test

Versionshinweise zu Sun Java System Application Server 9.1 Update 1-9.1 Update 2

Lösung

In Anwendungsserver Enterprise Edition 7.1 konnte die auth-passthrough-Plug-In-Funktion in der Application Server-Proxy-Instanz konfiguriert werden, um die Informationen des Remote-Cients direkt für die auf dem Client bereitgestellten Anwendungen verfügbar zu machen (als hätte die Application Server-Proxy-Instanz die Anforderung direkt empfangen, und nicht über einen Webserver, auf dem das service-passthrough-Plug-In ausgeführt wird.

In Anwendungsserver 9.1 Update 1 kann die auth-passthrough-Funktion aktiviert werden, indem Sie die Eigenschaft authPassthroughEnabled des <http-service>-Elements in domain.xml wie folgt auf TRUE setzen:


<property name="authPassthroughEnabled" value="true"/>

Die zu berücksichtigenden Sicherheitsaspekte der auth-passthrough-Plug-In-Funktion in Anwendungsserver Enterprise Edition 7.1 gelten gleichermaßen für die authPassthroughEnabled-Eigenschaft in Anwendungsserver 9.1 Update 1. Da über authPassthroughEnabled Informationen außer Kraft gesetzt werden können, die möglicherweise für Authentifizierungszwecke verwendet werden (z. B. die IP-Adresse, von der die Anforderung stammt, oder das SSL-Clientzertifikat), ist es äußerst wichtig, dass sich nur vertrauenswürdige Clients oder Server mit einer Anwendungsserver 9.1 Update 1-Instanz verbinden können, deren authPassthroughEnabled-Eigenschaft auf TRUE gesetzt ist. Als Vorsichtsmaßnahme wird empfohlen, dass nur Server hinter der firmeneigenen Firewall mit dem auf TRUE gesetzten Befehl authPassthroughEnabled konfiguriert werden. Ein Server, der über das Internet aufgerufen werden kann, darf niemals mit dem auf TRUE gesetzten Befehl authPassthroughEnabled konfiguriert werden.

Beachten Sie, dass in dem Fall, wenn ein Proxy-Webserver mit dem Plug-In service-passthrough konfiguriert wurde und Anforderungen an eine Instanz von Application Server 8.1 Update 2 mit der auf TRUE gesetzten Eigenschaft authPassthroughEnabled weiterleitet, die SSL-Clientauthentifizierung auf dem Webserver-Proxy aktiviert und auf der Proxy-Instanz von Application Server 8.1 Update 2 deaktiviert sein kann. In diesem Fall behandelt die Proxy-Instanz von Application Server 8.1, Update 2 die Anforderung immer noch so, als wäre diese per SSL authentifiziert worden und stellt das SSL-Zertifikat des Clients allen bereitgestellten Anwendungen zur Verfügung, wenn diese es anfordern.