• Connecteur Apache HTTPD / Tomcat : AJP
  • Prérequis
  • Ajout d'un module dans apache httpd
    • Windows
    • Linux
  • Configuration du routage apache httpd vers tomcat
    • Apache Tomcat
    • Apache HTTPD
      • Timeout
  • Alternative : Configuration du routage apache httpd vers tomcat avec changement du nom de répertoire
    • Objectif
    • Apache Tomcat
    • Apache HTTPD
• Activer le mode https (SSL)
  • Prérequis
  • Configuration
    • SSLPassphraseDialog
• Équilibrage de charge (Basculement actif / actif [Loadbalancing])
  • Prérequis
  • Configuration
    • Apache Tomcat
    • Apache HTTPD
• Cookie SameSite : Intégration de DigDash Enterprise dans un portail d'Entreprise

Connecteur Apache HTTPD / Tomcat : AJP

Prérequis

• Avoir apache httpd installé
• Avoir les modules proxy et proxy_ajp activés

Ajout d'un module dans apache httpd

Windows

1. Vérifiez que le fichier correspondant au module est présent dans le dossier <install_apache>/modules. Par exemple pour le module proxy_ajp : fichier mod_proxy_ajp.so. Si ce n’est pas le cas, trouvez une version d’apache httpd contenant ce fichier.
2. Activez le module dans le fichier <install_apache>/conf/httpd.conf avec :
    LoadModule nom_du_module modules/fichier_du_module
    Exemple : LoadModule proxy_ajp_module modules/mod_proxy_ajp.so

Linux

Utilisez la commande : a2enmod nom_du_module
Exemple :

Si cette commande échoue ou n’existe pas, suivez les mêmes étapes que pour Windows.

Configuration du routage apache httpd vers tomcat

Apache Tomcat

Du côté de Apache Tomcat, dans le fichier de configuration <install_tomcat>/conf/server.xml ajoutez ou vérifiez que le connecteur ajp existe :

Apache HTTPD

Du côté de Apache httpd, dans le fichier de votre hôte virtuel (virtual host), ajoutez la directive ProxyPass pour que httpd se connecte au connecteur AJP Tomcat :

Timeout

Il peut être nécessaire de spécifier une valeur de timeout sur le connecteur AJP plus importante que celle par défaut (60 secondes).

Certaines procédures qui dépassent la minute de calcul (exports, fabriques, sauvegarde/restauration…) peuvent alors être interrompues par Apache httpd, qui renvoie une erreur HTTP 500 au client.

Pour modifier cette valeur vous pouvez ajouter le paramètre timeout=<secondes> au niveau du ProxyPass, par exemple :

Alternative : Configuration du routage apache httpd vers tomcat avec changement du nom de répertoire

Objectif

Se connecter avec une URL comportant un répertoire parent différent.
Dans cet exemple nous allons prendre le répertoire domaine_securite1/ et donc accéder à la page d’accueil avec cette URL : http://machine/domaine_securite1/adminconsole.

Apache Tomcat

Même configuration que Configuration du routage apache httpd vers tomcat.

Apache HTTPD

Du côté de Apache HTTPD, dans le fichier de votre hôte virtuel (virtual host), ajoutez les directives ProxyPass, ProxyPassReverse et ProxyPassReverseCookiePath vers votre connecteur AJP Tomcat :

Activer le mode https (SSL)

Prérequis

• Posséder un certificat valide pour son réseau ou un certificat approuvé par une autorité tierce reconnue par les navigateurs par défaut. (ex : Comodo, Globalsign, Thawte, Verisign…)
• Avoir une version de Apache httpd récente avec les derniers patchs de sécurité concernant ssl
• Vérifier que le module ssl est activé (voir Ajouter un module dans apache httpd)
• Avoir compris la mise en oeuvre décrite dans Connecteur Apache HTTPD / Tomcat : AJP

Configuration

Ajoutez une directive Listen pour que httpd écoute le port 443 :
<install_apache>/conf/httpd.conf :

Ensuite changez le port utilisé, activez le ssl et configurez le certificat et la clé utilisés :

SSLPassphraseDialog

Si votre clé privée est cryptée, il faudra spécifier le mot de passe au démarrage de httpd ou utiliser la directive SSLPassPhraseDialog.

Pour utiliser la directive sans devoir saisir le mot de passe il faut créer un fichier script qui affiche le mot de passe requis (sur stdout). Par exemple :

motdepasse.sh :

httpd.conf :

Équilibrage de charge (Basculement actif / actif [Loadbalancing])

Chaque session utilisateur est attribuée à un seul serveur tomcat (sticky session). Si un serveur tomcat tombe, l’utilisateur devra s’authentifier à nouveau sur le serveur actif où sa session sera ré-affectée (en cas de SSO ceci est transparent).

Prérequis

• Vérifier que le module proxy_balancer est activé (voir Ajouter un module dans apache httpd)
• Avoir compris la mise en oeuvre décrite dans Connecteur Apache HTTPD / Tomcat : AJP

Configuration

Apache Tomcat

Du côté de Apache Tomcat, dans le fichier de configuration <install_tomcat>/conf/server.xml, ajoutez ou vérifiez que le connecteur AJP existe :

Ajoutez ou vérifiez que la balise engine possède un attribut jvmRoute avec un identifiant unique sur chaque machine cible :

Apache HTTPD

Du côté de apache httpd, dans le fichier de votre hôte virtuel (virtual host) :

Cookie SameSite : Intégration de DigDash Enterprise dans un portail d'Entreprise

Les version récentes de Chrome (80 et plus) sont plus restrictives sur l'utilisation de cookies de différents sites dans une page. Dans le cas ou un dashboard DigDash est intégré à une page, par exemple via une IFRAME, vous devez maintenant configurer la stratégie SameSite pour éviter que Chrome ne filtre les cookies du dashboard. Cela peut se faire du coté Apache.

1. Activer le module headers
   /etc/apache2/mods-enabled# ln -s ../mods-available/headers.load headers.load
2. Configurer la politique SameSite dans /etc/apache2/apache2.conf (à la fin)
   Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure;SameSite=None