test

Notes de version de Sun GlassFish Enterprise Server 2.1

Solution

Sous Application Server Enterprise Edition 7.1, la fonction du plug-in auth-passthrough pouvait être configurée sur l'instance proxy d'Application Server afin de rendre les informations du client distant directement disponibles à toutes les applications déployées ; comme si l'instance avait directement reçu la requête au lieu de passer par un serveur Web intermédiaire avec l'exécution du plug-in service-passthrough.

Sous Enterprise Server 2.1, la fonction de auth-passthrough peut être activée en définissant la propriété authPassthroughEnabled de l'élément <http-service> dans domain.xml sur TRUE, comme suit :


<property name="authPassthroughEnabled" value="true"/>

Les mêmes considérations de sécurité de la fonction du plug-in auth-passthrough dans Application Server Enterprise Edition 7.1 s'appliquent à la propriété authPassthroughEnabled dans Enterprise Server 2.1. Comme authPassthroughEnabled permet d'écraser des informations pouvant être utilisées à des fins d'authentification (telle que l'adresse IP à partir de laquelle la requête a été lancée, ou le certificat client SSL), il est essentiel que seuls les clients ou serveurs de confiance soient autorisés à se connecter à une instance de Enterprise Server 2.1 avec authPassthroughEnabled défini sur TRUE. Par mesure de précaution, il est recommandé de ne définir la propriété authPassthroughEnabled sur TRUE que pour des serveurs protégés par le pare-feu d'entreprise. Un serveur accessible via Internet ne doit jamais être configuré avec authPassthroughEnabled défini sur TRUE.

Notez que dans le cas où le plug-in service-passthrough a été configuré sur un serveur Web proxy qui relaie les requêtes vers une instance de Enterprise Server pour laquelle la propriété authPassthroughEnabled a été définie sur TRUE, l'authentification cliente SSL peut être activée sur le proxy du serveur Web et désactivée sur celui de l'instance de Enterprise Server. Dans ce cas, l'instance de Enterprise Server utilisant un proxy continue de traiter les requêtes comme si elles étaient authentifiées via SSL et fournit un certificat SSL client aux applications déployées lorsque nécessaire.