Wims en http derrière un load balancer en https

Accueil Forums Gestion d’un serveur WIMS Installation d’un serveur WIMS Wims en http derrière un load balancer en https

Vous lisez 8 fils de discussion
  • Auteur
    Messages
    • #4165
      Avatar photoFrançois Lafont
      Participant
      Up
      0
      Down
      ::

      Bonjour à tous,

      J’ai un petit souci avec ce wims https://edu-exercices-pprod.ac-versailles.fr/wims/. Si je fais une recherche, j’ai un popup de mon navigateur Firefox me disant que la requête ne sera pas sécurisée etc. (ça dépend des navigateurs mais perso j’ai le souci avec mon Firefox 52.5.0).

      Le problème est clairement identifié. Le serveur Wims est derrière un load balancer qui est consulté en httpS mais derrière le load balancer requête le serveur Wims en http (l’idée étant qu’on se trouve alors dans un réseau local qu’on considère comme « sûr »). Comme Wims est consulté en http (et pas en httpS), il répond en http et il génère ses uce qui entraîne le problème constaté.

      Est-il possible d’indiquer à Wims qu’il doit générer ses urls internes en https bien qu’il soit consulté en http. Certains CMS disposent de ce genre d’option typiquement dans le cas où ils se trouvent derrière un load balancer qui fait du https mais qui transmet en http côté « serveurs de backend ».

      Si ce n’est pas possible, je pourrais toujours basculer en https également entre le load balancer et Wims mais si c’est possible j’aimerais éviter. 🙂

      Merci d’avance pour votre aide.

      PS : évidemment, étant donné que je n’ai qu’un serveur Wims en backend, c’est un peu bête de passer par un load balancer mais je n’ai pas le choix car niveau réseau, nous n’avons pas assez d’IP publiques.

    • #4167
      bernadette
      Maître des clés
      Up
      0
      Down
      ::

      Pour l’instant wims ne fait pas cela. Il reste dans le protocole par lequel on est entré. Mais je ne suis pas trop compétente pour ces choses-là !

      Bernadette

    • #4170
      Avatar photoFrançois Lafont
      Participant
      Up
      0
      Down
      ::

      Re, 🙂

      Ok au moins c’est clair et ça m’évitera de chercher inutilement. Je vais donc passer le trafic entre le load balancer et le serveur Wims en httpS également.

      Merci pour ton aide.

    • #4222
      dcaillibaud
      Participant
      Up
      0
      Down
      ::

      Bonjour,

      Je suis dans le même cas, et avec manager_https=1 dans wims.conf ça fonctionne correctement avec la 4.15b (c’est accessible via l’interface d’admin mais je me rappelle plus où).

    • #4223
      dcaillibaud
      Participant
      Up
      0
      Down
      ::

      En lisant http://wimsedu.info/?topic=wims-ssl-haproxy, je réalise que j’ai aussi du fastcgi_param HTTPS on et fastcgi_param SERVER_PROTOCOL https; dans la configuration nginx du backend (en http donc), c’est probablement requis pour que ça fonctionne correctement.

    • #4224
      Avatar photoFrançois Lafont
      Participant
      Up
      0
      Down
      ::

      Bonjour,

      Merci pour cette info mais es-tu sûr que cette option fait bien ce qui correspond à l’objet de ce fil de discussion, à savoir envoyer des réponses comme si wims était requêté en HTTPS alors qu’il est en fait requêté en HTTP ?

      J’ai des doutes car, quand je vois l’aide indiquée dans le fichier public_html/modules/adm/manage/lang/confdata.en, il est marqué :

      :security manager_https
      Site maintenance must use https connection <span class= »tt wims_warning »>*</span>
      choice
      0,1;$wims_name_no,$wims_name_yes
      Whenever possible, choose https connection to increase security.
      An intrusion to your server as webmaster represents a great danger to your installation!
      <p>WIMS is compatible with https. All you have to do is to configure your
      httpd so that it accepts https requests.</p>

      On dirait que ça permet d’avoir la page d’administration en HTTPS mais je ne pense pas que ça corresponde au sujet de ce fil, non ?

      PS : j’utilise aussi la version 4.15b de Wims packagée pour Debian Stretch et disponible ici http://apt.ac-versailles.fr (https est possible aussi).

      PS2: il y a une petite erreur de traduction dans le fichier public_html/modules/adm/manage/lang/confdata.en avec connection au lieu de connexion. 😉

    • #4227
      dcaillibaud
      Participant
      Up
      0
      Down
      ::

      Tu as raison, le manager_https=1 ne sert que pour forcer l’usage du https pour l’interface d’admin.

      Mais chez moi (https://wims.sesamath.net/) passer les 2 paramètres (HTTPS et SERVER_PROTOCOL) au cgi fonctionne avec un frontal https (nginx en http/2) qui passe la main en http à la suite (varnish puis un autre nginx qui gère le cgi avec fcgiwrap).

      Avec wims, l’étage varnish est pas très utile (c’est pour être homogène avec mes autres sites web), surtout si le backend nginx ajoute du Expires sur le statique (pour qu’il se retrouve en cache dans le navigateur), car y’a peu de statique et wims passe du no-cache sur toutes les pages, même en anonyme.

    • #4228
      dcaillibaud
      Participant
      Up
      0
      Down
      ::

      Pour le PS2, public_html/modules/adm/manage/lang/confdata.en semble correct, c’est public_html/modules/adm/manage/lang/confdata.fr qui contient du connection (en) à la place de connexion (fr).

    • #4231
      Avatar photoFrançois Lafont
      Participant
      Up
      0
      Down
      ::

      Bonjour,

      Merci de ta réponse dcaillibaud. J’avoue que ça me dépasse un peu mais si ça marche tant mieux. Personnellement, j’ai opté pour du full https des 2 côtés du load balancer (un nginx chez moi) et puis voilà. D’autant plus que sur le serveur Wims, j’ai mis un bête certificat autosigné, ça ne pose pas de problème au nginx.

      À+

      PS : merci d’avoir rectifié mon erreur plus haut, c’est en effet du fichier public_html/modules/adm/manage/lang/confdata.fr dont je voulais parler.

Vous lisez 8 fils de discussion
  • Vous devez être connecté pour répondre à ce sujet.