test

Notes de version de Sun Java System Application Server 9.1 Update 1-9.1 Update 2

Application Server ne prend pas en charge l'add-on auth-passthrough de Web Server 6.1 (6188932)

Description

Sun Java System serveur d'application 9.1 Update 1 propose la prise en charge de la fonctionnalité fournie par la fonction du plug-in auth-passthrough disponible sous Sun Java System serveur d'application Enterprise Edition 7.1. Cependant, dans serveur d'application 9.1 Update 1, la fonction du plug-in auth-passthrough est configurée différemment.

La fonction du plug-in auth-passthrough, sous serveur d'application Enterprise Edition 7.1, était couramment utilisée pour les scénarios de déploiement à deux niveaux, où :

Dans de telles architectures réseau, un client se connecte à un serveur Web frontal préalablement configuré pour fonctionner avec la fonction de plug-in service-passthrough et transfère les requêtes HTTP à l'instance d' Application Server pour traitement via un proxy. Cette instance d'Application Server ne peut recevoir de requêtes que via le proxy du serveur Web mais ne peut pas en recevoir directement de la part d'hôtes clients. Par conséquent, toute application déployée sur l'instance d'Application Server qui envoie par proxy des requêtes pour obtenir des informations clientes (l'adresse IP du client par exemple) reçoit l'IP proxy de l'hôte par lequel la requête est relayée.

Solution

Sous serveur d'application Enterprise Edition 7.1, la fonction du plug-in auth-passthrough pouvait être configurée sur l'instance proxy d'Application Server afin de rendre les informations du client distant directement disponibles à toutes les applications déployées ; comme si l'instance avait directement reçu la requête au lieu de passer par un serveur Web intermédiaire avec l'exécution du plug-in service-passthrough.

Sous serveur d'application 9.1 Update 1, la fonction de auth-passthrough peut être activée en définissant la propriété authPassthroughEnabled de l'élément <http-service> dans domain.xml sur TRUE, comme suit :


<property name="authPassthroughEnabled" value="true"/>

Les considérations de sécurité relatives à la fonction du plug-in auth-passthrough sous serveur d'application Enterprise Edition 7.1 s'appliquent également à la propriété authPassthroughEnabled sous serveur d'application 9.1 Update 1. Étant donné que authPassthroughEnabled permet d'ignorer des informations pouvant être utilisées à des fins d'authentification (telles que l'adresse IP de provenance de la requête ou le certificat client SSL), il est primordial que seuls les clients ou serveurs autorisés puissent se connecter à une instance d' serveur d'application 9.1 Update 1 avec authPassthroughEnabled défini sur TRUE. Par mesure de précaution, il est recommandé de ne définir la propriété authPassthroughEnabled sur TRUE que pour des serveurs protégés par le pare-feu d'entreprise. Un serveur accessible via Internet ne doit jamais être configuré avec authPassthroughEnabled défini sur TRUE.

Il est à noter que dans le cas où le plug-in service-passthrough a été configuré sur un serveur Web proxy qui relaie les requêtes vers une instance d'Application Server 8.1 Update 2 pour laquelle la propriété authPassthroughEnabled a été définie sur TRUE, l'authentification cliente SSL peut être activée sur le proxy du serveur Web et désactivée sur celui de l'instance d'Application Server 8.1 Update 2. Dans ce cas, l'instance d'Application Server 8.1 Update 2 utilisant un proxy continue de traiter les requêtes comme si elles étaient authentifiées via SSL et fournit un certificat SSL client aux applications déployées lorsque nécessaire.