HP IceWall SSO

「オリジナル URL 対応（Virtual Host 対応）」とは、「 Apache HTTP サーバの Virtual Host 機能との組み合わせにより、既存の Web アプリケーションに対して前段にフォワーダを追加しても、ユーザがアクセスする URL を変更させないことを可能とする新機能」です。

本トピックスでは、「オリジナル URL 対応の仕組みの基本から設定」、「応用編としてSSL通信をしている場合」を順を追って、詳細に説明してまいります。

ご存知の通り、 RP 型のモジュールには
「使用するプラットホーム（Web サーバ）が限定されない。」
「バックエンド Web サーバはクライアントから直接アクセスできないために セキュリティ度とメンテナンス性が増す。」
「バックエンド Web サーバに手を加える必要がない。」
といったメリットがあります。

これらのメリットは、クライアントと既存の Web アプリケーションの間に、 IceWall サーバが入り、クライアント - Web アプリケーション間の通信を IceWall のフォワーダが中継することにより実現されているため、Version 7.0 までの IceWall では、RP 型特有の機能を使用するためには、クライアントは、必ず IceWall サーバ経由の URL でバックエンドサーバにアクセスしなければいけませんでした。

しかし、複雑なトランザクションを使用する独自開発のアプリケーションや、 Java Applet などを多用するアプリケーション・パッケージ製品を使用して構築された環境では、IceWall サーバのような Reverse Proxy サーバをクライアントとバックエンド Web サーバの間に導入する際に、通信の中継を行うことが難しい場合があります。

例えば、IceWall では通常の HTML のようなテキストコンテンツ内部の URL を書き換える機能はありますが、バイナリ化されてしまった URL に対しては URL の書き換えを行う事はできません。このため Java Applet で作成された、独自クライアントを使用して Web アプリケーションにアクセスするタイプのアクセスモデルを使用する環境では、 Web アプリケーションへのアクセス URL が、 Applet プログラム内にハードコーディングされていたりすると、そのコード自体を書き換えない限り、クライアントからのアクセスを IceWall 経由の URL に変更することはできません。

これまで、そういった環境に対しては、Version 7.0 から製品ラインナップに加わった エージェント型モジュールの適用や、使用可能な範囲にのみ限定的に RP 型を使用するといった対応策をご案内してまいりましたが、今回ご紹介する新機能をご使用いただくと、これまで RP 型では対応不可とされて来た環境への新たなソリューションをご提供することが可能になります。

■「オリジナルURL対応機能」を使用しない場合

上記の < 導入後 > の URL を指定することにより、 IceWall サーバ上に配置されたフォワーダが起動され、エイリアス「 ORG 」で指定されたバックエンド Web サーバへのリクエストが中継されます。
（このうち、 /fw/dfw は IceWall プログラム実体へのパス、 ORG は http://original.hp.com をあらわす識別子となります。）

<オリジナルURL設定前の処理フロー >

1. ユーザが http://icewall.hp.com/fw/dfw/ORG/index.html にアクセスする。
2. フォワーダがバックエンドサーバの /index.html にアクセスする。
3. バックエンドサーバがコンテンツを送信する。この時点では href=”/index.html” のように記述されている。
4. フォワーダは バックエンドサーバから受け取ったコンテンツの ボディ部、ヘッダ部の URL 変換を実行する。
5. このとき、 href=”/fw/dfw/ORG/index.html” のように変換されることになる。
6. フォワーダは URL 変換を行ったコンテンツをブラウザに返す。
7. ブラウザは、 IceWall 経由の URL でアクセスを続ける。

上記の処理が従来の RP 型のものになりますが、今回ご紹介する、「オリジナル URL 対応」の仕組みを使用すると、冒頭で述べた通り、 IceWall 導入後も、 < 導入前＞と同じオリジナル URL でアクセスを開始することができます。

< 実際の設定方法 >

ここからは処理を追いながら、どのような設定が必要となるのか解説していきます。少し細かいですが、お付き合いください。

「オリジナル URL 対応」の仕組みを使用すると、 IceWall 導入後も、 < 導入前＞と同じオリジナル URL でアクセスを開始することができるため、処理は、

1' ユーザが http://original.hp.com/index.html にアクセスする。

ここで、「 1' 」で出されたリクエストを、 IceWall サーバ上のフォワーダへ送信するためには、ブラウザに URL が入力された後、このリクエストを出した際に、実際には 「 http://icewall.hp.com/fw/dfw/ORG/index.html 」 にアクセスさせる必要があります。

まず、リクエスト URL のホスト名部分「 original.hp.com 」にご注目ください。通常、このリクエストは、DNS やローカルの hosts ファイルの設定などにより、名前解決され、クライアントからバックエンド Web サーバへ送信されますが、DNS やローカルの hosts ファイルの設定を書き換えることにより、リクエストを IceWall サーバに送信することができます。

DNS に上記のように設定を行えば、「 1' 」のリクエストは、バックエンド Web サーバではなく、IceWall サーバ上の Apache に送信されます。

ですが、 IceWall サーバ上には、指定されたバックエンドサーバのコンテンツ「 index.html 」は存在しません。このリクエストをバックエンドサーバへ中継するためには、フォワーダのパス部分とともにバックエンド Web サーバのエイリアス 「 /fw/dfw/ORG/ 」 を「 1' 」の URL へ挿入しなければなりません。

ここで、「 1' 」の URL へ「 /fw/dfw/ORG/ 」部分を挿入するためには Apache HTTP サーバの組み込みモジュール『mod_rewrite』を利用します。

この mod_rewrite は、 RedHat Linux 付属の Apache 等に標準で組み込まれるもので、Apache へのリクエスト URL のパスを、 Apache が内部処理を行う前に文字列 変換等をする モジュールとなります 。

例えば・・・
Apache の設定ファイル httpd.conf にて以下のような設定を行うと

リクエスト URL が条件 1-3 で指定したものと一致すれば、変換ルールにより、リクエスト「 1' 」 のパス部分は 、「 /fw/dfw/ORG/index.html 」に書き換えられます。

※ ここでご注意いただきたいのが、「条件 1 」の設定です。この条件をご覧いただくとわかりますが、クライアントから出されたリクエストは、ブラウザが送信したホストヘッダにより、適切なエイリアスに紐付けられます。
一般的に利用されている Internet Explorer や Netscape Navigator はホストヘッダに対応していますが、ホストヘッダに対応していないブラウザでは、このソリューションを複数のバックエンド Web サーバに使用することはできません。

さて、｢ DNS 設定｣「 mod_rewrite 」の設定により、「 1' 」のリクエストに続き以下のように処理が進みます。

2' mod_rewrite が /fw/dfw/ORG/index.html に書き換える。
3' フォワーダがバックエンドサーバの /index.html にアクセスする。

その際、完全にブラウザからのアクセスをシミュレーションする必要がある場合は、 IceWall の情報継承機能を使用し、クライアントが出すリクエストと同様のヘッダが送信されるよう、バックエンド Web サーバごとのホスト設定ファイルの「 HEADER 」および｢ HEADER_FILTER ｣「 COOKIE_FILTER 」を調整していただく必要があります。

また、ここで必要になるのが、 IceWall が発行する認証 Cookie の domain 属性および path 属性の設定です。

今、ご紹介しているケースですと、 IceWall にて、何も設定していない状態では、 Cookie の仕様により、 IceWall が発行する認証 Cookie は、「 domain=original.hp.com; path=/fw 」 という属性が設定されたのと同等の状態となります。（path 属性を指定しない場合の Cookie の付加位置に関しては、ブラウザにより若干動作が異なります。 )

Cookie の仕様により、 domain 属性については後方一致、 path 属性については前方一致の場合にのみ、ブラウザにセットされた Cookie はサーバへ送信されます。この場合、「 1' 」の時点で、IceWall で認証済みであるとしても、認証済みであるということを証明する認証 Cookie は、リクエスト URL 「 http://original.hp.com/XXX 」(XXはfw以外)とともに IceWall サーバには送信されません。この場合、IceWall は、ユーザが未認証であると判断し、再度、ログイン要求を行います。

そこで、必要になるのが、IceWall の発行する認証 Cookie の属性設定です。IceWall では、フォワーダ設定ファイルの「 COOKIEATTR 」パラメータにて、認証 Cookie の属性を設定することができます。

「1'」のリクエストURLのパス部分が何であっても、認証後のリクエストにて認証Cookieを送信するためには、以下の例のように、path属性「/」を設定する必要があります。

このように設定すれば、ブラウザは、リクエスト URL 「 https://original.hp.com/XXX 」に対しても Cookie を送付することができます。

また、IceWallにて複数のバックエンドWebサーバを管理する場合、すべてのサーバへIceWallの認証Cookieを送信するためには、各サーバのFQDNの共通部分を認証Cookieのdomain属性として設定する必要があります。例えば、IceWallにて、「original.hp.com」「original2.hp.com」の2つのバックエンドWebサーバを管理する場合には、以下のように設定します。

※この設定を使用するためには、IceWallの管理対象となる複数のバックエンド Web サーバは、同一ドメイン「 hp.com 」に所属する必要があります。バックエンドWebサーバが複数あり、それぞれが別ドメインに所属する場合はこのソリューションは使用できませんのでご注意ください。尚、今回ご紹介した方式を応用してバックエンド Web サーバと IceWall サーバが別ドメインに所属する場合に対応したソリューションもありますが、ここでは割愛します。

次に、「 3' 」によるリクエストに対するレスポンスが、バックエンド Web サーバから返ってきます。

4' バックエンドサーバがコンテンツを送信する。

このため、 IceWall のホスト設定ファイルにて以下の様に URL 変換が行われないよう設定し、オリジナルの URL が保たれるようにする必要があります。

このように設定することで、コンテンツはオリジナルのままとなり、処理は以下のように進みます。

5' dfw はボディ部、ヘッダ部の URL 変換を実行しない。
6' dfw はオリジナルのままのコンテンツを、ブラウザに送信する。
7' ブラウザは、その後もオリジナルの URL でアクセスを続ける。

この設定項目「 UNCONV_HEADER 」は、 version 8.0 より新たに追加されたパラメータです。この設定をバックエンド Web サーバごとの設定ファイル、ホスト設定ファイルで指定することにより、特定のバックエンド Web サーバから出された Location ヘッダおよび Set-Cookie ヘッダの値は、フォワーダにて IceWall 経由に変換されません。

また、ログイン直後のリダイレクト時など、バックエンド Web サーバではなく IceWall 自身が出す Location ヘッダを変換するためには、上記の設定に加え、フォワーダの設定ファイルに以下の設定が必要になります。

以上、これまでご説明した設定を実施することで、オリジナル URL が保証されるようになり、処理は以下のように変更されます。

< 「オリジナルURL」設定後の処理フロー >

1' ユーザが http://original.hp.com/index.html にアクセスする。この際、DNS 登録上 original.hp.com は IceWall サーバ icewall.hp.com と同じサーバを指す。
2' mod_rewrite が リクエストパスを /fw/dfw/ORG/index.html に書き換える。
3' フォワーダがバックエンドサーバの /index.html にアクセスする。
4' バックエンドサーバがコンテンツを送信する。
5' dfw はボディ部、ヘッダ部の URL 変換を実行しない。
6' dfw はオリジナルのままのコンテンツを、ブラウザに送信する。
7' ブラウザは、その後もオリジナルの URL でアクセスを続ける。

基本編でご説明した通り、複数台のバックエンド Web サーバをオリジナル URL 対応で管理する必要がある場合、 IceWall サーバは、クライアントからは複数のオリジナルの URL によるアクセスを受け付けることになります。

クライアント‐ IceWall サーバ間で SSL 通信を行う際、クライアントへは、 SSL 通信を行うサーバの IP アドレス（ホスト名）とサービスを提供するポートの情報が記された「サーバ証明書」が送信されます。

図のように、ブラウザから、それぞれ「 original1.hp.com 」「 original2.hp.com 」へアクセスする場合、それぞれのリクエストURL は基本編でご紹介した DNS の設定により、 IceWall サーバへ送信されます。しかし、サーバから送られてきた証明書に「 icewall.hp.com 」のサインがあり、ブラウザでは、リクエストした URL とサーバ証明書のホスト名が一致しないため、警告画面が表示されてしまいます。

応用編では、この問題を解決するための設定方法のひとつをご紹介します。

■Apache （Virtual Host）機能による解決方法

この問題を解決するためには、それぞれのオリジナル URL に一致した署名がされたサーバ証明書をクライアントに返す必要があります。それを実現するのが、Apache の『 VirtualHost 』機能です。

VirtualHost とは、一つの HTTP サーバ上で複数の Web サイトを扱うための機能です。この機能を使用し、 IceWall サーバ上でそれぞれのオリジナル URL に応じた複数の Web サイトを運営し、それぞれに SSL の設定等を行えば、サーバ証明書の署名の不一致による問題は解決されます。

Apache の Virtual Host 機能には「名前ベース」と「 IP ベース」の 2 種類がありますが、ひとつの IP アドレスで複数のサイトを運営する名前ベースでは、サーバはひとつの IP アドレスしか持たないため、複数の証明書を使用することはできません。

したがって、今回ご紹介する様な例では、 IP アドレスベースの Virtual Host 機能を使用する必要があります。 IP アドレスベースの場合、 IceWall サーバは、バックエンドサーバと同じ数の IP アドレスを持つ必要があり、それぞれの IP アドレスは DNS に、以下のように登録されます。

そして、それぞれの VirtualHost ごとにサーバ証明書とキーペアを準備し、以下の例のように、各 VirtualHost ディレクティブの中に適切な設定を行います。

以上が SSL 通信を使用する場合の設定方法の一例になります。

今回ご紹介した設定例を参考にしていただければ、オリジナル URL によるアクセスのままで、 RP 型のメリットを生かした IceWall 環境を構築することができます。