Wims en http derrière un load balancer en https

Accueil Forums Gestion d’un serveur WIMS Installation d’un serveur WIMS Wims en http derrière un load balancer en https

Ce sujet a 8 réponses, 3 participants et a été mis à jour par François Lafont François Lafont, il y a 7 mois et 2 semaines.

  • Auteur
    Messages
  • #4165
    François Lafont
    François Lafont
    Participant

    Bonjour à tous,

    J’ai un petit souci avec ce wims https://edu-exercices-pprod.ac-versailles.fr/wims/. Si je fais une recherche, j’ai un popup de mon navigateur Firefox me disant que la requête ne sera pas sécurisée etc. (ça dépend des navigateurs mais perso j’ai le souci avec mon Firefox 52.5.0).

    Le problème est clairement identifié. Le serveur Wims est derrière un load balancer qui est consulté en httpS mais derrière le load balancer requête le serveur Wims en http (l’idée étant qu’on se trouve alors dans un réseau local qu’on considère comme « sûr »). Comme Wims est consulté en http (et pas en httpS), il répond en http et il génère ses uce qui entraîne le problème constaté.

    Est-il possible d’indiquer à Wims qu’il doit générer ses urls internes en https bien qu’il soit consulté en http. Certains CMS disposent de ce genre d’option typiquement dans le cas où ils se trouvent derrière un load balancer qui fait du https mais qui transmet en http côté « serveurs de backend ».

    Si ce n’est pas possible, je pourrais toujours basculer en https également entre le load balancer et Wims mais si c’est possible j’aimerais éviter. 🙂

    Merci d’avance pour votre aide.

    PS : évidemment, étant donné que je n’ai qu’un serveur Wims en backend, c’est un peu bête de passer par un load balancer mais je n’ai pas le choix car niveau réseau, nous n’avons pas assez d’IP publiques.

  • #4167

    bernadette
    Admin bbPress

    Pour l’instant wims ne fait pas cela. Il reste dans le protocole par lequel on est entré. Mais je ne suis pas trop compétente pour ces choses-là !

    Bernadette

  • #4170
    François Lafont
    François Lafont
    Participant

    Re, 🙂

    Ok au moins c’est clair et ça m’évitera de chercher inutilement. Je vais donc passer le trafic entre le load balancer et le serveur Wims en httpS également.

    Merci pour ton aide.

  • #4222

    dcaillibaud
    Participant

    Bonjour,

    Je suis dans le même cas, et avec manager_https=1 dans wims.conf ça fonctionne correctement avec la 4.15b (c’est accessible via l’interface d’admin mais je me rappelle plus où).

  • #4223

    dcaillibaud
    Participant

    En lisant http://wimsedu.info/?topic=wims-ssl-haproxy, je réalise que j’ai aussi du fastcgi_param HTTPS on et fastcgi_param SERVER_PROTOCOL https; dans la configuration nginx du backend (en http donc), c’est probablement requis pour que ça fonctionne correctement.

  • #4224
    François Lafont
    François Lafont
    Participant

    Bonjour,

    Merci pour cette info mais es-tu sûr que cette option fait bien ce qui correspond à l’objet de ce fil de discussion, à savoir envoyer des réponses comme si wims était requêté en HTTPS alors qu’il est en fait requêté en HTTP ?

    J’ai des doutes car, quand je vois l’aide indiquée dans le fichier public_html/modules/adm/manage/lang/confdata.en, il est marqué :

    :security manager_https
    Site maintenance must use https connection <span class= »tt wims_warning »>*</span>
    choice
    0,1;$wims_name_no,$wims_name_yes
    Whenever possible, choose https connection to increase security.
    An intrusion to your server as webmaster represents a great danger to your installation!
    <p>WIMS is compatible with https. All you have to do is to configure your
    httpd so that it accepts https requests.</p>

    On dirait que ça permet d’avoir la page d’administration en HTTPS mais je ne pense pas que ça corresponde au sujet de ce fil, non ?

    PS : j’utilise aussi la version 4.15b de Wims packagée pour Debian Stretch et disponible ici http://apt.ac-versailles.fr (https est possible aussi).

    PS2: il y a une petite erreur de traduction dans le fichier public_html/modules/adm/manage/lang/confdata.en avec connection au lieu de connexion. 😉

  • #4227

    dcaillibaud
    Participant

    Tu as raison, le manager_https=1 ne sert que pour forcer l’usage du https pour l’interface d’admin.

    Mais chez moi (https://wims.sesamath.net/) passer les 2 paramètres (HTTPS et SERVER_PROTOCOL) au cgi fonctionne avec un frontal https (nginx en http/2) qui passe la main en http à la suite (varnish puis un autre nginx qui gère le cgi avec fcgiwrap).

    Avec wims, l’étage varnish est pas très utile (c’est pour être homogène avec mes autres sites web), surtout si le backend nginx ajoute du Expires sur le statique (pour qu’il se retrouve en cache dans le navigateur), car y’a peu de statique et wims passe du no-cache sur toutes les pages, même en anonyme.

  • #4228

    dcaillibaud
    Participant

    Pour le PS2, public_html/modules/adm/manage/lang/confdata.en semble correct, c’est public_html/modules/adm/manage/lang/confdata.fr qui contient du connection (en) à la place de connexion (fr).

  • #4231
    François Lafont
    François Lafont
    Participant

    Bonjour,

    Merci de ta réponse dcaillibaud. J’avoue que ça me dépasse un peu mais si ça marche tant mieux. Personnellement, j’ai opté pour du full https des 2 côtés du load balancer (un nginx chez moi) et puis voilà. D’autant plus que sur le serveur Wims, j’ai mis un bête certificat autosigné, ça ne pose pas de problème au nginx.

    À+

    PS : merci d’avoir rectifié mon erreur plus haut, c’est en effet du fichier public_html/modules/adm/manage/lang/confdata.fr dont je voulais parler.

Vous devez être connecté pour répondre à ce sujet.