Application Server 不支援 auth-passthrough Web Server 6.1 附加元件 (ID 6188932)

Sun Java System Application Server Enterprise Edition 8.2 還支援 Sun Java System Application Server Enterprise Edition 7.1 具備的 auth-passthrough 外掛程式功能所提供的功能性。但是在 Application Server Enterprise Edition 8.2 中，auth-passthrough 外掛程式功能以不同方式配置。

Application Server Enterprise Edition 7.1 中的 auth-passthrough 外掛程式功能在雙階層部署案例中非常有用，但有以下限制：

• Application Server 實例受公司防火牆後的第二道防火牆保護。

• 不允許任何用戶端直接連線至 Application Server 實例。

在此類網路架構中，用戶端連線至使用 service-passthrough 外掛程式功能配置的前端 Web 伺服器，並將 HTTP 請求轉寄至代理 Application Server 實例進行處理。Application Server 實例只能接收來自 Web 伺服器代理程式伺服器的請求，絕不會直接接收來自任何用戶端主機的請求。因此，部署在查詢用戶端資訊 (如用戶端的 IP 位址) 的代理 Application Server 實例上的任何應用程式均會接收代理主機 IP，因為這才是實際產生所轉送請求的主機。

在 Application Server Enterprise Edition 7.1 中，您可在代理 Application Server 實例上配置 auth-passthrough 外掛程式功能，以便直接為在其上部署的任何應用程式提供遠端用戶端資訊；這就好像代理 Application Server 實例直接接收請求，而不是透過執行 service-passthrough 外掛程式的中間 Web 伺服器接收請求。

在 Application Server Enterprise Edition 8.2 中，您可將 domain.xml 中 <http-service> 元素的 authPassthroughEnabled 特性設為 TRUE 以便啟用 auth-passthrough 功能，如下所示：

<property name="authPassthroughEnabled" value="true"/>

Application Server Enterprise Edition 7.1 中 auth-passthrough 外掛程式功能的安全注意事項同樣適用於 Application Server Enterprise Edition 8.2 中的 authPassthroughEnabled 特性。由於 authPassthroughEnabled 可置換用於認證的資訊 (如產生請求的來源 IP 位址或 SSL 用戶端憑證)，因此，應僅允許受信任的用戶端或伺服器連線至 authPassthroughEnabled 設定為 TRUE 的 Application Server Enterprise Edition 8.2 實例。預防措施是僅配置企業防火牆後方的伺服器，並將 authPassthroughEnabled 設定為 TRUE。可透過網際網路存取的伺服器絕不能將 authPassthroughEnabled 設定為 TRUE。

請注意，在代理 Web 伺服器已配置有 service-passthrough 外掛程式，並且是將請求轉送至 authPassthroughEnabled 設定為 TRUE 的 Application Server 8.1 Update 2 實例情況下，可在該代理 Web 伺服器上啟用 SSL 用戶端認證，並在代理的 Application Server 8.1 Update 2 實例上將其停用。在此情況下，代理的 Application Server 8.1 Update 2 實例仍將請求做為已透過 SSL 認證的請求進行處理，並將用戶端的 SSL 憑證提供給需要此憑證的所有已部署的應用程式。