- Ce sujet contient 8 réponses, 3 participants et a été mis à jour pour la dernière fois par
, le il y a 7 années et 4 mois.
-
Messages
-
-
Bonjour à tous,
J’ai un petit souci avec ce wims https://edu-exercices-pprod.ac-versailles.fr/wims/. Si je fais une recherche, j’ai un popup de mon navigateur Firefox me disant que la requête ne sera pas sécurisée etc. (ça dépend des navigateurs mais perso j’ai le souci avec mon Firefox 52.5.0).
Le problème est clairement identifié. Le serveur Wims est derrière un load balancer qui est consulté en httpS mais derrière le load balancer requête le serveur Wims en http (l’idée étant qu’on se trouve alors dans un réseau local qu’on considère comme « sûr »). Comme Wims est consulté en http (et pas en httpS), il répond en http et il génère ses uce qui entraîne le problème constaté.
Est-il possible d’indiquer à Wims qu’il doit générer ses urls internes en https bien qu’il soit consulté en http. Certains CMS disposent de ce genre d’option typiquement dans le cas où ils se trouvent derrière un load balancer qui fait du https mais qui transmet en http côté « serveurs de backend ».
Si ce n’est pas possible, je pourrais toujours basculer en https également entre le load balancer et Wims mais si c’est possible j’aimerais éviter. 🙂
Merci d’avance pour votre aide.
PS : évidemment, étant donné que je n’ai qu’un serveur Wims en backend, c’est un peu bête de passer par un load balancer mais je n’ai pas le choix car niveau réseau, nous n’avons pas assez d’IP publiques.
-
-
-
-
En lisant http://wimsedu.info/?topic=wims-ssl-haproxy, je réalise que j’ai aussi du
fastcgi_param HTTPS onetfastcgi_param SERVER_PROTOCOL https;dans la configuration nginx du backend (en http donc), c’est probablement requis pour que ça fonctionne correctement. -
Bonjour,
Merci pour cette info mais es-tu sûr que cette option fait bien ce qui correspond à l’objet de ce fil de discussion, à savoir envoyer des réponses comme si wims était requêté en HTTPS alors qu’il est en fait requêté en HTTP ?
J’ai des doutes car, quand je vois l’aide indiquée dans le fichier
public_html/modules/adm/manage/lang/confdata.en, il est marqué ::security manager_https
Site maintenance must use https connection <span class= »tt wims_warning »>*</span>
choice
0,1;$wims_name_no,$wims_name_yes
Whenever possible, choose https connection to increase security.
An intrusion to your server as webmaster represents a great danger to your installation!
<p>WIMS is compatible with https. All you have to do is to configure your
httpd so that it accepts https requests.</p>On dirait que ça permet d’avoir la page d’administration en HTTPS mais je ne pense pas que ça corresponde au sujet de ce fil, non ?
PS : j’utilise aussi la version 4.15b de Wims packagée pour Debian Stretch et disponible ici http://apt.ac-versailles.fr (https est possible aussi).
PS2: il y a une petite erreur de traduction dans le fichier
public_html/modules/adm/manage/lang/confdata.enavecconnectionau lieu deconnexion. 😉 -
Tu as raison, le
manager_https=1ne sert que pour forcer l’usage du https pour l’interface d’admin.Mais chez moi (https://wims.sesamath.net/) passer les 2 paramètres (HTTPS et SERVER_PROTOCOL) au cgi fonctionne avec un frontal https (nginx en http/2) qui passe la main en http à la suite (varnish puis un autre nginx qui gère le cgi avec fcgiwrap).
Avec wims, l’étage varnish est pas très utile (c’est pour être homogène avec mes autres sites web), surtout si le backend nginx ajoute du Expires sur le statique (pour qu’il se retrouve en cache dans le navigateur), car y’a peu de statique et wims passe du no-cache sur toutes les pages, même en anonyme.
-
-
Bonjour,
Merci de ta réponse dcaillibaud. J’avoue que ça me dépasse un peu mais si ça marche tant mieux. Personnellement, j’ai opté pour du full https des 2 côtés du load balancer (un nginx chez moi) et puis voilà. D’autant plus que sur le serveur Wims, j’ai mis un bête certificat autosigné, ça ne pose pas de problème au nginx.
À+
PS : merci d’avoir rectifié mon erreur plus haut, c’est en effet du fichier public_html/modules/adm/manage/lang/confdata.fr dont je voulais parler.
-
- Vous devez être connecté pour répondre à ce sujet.