PDA

Visualizza la versione completa : [tomcat] autenticazione sicura e SSL


zaion
12-04-2004, 18:53
ho comfigurato un server tomcat (ver > 4.0) in modo che
utilizza una autenticazione basata sui form per alcune pagine.
Questa autenticazione però non è sicura perchè manda le credenziali in chiaro. come posso fare per codificare
la connessione utilizzando lo standard SSL?

se magari conoscete um altro modo per fare una buona autenticazione mi piacerebbe saperlo.

cristiano_longo
13-04-2004, 10:51
Anche se devo dire che l'argomento mi interessa, ammetto di essere ignorante.

In pratica il problema si sposta a livello del server web. Motivo per il quale "dovrebbe" bastare configurare(ed eventualmente patchare) il server apache per gestire sessioni https.

Fammi sapere, per favore.

Angelo1974
13-04-2004, 11:36
Ciao. Alloraper configurare Tomcat ad utilizzare una connession https vi nel file server.xml e devi decommentare il pezzo in cuisi dice:



<!--
<Connector className="org.apache.coyote.tomcat4.CoyoteConnector"
port="8443" minProcessors="5" maxProcessors="75"
enableLookups="true"
acceptCount="100" debug="0" scheme="https" secure="true"
useURIValidationHack="false" disableUploadTimeout="true">
<Factory className="org.apache.coyote.tomcat4.CoyoteServerSocketFactor y"
clientAuth="false" protocol="TLS" />
</Connector>
-->

Devi decommentare il immediatamente dopo </Connector>

Se metti a true, poi, clientAuth il client che tenta di accedere deve avere un certificato di cui tomcat "si fida", ossia trusted.
Ciao

zaion
14-04-2004, 08:46
ho gia provato a farlo ma mi da errore quando lancio tomcat.
se invece faccio così allora funziona.
ma le connessioni le vede solo se faccio 'http://localhost:8443' e non se faccio 'https://......'




<Connector className="org.apache.coyote.tomcat4.CoyoteConnector"

port="8443" minProcessors="5" maxProcessors="75"

enableLookups="true"

acceptCount="100" debug="0" scheme="https" secure="true"

useURIValidationHack="false" disableUploadTimeout="true"/>


e poi il mio problema era usare la connessione protetta solo
quando invio i dati per il login dal mio form.

Loading