Configuration d'Apache HTTP Server en tant que proxy inverse pour Rational DOORS Web Access

Vous pouvez configurer Apache HTTP Server en tant que proxy inverse pour Rational DOORS Web Access. Un serveur proxy inverse fournit une couche de sécurité supplémentaire, protège les serveurs HTTP sur le réseau et améliore les performances des requêtes SSL (Secure Sockets Layer). Lorsque vous utilisez un proxy inverse, vous pouvez modifier votre topologie de déploiement ultérieurement, si nécessaire.

Avant de commencer

  1. Installez Rational DOORS Web Access, mais ne démarrez pas les composants ou le serveur Rational DOORS Web Access.
  2. Installez Apache HTTP Server.

Pourquoi et quand exécuter cette tâche

Un serveur proxy inverse est un serveur HTTP spécial qui empêche l'accès direct au serveur HTTP de contenu. Toutes les demandes de contenu passent par un identificateur URI de serveur proxy inverse visible publiquement et sont ensuite redirigées vers l'identificateur URI privé du serveur Rational DOORS Web Access.
L'utilisation d'un serveur proxy inverse présente divers avantages :
  • Modifications ultérieures de la topologie de déploiement : Lorsque vous utilisez un proxy inverse dans votre déploiement, vous pouvez fournir un nom d'hôte dans votre URL publique, quel que soit le nombre de machines et de numéros de port sur lesquels sont déployées les applications. Vous pouvez donc modifier votre topologie de déploiement ultérieurement.
  • Sécurité : Le serveur proxy inverse fournit une couche de sécurité supplémentaire et peut protéger d'autres serveurs HTTP du réseau de communication. Si vous utilisez un pare-feu entre le serveur proxy inverse et le serveur HTTP de contenu, vous pouvez configurer le pare-feu pour n'autoriser que les requêtes HTTP provenant du serveur proxy inverse.
  • Performance : Vous pouvez équiper le serveur proxy inverse d'un matériel d'accélération SSL qui permet d'améliorer la performance des requêtes SSL.
Dans cette procédure, effectuez les étapes suivantes :
  1. Préparez le magasin de clés SSL.
  2. Modifiez les fichiers httpd.conf et httpd-ssl.conf.
  3. Démarrez Apache HTTP Server.
  4. Démarrez les composants Rational DOORS Web Access.
  5. Démarrez le serveur Rational DOORS Web Access.

Procédure

  1. Préparez le magasin de clés SSL :
    1. Créez ou ouvrez votre magasin de clés SSL dans l'outil SSL IBM Key Management Utility (IKeyMan) fourni.
    2. Lorsque vous enregistrez votre magasin de clés, sélectionnez l'option permettant d'enregistrer le mot de passe dans un fichier de dissimulation.
    3. Enregistrez les informations suivantes :
      • L'intitulé du certificat SSL par défaut.
      • Le chemin du fichier de clés.
      • Le chemin du fichier de dissimulation.
  2. Configurez Apache HTTP Server pour traiter les requêtes SSL en modifiant le fichier httpd.conf qui se trouve dans le répertoire conf de l'installation Apache.
    1. Supprimez la mise en commentaire des modules suivants :
      • LoadModule proxy_module modules/mod_proxy.so
      • LoadModule proxy_ajp_module modules/mod_proxy_ajp.so
      • LoadModule proxy_http_module modules/mod_proxy_http.so
      • LoadModule ssl_module modules/mod_ssl.so
    2. Accédez à la section sur la configuration SSL, qui commence par #Secure (SSL/TLS) connections.
    3. Dans cette section, ajoutez les entrées suivantes :
      #
      # reverse proxy
      #
      SSLProxyEngine On
      ProxyPreserveHost On
    4. Ajoutez des entrées pour identifier le domaine hôte :
      ProxyPass / https://host_domain:DWA_Tomcat_port/
      ProxyPassReverse / https://host_domain:DWA_Tomcat_port/
      Par exemple :
      ProxyPass / https://private_host.com:7443/
      ProxyPassReverse / https://private_host.com:7443/
      Remarque : Dans cet exemple, le port proxy visible aux utilisateurs finaux est défini sur 8443 et les demandes de proxy sont redirigées vers le port 7443 sur le serveur private_host. Selon votre environnement, les ports pour lesquels le serveur proxy et Apache Tomcat sont configurés peuvent être définis sur des valeurs différentes pour éviter des conflits de port.
    5. Annulez la mise en commentaire de la ligne suivante :
      Include conf/extra/httpd-ssl.conf
      Pour plus d'informations sur la configuration de proxys inverses, voir Apache Module mod_proxy dans la documentation Apache Software Foundation.
  3. Modifiez le fichier httpd-ssl.conf qui se trouve dans le répertoire /conf/extra de l'installation Apache.
    1. Mettez à jour le nom d'hôte et le port sur lesquels SSL est configuré.
    2. Mettez à jour les paramètres selon les exigences, notamment les paramètres suivants :
      • SSLCertificateFile
      • SSLCertificateKeyFile
      Remarque : Si le fichier de clés SSLCertificateKeyFile est protégé par un mot de passe, le mot de passe doit être entré à chaque fois que le serveur démarre. Vous pouvez supprimer le mot de passe mais, avant de le faire, pensez aux conséquences de cette action, en terme de sécurité, pour votre environnement.
      Pour plus d'informations sur la modification des fichiers SSL HTTP, voir Apache Core Features et Apache Module mod_ssl dans la documentation Apache Software Foundation.
  4. Démarrez Apache HTTP Server. Les erreurs sont écrites dans le fichier error.log, qui se trouve dans le dossier /logs de l'installation Apache.
  5. Démarrez les composants Rational DOORS Web Access.
  6. Démarrez le serveur Rational DOORS Web Access.
  7. Définissez l'URL publique Rational DOORS Web Access et le port sur le serveur proxy inverse en entrant la commande dbadmin suivante :
    dbadmin -dwaHost reverse_proxy_url -dwaPort reverse_proxy_portnumber
    Pour plus d'informations sur la commande dbadmin, voir Configuring the Rational DOORS database server.

Commentaires en retour