Application Server 不支援 auth-passthrough Web Server 6.1 附加元件 (6188932)

說明

Sun Java System Application Server 9.1 Update 1 增加了對 Sun Java System Application Server Enterprise Edition 7.1 上 auth-passthrough 外掛程式功能所提供之功能性的支援。但是，在 Application Server 9.1 Update 1 中，auth-passthrough 外掛程式的功能以不同的方式進行配置。

Application Server Enterprise Edition 7.1 中的 auth-passthrough 外掛程式功能在雙層部署方案中非常有用，在這些方案中︰

• Application Server 實例受公司防火牆後的第二道防火牆保護。

• 不允許任何用戶端直接連線至 Application Server 實例。

在此類網路架構中，用戶端連線至使用 service-passthrough 外掛程式功能配置的前端 Web 伺服器，並將 HTTP 請求轉寄至代理 Application Server 實例進行處理。Application Server 實例僅可接收來自 Web 伺服器代理伺服器的請求，而從不會直接接收來自於任何用戶端主機的請求。結果，部署在查詢用戶端資訊 (例如客戶端的 IP 位址) 的代理 Application Server 實例上的任何應用程式均將接收到代理主機 IP，因為這才是實際產生所傳送請求的主機。

解決方案

在 Application Server Enterprise Edition 7.1 中，auth-passthrough 外掛程式功能可以在代理 Application Server 實例上配置，以使該實例上部署的所有應用程式都能直接取得遠端用戶端的資訊；猶如代理 Application Server 實例直接收到請求一樣，而非透過執行 service-passthrough 外掛程式的中間 Web 伺服器接收。

在 Application Server 9.1 Update 1 中，auth-passthrough 功能可以透過將 domain.xml 中 <http-service> 元素的 authPassthroughEnabled 特性設定為 TRUE 來啟用，如下所示：

<property name="authPassthroughEnabled" value="true"/>

對 Application Server Enterprise Edition 7.1 中 auth-passthrough 外掛程式功能的安全考慮也適用於 Application Server 9.1 Update 1 中的 authPassthroughEnabled 特性。由於 authPassthroughEnabled 允許置換可用於認證的資訊 (如發出請求的 IP 位址，或 SSL 用戶端憑證)，因此，必須僅允許可信任的用戶端或伺服器連線至 authPassthroughEnabled 設定為 TRUE 的 Application Server 9.1 Update 1 實例。做為預警措施，建議您應僅將公司防火牆後伺服器的 authPassthroughEnabled 設定為 TRUE。可透過網際網路存取的伺服器永遠不能將 authPassthroughEnabled 設定為 TRUE。

請注意，若在分析藍本中已使用 service-passthrough 外掛程式配置了代理 Web 伺服器，同時該伺服器將請求轉寄至 authPassthroughEnabled 設定為 TRUE 的 Application Server 8.1 Update 2 實例，則 SSL 用戶端認證可在該 Web 代理伺服器上啟用，並可在代理 Application Server 8.1 Update 2 實例上停用。在此情況下，代理 Application Server 8.1 Update 2 實例仍將請求作為已透過 SSL 認證的請求進行處理，並將用戶端的 SSL 憑證提供給需要此憑證的所有已部署的應用程式。