Pound und Zope

Wie h�nge ich meinen ZOPE hinter Pound?

Wem Apache und Squid zu m�chtig sind, kann auch Pound als Reverse HTTP Proxy und SSL Wrapper einsetzen. Pound ist ein sehr kleines Programm, das insbesondere auf Sicherheitsprobleme �berpr�ft wurde. Es kann als setuid/setgid und/oder in einer Chroot()-Umgebung laufen. Pound wurde urspr�nglich entwickelt, um als Load-Balancer die Last zwischen verschiedenen Zope Servern vor einem ZEO Server zu verteilen.

Eine Besonderheit ist zu beachten, wenn man Pound als SSL Wrapper vor einen Zope setzt. Zope glaubt dann, dass alle Anfragen via HTTP gestellt wurden und setzt bei seinen Antworten ein �http://� vor die Adresse. Dies betrifft auch das Tag und alle absolut erzeugten URLs. Um dieses unerw�nschte Verhalten zu umgehen, liefert Pound direkt einen Patch f�r Zopes z2.py mit. Die modifizierte z2.py erm�glicht es, einen zus�tzlichen HTTP Server �ber die -y Option zu starten, der dann die HTTPS Umgebungsvariable setzt und das Problem damit behebt. Wer SSL Support mit Pound realisieren m�chte, muss also seine z2.py Datei patchen und im Startscript -y 443 einf�gen. Daneben kann Pound mit folgender Konfiguration auch als Reverse HTTP Proxy eingesetzt werden:

  ListenHTTP 129.70.34.102,80
  ExtendedHTTP 1
  WebDAV 1
  LogLevel 3

  UrlGroup ".*"
  Session IP 3600
  BackEnd 127.0.0.1,8080,1
  EndGroup

Aus Sicherheitsgr�nden sollte man Pound als user nobody und group nogroup laufen lassen. Dies erreicht man mit folgenden zus�tzlichen eintr�gen in der Konfiguration:

  User nobody
  Group nogroup

Wer also lediglich Inhalte transparent durchschleifen oder schnell und unkompliziert SSL implementieren m�chte, aber den Code-Riesen Apache und Squid nicht �ber den Weg traut, dem sei Pound w�rmstens empfohlen.

Debian/woody backport:

  deb http://ftp.dzug.org/Zope/debian/mschopen/ zope/

Anregungen zu dieser FAQ bitte an mschopen at dzug org