Enterprise Server ne prend pas en charge l'add-on auth-passthrough de Web Server 6.1 (6188932) (Notes de version de Sun GlassFish Enterprise Server 2.1)

Notes de version de Sun GlassFish Enterprise Server 2.1

Enterprise Server ne prend pas en charge l'add-on `auth-passthrough` de Web Server 6.1 (6188932)

Description

Sun GlassFish Enterprise Server 2.1 propose la prise en charge de la fonctionnalité fournie par la fonction du plug-in auth-passthrough disponible sous Sun GlassFish Enterprise Server Enterprise Edition 7.1. Cependant, dans Enterprise Server 2.1, la fonction du plug-in auth-passthrough est configurée différemment.

La fonction du plug-in auth-passthrough, sous Enterprise Server Enterprise Edition 7.1, était couramment utilisée pour les scénarios de déploiement à deux niveaux, où :

L'instance d'Application Server est non seulement protégée par un pare-feu d'entreprise mais également par un second pare-feu.
Aucune connexion cliente directe à l'instance d'Application Server n'est autorisée.

Dans de telles architectures réseau, un client se connecte à un serveur Web frontal préalablement configuré pour fonctionner avec la fonction de plug-in service-passthrough et transfère les requêtes HTTP à l'instance d' Application Server pour traitement via un proxy. Cette instance d'Application Server ne peut recevoir de requêtes que via le proxy du serveur Web mais ne peut pas en recevoir directement de la part d'hôtes clients. Par conséquent, toute application déployée sur l'instance d'Application Server qui envoie par proxy des requêtes pour obtenir des informations clientes (l'adresse IP du client par exemple) reçoit l'IP proxy de l'hôte par lequel la requête est relayée.

Solution

Sous Application Server Enterprise Edition 7.1, la fonction du plug-in auth-passthrough pouvait être configurée sur l'instance proxy d'Application Server afin de rendre les informations du client distant directement disponibles à toutes les applications déployées ; comme si l'instance avait directement reçu la requête au lieu de passer par un serveur Web intermédiaire avec l'exécution du plug-in service-passthrough.

Sous Enterprise Server 2.1, la fonction de auth-passthrough peut être activée en définissant la propriété authPassthroughEnabled de l'élément <http-service> dans domain.xml sur TRUE, comme suit :

<property name="authPassthroughEnabled" value="true"/>

Les mêmes considérations de sécurité de la fonction du plug-in auth-passthrough dans Application Server Enterprise Edition 7.1 s'appliquent à la propriété authPassthroughEnabled dans Enterprise Server 2.1. Comme authPassthroughEnabled permet d'écraser des informations pouvant être utilisées à des fins d'authentification (telle que l'adresse IP à partir de laquelle la requête a été lancée, ou le certificat client SSL), il est essentiel que seuls les clients ou serveurs de confiance soient autorisés à se connecter à une instance de Enterprise Server 2.1 avec authPassthroughEnabled défini sur TRUE. Par mesure de précaution, il est recommandé de ne définir la propriété authPassthroughEnabled sur TRUE que pour des serveurs protégés par le pare-feu d'entreprise. Un serveur accessible via Internet ne doit jamais être configuré avec authPassthroughEnabled défini sur TRUE.

Notez que dans le cas où le plug-in service-passthrough a été configuré sur un serveur Web proxy qui relaie les requêtes vers une instance de Enterprise Server pour laquelle la propriété authPassthroughEnabled a été définie sur TRUE, l'authentification cliente SSL peut être activée sur le proxy du serveur Web et désactivée sur celui de l'instance de Enterprise Server. Dans ce cas, l'instance de Enterprise Server utilisant un proxy continue de traiter les requêtes comme si elles étaient authentifiées via SSL et fournit un certificat SSL client aux applications déployées lorsque nécessaire.