Enterprise Server no admite el complemento auth-passthrough de Web Server 6.1 (6188932) (Notas de la version de Sun GlassFish Enterprise Server v 2.1.1)

Notas de la version de Sun GlassFish Enterprise Server v 2.1.1

Enterprise Server no admite el complemento `auth-passthrough` de Web Server 6.1 (6188932)

Descripción

Sun GlassFish Enterprise Server 2.1.1; es compatible con la funcionalidad que proporciona la función del complemento auth-passthrough disponible con Sun GlassFish Enterprise Server Enterprise Edition 2.1.1. Sin embargo, en Enterprise Server 2.1.1, la función del complemento auth-passthrough está configurada de forma distinta.

La función plugin de auth-passthrough en Enterprise Server Enterprise Edition 7.1 ha sido útil en escenarios de dos niveles, cuando:

La instancia de Application Server está protegida por un segundo servidor de seguridad detrás del servidor de seguridad corporativo.
No se permiten conexiones de clientes directamente a la instancia de Application Server:

En arquitecturas de red de este tipo, un cliente se conecta a un servidor web de principal (front-end) que se haya configurado con la función del complemento service-passthrough y reenvía solicitudes HTTP a la instancia de Application Server que actúa de proxy para que las procese. La instancia de Application Server sólo puede recibir solicitudes desde el proxy del servidor web, pero nunca directamente de los hosts clientes. En consecuencia, ninguna aplicación implementada en la instancia de Application Server que actúa de proxy que solicite información del cliente (como pueda ser la dirección IP del cliente) recibirá la IP de host del proxy, puesto que éste es el host que origina la solicitud remitida.

Solución

En Application Server Enterprise Edition 7.1, la función complemento de auth-passthrough podría configurarse en la instancia de Application Server con proxy para hacer que la información del cliente remoto esté disponible directamente con cualquier aplicación implementada en ella, como si la instancia de Application Server con proxy hubiera recibido la solicitud directamente, en lugar de a través del servidor web que ejecuta el complemento service-passthrough.

En Enterprise Server 2.1.1;, la función auth-passthrough puede activarse estableciendo la propiedad authPassthroughEnabled del elemento <http-service> en domain.xml como TRUE (verdadera), de la siguiente manera:

<property name="authPassthroughEnabled" value="true"/>

Las mismas consideraciones de seguridad de la función del complemento auth-passthrough en Application Server Enterprise Edition 7.1 también se aplican a la propiedad authPassthroughEnabled en Enterprise Server 2.1.1. Debido a que authPassthroughEnabled hace posible omitir información que se puede utilizar con fines de autenticación (como la dirección IP desde la que se realizó la solicitud o el certificado de cliente de SSL), resulta esencial que sólo se permita la conexión de los clientes o servidores de confianza a una instancia de Enterprise Server 2.1.1 con authPassthroughEnabled establecido en TRUE. Como medida de precaución, se recomienda que sólo los servidores que estén detrás de un servidor de seguridad corporativo se configuren con authPassthroughEnabled establecido en TRUE. Un servidor que esté accesible a través de Internet nunca debe configurarse con authPassthroughEnabled definido en TRUE.

Tenga en cuenta que en una situación en la que el servidor web proxy se haya configurado con el complemento service-passthrough y éste reenvíe solicitudes a una instancia de Enterprise Server con authPassthroughEnabled definido como TRUE (verdadero), la autenticación SSL de cliente puede habilitarse en el servidor web proxy y deshabilitarse en la instancia para la que actúa de proxy. En este caso, Enterprise Server se seguirá considerando la solicitud como si estuviera autenticada a través de SSL y proporcionará el certificado SSL de cliente a cualquier aplicación implementada que lo solicite.