Indagando en el asunto hemos tedectado que:Request Entity Too Large
The requested resource
/idacelec-web/
does not allow request data with GET requests, or the amount of data provided in the request exceeds the capacity limit.
1) Algunos usuarios tenían en sus tarjetas certificados APE de la FNMT, éstos accedían sin problemas.
2) Sin embargo, las tarjetas de los usuarios que no accedían tenían un certificado tipo "Adm Pública".
3) En ambas tarjetas los certificados son de 2048.
4) Evidentemente los certificados difieren en algo, dado que en la misma máquina con unos sí funcionaba y con los otros no.
Solución:
Googleando hemos dado con la página: http://builddeploy.blogspot.com.es/2009/04/resolving-http-error-413-request-entity.html donde se comenta qué hacer para corregir este problema (hay que ajustar el server apache y los server tomcat donde se ejecute la parte online). Los ajustes son:
1) Tocar el fichero /opt/apache/conf/workers.properties pasando de:
worker.list=jkstatus,lba:
worker.00.host=localhost
worker.00.port=10009
worker.00.type=ajp13
worker.00.fail_on_status=-404,500,503
worker.01.host=localhost
worker.01.port=10109
worker.01.type=ajp13
worker.01.fail_on_status=-404,500,503
worker.lb.type=lb
worker.lb.balance_workers=00,01
worker.lb.sticky_session=true
worker.lb.method=B
worker.jkstatus.type=status
worker.list=jkstatus,lb
worker.00.host=localhost
worker.00.port=10009
worker.00.type=ajp13
worker.00.fail_on_status=-404,500,503
worker.00.max_packet_size=65536
worker.01.host=localhost
worker.01.port=10109
worker.01.type=ajp13
worker.01.fail_on_status=-404,500,503
worker.01.max_packet_size=65536
worker.lb.type=lb
worker.lb.balance_workers=00,01
worker.lb.sticky_session=true
worker.lb.method=B
worker.jkstatus.type=status
2) En cada uno de los tomcat afectados (en nuestro caso lo hemos metido en los dos tomcat balanceados para el portal online), hay que tocar los ficheros:
/xxxxxx/tomcat1/conf/server.xml cambiando la línea:
<Connector port="10009" protocol="AJP/1.3" redirectPort="10043" />por:
<Connector port="10009" protocol="AJP/1.3" redirectPort="10043" packetSize="65536" />
Conclusión:
Hay que investigar en qué difieren ambas tarjetas con certificados "de empleado público" de la FNMT, pero sospechamos que es tema de la cadena de certificación, que en unas es mas corta que en otras. Deberemos hacernos con una de las tarjetas que fallan para investigarlo detenidamente.
Enlaces documentando el tema:
1) Página http://tomcat.apache.org/connectors-doc/reference/workers.html
This attribute sets the maximal AJP packet size in Bytes. The maximum value is 65536. If you change it from the default, you must also change the packetSize attribute of your AJP connector on the Tomcat side! The attribute packetSize is only available in Tomcat 5.5.20+ and 6.0.2+. Normally it is not necessary to change the maximum packet size. Problems with the default value have been reported when sending certificates or certificate chains.
This feature has been added in jk 1.2.19.
2) Página http://tomcat.apache.org/tomcat-5.5-doc/config/ajp.html
This attribute sets the maximum AJP packet size in Bytes. The maximum value is 65536. It should be the same as the
max_packet_size
directive configured for mod_jk. Normally it is not necessary to
change the maximum packet size. Problems with the default value
have been reported when sending certificates or certificate
chains. The default value is 8192.Un saludo
No hay comentarios:
Publicar un comentario