История изменений
Исправление DALDON, (текущая версия) :
Нет, не шифрованное. У меня nginx стучится на порт: 8080.
Я буду весьма рад, если оцените кусочек конфига:
<Connector port="8080" protocol="HTTP/1.1"
proxyName="portal.company.ru"
connectionTimeout="20000"
URIEncoding="UTF-8"
redirectPort="8443" />
<!-- A "Connector" using the shared thread pool-->
<!--
<Connector executor="tomcatThreadPool"
port="8080" protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="8443" />
-->
<!-- Define a SSL HTTP/1.1 Connector on port 8443
This connector uses the JSSE configuration, when using APR, the
connector should be using the OpenSSL style configuration
described in the APR documentation -->
<Connector port="8443" URIEncoding="UTF-8" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true"
maxThreads="150" scheme="https" proxyName="portal.company.ru" proxyPort="443" keystoreFile="/opt/data/keystore/ssl.keystore" keystorePass="kT9X6oe68t" keystoreType="JCEKS"
secure="true" connectionTimeout="240000" truststoreFile="/opt/data/keystore/ssl.truststore" truststorePass="kT9X6oe68t" truststoreType="JCEKS"
clientAuth="want" sslProtocol="TLS" allowUnsafeLegacyRenegotiation="true" maxHttpHeaderSize="32768" />
Очень с трудом понимаю что тут происходит, но на порт: 8080 можно было придти свободно. Теперь же получаю вот какую картину: набираю http://hostame.local:8080 (где hostame.local - имя хоста на котором бежит tomcat, т.е. без обратного проксирования) - а меня как-бы перекидывает на: http://portal.company.ru:8080 - то есть оно по всей видимости согласно параметру:proxyName возвращает мне ответ.
В плане kerberos мне это никак не помогло... Я думаю, не помогло по той причине, что: когда я прихожу на nginx, он мне проксирует с: https://portal.company.ru на, http://hostame.local:8080 , обратный ответ с tomcat мне приходит с: http://portal.company.ru (согласно параметру что я добавил), и тут уже nginx по-сути наверное меняет: http://portal.company.ru на http://portal.company.ru , то есть не делает ровным счётом ничего, при обратном ответе. Но так-как всё же одна замена происходит - когда я прихожу на nginx - то билет я получить не могу, и получаю checksumm error.
Ну это чисто мои догадки... Но я думаю, что как-то так. Может что подскажете толкового?
Да, меня смущает, что у меня в конфиге tomcat прописан редирект на 8443 порт, но по факту редиректа не происходит вроде. - Прописывал не я... Оно уже так поставлялось с alfresco.
Исправление DALDON, :
Нет, не шифрованное. У меня nginx стучится на порт: 8080.
Я буду весьма рад, если оцените кусочек конфига:
<Connector port="8080" protocol="HTTP/1.1"
proxyName="portal.company.ru"
connectionTimeout="20000"
URIEncoding="UTF-8"
redirectPort="8443" />
<!-- A "Connector" using the shared thread pool-->
<!--
<Connector executor="tomcatThreadPool"
port="8080" protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="8443" />
-->
<!-- Define a SSL HTTP/1.1 Connector on port 8443
This connector uses the JSSE configuration, when using APR, the
connector should be using the OpenSSL style configuration
described in the APR documentation -->
<Connector port="8443" URIEncoding="UTF-8" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true"
maxThreads="150" scheme="https" proxyName="portal.company.ru" proxyPort="443" keystoreFile="/opt/data/keystore/ssl.keystore" keystorePass="kT9X6oe68t" keystoreType="JCEKS"
secure="true" connectionTimeout="240000" truststoreFile="/opt/data/keystore/ssl.truststore" truststorePass="kT9X6oe68t" truststoreType="JCEKS"
clientAuth="want" sslProtocol="TLS" allowUnsafeLegacyRenegotiation="true" maxHttpHeaderSize="32768" />
Очень с трудом понимаю что тут происходит, но на порт: 8080 можно было придти свободно. Теперь же получаю вот какую картину: набираю http://hostame.local:8080 (где hostame.local - имя хоста на котором бежит tomcat, т.е. без обратного проксирования) - а меня как-бы перекидывает на: http://portal.company.ru:8080 - то есть оно по всей видимости согласно параметру:proxyName возвращает мне ответ.
В плане kerberos мне это никак не помогло... Я думаю, не помогло по той причине, что: когда я прихожу на nginx, он мне проксирует с: https://portal.company.ru на, http://hostame.local:8080 , обратный ответ мне приходит с: http://portal.company.ru , и тут уже nginx по-сути наверное меняет: http://portal.company.ru на http://portal.company.ru , то есть не делает ровным счётом ничего, при обратном ответе. Но так-как всё же одна замена происходит - когда я прихожу на nginx - то билет я получить не могу, и получаю checksumm error.
Ну это чисто мои догадки... Но я думаю, что как-то так. Может что подскажете толкового?
Да, меня смущает, что у меня в конфиге tomcat прописан редирект на 8443 порт, но по факту редиректа не происходит вроде. - Прописывал не я... Оно уже так поставлялось с alfresco.
Исходная версия DALDON, :
Нет. У меня nginx стучится на порт: 8080.
Я буду весьма рад, если оцените кусочек конфига:
<Connector port="8080" protocol="HTTP/1.1"
proxyName="portal.company.ru"
connectionTimeout="20000"
URIEncoding="UTF-8"
redirectPort="8443" />
<!-- A "Connector" using the shared thread pool-->
<!--
<Connector executor="tomcatThreadPool"
port="8080" protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="8443" />
-->
<!-- Define a SSL HTTP/1.1 Connector on port 8443
This connector uses the JSSE configuration, when using APR, the
connector should be using the OpenSSL style configuration
described in the APR documentation -->
<Connector port="8443" URIEncoding="UTF-8" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true"
maxThreads="150" scheme="https" proxyName="portal.company.ru" proxyPort="443" keystoreFile="/opt/data/keystore/ssl.keystore" keystorePass="kT9X6oe68t" keystoreType="JCEKS"
secure="true" connectionTimeout="240000" truststoreFile="/opt/data/keystore/ssl.truststore" truststorePass="kT9X6oe68t" truststoreType="JCEKS"
clientAuth="want" sslProtocol="TLS" allowUnsafeLegacyRenegotiation="true" maxHttpHeaderSize="32768" />
Очень с трудом понимаю что тут происходит, но на порт: 8080 можно было придти свободно. Теперь же получаю вот какую картину: набираю http://hostame.local:8080 (где hostame.local - имя хоста на котором бежит tomcat, т.е. без обратного проксирования) - а меня как-бы перекидывает на: http://portal.company.ru:8080 - то есть оно по всей видимости согласно параметру:proxyName возвращает мне ответ.
В плане kerberos мне это никак не помогло... Я думаю, не помогло по той причине, что: когда я прихожу на nginx, он мне проксирует с: https://portal.company.ru на, http://hostame.local:8080 , обратный ответ мне приходит с: http://portal.company.ru , и тут уже nginx по-сути наверное меняет: http://portal.company.ru на http://portal.company.ru , то есть не делает ровным счётом ничего, при обратном ответе. Но так-как всё же одна замена происходит - когда я прихожу на nginx - то билет я получить не могу, и получаю checksumm error.
Ну это чисто мои догадки... Но я думаю, что как-то так. Может что подскажете толкового?
Да, меня смущает, что у меня в конфиге tomcat прописан редирект на 8443 порт, но по факту редиректа не происходит вроде. - Прописывал не я... Оно уже так поставлялось с alfresco.