Enterprise Server bietet keine Unterstützung für das Web Server 6.1-Add-On auth-passthrough (6188932) (Versionshinweise zu Sun GlassFish Enterprise Server v2.1.1)

Versionshinweise zu Sun GlassFish Enterprise Server v2.1.1

Enterprise Server bietet keine Unterstützung für das Web Server 6.1-Add-On `auth-passthrough` (6188932)

Beschreibung

Mit Sun GlassFish Enterprise Server 2.1.1 wird eine Unterstützung für die Funktionalität der Plug-In-Funktion auth-passthrough hinzugefügt, die es mit Sun GlassFish Enterprise Server Enterprise Edition 7.1 gab. In Enterprise Server 2.1.1 ist die Plug-In-Funktion auth-passthrough allerdings anders konfiguriert.

Die auth-passthrough-Plug-In-Funktion in Enterprise Server Enterprise Edition 7.1 war in zweistufigen Bereitstellungsszenarien nützlich, in denen Folgendes zutrifft:

Die Instanz von Application Server wird durch eine zweite Firewall hinter der firmeneigenen Firewall geschützt.
Es sind keine direkten Client-Verbindungen mit der Instanz von Application Server zulässig.

In derartigen Netzwerkarchitekturen stellen Clients eine Verbindung mit einem Front-End-Webserver her, der mit der Plugin-Funktion service-passthrough konfiguriert wurde, und leiten HTTP-Anforderungen zum Verarbeiten an die Proxy-Instanz von Application Server weiter. Die Instanz von Application Server kann lediglich Anforderungen vom Proxy-Webserver erhalten. Direkte Anforderungen von Client-Hosts sind nicht möglich. Folglich erhalten alle auf der Proxy-Instanz von Application Server bereitgestellten Anwendungen, die Client-Informationen, wie z. B. die IP-Adresse des Clients, abfragen, die IP des Proxy-Hosts, da dies der tatsächliche Ursprungs-Host der weitergeleiteten Anforderung ist.

Lösung

In Application Server Enterprise Edition 7.1 konnte die auth-passthrough-Plug-In-Funktion in der Application Server-Proxy-Instanz konfiguriert werden, um die Informationen des Remote-Cients direkt für die auf dem Client bereitgestellten Anwendungen verfügbar zu machen (als hätte die Application Server-Proxy-Instanz die Anforderung direkt empfangen, und nicht über einen Webserver, auf dem das service-passthrough-Plug-In ausgeführt wird.

In Enterprise Server 2.1.1 kann die Funktion auth-passthrough durch Setzen der authPassthroughEnabled-Eigenschaft des Elements <http-service> in domain.xml auf TRUE aktiviert werden. Wie dies geht, sehen Sie hier:

<property name="authPassthroughEnabled" value="true"/>

Dieselben Sicherheitsüberlegungen wie für die Plug-In-Funktion auth-passthrough in Application Server Enterprise Edition 7.1 gelten auch für die authPassthroughEnabled-Eigenschaft in Enterprise Server 2.1.1. Da authPassthroughEnabled es ermöglicht, Informationen zu überschreiben, die zur Authentifizierung verwendet werden (wie die IP-Adresse, von der die Anforderung ausging, oder das SSL-Clientzertifikat), ist es wichtig, dass nur vertrauenswürdigen Clients bzw. Servern die Herstellung einer Verbindung zu einer Enterprise Server 2.1.1-Instanz (mit authPassthroughEnabled = TRUE) gestattet wird. Als Vorsichtsmaßnahme wird empfohlen, dass nur Server hinter der firmeneigenen Firewall mit dem auf TRUE gesetzten Befehl authPassthroughEnabled konfiguriert werden. Ein Server, der über das Internet aufgerufen werden kann, darf niemals mit dem auf TRUE gesetzten Befehl authPassthroughEnabled konfiguriert werden.

Beachten Sie, dass in dem Fall, wenn ein Proxy-Webserver mit dem Plug-In service-passthrough konfiguriert wurde und Anforderungen an eine Instanz von mit der auf TRUE gesetzten Eigenschaft authPassthroughEnabled weiterleitet, die SSL-Clientauthentifizierung auf dem Webserver-Proxy aktiviert und auf der Proxy-Instanz von Enterprise Server deaktiviert sein kann. In diesem Fall behandelt die Proxy-Instanz von die Enterprise Server Anforderung immer noch so, als wäre diese per SSL authentifiziert worden und stellt das SSL-Zertifikat des Clients allen bereitgestellten Anwendungen zur Verfügung, wenn diese es anfordern.