Le serveur Fleche héberge un serveur Apache agissant en « reverse proxy » et doté d’un agent E-Sentry. A la différence d’un serveur proxy en mode transparent et où le client ne fait que « passer » à travers le proxy pour atteindre le serveur réel, un serveur agissant en mode « reverse proxy » est considéré par le client comme le serveur d’extrémité et toutes les requêtes émises par le client seront reprises et réémises par le reverse proxy vers un serveur désigné. Ceci permet de cacher complètement les serveurs réels derrière une barrière logicielle et d’empêcher toute attaque directe des serveurs de production.
Il agit en mode FrontServer pour le logiciel E-Sentry (cf. annexe 4.1.3.C - ).
L’installation s’effectue grâce au CD-ROM « Addon » de la suite E-Sentry et au lancement du script « /frontserver/frontserver.inst ».
Il s’agit d’un serveur Apache (cf. paragraphe 8.2.6.B - ) bénéficiant au sein du fichier « /var/frontserver/conf/httpd.conf » des paramétrages du reverse proxy suivants :
…
Listen fleche.sga.def:80
<IfDefine SSL>
Listen fleche.sga.def:443
</IfDefine>
…
NameVirtualHost fleche.sga.def:80
<VirtualHost fleche.sga.def:80>
ServerName fleche.sga.def
ServerAdmin "webmaster@fleche.sga.def"
ErrorLog logs/fleche.sga.def/error_log
TransferLog logs/fleche.sga.def/access_log
<IfModule mod_proxy.c>
ProxyEngine on
ProxyPass /secure http://colombe.sga.def/secure/
ProxyPassReverse /secure http://colombe.sga.def/secure/
ProxyPassReverse /secure http://colombe.sga.def:80/secure/
ProxyPass /public http://pegase/public/
ProxyPassReverse /public http://pegase/public/
ProxyPassReverse /public http://pegase:80/public/
ProxyPass /ldapexplorer https://grandeourse/ldapexplorer/
ProxyPassReverse /ldapexplorer https://grandeourse/ldapexplorer/
ProxyPassReverse /ldapexplorer https://grandeourse:443/ldapexplorer/
</IfModule>
</VirtualHost>
…
NameVirtualHost fleche.sga.def:443
<VirtualHost fleche.sga.def:443>
ServerName fleche.sga.def
ServerAdmin "webmaster@fleche.sga.def"
ErrorLog logs/fleche.sga.def/error_log
TransferLog logs/fleche.sga.def/access_log
<IfModule mod_proxy.c>
ProxyEngine on
ProxyPass /secure http://colombe/secure/
ProxyPassReverse /secure http://colombe.sga.def/secure/
ProxyPassReverse /secure http://colombe.sga.def:80/secure/
ProxyPass /ldapexplorer https://grandeourse/ldapexplorer/
ProxyPassReverse /ldapexplorer https://grandeourse/ldapexplorer/
ProxyPassReverse /ldapexplorer https://grandeourse:443/ldapexplorer/
</IfModule>
SSLEngine on
CustomLog logs/fleche.sga.def/ssl_request_log \
"%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
SetEnvIf User-Agent ".*MSIE.*" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0
</VirtualHost>
…
L’agent E-Sentry présent sur le serveur Flèche est paramétré à l’aide du fichier « /var/frontserver/e-sentry/WASecure.conf ». Le fichier correspondant sur le serveur Fleche est donné ci-dessous :
Trace DEBUG
AuthenticationServer https://eridan.sga.def CGI=/cgi-bin/wway_authent?TdsName=TSEC Port=443
AccreditationServer eridan.sga.def Port=1701 Name=TSEC
AccessPolicy Open
CacheDirectory /var/frontserver/cache-esentry
#ReadFrequency 10
ProtectedResource /secure Server=http://fleche.sga.def Service=APPLI-WEB
L’installation du serveur SSH est décrite dans le paragraphe 8.2.3.E - .
Le paramétrage du déport des logs est décrit dans le paragraphe 8.2.3.C - .
Le paramétrage de l’authentification des utilisateurs sur l’annuaire GrandeOurse est décrit au paragraphe 8.2.6.D - .