Question & Answer
Question
00463296【「信頼できるプロキシサーバー」には、WebサーバーのNAT変換後のIPアドレスを登録すべきでしょうか?】
Answer
<<< QUESTION >>> 2015/05/29 21:59:14
<環境>
WebSphere Application Server (WAS)
-OS:AIX7.1 TL2 SP2
-WASのエディション: Network Deployment
-WAS/IHSのバージョン: 8.5.5.2
-WVEのバージョン: 8.5.5.2
-Feature Pack: なし。
現在構築中のサーバーで、ODRを使用しています。
前段にWebサーバーがあるため「信頼できるプロキシサーバー」として、Webサーバーを登録の検討をしています。
仕様について質問させてください。
http://www-01.ibm.com/support/knowledgecenter/SSAW57_8.5.5/com.ibm.websphere.nd.doc/ae/twve_ccgodrscen.html?lang=ja
<構成>
Webサーバー(IHS/WASPlugin) -[FW]- WVEサーバー(ODR) - APPサーバー(WAS)
<背景>
WebサーバーとODRの間にFirewallがたっており、WebサーバーのIPアドレスがNAT変換された上で、ODRに到達します。
Q1)
上記構成の場合、「信頼できるプロキシサーバー」には、WebサーバーのNAT変換後のIPアドレスを登録すべきでしょうか?
それともNAT変換前のIPアドレスを登録すべきでしょうか?
なお、現時点、NAT変換前のIPアドレスでも、問題なくリクエストを処理できているように見えます。
(追加質問)
そもそも当該設定の必要要否について確認させてください。(どのような場合に必要となるのか?)
以下リンクに下記のような記載があります。
http://www-01.ibm.com/support/knowledgecenter/SSAW57_8.5.5/com.ibm.websphere.nd.doc/ae/twve_ccgodrscen.html?lang=ja
「Web サーバーを信頼できるセキュア・プロキシーとして構成します。 信頼できるセキュリティー・プロキシーは、仮想ホスト名やユーザー ID などの情報を秘密 HTTP ヘッダーで ODR に渡すことが許可されます。 Web サーバーは、着信要求を読み取って、それらの要求がどの ODR に送付されるのかを確認します。信頼できないプロキシーから受信した秘密ヘッダーは、ODR により廃棄されます。この構成フィールドにより、ODR サーバー以外の仲介は、要求はそれらの仲介を信頼するためのものであることを ODR に明示的に示して、要求を処理することができます。信頼できるセキュリティー・プロキシーは、ODR よりも前に要求を受信して、その要求を ODR に転送します。例えば、 WebSphere® Application Server プラグインを持つ Web サーバー が要求を ODR に転送する場合、その Web サーバーは信頼できるセキュリティー・プロキシーとして 構成されている必要があります。」
Q2)
“秘密HTTPヘッダーでODRに渡すことが許可されます”とありますが、具体的にはどのような要件で使用するどんな機能でしょうか?
あまり聞きなれない用語でしたので、教えてください。
<<< ANSWER >>> 2015/06/01 18:33:18
A1)
「信頼できるプロキシサーバー」にはWebサーバーのIPアドレスを指定します。
NAT変更前のIPアドレスとは本来のWebサーバーのIPアドレスを指しているものと思われますが、その場合NAT変更前のIPアドレスを指定するとおもいます。
A2)
英語版のIBM Knowledge Centerを見ますと、"秘密HTTPヘッダー"とは"private HTTP headers"を訳したものとなります。
"private HTTP headers"とはWASが独自に使用しているHTTPヘッダーのことを指しています。
--- 抜粋ここから -----------------------------------------------------
Configure a Web server as a trusted secure proxy; a trusted security proxy is allowed to pass information such as the virtual host name, or user identity to the ODR in private HTTP headers. Web servers read incoming requests to verify which ODR they are routed to. Private headers received from an untrusted proxy are discarded by the ODR. This configuration field enables intermediaries other than the ODR server to handle the request by explicitly telling the ODR that it is to trust them. A trusted security proxy receives requests before the ODR and then forwards requests to the ODR. For example, when the Web server with the WebSphere® Application Server plugin forwards requests to the ODR, the Web server must be configured as a trusted security proxy.
--- 抜粋ここまで -----------------------------------------------------
○IBM Knowledge Center(英語) 「Configuring a Web server as a trusted proxy server」
http://www-01.ibm.com/support/knowledgecenter/SSAW57_8.5.5/com.ibm.websphere.nd.doc/ae/twve_ccgodrscen.html?lang=en
秘密HTTPヘッダーは、仮想ホスト名やユーザーIDをODRに渡すために使用されます。抜粋の後半部分に記載されているとおり、IHS経由でODRを使用する場合この設定を行う必要があります。
以上
Historical Number
BC5F528BD26539E449257E9D0011AD44
Product Synonym
WAS\WAS
Was this topic helpful?
Document Information
Modified date:
17 June 2018
UID
jpn1J1012801