Autenticação básica para um aplicativo do Tomcat (JIRA) com Nginx como proxy reverso

3

Eu tenho vários subdomínios executando os aplicativos Atlassian Tomcat (jira.example.com, confluence.example.com, stash.example.com) e gostaria de saber se é possível proteger com senha todos eles com basic_auth com .htpasswd .

Nginx está funcionando ok sem a diretiva basic_auth, mas se eu tentar introduzi-lo assim em nginx.conf ...

user              nginx;
worker_processes  1;

error_log         /var/log/nginx/error.log;
pid               /var/run/nginx.pid;

events {
    worker_connections  1024;
}


http {

    include       /etc/nginx/mime.types;
    default_type  application/octet-stream;

    log_format  main  '$remote_addr - $remote_user [$time_local] $request '
                      '"$status" $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log  /var/log/nginx/access.log  main;

    sendfile        on;
    #tcp_nopush     on;

    #keepalive_timeout  0;
    keepalive_timeout  65;

    #gzip  on;

    # Load config files from the /etc/nginx/conf.d directory
    include /etc/nginx/conf.d/*.conf;

    # Our self-signed cert
    ssl_certificate     /etc/ssl/certs/fissl.crt;
    ssl_certificate_key /etc/ssl/private/fissl.key;

    # Password
    auth_basic "Restricted";
    auth_basic_user_file /home/passwd/.htpasswd;

    # redirect non-ssl Confluence to ssl
    server {
        listen 80;
        server_name  confluence.example.com;
        rewrite ^(.*) https://confluence.example.com$1 permanent;
    }

    # redirect non-ssl Jira to ssl
    server {
        listen 80;
        server_name  jira.example.com;
        rewrite ^(.*) https://jira.example.com$1 permanent;
    }

    #
    # The Confluence server
    #
    server {
        listen       443;
        server_name  confluence.example.com;

        ssl on;

        access_log  /var/log/nginx/confluence.access.log  main;
        error_log   /var/log/nginx/confluence.error.log;

        location / {
            proxy_pass http://127.0.0.1:8080;
            proxy_set_header X-Forwarded-Proto  https;
            proxy_set_header Host $http_host;            
        }

        error_page  404              /404.html;
        location = /404.html {
           root   /usr/share/nginx/html;
        }

        redirect server error pages to the static page /50x.html

        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
           root   /usr/share/nginx/html;
        }

    }

    #
    # The Jira server
    #
    server {
        listen       443;
        server_name  jira.example.com;

        ssl on;

        access_log  /var/log/nginx/jira.access.log  main;
        error_log   /var/log/nginx/jira.error.log;

        location / {
            proxy_pass http://127.0.0.1:9090/;
            proxy_set_header X-Forwarded-Proto  https;
            proxy_set_header Host $http_host;
        }

        error_page  404              /404.html;
        location = /404.html {
            root   /usr/share/nginx/html;
        }

        # redirect server error pages to the static page /50x.html
        #
        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   /usr/share/nginx/html;
        }

    }
}

.. ele pede credenciais, mas depois retorna um

HTTP Status 401 - Basic Authentication Failure - Reason : AUTHENTICATION_DENIED

link

Parece que alguém conseguiu consertar isso com o apache sendo executado como proxy reverso link mas os links desse segmento estão mortos ...

EDITAR: Aparentemente, esse problema pode ser facilmente resolvido no Apache adicionando tomcatAuthentication="false" e usando protocol="AJP/1.3" no conector server.xml do Tomcat. Ou você pode impedir que o apache encaminhe a autenticação com a diretiva RequestHeader unset authorization . A coisa é, como fazer isso com o Nginx? Eu acho que tenho que pesquisar mais ... Alguma idéia?

    
por SDude 30.05.2013 / 04:37

3 respostas

9

Ok, acabamos de encontrar a solução na lista de discussão nginx . Eu só tive que dizer ao nginx para não encaminhar os cabeçalhos auth para o tomcat. Adicionar algumas linhas aos blocos de localização em nginx.conf resolveu o problema:

  location / {
        proxy_set_header X-Forwarded-Host $host;
        proxy_set_header X-Forwarded-Server $host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_pass http://127.0.0.1:8090/;
        proxy_redirect off;

        # Password
        auth_basic "Restricted";
        auth_basic_user_file /home/passwd/.htpasswd;

        # Don't forward auth to Tomcat
        proxy_set_header   Authorization "";
    }

Agora eu só tenho que descobrir como evitar que o nginx peça auth em cada subdomínio (jira, confluence, stash, etc). Ter que introduzir as credenciais apenas uma vez para todos seria perfeito, mas isso é outro problema.

Espero que isso ajude!

Felicidades.

    
por 31.05.2013 / 05:33
1

Eu tive o mesmo problema com o Confluence. Isso foi muito útil (tanto a pergunta atualizada quanto a resposta do SDude). Eu tenho os params de proxy em cada nível de sub-caminho ("/ jira", "/ wiki" para Confluence, etc.), então eu adicionei proxy_set_header Authorization ""; a cada container de localização em nginx config que corrigiu o problema. Ele também curou um problema estranho com o Stash, onde o Stash estava solicitando senha de login através de uma caixa de autenticação do navegador, em vez de sua própria tela de login. Com o acima, agora exibe a tela de login atual.

    
por 18.11.2013 / 23:54
-2

Isso funciona até que você atinja recursos autenticados, que enviam de volta um cabeçalho 401 para o cliente por meio do proxy que aciona um pop-up.

Abaixo está o link

Este é um tópico antigo, mas para qualquer outra pessoa que tenha vindo aqui com este problema. A solução é desanexar o cabeçalho de Autorização ao usar o Apache2 como um proxy reverso.

RequestHeader unset Authorization

O mesmo pode ser feito com o NGiNX

proxy_set_header Authorization "";

Isso funciona muito bem e resolve o problema.

No entanto, se sua instalação de confluência permitir acesso anônimo, e a autenticação usada com o NGiNX / Apache2 não for igual à do Confluence. Você encontrará pop-ups para elementos específicos.

Por exemplo, o seguinte link "rest / mywork / latest / status / notification / new"

<status>
<status-code>401</status-code>
<message>
Client must be authenticated to access this resource.
</message>
</status>
    
por 14.06.2016 / 23:08