Announcement

Collapse
No announcement yet.

Sicherstellen, dass nur ein bestimmter Apache Server auf Tomcat zugreifen darf

Collapse
X
  • Filter
  • Time
  • Show
Clear All
new posts

  • Sicherstellen, dass nur ein bestimmter Apache Server auf Tomcat zugreifen darf

    Hallo,
    ich habe eine Frage bzgl. der Anbindung
    von Apache (1.3) und Tomcat 4.
    Da Apache und Tomcat auf unterschiedlichen
    Servern laufen, möchte ich gerne sicherstellen
    dass man auf die Tomcat Instanz nur AJP 1.3
    Connection von einem bestimmten Apache
    Server zulässt.
    Wie kann ich dies gewährleisten.
    Gibt es eine Möglichkeit über SSL mit
    Client Authentifizierung?
    Oder einen Connector in Tomcat in welchem
    man konfigurierien kann, von welcher
    IP-adresse eine Connection aufgemacht werden
    kann?

    Danke für Eure Hilfe
    Viele Grüsse
    Karin

    P.S.:
    Noch eine Frage:
    Kann man AJP SSL verschlüsseln und wenn ja,
    wie ?

  • #2
    Hallo Karin,

    Mir fällt spontan ein:

    1. Eine extra (vom Tomcat unabhängige) Firewall vor den Tomcat-Rechner
    <br>
    2. Vom Tomcat alle Connectoren bis auf den für AJP rausschmeißen und einen Valve einbauen, der alles wegwirft, was nicht vom Apache-Rechner kommt.

    <PRE>
    &lt;Valve className="org.apache.catalina.valves.RemoteAddrVa lve" allow="XXX.XXX.XXX.XXX"/&gt;
    </PRE>

    Auf Conncector-Ebene kann man das glaub ich nicht einstellen. Der Valve hat den Nachteil, daß die Verbindung auf den Connector zunächst erlaubt wird und der Request erst später verworfen wird. Es gibt sicher noch andere Möglichkeiten.

    AJP über SSL hab ich noch nie probiert und weiß leider nicht, ob das so einfach geht.

    Gruß,

    Alwi

    Comment


    • #3
      Hallo Alwin,
      das habe ich bereits probiert, aber die RemoteAddrValve scheint nur zusammen mit einem Http CoyoteConnector zu funktionieren.
      Der Aufruf
      request.getRequest().getRemoteAddr() in der Valve gibt immer
      localhost zurück (anstatt die IP des Apache Servers, der nicht auf dem localhost läuft).
      Viele Grüsse
      Kari

      Comment


      • #4
        Hallo Karin,

        Ich bekomme schon die korrekte Adresse, aber natürlich die wo der Browser läuft und nicht die vom Apache-Rechner. Ist ja logisch. Sorry, war keine gute Idee mit dem Valve :-)

        Gruß,

        Alwi

        Comment


        • #5
          Hallo Karin,

          Ich bekomme schon die korrekte Adresse, aber natürlich die wo der Browser läuft und nicht die vom Apache-Rechner. Ist ja logisch. Sorry, war keine gute Idee mit dem Valve :-)

          Ev. kann man einen Valve basteln, der nicht getRomteAddr benutzt sondern die remote Adresse direkt vom Socket abfragt. Weiß aber nicht, ob das innerhalb eines Valve geht.

          Gruß,

          Alwi

          Comment

          Working...
          X