Dík, určite vyskúšam. Ale teraz som rád, že to ide s tým IIS. Poznáte to - nešpáraj do hovna, kým nesmrdí. ;-) Bedo
_____ From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Richard Holly Sent: 8. júna 2007 15:03 To: Java Subject: Re: IIS + JBoss - mod_jk problem 4. Ano aj, ale plus sa na to vztahuje aj http://archives.java.sun.com/cgi-bin/wa?A2=ind0510 <http://archives.java.sun.com/cgi-bin/wa?A2=ind0510&L=java-security&F=&S=&P= 1727> &L=java-security&F=&S=&P=1727 a odporucam pred dalsimi "experimentami" prejst si velmi dobry popis na http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnsecure/ht ml/http-sso-1.asp Rastislav Siekel wrote: Ahoj, k 1. - podľa dokumentácie som myslel, že pokiaľ nenastavím pre JCIFS filter jcifs.http.enableBasic a jcifs.http.insecureBasic, tak nebude robiť basic authorization. V dokumentácií ale nie je uvedená default hodnota. Je možné, že je true. k 4. - tak to je zaujímavé. Chvíľu som Googlil a našiel som niečo takéto (http://www.nabble.com/Cas---SPNEGO-t2409092.html): HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters Value Name: allowtgtsessionkey Value Type: REG_DWORD Value: 0x01 ( default is 0 ) to je ono? Bedo. _____ From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Richard Holly Sent: 8. júna 2007 12:57 To: Java Subject: Re: IIS + JBoss - mod_jk problem K tomu JCIFS musim dodat nasledovne. 1. To ze sa vam zda ze pre firefox 1.0 to ide - je len "fallback" pre klasicky http basic auth. a to nema s ntlm nic spolocne 2. IE sa v tomto vasom pripade chova korektne a problem mate na strane servera - konkretne medzi jcifs a key distribution center (kdc) windows 2003 servera. 3. pri ntlm sa neposiela domenove meno a heslo v http requeste 4. ak chcete aby vam jcifs fungoval aj pre windows 2003 tak je nutne aplikovat do registrov servera windows 2003 malu zmenu, ktora zmeni sposob hashovania kerberos ticketov, pretoze ta verzie ktoru pouziva windows 2003, robi problemy jave (unsupported algorithm exception) . Rastislav Siekel wrote: Vyriešené. Vďaka všetkým, čo prispeli radou už server ide 2 dni bez problémov, takže problém pokladám za vyriešený. Popíšem sem ale ešte konfiguráciu do archívu. Snáď to niekomu pomôže. Pri starom nastavení workers.properties: worker.ajp13.socket_timeout=120 worker.ajp13.connection_pool_size=100 worker.ajp13.connection_pool_minsize=30 worker.ajp13.connection_pool_timeout=120 sa ešte stále prejavoval problém "HSE_REQ_SEND_RESPONSE_HEADER failed". Potom som zmenil dve veci: workers.properties: worker.ajp13.connection_pool_minsize=70 a server.xml: <Connector port="8309" address="${jboss.bind.address}" maxThreads="100" minSpareThreads="70" debug="9" emptySessionPath="true" enableLookups="false" redirectPort="8443" protocol="AJP/1.3" tomcatAuthentication="false" URIEncoding="UTF-8" /> Neviem, ktoré nastavenie zabralo - možno obe. Zaujímavé je to aj preto, že u nás som to testoval aj na úplne minimalistickom nastavení: worker.ajp13.connection_pool_size=2 worker.ajp13.connection_pool_minsize=1 a aplikácia stále išla v pohode. Ešte raz vďaka, Bedo. P.S. JCIFS sa mi sprvoti nedarilo rozbehať, až som vyskúšal spustiť aplikáciu cez staručký Firefox 1.0 a tam to išlo. Čiže chyba nebola v konfigurácií JCIFS filtra, ale v browseri. Pri testovaní na IE som stále obdržal chybu "401 Unauthorized" aj pri druhom volaní, keď som v HTTP hlavičkách videl, že si JBoss a IE nejaký NTLM reťazec poslali. Čiže - najnovší JCIFS 1.2.13 proti windows doméne na Windows Server 2003 R2 nejde cez IE 6.0, ani IE 7.0, ale s Firefoxom 1.0 ide (samozrejme, vtedy nepošle doménové meno a heslo sám, ale ho musí užívateľ zadať). Celkom sranda ;-) _____ From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Rastislav Siekel Sent: 5. júna 2007 12:00 To: 'Java' Subject: RE: IIS + JBoss - mod_jk problem Díky, to znie zaujímavo, skúsim nastaviť. Uvidíme... Bedo _____ From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Richard Holly Sent: 5. júna 2007 10:38 To: Java Subject: Re: IIS + JBoss - mod_jk problem Skuste zvysit nastavenie ajp13 connectora - ak bezite v default home tak ${jboss.home}/default/deploy/jbossweb-tomcat55.sar/server.xml napr. <!-- A AJP 1.3 Connector on port 8309 --> <Connector port="8309" address="${jboss.bind.address}" maxThreads="100" minSpareThreads="30" maxSpareThreads="10" debug="0" emptySessionPath="true" enableLookups="false" protocol="AJP/1.3"/> Hodnoty som uviedol tak aby reflektovali vami uvedene hodnoty z workers.properties. Rastislav Siekel wrote: Ahoj, díky za ohlas. ...veď to je práve problém, server (Tomcat) sa tvári, že nejde, ale jeho priame oslovenie - mimo AJP13 ide v pohode, čiže HTTP GET na porte 8380 vráti stránku pre JBoss management v poriadku. Zlyháva práve ten connect na 8309. Bedo -----Original Message----- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Zdenek Lorenc Sent: 5. júna 2007 10:06 To: Java Subject: Re: IIS + JBoss - mod_jk problem Rastislav Siekel napsal(a): Nikto sa neozýva, tak skúsim ešte raz - nemá niekto z tunajších guru nasadený JBoss alebo Tomcat nad IIS, aby fungovala NTLM autorizácia? Aké verzie? Plíz, plíz. Bedo -------------------------------------------------------------- ---------- *From:* [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] *On Behalf Of *Rastislav Siekel *Sent:* 4. júna 2007 10:47 *To:* 'Java' *Subject:* IIS + JBoss - mod_jk problem Zdravím vospolok, potreboval by som niekoho pomôcť mi pri chybe v prepojení medzi IIS a JBoss. Naša aplikácia po premigrovaní na JBoss funguje úplne perfektne ;-) Teda počas testov. V ostrej prevádzke sa stáva, že po nejakom čase zlyhá prepojenie medzi IIS (6.0) a JBoss (4.0.5.GA) pomocou mod_jk (1.2.20 aj 1.2.23) V logu sa predtým zobrazí chyba *HSE_REQ_SEND_RESPONSE_HEADER failed, *prípadne *WriteClient failed with 00002746*, prípadne *connect to 127.0.0.1:8309 failed with errno=61*. Google mi dal rady pre nastavenie *workers.properties*, tak som tam dokonfiguroval: - nastaviť nejaký konečný timeout - *worker.ajp13.socket_timeout=120* - zväčšiť počet spojení v connection pool - *worker.ajp13.connection_pool_size=100* - zväčšiť minimálny počet spojení v connection pool - *worker.ajp13.connection_pool_minsize=30* - nastaviť nejaký konečný timeout pre connection tool - *worker.ajp13.connection_pool_timeout=120* Aj cez všetko úsilie aplikácia stále mrzne. Pričom iná aplikácia - napr. JBoss management funguje stále - takže vlastné IIS a Tomcat z JBoss-u môžem vylúčiť. Nemáte niekdo nasadené IIS a JBoss spolu? Ako - teda aké verzie? Díky, Rastislav "Bedo" Siekel P.S. IIS by som prinajhoršom mohol nahradiť nejakým iným NTLM providerom - napr JCIFS, ale aplikácia sa určite musí prihlasovať automaticky doménovým menom a heslom z Windows domény. -------------------------------------------------------------- ---------- Ing. Rastislav Siekel Prosoft s.r.o., Kuzmányho 8, 010 01 Žilina, Slovakia E-mail : <mailto:[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <mailto:[EMAIL PROTECTED]> <mailto:[EMAIL PROTECTED]> Tel : 041/562 54 91 Fax : 041/562 54 97 Mobil : 0905 34 00 20 Ahoj, ze znalosti mod_jk odvozuji : errno = WSAGetLastError() - WSABASEERR; WSABASEERR = 10000; z chyby : connect to 127.0.0.1:8309 failed with errno=61 by mohl být chybový kód 100061; ve Win vrací fce WSAGetLastError() chybový kód 100061 v případě uvedeném níže . WSAECONNREFUSED 10061 Connection refused. No connection could be made because the target computer actively refused it. This usually results from trying to connect to a service that is inactive on the foreign host-that is, one with no server application running. Z.Lorenc
