Vous pouvez configurer Apache HTTP Server en tant que proxy inverse pour Rational DOORS Web
Access. Un serveur proxy inverse fournit une couche de sécurité supplémentaire, protège les serveurs HTTP sur le réseau et améliore
les performances des requêtes SSL (Secure Sockets Layer). Lorsque vous utilisez
un proxy inverse, vous pouvez modifier votre topologie de déploiement ultérieurement, si nécessaire.
Avant de commencer
- Installez Rational DOORS Web Access, mais ne démarrez pas les composants ou le serveur Rational DOORS Web Access.
- Installez Apache HTTP Server.
Pourquoi et quand exécuter cette tâche
Un serveur proxy inverse est un serveur HTTP spécial qui empêche l'accès direct au
serveur HTTP de contenu. Toutes les demandes de contenu passent par un identificateur URI de serveur proxy inverse visible publiquement et sont ensuite redirigées vers l'identificateur URI privé du serveur Rational DOORS Web Access.
L'utilisation d'un serveur proxy inverse présente divers avantages :
- Modifications ultérieures de la topologie de déploiement : Lorsque vous utilisez un proxy inverse dans votre
déploiement, vous pouvez fournir un nom d'hôte dans votre URL publique, quel que soit le
nombre de machines et de numéros de port sur lesquels sont déployées les applications. Vous pouvez donc
modifier votre topologie de déploiement ultérieurement.
- Sécurité : Le serveur proxy inverse fournit une couche de sécurité supplémentaire et peut protéger
d'autres serveurs HTTP du réseau de communication. Si vous utilisez un pare-feu
entre le serveur proxy inverse et le serveur HTTP de contenu, vous pouvez
configurer le pare-feu pour n'autoriser que les requêtes HTTP provenant du serveur
proxy inverse.
- Performance : Vous pouvez équiper le serveur proxy inverse d'un matériel d'accélération SSL
qui permet d'améliorer la performance des requêtes SSL.
Dans cette procédure, effectuez les étapes suivantes :
- Préparez le magasin de clés SSL.
- Modifiez les fichiers httpd.conf et
httpd-ssl.conf.
- Démarrez Apache HTTP Server.
- Démarrez les composants Rational DOORS Web Access.
- Démarrez le serveur Rational DOORS Web Access.
Procédure
- Préparez le magasin de clés SSL :
- Créez ou ouvrez votre magasin de clés SSL dans l'outil SSL IBM Key Management
Utility (IKeyMan) fourni.
- Lorsque vous enregistrez votre magasin de clés, sélectionnez l'option permettant d'enregistrer le mot de passe
dans un fichier de dissimulation.
- Enregistrez les informations suivantes :
- L'intitulé du certificat SSL par défaut.
- Le chemin du fichier de clés.
- Le chemin du fichier de dissimulation.
- Configurez Apache HTTP Server pour traiter les requêtes SSL en modifiant le fichier
httpd.conf qui se trouve dans le répertoire
conf de l'installation Apache.
- Supprimez la mise en commentaire des modules suivants :
- LoadModule proxy_module modules/mod_proxy.so
- LoadModule proxy_ajp_module
modules/mod_proxy_ajp.so
- LoadModule proxy_http_module modules/mod_proxy_http.so
- LoadModule ssl_module modules/mod_ssl.so
- Accédez à la section sur la configuration SSL, qui commence par #Secure
(SSL/TLS) connections.
- Dans cette section, ajoutez les entrées suivantes :
#
# reverse proxy
#
SSLProxyEngine On
ProxyPreserveHost On
- Ajoutez des entrées pour identifier le domaine hôte :
ProxyPass / https://host_domain:DWA_Tomcat_port/
ProxyPassReverse / https://host_domain:DWA_Tomcat_port/
Par exemple :
ProxyPass / https://private_host.com:7443/
ProxyPassReverse / https://private_host.com:7443/
Remarque : Dans
cet exemple, le port proxy visible aux utilisateurs finaux est défini sur
8443 et les demandes de proxy sont redirigées vers le port 7443 sur le
serveur private_host. Selon votre
environnement, les ports pour lesquels le serveur proxy et Apache Tomcat sont
configurés peuvent être définis sur des valeurs différentes pour éviter des conflits
de port.
- Annulez la mise en commentaire de la ligne suivante :
Include conf/extra/httpd-ssl.conf
Pour plus
d'informations sur la configuration de proxys inverses, voir Apache Module mod_proxy dans la
documentation Apache Software Foundation.
- Modifiez le fichier httpd-ssl.conf qui se trouve dans le répertoire
/conf/extra de l'installation Apache.
- Mettez à jour le nom d'hôte et le port sur lesquels SSL est configuré.
- Mettez à jour les paramètres selon les exigences, notamment les paramètres suivants :
- SSLCertificateFile
- SSLCertificateKeyFile
Remarque : Si le fichier de clés SSLCertificateKeyFile est
protégé par un mot de passe, le mot de passe doit être entré à chaque fois que
le serveur démarre. Vous pouvez supprimer le mot de passe mais, avant de le faire,
pensez aux conséquences de cette action, en terme de sécurité, pour votre
environnement.
Pour plus d'informations sur la modification des fichiers SSL HTTP,
voir Apache Core Features et Apache Module mod_ssl dans la documentation
Apache Software Foundation.
- Démarrez Apache HTTP Server. Les erreurs sont écrites dans le fichier
error.log, qui se trouve dans le dossier
/logs de l'installation Apache.
- Démarrez les composants Rational DOORS Web Access.
- Démarrez le serveur Rational DOORS Web Access.
- Définissez l'URL publique Rational DOORS Web Access et le port sur le serveur proxy inverse
en entrant la commande dbadmin suivante :
dbadmin -dwaHost reverse_proxy_url -dwaPort reverse_proxy_portnumber
Pour plus
d'informations sur la commande dbadmin, voir Configuring the Rational DOORS database server.