Webcontrat - Reverse Proxy : Différence entre versions
(→Fichiers de conf) |
|||
| Ligne 76 : | Ligne 76 : | ||
ProxySet stickysession=ROUTEID | ProxySet stickysession=ROUTEID | ||
</Proxy> | </Proxy> | ||
| + | |||
| + | |||
| + | Protection de la racine : | ||
| + | |||
| + | |||
| + | <Location /> | ||
| + | AuthType shibboleth | ||
| + | ShibRequestSetting requireSession true -> il faut une session shibboleth | ||
| + | ShibUseHeaders On -> on envoie les headers shibboleth aux serveurs web | ||
| + | ShibRequestSetting applicationId default -> On utilise le contexte par défaut pour la prod (ou dev.webcontrat.cnrs.fr ou formation.webcontrat.cnrs.fr ou rec.webcontrat.cnrs.fr) | ||
| + | #require shib-attr mail julien.garnier@dr13.cnrs.fr -> ex de filtrage par email | ||
| + | require valid-user -> On demande un utilisateur valide | ||
| + | </Location> | ||
Version du 10 juin 2015 à 15:32
C'est le reverse proxy qui gère :
- l'authentification via shibboleth
- le load balancing via mod_proxy de apache.
Shibboleth
Comme habituellement, fichier de conf /etc/shibboleth/shibboleth2.xml
- La def du fichier est la suivante :
- default : vers janus.cnrs.fr
- formation : authentification sur idp de prod (janus) (idp de formation complexe, il faut créer les compte a la main)
- rec : authentification sur IDP de recette
- dev : authentification sur IDP de recette (dev pas accessible hors DSI)
Logs
les logs sont dans le syslog ou /var/log/shibboleth/
Pour regler la finesse des logs dans /var/log/shibboleth/ editer le fichier /etc/shibboleth/shibd.logger et mettre :
log4j.rootCategory=DEBUG, shibd_log, warn_log
Mettre a DEBUG les lignes suivantes au besoin
redémarrer shibboleth :
service shibd restart
Apache
Attention, version 2.4 !
Sites
Tout est géré dans les 5 fichiers de conf dans /etc/apache2/sites-available
Pour activer / desactiver un site, utiliser les commandes
a2ensite nom_du_fichier a2dissite nom_du_fichier
respectivement
Fichiers de conf
Ex du fichier de prod :
Le fichier est classique, focus sur les parties non conventionnelles :
On veut gerer les affichages d'erreur perso, il ne faut pas proxyfier ces requêtes (le ! désactive le proxy):
ProxyPass /error/ ! ProxyErrorOverride On ErrorDocument 503 /error/erreurDispo.html ErrorDocument 504 /error/erreurDispo.html
# On envoie l'adresse source aux serveurs web : ProxyPreserveHost On
On ne veux pas que les clients se baladent d'un serveur a l'autre, on fixe l'acces vers un serveur via un cookie valable le temps de la session :
# insert d'un cookie pour le choix de la route :
Header add Set-Cookie "ROUTEID=.%{BALANCER_WORKER_ROUTE}e; path=/" env=BALANCER_ROUTE_CHANGED
On défini un objet cluster utilisable par la suite
# Cluster de PROD : <Proxy "balancer://prod"> BalancerMember "http://10.30.0.11:80" route=1 BalancerMember "http://10.30.0.12:80" route=2 ProxySet stickysession=ROUTEID </Proxy>
Protection de la racine :
<Location /> AuthType shibboleth ShibRequestSetting requireSession true -> il faut une session shibboleth ShibUseHeaders On -> on envoie les headers shibboleth aux serveurs web ShibRequestSetting applicationId default -> On utilise le contexte par défaut pour la prod (ou dev.webcontrat.cnrs.fr ou formation.webcontrat.cnrs.fr ou rec.webcontrat.cnrs.fr) #require shib-attr mail julien.garnier@dr13.cnrs.fr -> ex de filtrage par email require valid-user -> On demande un utilisateur valide
</Location>
