mod_jk und basic authentication im Tomcat

Alles, was den Apache betrifft, kann hier besprochen werden.

mod_jk und basic authentication im Tomcat

Postby freizeitadmin » 21. April 2010 16:56

Hi!

Ich habe mal zu Testzwecken unter Ubuntu 9.4 einen Tomcat aufgesetzt, auf dem eine Applikation läuft, welche über die tomcat-users.xml rudimentär abgesichert ist (genau wie auch die Tomcat Admin Anwendung). Rufe ich also http://localhost:8080/meine_app auf, kommt die typische Anmeldemaske im Browser zur Eingabe von Benutzername und Passwort. Soweit alles klar.

Sinn der Sache ist jetzt, dass ich einmal versuchen möchte mittels mod_security auf einem vorgeschalteten Apache Webserver meine Applikation abzusichern. Dazu habe ich zunächst mal mod_jk auf dem Apache installiert, damit dieser als Reverse Proxy für meinen Tomcat fungiert. Aufruf von http://localhost/meine_app funktioniert, solange der Apache läuft. Wird der Apache gestoppt kriege ich über Port 80 keine Verbindung mehr zum Tomcat, so soll das sein. :P

Jetzt das Problem: Sobald ich entweder meine Anwendung oder den Tomcat Manager (http://localhost/manager/html) über den vorgeschalteten Apache aufrufe, gibt es sofort eine "Unauthorized" Fehlermeldung. Eine Anmeldemaske geht gar nicht erst auf. Nun ist es natürlich blöd, wenn ich mich an meiner Anwendung nur unter Umgehung des Reverse Proxy anmelden kann (was ja eigentlich bei richtiger Konfiguration gar nicht möglich sein sollte). Ist hier ein Apache Profi unter Euch, der mir sagen kann was ich wo ändern muss, damit ich mich über den Apache als Reverse Proxy am Tomcat anmelden kann?

Danke im Voraus

Peter
freizeitadmin
 
Posts: 2
Joined: 21. April 2010 16:40

Re: mod_jk und basic authentication im Tomcat

Postby freizeitadmin » 22. April 2010 12:26

OK, zumindest weiß ich jetzt dass das Problem wohl von mod-security herrührt. Sobald ich das Modul abschalte, kann ich mich wieder am Tomcat anmelden, trotz aktivem mod-jk. Genau genommen ist es die Einstellung "SecResponseBodyAccess On" in der Konfiguration von mod-security (2.5.12) , die das Problem verursacht. Wenn ich diesen Wert auf "Off" stelle, geht wieder alles. Diese Lösung ist allerdings unbefriedigend, da ich so den ausgelieferten Content nicht prüfen kann, und somit Stored XSS Attacken möglich wären. Daher bin ich nach wie vor auf der Suche nach einer smarteren Lösung. Vielleicht hat ja hier jemand eine Idee.

Gruß
Peter
freizeitadmin
 
Posts: 2
Joined: 21. April 2010 16:40


Return to Apache

Who is online

Users browsing this forum: No registered users and 8 guests