly屬性來建立附加安全區,其中僅添加必要的IP地址。 有關配置實例的詳細資訊,請參閱本文檔。
在lan安全區的定義中,可以添加定義技術訪問的IP地址掩碼。 此新增功能將允許存取伺服器上裝載的所有執行個體。
<securityZone allowDebug="true" allowEmptyPassword="false" allowHTTP="true"
allowUserPassword="false" label="Private Network (LAN)" name="lan"
sessionTokenOnly="true" showErrors="true">
<subNetwork label="Lan 1" mask="192.168.0.0/16" name="lan1"/>
<subNetwork label="Lan 2" mask="172.16.0.0/12" name="lan2"/>
<subNetwork label="Lan 3" mask="10.0.0.0/8" name="lan3"/>
<subNetwork label="Localhost" mask="127.0.0.1/16" name="locahost"/>
<subNetwork label="Lan (IPv6)" mask="fc00::/7" name="lan6"/>
<subNetwork label="Localhost (IPv6)" mask="::1/128" name="localhost6"/>
<!-- Customer internal IPs -->
<subNetwork id="internalNetwork" mask="a.b.c.d/xx"/>
</securityZone>
我們建議在僅存取特定例項的運算子專用的設定檔案中,直接定義IP位址範圍。
在config-<instance>.xml
檔案中:
<securityZone name="public">
...
<securityZone name="vpn">
<subNetwork id="cus1" mask="a.b.c.d/xx"/>
proxy參數可用於subNetwork元素中,以指定安全區中的proxy使用。
當參考代理並且連接通過此代理進入時(通過HTTP X-Forwarded-For標頭可見),驗證區域是代理的客戶端區域,而不是代理的客戶端區域。
如果已設定代理,並且可以覆寫它(或者如果不存在),則測試的IP位址將會被偽造。
此外,中繼現在也像Proxy一樣產生。 因此,您可以將IP地址127.0.0.1添加到安全區配置中的Proxy清單中。
例如:" <subnetwork label="Lan 1" mask="192.168.0.0/16" name="lan1" proxy="127.0.0.1,10.100.2.135" />
"。
可能會發生各種情況:
安全區中直接引用子網路,且未配置代理:子網路的使用者可以直接連線至Adobe Campaign伺服器。
為安全區域中的子網路指定代理:來自此子網路的使用者可透過此代理存取Adobe Campaign伺服器。
代理包含在安全區子網路中:透過此Proxy存取的使用者(不論其來源為何)都可存取Adobe Campaign伺服器。
可能存取Adobe Campaign伺服器的Proxy IP位址必須同時輸入至<subnetwork>
相關網路和第一層子網路<subnetwork name="all"/>
。 例如,以下是IP位址為10.131.146.102的Proxy:
<securityZone allowDebug="false" allowHTTP="false" label="Public Network"
name="public">
<subNetwork label="All addresses" mask="*" name="all"
proxy="10.131.146.102,127.0.0.1, ::1"/>
<securityZone allowDebug="true" allowHTTP="false" label="Private Network (VPN)"
name="vpn" showErrors="true">
<securityZone allowDebug="true" allowEmptyPassword="false" allowHTTP="true"
allowUserPassword="false" label="Private Network (LAN)"
name="lan" sessionTokenOnly="true" showErrors="true">
<subNetwork label="Lan proxy" mask="10.131.193.182" name="lan3"
proxy="10.131.146.102,127.0.0.1, ::1"/>
<subNetwork label="Lan 1" mask="192.168.0.0/16" name="lan1"
proxy="127.0.0.1, ::1"/>
</securityZone>
</securityZone>
</securityZone>
定義區域後,必須將每個運算子連結到其中一個運算子,才能登錄到實例,並且該運算子的IP地址必須包含在區域中引用的地址或地址範圍中。
區域的技術組態會在促銷活動伺服器的組態檔案中執行:serverConf.xml。
在此之前,您必須首先配置現成可用的Security zone枚舉,以將標籤連結到serverConf.xml檔案中定義的區域的內部名稱。
此設定是在促銷活動檔案總管中完成:
按一下Administration > Platform > Enumerations節點。
選擇Security zone (securityZone)系統枚舉。
對於伺服器配置檔案中定義的每個安全區,按一下Add按鈕。
在Internal name欄位中,輸入serverConf.xml檔案中定義的區域名稱。 它對應於<securityzone>
元素的@name屬性。 在Label欄位中輸入連結至內部名稱的標籤。
按一下「確定」並儲存修改。
定義區域並配置Security zone枚舉後,您需要將每個運算子連結到安全區域:
按一下Administration > Access management > Operators節點。
選擇要將安全區連結到的運算子,然後按一下Edit頁籤。
前往Access rights標籤,然後按一下Edit access parameters…連結。
從Authorized connection zone下拉式清單中選取區域
按一下OK並保存修改以應用這些更改。
當Tomcat伺服器的8080偵聽埠已忙於配置所需的其他應用程式時,您需要將8080埠替換為免費埠(例如8090)。 若要變更,請編輯儲存在Adobe Campaign安裝資料夾之/tomcat-8/conf目錄中的server.xml檔案。
然後修改JSP中繼頁的埠。 若要這麼做,請變更儲存在Adobe Campaign安裝目錄/conf目錄中的serverConf.xml檔案。 serverConf.xml中的所有可用參數都列在部分中。
<serverConf>
...
<web controlPort="8005" httpPort="8090"...
<url ... targetUrl="http://localhost:8090"...
要定義客戶特定設定,可以在/tomcat-8/conf資料夾中建立user_contexts.xml檔案,該檔案還包含contexts.xml檔案。
此檔案將包含下列類型的資訊:
<Context path='/foo' docBase='../customers/foo' crossContext='true' debug='0' reloadable='true' trusted='false'/>
如有必要,可在伺服器端重制此作業。
傳送參數在serverConf.xml配置檔案中定義。 serverConf.xml中的所有可用參數都列在部分中。
Campaign伺服器組態中詳細說明一般伺服器組態和指令。
您也可以根據您的需求和設定執行下列設定。
MTA模組用作SMTP廣播(埠25)的本地郵件傳輸代理。
但是,如果安全策略要求,則可以將其替換為中繼伺服器。 在這種情況下,全局吞吐量將是中繼吞吐量(前提是中繼伺服器吞吐量低於Adobe Campaign 1)。
在這種情況下,通過在<relay>
部分中配置SMTP伺服器來設定這些參數。 必須指定用於傳輸郵件及其關聯埠的SMTP伺服器的IP地址(或主機)(預設為25)。
<relay address="192.0.0.3" port="25"/>
此操作模式對傳送帶來嚴重限制,因為由於中繼伺服器的固有效能(延遲、頻寬……),它可大大降低吞吐量。 此外,限定同步傳送錯誤(通過分析SMTP通信量檢測到)的能力將受到限制,如果中繼伺服器不可用,則無法發送。
可以根據伺服器的CPU功率和可用網路資源來控制子進程(預設情況下為maxSpareServers 2)的數量,以優化廣播效能。 此配置將在每台電腦的MTA配置的<master>
部分中進行。
<master dataBasePoolPeriodSec="30" dataBaseRetryDelaySec="60" maxSpareServers="2" minSpareServers="0" startSpareServers="0">
另請參閱電子郵件傳送最佳化。
相關性配置需要從一個伺服器到另一個伺服器之間保持一致。 我們建議您連絡Adobe以取得相似性設定,因為所有執行MTA的應用程式伺服器上都應複製設定變更。
您可以通過具有IP地址的相關性來改進出站SMTP通信。
若要這麼做,請套用下列步驟:
在serverConf.xml檔案的<ipaffinity>
區段中輸入相關性。
一個相似性可以有數個不同的名稱:若要分隔,請使用;字元。
範例:
IPAffinity name="mid.Server;WWserver;local.Server">
<IP address="XX.XXX.XX.XX" heloHost="myserver.us.campaign.net" publicId="123" excludeDomains="neo.*" weight="5"/
要查看相關參數,請參閱serverConf.xml檔案。
若要在下拉式清單中啟用相似性選擇,您需要在IPAffinity列舉中新增相似性名稱。
本檔案中詳述了枚舉。
然後,您可以選取要使用的相似性,如下所示:
您也可以參考傳送伺服器組態。
可由您的 Campaign Classic 執行個體的 JavaScript 程式碼 (工作流程等等) 呼叫之預設 URL 清單有限。這些是可讓您的執行個體正常運作的 URL。
依預設,執行個體不得連線到外部 URL。不過,您可以將一些外部URL新增至授權URL的清單,讓您的例項可以連線至這些URL。 這可讓您將 Campaign 執行個體連結到外部系統,例如 SFTP 伺服器或網站,以啟用檔案和/或資料傳輸。
新增 URL 後,執行個體的設定檔案 (serverConf.xml) 便會參照該 URL。
它們可讓您管理URL權限的方式視您的代管模型而定:
使用Hybrid和On-premise代管模型時,管理員需要在serverConf.xml檔案中參考新的urlPermission。 serverConf.xml中的所有可用參數都列在部分中。
存在三種連接保護模式:
<urlPermission action="warn" debugTrace="true">
<url dnsSuffix="abc.company1.com" urlRegEx=".*" />
<url dnsSuffix="def.partnerA_company1.com" urlRegEx=".*" />
<url dnsSuffix="xyz.partnerB_company1.com" urlRegEx=".*" />
</urlPermission>
根據預設,新客戶的客戶端使用封鎖模式。 如果他們需要允許新的URL,則應聯繫其管理員以將其添加到allowlist。
來自移轉的現有客戶可使用警告模式一段時間。 同時,他們需要在授權URL之前分析出站流量。 定義授權URL的清單後,應聯絡其管理員,將URL新增至allowlist並啟動封鎖模式。
預設情況下,所有動態頁都自動與啟動Web模組的電腦的local Tomcat伺服器相關。 此配置在ServerConf.xml檔案的查詢中繼配置的<url>
部分中輸入。 serverConf.xml中的所有可用參數都列在部分中。
在remote伺服器上中繼動態頁的執行;如果未在電腦上激活Web模組。 要執行此操作,必須將localhost替換為遠程電腦的名稱,以用於JSP和JSSP、Web應用程式、報告和字串。
有關各種可用參數的詳細資訊,請參閱serverConf.xml配置檔案。
對於JSP頁,預設配置為:
<url relayHost="true" relayPath="true" targetUrl="http://localhost:8080" urlPath="*.jsp"/>
Adobe Campaign使用下列JSP頁面:
「行動應用程式頻道」使用的JSSP如下:
範例:
可以防止客戶機從外部連接。 為此,只需限制soaprouter.jsp的執行,並僅授權執行鏡像頁、病毒式連結、Web表單和公共資源。
參數如下:
<url IPMask="<IP_addresses>" deny="" hostMask="" relayHost="true" relayPath="true" targetUrl="http://localhost:8080" timeout="" urlPath="*.jsp"/>
<url IPMask="<IP_addresses>" deny="" hostMask="" relayHost="true" relayPath="true" targetUrl="http://localhost:8080" timeout="" urlPath="*.jssp"/>
<url IPMask="" deny="" hostMask="" relayHost="true" relayPath="true" targetUrl="http://localhost:8080" timeout="" urlPath="m.jsp"/>
<url IPMask="" deny="" hostMask="" relayHost="true" relayPath="true" targetUrl="http://localhost:8080" timeout="" urlPath="s.jsp"/>
<url IPMask="" deny="" hostMask="" relayHost="true" relayPath="true" targetUrl="http://localhost:8080" timeout="" urlPath="webForm.jsp"/>
<url IPMask="" deny="" hostMask="" relayHost="true" relayPath="true" targetUrl="http://localhost:8080" timeout="" urlPath="/webApp/pub*"/>
<url IPMask="" deny="" hostMask="" relayHost="true" relayPath="true" targetUrl="http://localhost:8080" timeout="" urlPath="/jssp/pub*"/>
<url IPMask="" deny="" hostMask="" relayHost="true" relayPath="true" targetUrl="http://localhost:8080" timeout="" urlPath="/strings/pub*"/>
<url IPMask="" deny="" hostMask="" relayHost="true" relayPath="true" targetUrl="http://localhost:8080" timeout="" urlPath="/interaction/pub*"/>
<url IPMask="" deny="true" hostMask="" relayHost="false" relayPath="false" targetUrl="http://localhost:8080" timeout="" urlPath="*.jsp"/>
<url IPMask="" deny="true" hostMask="" relayHost="false" relayPath="false" targetUrl="http://localhost:8080" timeout="" urlPath="*.jssp"/>
在此示例中,<IP_addresses>
值與授權使用此掩碼的中繼模組的IP地址清單(由comas分隔)一致。
值應根據您的配置和網路限制進行調整,尤其是如果已為您的安裝開發了特定配置。
只有內部部署安裝才需要以下配置。
從組建8780起,技術管理員可限制Adobe Campaign中可使用的授權外部指令清單。
為此,您需要建立一個文本檔案,其中包含您要防止使用的命令清單,例如:
ln
dd
openssl
curl
wget
python
python3
perl
ruby
sh
這份清單並非完整無遺。
在伺服器配置檔案的exec節點中,您需要引用blickstFile屬性中先前建立的檔案。
僅適用於Linux:在伺服器配置檔案中,我們重新命令您指定專用於執行外部命令的用戶,以增強您的安全配置。此用戶設定在配置檔案的exec節點中。 serverConf.xml中的所有可用參數都列在部分中。
如果未指定任何使用者,則會在Adobe Campaign例項的使用者內容中執行所有命令。 使用者必須與執行Adobe Campaign的使用者不同。
例如:
<serverConf>
<exec user="theUnixUser" blacklistFile="/pathtothefile/blacklist"/>
</serverConf>
此使用者必須新增至「Adobe Campaign」運算子的使用者清單。
您不應使用自訂sudo。 系統上需要安裝標準Sudo。
依預設,不會中繼所有HTTP標題。 您可以在中繼傳送的回覆中新增特定標題。 操作步驟:
轉至serverConf.xml檔案。 serverConf.xml中的所有可用參數都列在部分中。
在<relay>
節點中,轉至中繼HTTP標頭清單。
新增<responseheader>
元素,其中包含下列屬性:
例如:
<responseHeader name="Strict-Transport-Security" value="max-age=16070400; includeSubDomains"/>
當使用多部伺服器進行重新導向時,它們必須能夠透過SOAP呼叫彼此通訊,才能共用要重新導向之URL的資訊。 在發送啟動時,可能並非所有重定向伺服器都可用;因此,他們可能沒有相同程度的資訊。
使用標準或企業架構時,主應用程式伺服器必須獲得授權,才能在每部電腦上傳追蹤資訊。
冗餘伺服器的URL必須通過serverConf.xml檔案在重定向配置中指定。 serverConf.xml中的所有可用參數都列在部分中。
範例:
<spareserver enabledIf="$(hostname)!='front_srv1'" id="1" url="http://front_srv1:8080" />
<spareserver enabledIf="$(hostname)!='front_srv2'" id="2" url="http://front_srv2:8080" />
enableIf屬性是可選的(預設為空),並允許您僅在結果為true時啟用連接;這可讓您在所有重新導向伺服器上取得相同的組態。
要獲取電腦的主機名,請運行以下命令:hostname -s。
公共資源在管理公共資源中顯示。
它們會儲存在Adobe Campaign安裝目錄的/var/res/instance目錄中。
相符的URL為:http://server/res/instance,其中instance是追蹤例項的名稱。
通過向conf-<instance>
.xml檔案添加節點,可以指定另一個目錄,以配置伺服器上的儲存。 這表示新增下列行:
<serverconf>
<shared>
<dataStore hosts="media*" lang="fra">
<virtualDir name="images" path="/var/www/images"/>
<virtualDir name="publicFileRes" path="$(XTK_INSTALL_DIR)/var/res/$(INSTANCE_NAME)/"/>
</dataStore>
</shared>
</serverconf>
在這種情況下,在部署精靈視窗的上半部中指定之公用資源的新URL應指向此資料夾。
您可以設定數個工作流程伺服器(wfserver),並在兩部或多部電腦上散發。 如果您選擇此類型的架構,請根據Adobe Campaign存取權設定負載平衡器的連線模式。
要從Web訪問,請選擇負載平衡器模式以限制連接時間。
如果透過Adobe Campaign主控台存取,請選擇雜湊或嚴格ip模式。 例如,這可讓您維持rich client和伺服器之間的連線,並防止使用者作業在匯入或匯出作業期間中斷。
您可以選擇在特定電腦上強制執行工作流或工作流活動。 若要這麼做,您必須為相關工作流程或活動定義一或多個相關性。
在Affinity欄位中輸入工作流程或活動的相關性,以建立工作流程或活動的相關性。
您可以自由選擇相似性名稱。 不過,請務必不要使用空格或標點符號。 如果您使用不同的伺服器,請指定不同的名稱。
下拉式清單包含先前使用的相關性。 它會隨著時間而以不同的輸入值完成。
開啟nl6/conf/config-<instance>.xml
檔案。
按如下方式修改與wfserver模組匹配的行:
<wfserver autoStart="true" affinity="XXX,"/>
如果您定義數個相似性,則必須以逗號分隔,不含任何空格:
<wfserver autoStart="true" affinity="XXX,YYY,"/>
執行未定義相關性的工作流程時,必須使用名稱后面的逗號。
如果您只想執行已定義相似性的工作流程,請勿在相關性清單的結尾加上逗號。 例如,按如下方式修改行:
<wfserver autoStart="true" affinity="XXX"/>
依預設,不同的Adobe Campaign程式會每天早上6點(伺服器時間)自動重新啟動。
不過,您可以變更此設定。
要執行此操作,請轉至安裝conf儲存庫中的serverConf.xml檔案。 serverConf.xml中的所有可用參數都列在部分中。
在此檔案中配置的每個進程都具有processRestartTime屬性。 您可以修改此屬性的值,以根據需要調整每個進程的重新啟動時間。
請勿刪除此屬性。 必須每天重新啟動所有進程。
新屬性uploadWhiteList可讓您限制可在Adobe Campaign伺服器上傳的檔案類型。
此屬性可在serverConf.xml檔案的dataStore元素中使用。 serverConf.xml中的所有可用參數都列在部分中。
此屬性的預設值為。+,並可讓您上傳任何檔案類型。
要限制可能的格式,必須用有效的java規則運算式替換屬性值。 您可以用逗號分隔數個值,以輸入數個值。
例如:uploadWhiteList=""。.png、。.jpg"可讓您在伺服器上上傳PNG和JPG格式。 不接受其他格式。
在Internet Explorer中,完整的檔案路徑必須由規則運算式驗證。
例如,您可以使用檔案傳輸工作流程活動,將Campaign伺服器連接至外部系統。 要實現此目的,您需要通過特定命令配置serverConf.xml檔案的proxyConfig部分。 serverConf.xml中的所有可用參數都列在部分中。
可能有下列代理連接:HTTP、HTTPS、FTP、SFTP。 請注意,從20.2促銷活動發行開始,HTTP和HTTPS通訊協定參數已不再提供。 這些參數仍在下面提及,因為它們在以前的版本中仍然可用——包括9032。
僅支援基本驗證模式。 不支援NTLM身份驗證。
不支援SOCKS代理。
您可以使用下列命令:
nlserver config -setproxy:[protocol]/[serverIP]:[port]/[login][:‘https’|'http’]
通訊協定參數可以是「http」、「https」或「ftp」。
如果您要在與HTTP/HTTPS流量相同的埠上設定FTP,則可使用下列功能:
nlserver config -setproxy:http/198.51.100.0:8080/user
只有當通訊協定參數為「ftp」時,才會使用「http」和「https」選項,並指出指定埠上的通道是透過HTTPS或HTTP執行。
如果您使用不同的埠來透過代理伺服器傳送FTP/SFTP和HTTP/HTTPS流量,則應設定「ftp」通訊協定參數。
例如:
nlserver config -setproxy:ftp/198.51.100.0:8080/user:’http’
然後輸入密碼。
HTTP連線在proxyHTTP參數中定義:
<proxyConfig enabled=“1” override=“localhost*” useSingleProxy=“0”>
<proxyHTTP address=“198.51.100.0" login=“user” password=“*******” port=“8080”/>
</proxyConfig>
HTTPS連線在proxyHTTPS參數中定義:
<proxyConfig enabled=“1" override=“localhost*” useSingleProxy=“0">
<proxyHTTPS address=“198.51.100.0” login=“user” password=“******” port=“8080"/>
</proxyConfig>
FTP/FTPS連線是在proxyFTP參數中定義:
<proxyConfig enabled=“1" override=“localhost*” useSingleProxy=“0">
<proxyFTP address=“198.51.100.0” login=“user” password=“******” port=“5555" https=”true”/>
</proxyConfig>
如果您對數種連線類型使用相同的proxy,則只會定義proxyHTTP,並將useSingleProxy設為"1"或"true"。
如果您有內部連線,而且該連線應經由proxy,請在override參數中新增。
如果您想暫時停用Proxy連線,請將啟用的參數設為"false"或"0"。