Enterprise Server 不支援 auth-passthrough Web Server 6.1 附加元件 (6188932)

說明

Sun GlassFish Enterprise Server 2.1 新增支援 Sun GlassFish Enterprise Server Enterprise Edition 7.1 上 auth-passthrough 外掛程式功能所提供的功能。但是在 Enterprise Server 2.1 中，auth-passthrough 外掛程式功能的配置不同。

Enterprise Server Enterprise Edition 7.1 中的 auth-passthrough 外掛程式功能在雙層部署方案中非常有用，在這些方案中︰

• Application Server 實例受公司防火牆後的第二道防火牆保護。

• 不允許任何用戶端直接連線至 Application Server 實例。

在此類網路架構中，用戶端連線至使用 service-passthrough 外掛程式功能配置的前端 Web 伺服器，並將 HTTP 請求轉寄至代理 Application Server 實例進行處理。Application Server 實例僅可接收來自 Web 伺服器代理伺服器的請求，而從不會直接接收來自於任何用戶端主機的請求。結果，部署在查詢用戶端資訊 (例如客戶端的 IP 位址) 的代理 Application Server 實例上的任何應用程式均將接收到代理主機 IP，因為這才是實際產生所傳送請求的主機。

解決方案

Application Server Enterprise Edition 7.1 允許在代理應用程式伺服器實例上配置 auth-passthrough 外掛程式功能，以使該實例上部署的所有應用程式都能直接取得遠端用戶端的資訊；猶如代理應用程式伺服器實例直接收到請求一樣，而非透過執行 service-passthrough 外掛程式的中間 Web 伺服器接收。

在 Enterprise Server 2.1 中，將 domain.xml 中 <http-service> 元素的 authPassthroughEnabled 特性設定為 TRUE 即可啟用auth-passthrough 功能，如下所示：

<property name="authPassthroughEnabled" value="true"/>

Application Server Enterprise Edition 7.1 中 auth-passthrough 外掛程式功能的相同安全性注意事項，也適用於 Enterprise Server 2.1 中的 authPassthroughEnabled 特性。由於 authPassthroughEnabled 能夠置換可以用於認證的資訊 (例如發出請求的 IP 位址或 SSL 用戶端憑證)，因此必須只在 authPassthroughEnabled 設定為 TRUE 的情況下，允許信任的用戶端或伺服器連線至 Enterprise Server 2.1 實例。作為預警措施，建議您應僅將公司防火牆後的伺服器的 authPassthroughEnabled 設定為 TRUE。可透過網際網路存取的伺服器永遠不能將 authPassthroughEnabled 設定為 TRUE。

請注意，若是將代理 Web 伺服器配置成使用 service-passthrough 外掛程式，同時將 authPassthroughEnabled 設定為 TRUE 以便將請求轉寄至 Enterprise Server 實例的情形，則可在 Web 代理伺服器上啟用 SSL 用戶端認證功能，並在代理的 Enterprise Server 實例上停用此功能。在此情況下，代理 Enterprise Server 實例仍會將請求視為已透過 SSL 進行認證，並將用戶端的 SSL 憑證提供給請求此憑證的所有已部署應用程式。