je dois protéger un OWA (Outlook Web Access). J'ai donc tout
naturellement penser a un apache en reverse proxy (que j'ai deja pour
d'autres sites en fait). Mais les ennuis sont multiples :
Cette #$@#$@#$@# de OWA utilise des fulls liens en dur (protocole +
hostname) donc je ne sais pas trop comment faire pour qu'il soit
accessible a l'exterieur (via le reverse proxy) en HTTPS alors que les
requêtes Proxy -> Exchange/ISS sont en HTTP.
Bon, je me dis, c'est pas trop grave, suffit d'utiliser le meme nom en
interne et externe, ce que je m'empresse de faire. Et la, grosse
deception, un :
proxy: No protocol handler was valid for the URL /. If you are using a
DSO version of mod_proxy, make sure the proxy submodules are included
in the configuration using LoadModule.
Evidemment, j'ai la meme erreur en utilisant le mod_rewrite puisque le
[P] utilise mod_proxy.
Sachant que j'utilise une Debian Sarge / Apache-ssl 1.3.33, le
mod_proxy qui va avec. J'ai demande sur #apache@Freenode et on m'a
vaguement repondu que c'etait pas normal que mod_proxy ne puisse pas
utiliser du https, mais que le problème ne viendrais pas des packages
debian.
La meme config fonctionne en http, mais forcement le pass est en clair..
Voyez-vous une solution ? (le premier qui me sort supprimer exchange
je l'etrippe :)
Sachant que j'utilise une Debian Sarge / Apache-ssl 1.3.33
Pour autant que je me souvienne, le mod_proxy de Apache 1.3 ne sait pas gérer le HTTPS. Mais je peux me tromper. Ceci dit, la documentation ne mentionne pas le SSL :
http://httpd.apache.org/docs/mod/mod_proxy.html
"This module provides for an HTTP 1.1 caching proxy server. [...] This module implements a proxy/cache for Apache. It implements proxying capability for FTP, CONNECT (for SSL), HTTP/0.9, HTTP/1.0, and (as of Apache 1.3.23) HTTP/1.1. The module can be configured to connect to other proxy modules for these and other protocols."
D'ailleurs, si on regarde les directives, on ne voit rien qui concerne le SSL. En particulier pour la présentation d'un certificat au client d'une part (il ne peut évidemment pas présenter celui du Exchange) et la vérification du certificat présenté par le backend.
Alors que si on regarde la documentation du Apache 2.0, ben là c'est bon :
"This module implements a proxy/gateway for Apache. It implements proxying capability for FTP, CONNECT (for SSL), HTTP/0.9, HTTP/1.0, and HTTP/1.1. The module can be configured to connect to other proxy modules for these and other protocols. [...] In addition, extended features are provided by other modules. Caching is provided by mod_cache and related modules. The ability to contact remote servers using the SSL/TLS protocol is provided by the SSLProxy* directives of mod_ssl. These additional modules will need to be loaded and configured to take advantage of these features."
J'ai demande sur # et on m'a vaguement repondu que c'etait pas normal que mod_proxy ne puisse pas utiliser du https
Tu diras à cette personne d'aller lire la documentation...
Ceci dit, le HTTPS en backend est gérable avec un Apache 1.3 en utilisant stunnel. En gros, tu configures stunnel en démon local, écoutant sur un port local et redirigeant les connexions vers ton OWA en SSL. Tu configures alors ton mod_proxy pour se connecter en HTTP sur le stunnel, qui forwardera le tout en SSL vers le OWA. C'est un peu roots, mais ça marche. Sinon, Apache 2.0.
Ceci dit, Exchange est une grosse merde à proxifier et pour autant que je sache, il n'y a guère que ISA Server qui sache le faire correctement, c'est à dire à fournir des vrais checks de sécurité sur ce qui passe dedans
-- JdC>Ah non je ne suis _pas_ bien membré et je m'en tamponne joyeusement JdC>d'ailleurs. PA> Vous pourriez nous décrire cette manoeuvre plus en détails ? -+-in: Guide du Neuneu d'Usenet - L'insondable sexualité des dinos -+-
Le Fri, 18 Mar 2005 16:54:58 +0000, Bruno Bonfils a écrit :
Sachant que j'utilise une Debian Sarge / Apache-ssl 1.3.33
Pour autant que je me souvienne, le mod_proxy de Apache 1.3 ne sait pas
gérer le HTTPS. Mais je peux me tromper. Ceci dit, la documentation ne
mentionne pas le SSL :
http://httpd.apache.org/docs/mod/mod_proxy.html
"This module provides for an HTTP 1.1 caching proxy server.
[...]
This module implements a proxy/cache for Apache. It implements proxying
capability for FTP, CONNECT (for SSL), HTTP/0.9, HTTP/1.0, and (as of
Apache 1.3.23) HTTP/1.1. The module can be configured to connect to
other proxy modules for these and other protocols."
D'ailleurs, si on regarde les directives, on ne voit rien qui concerne le
SSL. En particulier pour la présentation d'un certificat au client d'une
part (il ne peut évidemment pas présenter celui du Exchange) et la
vérification du certificat présenté par le backend.
Alors que si on regarde la documentation du Apache 2.0, ben là c'est bon :
"This module implements a proxy/gateway for Apache. It implements proxying
capability for FTP, CONNECT (for SSL), HTTP/0.9, HTTP/1.0, and HTTP/1.1.
The module can be configured to connect to other proxy modules for these
and other protocols.
[...]
In addition, extended features are provided by other modules. Caching is
provided by mod_cache and related modules. The ability to contact remote
servers using the SSL/TLS protocol is provided by the SSLProxy*
directives of mod_ssl. These additional modules will need to be loaded
and configured to take advantage of these features."
J'ai demande sur #apache@Freenode et on m'a vaguement repondu que
c'etait pas normal que mod_proxy ne puisse pas utiliser du https
Tu diras à cette personne d'aller lire la documentation...
Ceci dit, le HTTPS en backend est gérable avec un Apache 1.3 en utilisant
stunnel. En gros, tu configures stunnel en démon local, écoutant sur un
port local et redirigeant les connexions vers ton OWA en SSL. Tu
configures alors ton mod_proxy pour se connecter en HTTP sur le stunnel,
qui forwardera le tout en SSL vers le OWA. C'est un peu roots, mais ça
marche. Sinon, Apache 2.0.
Ceci dit, Exchange est une grosse merde à proxifier et pour autant que je
sache, il n'y a guère que ISA Server qui sache le faire correctement,
c'est à dire à fournir des vrais checks de sécurité sur ce qui passe
dedans
--
JdC>Ah non je ne suis _pas_ bien membré et je m'en tamponne joyeusement
JdC>d'ailleurs.
PA> Vous pourriez nous décrire cette manoeuvre plus en détails ?
-+-in: Guide du Neuneu d'Usenet - L'insondable sexualité des dinos -+-
Sachant que j'utilise une Debian Sarge / Apache-ssl 1.3.33
Pour autant que je me souvienne, le mod_proxy de Apache 1.3 ne sait pas gérer le HTTPS. Mais je peux me tromper. Ceci dit, la documentation ne mentionne pas le SSL :
http://httpd.apache.org/docs/mod/mod_proxy.html
"This module provides for an HTTP 1.1 caching proxy server. [...] This module implements a proxy/cache for Apache. It implements proxying capability for FTP, CONNECT (for SSL), HTTP/0.9, HTTP/1.0, and (as of Apache 1.3.23) HTTP/1.1. The module can be configured to connect to other proxy modules for these and other protocols."
D'ailleurs, si on regarde les directives, on ne voit rien qui concerne le SSL. En particulier pour la présentation d'un certificat au client d'une part (il ne peut évidemment pas présenter celui du Exchange) et la vérification du certificat présenté par le backend.
Alors que si on regarde la documentation du Apache 2.0, ben là c'est bon :
"This module implements a proxy/gateway for Apache. It implements proxying capability for FTP, CONNECT (for SSL), HTTP/0.9, HTTP/1.0, and HTTP/1.1. The module can be configured to connect to other proxy modules for these and other protocols. [...] In addition, extended features are provided by other modules. Caching is provided by mod_cache and related modules. The ability to contact remote servers using the SSL/TLS protocol is provided by the SSLProxy* directives of mod_ssl. These additional modules will need to be loaded and configured to take advantage of these features."
J'ai demande sur # et on m'a vaguement repondu que c'etait pas normal que mod_proxy ne puisse pas utiliser du https
Tu diras à cette personne d'aller lire la documentation...
Ceci dit, le HTTPS en backend est gérable avec un Apache 1.3 en utilisant stunnel. En gros, tu configures stunnel en démon local, écoutant sur un port local et redirigeant les connexions vers ton OWA en SSL. Tu configures alors ton mod_proxy pour se connecter en HTTP sur le stunnel, qui forwardera le tout en SSL vers le OWA. C'est un peu roots, mais ça marche. Sinon, Apache 2.0.
Ceci dit, Exchange est une grosse merde à proxifier et pour autant que je sache, il n'y a guère que ISA Server qui sache le faire correctement, c'est à dire à fournir des vrais checks de sécurité sur ce qui passe dedans
-- JdC>Ah non je ne suis _pas_ bien membré et je m'en tamponne joyeusement JdC>d'ailleurs. PA> Vous pourriez nous décrire cette manoeuvre plus en détails ? -+-in: Guide du Neuneu d'Usenet - L'insondable sexualité des dinos -+-
