Solution (Notes de version de Sun Java System Application Server 9.1 Update 1-9.1 Update 2)

Notes de version de Sun Java System Application Server 9.1 Update 1-9.1 Update 2

Solution

Sous serveur d'application Enterprise Edition 7.1, la fonction du plug-in auth-passthrough pouvait être configurée sur l'instance proxy d'Application Server afin de rendre les informations du client distant directement disponibles à toutes les applications déployées ; comme si l'instance avait directement reçu la requête au lieu de passer par un serveur Web intermédiaire avec l'exécution du plug-in service-passthrough.

Sous serveur d'application 9.1 Update 1, la fonction de auth-passthrough peut être activée en définissant la propriété authPassthroughEnabled de l'élément <http-service> dans domain.xml sur TRUE, comme suit :

<property name="authPassthroughEnabled" value="true"/>

Les considérations de sécurité relatives à la fonction du plug-in auth-passthrough sous serveur d'application Enterprise Edition 7.1 s'appliquent également à la propriété authPassthroughEnabled sous serveur d'application 9.1 Update 1. Étant donné que authPassthroughEnabled permet d'ignorer des informations pouvant être utilisées à des fins d'authentification (telles que l'adresse IP de provenance de la requête ou le certificat client SSL), il est primordial que seuls les clients ou serveurs autorisés puissent se connecter à une instance d' serveur d'application 9.1 Update 1 avec authPassthroughEnabled défini sur TRUE. Par mesure de précaution, il est recommandé de ne définir la propriété authPassthroughEnabled sur TRUE que pour des serveurs protégés par le pare-feu d'entreprise. Un serveur accessible via Internet ne doit jamais être configuré avec authPassthroughEnabled défini sur TRUE.

Il est à noter que dans le cas où le plug-in service-passthrough a été configuré sur un serveur Web proxy qui relaie les requêtes vers une instance d'Application Server 8.1 Update 2 pour laquelle la propriété authPassthroughEnabled a été définie sur TRUE, l'authentification cliente SSL peut être activée sur le proxy du serveur Web et désactivée sur celui de l'instance d'Application Server 8.1 Update 2. Dans ce cas, l'instance d'Application Server 8.1 Update 2 utilisant un proxy continue de traiter les requêtes comme si elles étaient authentifiées via SSL et fournit un certificat SSL client aux applications déployées lorsque nécessaire.