C'est le reverse proxy qui gère :

• l'authentification via shibboleth
• le load balancing via mod_proxy de apache.

Shibboleth

Comme habituellement, fichier de conf /etc/shibboleth/shibboleth2.xml

• La def du fichier est la suivante :

• • default : vers janus.cnrs.fr
  • formation : authentification sur idp de prod (janus) (idp de formation complexe, il faut créer les compte a la main)
  • rec : authentification sur IDP de recette
  • dev : authentification sur IDP de recette (dev pas accessible hors DSI)

Logs

les logs sont dans le syslog ou /var/log/shibboleth/

Pour regler la finesse des logs dans /var/log/shibboleth/ editer le fichier /etc/shibboleth/shibd.logger et mettre :

log4j.rootCategory=DEBUG, shibd_log, warn_log

Mettre a DEBUG les lignes suivantes au besoin

redémarrer shibboleth :

service shibd restart

Apache

Attention, version 2.4 !

Sites

Tout est géré dans les 5 fichiers de conf dans /etc/apache2/sites-available

Pour activer / desactiver un site, utiliser les commandes

a2ensite nom_du_fichier
a2dissite nom_du_fichier

respectivement

Bloquer l'accès a un module

Voir le fichier /etc/apache2/sites-available/001-webcontrat.cnrs.fr.conf et prendre exemple sur la désactivation du module d'admin. permet de ne donner accès qu'a nos équipes.

<Location /admin>
 AuthType shibboleth
 ShibRequestSetting requireSession true
 ShibUseHeaders On
 ShibRequestSetting applicationId default

1. Acces equipe de dev :

  require shib-attr mail julien.garnier@dr13.cnrs.fr
  require shib-attr mail Nelly.Pernot@dr13.cnrs.fr
  require shib-attr mail david.gras@dr11.cnrs.fr
  require shib-attr mail denis.coppel@dr11.cnrs.fr
  require shib-attr mail marie.david@dr11.cnrs.fr
  require shib-attr mail cedric.masse@dr13.cnrs.fr
  require shib-attr mail laurence.manet@dr13.cnrs.fr
  require shib-attr mail olivier.durant@dr13.cnrs.fr
  require shib-attr mail killian.boube@dr11.cnrs.fr
  require shib-attr mail lucie.rongeat@dr11.cnrs.fr
  require shib-attr mail jocelyn.mere@dr13.cnrs.fr
  require shib-attr mail karine.argento@dr11.cnrs.fr
</Location>

recharger le serveur web :

/etc/init.d/apache2 reload

Fichiers de conf

Ex du fichier de prod :

Le fichier est classique, focus sur les parties non conventionnelles :

On veut gerer les affichages d'erreur perso, il ne faut pas proxyfier ces requêtes (le ! désactive le proxy):

ProxyPass /error/ !
ProxyErrorOverride On
ErrorDocument 503 /error/erreurDispo.html
ErrorDocument 504 /error/erreurDispo.html

# On envoie l'adresse source aux serveurs web :
ProxyPreserveHost On

On ne veux pas que les clients se baladent d'un serveur a l'autre, on fixe l'acces vers un serveur via un cookie valable le temps de la session :

# insert d'un cookie pour le choix de la route :
Header add Set-Cookie "ROUTEID=.%{BALANCER_WORKER_ROUTE}e; path=/" env=BALANCER_ROUTE_CHANGED

On défini un objet cluster utilisable par la suite

# Cluster de PROD :  
<Proxy "balancer://prod">
   BalancerMember "http://10.30.0.11:80" route=1
   BalancerMember "http://10.30.0.12:80" route=2
   ProxySet stickysession=ROUTEID
</Proxy>

Protection de la racine :

<Location />
 AuthType shibboleth
 ShibRequestSetting requireSession true   -> il faut une session shibboleth
 ShibUseHeaders On                        -> on envoie les headers shibboleth aux serveurs web
 ShibRequestSetting applicationId default -> On utilise le contexte par défaut pour la prod (ou dev.webcontrat.cnrs.fr ou formation.webcontrat.cnrs.fr ou rec.webcontrat.cnrs.fr)
#require shib-attr mail julien.garnier@dr13.cnrs.fr   -> ex de filtrage par email
require valid-user                        -> On demande un utilisateur valide
</Location>

Load Balancer

Le load balancer reparti la charge entre les 2 serveurs web.

La charge est repartie sur le serveur en fonction du nombre de connexions sur chacun des noeuds. Un cookie est ensuite créé ce qui permet a un utilisateur de ne pas basculer de serveur a chaque requête.

En cas de soucis sur un des serveurs il est possible de désactiver rapidement une "voie".

Ex d'un probleme avec MariaDB2 :

• Il faut impérativement désactiver l'accès au serveur web2 qui attaque l’hôte 2
• Aller sur la page du reverse proxy : https://webcontrat.cnrs.fr/balancer-manager/
• Cliquer sur le serveur 2 (http://10.30.0.12)
• Sur la fenêtre qui s'affiche en dessous, cocher disable = on
• désactiver en cliquant sur Submit

Attention ! le changement est temporaire, il ne persiste pas a un redémarrage.

Pour désactiver complètement une voie :

• se connecter en ssh sur le reverse proxy

ssh webcontrat.cnrs.fr

• éditer le fichier de conf webcontrat :

sudo vim /etc/apache2/sites-available/001-webcontrat.cnrs.fr.conf

• commenter la ligne pour le noeud n°2 dans l'exemple :

#    BalancerMember "http://10.30.0.12:80" route=2

• Enregistrer
• recharger le serveur web :

sudo /etc/init.d/apache2 reload

• vérifier sur la page du load balancer que le serveur n’apparaît plus.

Comptes recette

Compte du fichier /var/www/etc/htpasswd

recette_1 SyApVyM7RC
recette_2 joJ5Jm9sF4
recette_3 7EY74wBxkx
recette_4 2Uj6lGGd54
recette_5 0k5EPGJHgR
recette_6 fGNygLHA0k
recette_7 T9cgfobKnb
recette_8 5ZbtFKiUJC
recette_9 xUR3w9gcgT
recette_10 2uAAJ5GjsU
recette_11 9f4vYhbahv
recette_12 v4vGs5K4IV
recette_13 pgkpLI2lW5
recette_14 KXgcdxxX78
recette_15 VFvMUV7usf
recette_16 wIirLPC7j3
recette_17 GBnL5r7W1O
recette_18 DqfMUlRSb1
recette_19 M6EqgE52bX
recette_20 Rw5RgpDbwU