Oracle Blogs 日本語のまとめ: [WLS] Offloading SSL from WLS to the F5

WebLogic Server管理コンソールで問題が起きたことはありませんか？Enterprise Manager Fusion Middleware Controlや管理コンソールで更新した内容を保存しようとしたときに、Webブラウザから奇妙なHTTPSやSSLメッセージを受信したことはありませんか？
私の場合、こんな警告メッセージが現れました。

「このページは暗号化されています。入力した情報は暗号化されていない接続で送信されるため、第三者に容易に読み取られる可能性があります。この情報の送信を継続しますか？」
"Although this page is encrypted, the information you have entered is to be sent over an unencrypted connection and could easily be read by a third party. Are you sure you want to continue sending this information?"

この後、WebLogic Server管理コンソールは加えた変更を保存しませんでした。

このような事象は、次のような設定をすることで回避できます。
今回の場合、F5（ロードバランサ＋SSLアクセラレータ）、OHS（Oacle HTTP Server）、そしてWLS（WebLogic Server 10.3.4）の3つのパーツが関連します。SSL (or HTTPS) がF5(BIG-IP LTM)で終了し、F5からOHSへのHTTPトラフィックは平文ですがOHSにはSSOソリューションが必要だったのです。
F5で始まったHTTPリクエストを通すためには、WL-Proxy-SSLをtrueにして、HTTPヘッダを構成する必要があります。F5側でこのことを記載しているドキュメントは以下の通りです。

DEPLOYMENT GUIDE
DEPLOYING F5 WITH ORACLE’S BEA WEBLOGIC SERVER 10
（Creating an HTTP profileの章）
http://www.f5.com/pdf/deployment-guides/f5-weblogic10-dg.pdf

HTTPSリクエストを受け取ってWebLogic Serverに送信する際、F5はこのヘッダを付加します。これにより、WebLogic Serverは元のリクエストがSSL越し届いたものだと認識します。F5へのインバウンドトラフィックがSSL（HTTPS）でない場合にはこのヘッダは送信されません。
2つめの鍵は、WebLogic ServerのOHSプラグインです。プラグインパラメータに関するドキュメントにある通り、WLProxySSLPassThrough を ON にする必要があります。これにより、OHS プロキシプラグインはWL-Proxy-SSLヘッダをWebLogic Serverに通します。このパラメータは、以下の例のように要素Locationの各々に設定します。

<Location /console>
    SetHandler weblogic-handler
    WebLogicHost MyHostName
    WeblogicPort 7001
    WLProxySSLPassThrough ON
</Location>

Oracle® Fusion Middleware Using Web Server Plug-Ins with Oracle WebLogic Server
Parameters for Web Server Plug-Ins
http://download.oracle.com/docs/cd/E21764_01/web.1111/e14395/plugin_params.htm

次の2個の変更はWebLogic Server管理コンソールのチェックボックスです。一つ目は、WebLogic Server管理コンソールの［プリファレンス］＞［共有プリファレンス］の、「構成変更の追跡」（デフォルトで有効）を無効にして下さい。これにより、管理コンソールで変更を有効にした場合、構成ページのリロードを抑止できます。

次の設定変更は、プロキシプラグインヘッダを認識させるように管理サーバを構成することです。そのために、［管理サーバ］＞［構成］＞［全般］の［詳細］を開き、「WebLogicプラグインの有効化」をONにします。このフラグを有効にした場合、潜在的なセキュリティリスクが生まれます。このフラグをONにした場合、プロキシを装って不正なクライアントからの接続も受け付けてしまうため、サーバを保護して、既知のプロキシからのみトラフィックが到達するようにしておくべきです。この件の詳細は以下の書籍のChapter 11（Using WebLogic Security）に記載があります。

Professional Oracle WebLogic Server
http://www.amazon.co.jp/Professional-Oracle-WebLogic-Server-Programmer/dp/0470484306

原文はこちら。
http://blogs.oracle.com/ateamsoab2b/entry/configuration_notes_for_offloading_of

Oracle Blogs 日本語のまとめ

[WLS] Offloading SSL from WLS to the F5

0 件のコメント:

コメントを投稿