ASF Apache 2.4/Red Hat Apache 2.4で、HTTP_SM_USERなどの標準HTTPヘッダがCGIスクリプトprintenvで表示されません。

Apache2.2系では表示されます。また、JSPなどでも表示されます。

Release: r12.5x

Component: CA Single Sign-On

このCGIスクリプトでの動作については、Apache 2.4のCGIモジュールの制限によるものです。

以下のASFドキュメントで" invalid characters (including underscores)"とあり、

デフォルトの"HTTP_SM_"で始まるヘッダーはアンダースコア('_')を含むためドロップされることとなります。

抜粋:

https://httpd.apache.org/docs/trunk/new_features_2_4.html#module

mod_cgi, mod_include, mod_isapi, ...

Translation of headers to environment variables is more strict than before to mitigate some possible cross-site-

scripting attacks via header injection. Headers containing invalid characters (including underscores) are now

silently dropped. Environment Variables in Apache has some pointers on how to work around broken legacy

clients which require such headers. (This affects all modules which use these environment variables.)

この制限についてはWeb Agent Configuration Guide 12.52 SP1では既知の制限事項として記載されています。

Web エージェント設定ガイド 12.52 SP1

Page 179, HTTP ヘッダのレガシー変数の有効化

注: Apache 2.4.x の Web サーバの場合、LegacyVariables パラメータを No に設定して、SMUSER やSMUSERDN などの SiteMinder のデフォルトのヘッダを表示します。

ACOパラメータLegacyVariables="NO"を設定してください。

ヘッダ名からアンダースコア('_')は含まれないようになり、Apache 2.4の制限には抵触せず、CGIスクリプトでもデフォルトのヘッダが表示されます。

◆補足:レスポンス設定によるカスタムHTTPヘッダについて

ACOパラメータLegacyVariables="NO"の設定をすると、デフォルトのヘッダ名にアンダースコア('_')が含まれなくなりますが、レスポンス設定によるカスタムHTTPヘッダは対象外となります。

レスポンス設定によるカスタムHTTPヘッダにアンダースコア('_')を含めた場合はApache 2.4の制限に抵触します。

従って、カスタムHTTPヘッダにアンダースコア('_')を含めることは推奨いたしません。