Tomcat Versionen 7.0.100, 8.5.51, 9.0.31 – neue Parameter

Die Tomcat-Versionen 7.0.100, 8.5.51, 9.0.31 führen zwei neue Parameter in den AJP-Connectoren verpflichtend ein, die bei vielen Instanzen bisher sicher nicht verwendet wurden, bzw. nicht gesetzt ware.

Bis auf weiteres bitte das hier in der server.xml bei den AJP-Connectoren hinzufügen:

secretRequired=”false”
address=”${host.ip}”

Erläuterung:
secret sichert die Verbindung so ab, daß sie nur von authorisierten Gegenstellen (die das secret kennen) genutzt werden können. Bis diese zusätzliche Absicherung genutzt wird, kann es explizit deaktiviert werden. Das entspricht dem Zustand der Vorgängerversionen von Tomcat.
Ohne Angabe von „address“ bindet sich der AJP-Connector nur auf localhost und ist dann von außen nicht mehr erreichbar.

Achtung: Wenn die host.ip in der catalina.properties mit Anführungszeichen gesetzt ist oder leer, dann startet der AJP-Connector nur auf loopback.

../conf/catalina.properties
host.ip=”1.2.3.4″

oder

host.ip=

Die richtige Angabe der IP Adresse erfolgt ohne Hochkomma:

../conf/catalina.properties
host.ip=1.2.3.4

Hier noch die offiziellen Aussagen von offizieller Seite (Apache Tomcat 8 Configuration Reference – The AJP Connector)

address
For servers with more than one IP address, this attribute specifies which address will be used for listening on the specified port. By default, the loopback address will be used.

secretRequired
If this attribute is true, the AJP Connector will only start if the secret attribute is configured with a non-null, non-zero length value. The default value is true. This attributue should only be set to false when the Connector is used on a trusted network.