|
|
|
|
|
|
| | | |
FAQ: プラグイン
プラグインの仕組みの詳細については、『管理者ガイド』の「Apache HTTP Server プラグインのインストールとコンフィグレーション」を参照してください。
プラグインはどのようにして維持型のセッションのリクエストをルーティングするのですか。
ブラウザからクッキーが送信されると、「Cookie: 」ヘッダ内で「JSESSIONID」(「CookieName」というパラメータでコンフィグレーション可能)が検索されます。
クッキーが無効になっており、URL 書き換えが利用される場合、セッション ID は URL 内にエンコードされます。WebLogic Server 5.1 以前のバージョンでは、この ID はクエリ文字列内にエンコードされていました。
?WebLogicSession=my_dumy_session
WebLogic Server 6.0 以降のバージョンでは、この ID はパラメータ内にエンコードされていました。
;JSESSIONID=my_dummy_session
セッションがクエリ文字列またはパラメータ内に見つからず、またメモリに読み込めるほど小さい場合、WebLogic Server は POST データ内でセッションを検索します。
プラグインのデバッグに関して、WebLogic Server 6.0 で新しくなった点は何ですか。
"Debug = ON" logs only informational and error messages
HFC : headers from the client, informational, and error messages
HTW : headers sent to wls, informational and error messages
HFW : headers sent from wls, informational and error messages
HTC : headers sent to the client, informational and error messages
ALL : everything
OFF : nothing -- default(should be used in production)
ログ ファイルは 6.1 用にコンフィグレーションできます。後のバージョンの WebLogic Server 用に、デバッグ ファイルの名前および場所をコンフィグレーションするための WLLogFile が導入されていました。
それぞれのリクエストは、次のように表示されます。
"================New Request: [GET / HTTP/1.1] ================="
PathTrim, DefaultFileName, and PathPrepend will be performed in order. The final request will be logged as the following: "Fri Jun 22 14:24:40 2001 The request string is '/index.jsp'"
セッション情報を探してプライマリを決定しています。
"Fri Jun 22 14:24:40 2001 Initializing lastIndex=0 for a list of length=1 Fri Jun 22 14:24:40 2001 create a new server node: id='qa89:443' server_name='mint.beasys.com', port='18080'"
SecureProxy が ON に設定されている場合は、SSL を初期化します。
"Fri Jun 22 14:24:40 2001 INFO: SSL is configured Fri Jun 22 14:24:40 2001 INFO: Initializing SSL library Fri Jun 22 14:24:40 2001 Loaded 1 trusted CA's Fri Jun 22 14:24:40 2001 INFO: Successfully initialized SSL Fri Jun 22 14:24:40 2001 INFO: SSL configured successfully"
初期接続を行っています。
"Fri Jun 22 14:24:40 2001 general list: trying connect to '172.17.9.180'/443 Fri Jun 22 14:24:40 2001 Connected to 172.17.9.180:443"
クライアント ヘッダおよび Post データ(存在する場合)を読み取っています。
"Fri Jun 22 14:24:40 2001 Hdrs from clnt:[Accept]=[image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-excel, application/msword, application/vnd.ms-powerpoint, */*]"
クライアント ヘッダおよび Post データ(存在する場合)を送信しています。
"Fri Jun 22 14:24:40 2001 Hdrs to WLS:[Accept]=[image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-excel, application/msword, application/vnd.ms-powerpoint, */*]"
WebLogic Server から応答ヘッダを取得しています。
"Fri Jun 22 14:24:46 2001 Hdrs from WLS:[Set-Cookie]=[JSESSIONID=OzI19WqYmFnRviHEu5gKLvot42ABeD8NPWnF0jW6cawSGcrp2mru!4038528127411848936!-1408169548!80!443; path=/] Fri Jun 22 14:24:46 2001 parsed all headers OK"
応答ヘッダが WebLogic Server へ送信され、接続がクローズであるかキープアライブであるかを示しています。
"Fri Jun 22 14:24:46 2001 Hdrs to client:[Date]=[Fri, 22 Jun 2001 21:24:48 GMT] Fri Jun 22 14:24:46 2001 Hdrs to client:[Server]=[WebLogic WebLogic Server 6.1 beta 06/21/2001 10:44:44 #122398 - internal build by jlee on client jlee.qa89] Fri Jun 22 14:24:46 2001 canRecycle: conn=1 status=200 isKA=0 clen=2705 isCTE=0 Fri Jun 22 14:24:46 2001 closeConnection in load_utils: deleting URL* Fri Jun 22 14:24:46 2001 INFO: Closing SSL context Fri Jun 22 14:24:46 2001 INFO: sysSend 23 Fri Jun 22 14:24:46 2001 INFO: Error after SSLClose, socket may already have been closed by peer Fri Jun 22 14:24:46 2001 r->status=200 returning 0"
6.1 のプラグインでは、相互 SSL をサポートしていますか。
していません。ただし、クライアント証明書を要求して、それを WebLogic Server に渡すように、プラグインを設定することはできます。次に例を示します。
apache ssl
SSLVerifyClient require
SSLVerifyDepth 10
SSLOptions +FakeBasicAuth +ExportCertData +CompatEnvVars +StrictRequire
WebLogic Server からプラグインへの応答に Set-Cookie ヘッダが含まれていることがあります。これは正常ですか。
はい。リクエストに Cookie ヘッダが入っていない場合、または X-WebLogic-Force-Cookie が検出された場合に、WebLogic Server は応答に Set-Cookie ヘッダを含めて送信します。プラグインは、障害の発生したサーバに接続できなかった場合、ヘッダ X-WebLogic-Force-Cookie: true を次に利用可能なサーバに送信し、正しいセッション情報が含まれる該当クッキーをクライアントに強制的に更新させます。
Apache 1.3.19 に mod_wl_ssl.so を mod_perl と共にインストールして、プラグイン経由で WebLogic にアクセスすると、mod_wl_ssl.so において「Segmentation Fault (11)」が発生するのはなぜですか。
サーバとして任意の 6.x を、オペレーティング システムとして任意のバージョンの Solaris を使用できます。この環境は WebLogic Server 6.x(mod_wl_ssl.so を使用)、Solaris 2.x です。
「Segmentation Fault (11)」の発生を回避するには、次の例のように、HTTP 用の VirtualHost ブロックを追加します。
# 仮想ホストの一般的な設定
DocumentRoot "/export/home/tgoto/local/apache_1.3.19_dxu/htdocs"
ServerName tgoto1
ServerAdmin tgoto@toyota
ErrorLog /export/home/tgoto/local/apache_1.3.19_dxu/logs/error_log
TransferLog /export/home/tgoto/local/apache_1.3.19_dxu/logs/access_log
</VirtualHost>
SSL ポートについては、以下の IP アドレスも使用してください。
<VirtualHost 206.189.223.111:443>
ServerName には任意の有効な DNS 名を使用します。
どうすれば、WL-Proxy-Client-Cert ヘッダを使用する偽装クライアントによるセキュリティ攻撃から WebLogic Server を守ることができますか。
WebLogic Server に直接アクセスできるクライアントはすべて、WL-Proxy-Client-Cert ヘッダを偽装(使用)できます。WebLogic Server は、このヘッダから証明書情報を取得し、それが安全な送信元(プラグイン)からのものであることを信頼して、ユーザを認証するためにその情報を使用します。WebLogic Server の以前のリリースでは、このヘッダを常に信頼するのが、デフォルトの動作でした。現在では、WL-Proxy-Client-Cert ヘッダの信頼を明示的に定義する必要があります。新しいパラメータである clientCertProxy を使用すると、証明書ヘッダの暗黙の信頼を有効にすることができます。セキュリティのレベルを追加する必要がある場合は、接続フィルタを使って、WebLogic Server に対するすべての接続を制限します(つまり、プラグインが動作しているマシンからの接続だけを WebLogic Server が受け付けるようにします)。
clientCertProxy パラメータは、HTTPClusterServlet と Web アプリケーションに追加されています。
HTTPClusterServlet の場合は、次のようにして web.xml ファイルにパラメータを追加します。
<context-param>
<param-name>clientCertProxy</param-name>
<param-value>true</param-value>
</context-param>
Web アプリケーションの場合は、次のようにして web.xml ファイルにパラメータを追加します。
ServletRequestImpl context-param
<context-param>
<param-name>weblogic.httpd.clientCertProxy</param-name>
<param-value>true</param-value>
</context-param>
次のようにすれば、クラスタでこのパラメータを使用することもできます。
<Cluster ClusterAddress="127.0.0.1" Name="
MyCluster"
ClientCertProxyHeader="true"/>
|
|
|