Post do blog
Just FYI Eu escrevi uma postagem no blog explicando tudo o que fiz para levantar e sair: linkEu tenho esses serviços implantados e tudo está acessível por meio de https. No entanto, quando tento autenticar via launchpad.net openid 2 coisas acontecem.
Primeiro, o endereço de retorno de chamada é link quando deveria ser link e segundo, o aplicativo falha com uma autenticação OpenID falhada: Openid.mode inválido '' " quando ele finalmente retorna ao host https.
zef-sample-apache2-0: ~ $ cat /etc/apache2/sites-enabled/10.0.3.206_https
# Managed by juju
<VirtualHost *:80>
ServerName 10.0.3.206
Redirect permanent / https://10.0.3.206/
</VirtualHost>
<VirtualHost *:443>
ServerName 10.0.3.206
ServerAdmin [email protected]
CustomLog /var/log/cts-custom.log combined
ErrorLog /var/log/cts-error.log
SSLEngine on
SSLCertificateFile /etc/ssl/certs/ssl-cert-cts.pem
SSLCertificateKeyFile /etc/ssl/private/ssl-cert-cts.key
RequestHeader set X-FORWARDED-SSL "on"
RequestHeader set X-FORWARDED_PROTO "https"
ProxyRequests off
ProxyPreserveHost on
<Proxy *>
Order Allow,Deny
Allow from All
</Proxy>
ProxyPass / http://10.0.3.113:8080/
ProxyPassReverse / http://10.0.3.113:8080/
#RewriteEngine on
#RewriteRule ^/(.*)$ http://10.0.3.113:8080/ [P,L]
# Alias /favicon.ico /srv/seg-dashboard/segdash/static/favicon.ico
# Alias /robots.txt /srv/seg-dashboard/segdash/static/robots.txt
# Alias /static/admin /var/www/static/admin
# Alias /static/ /srv/seg-dashboard/segdash/static/
</VirtualHost>
Eu forcei tudo sobre ssl então, neste ponto, eu não tenho certeza se é um problema de aplicativo com meu aplicativo django, já que rodar um servidor https local e autenticar sobre SSL funciona bem.
Alguma idéia?
Aqui está minha saída de status juju
machines:
0:
agent-state: running
dns-name: localhost
instance-id: local
instance-state: running
services:
apache2:
charm: cs:precise/apache2-11
exposed: true
relations:
reverseproxy:
- seg-dashboard
units:
apache2/0:
agent-state: started
machine: 0
open-ports:
- 80/tcp
- 443/tcp
public-address: 10.0.3.206
gunicorn:
charm: cs:precise/gunicorn-7
relations:
wsgi-file:
- seg-dashboard
subordinate: true
subordinate-to:
- seg-dashboard
postgresql:
charm: cs:precise/postgresql-30
exposed: false
relations:
db:
- seg-dashboard
replication:
- postgresql
units:
postgresql/0:
agent-state: started
machine: 0
public-address: 10.0.3.37
rabbitmq-server:
charm: cs:precise/rabbitmq-server-12
exposed: false
relations:
amqp:
- seg-dashboard
cluster:
- rabbitmq-server
units:
rabbitmq-server/0:
agent-state: started
machine: 0
public-address: 10.0.3.144
seg-dashboard:
charm: local:precise/seg-dashboard-1
relations:
amqp:
- rabbitmq-server
db:
- postgresql
website:
- apache2
wsgi:
- gunicorn
units:
seg-dashboard/0:
agent-state: started
machine: 0
public-address: 10.0.3.113
subordinates:
gunicorn/0:
agent-state: started
E aqui está a parte relevante para a configuração do Launchpad Openid (django settings.py)
SECURE_PROXY_SSL_HEADER = ('HTTP_X_FORWARDED_PROTO', 'https')
ALLOWED_EXTERNAL_OPENID_REDIRECT_DOMAINS = ['lvh.me', 'localhost', 'canonical.com']
# Add support for django-openid-auth
AUTHENTICATION_BACKENDS = (
'django_openid_auth.auth.OpenIDBackend',
'django.contrib.auth.backends.ModelBackend',
)
OPENID_CREATE_USERS = True
OPENID_UPDATE_DETAILS_FROM_SREG = True
OPENID_SSO_SERVER_URL = 'https://login.launchpad.net/'
OPENID_USE_AS_ADMIN_LOGIN = True
OPENID_LAUNCHPAD_TEAMS_REQUIRED = [
'canonical',
]
OPENID_LAUNCHPAD_STAFF_TEAMS = (
'cool-guys',
)
OPENID_STRICT_USERNAMES = True
OPENID_USE_EMAIL_FOR_USERNAME = True
LOGIN_URL = '/openid/login/'
LOGIN_REDIRECT_URL = '/'
# Login is required for all these patterns
LOGIN_REQUIRED_URLS = (
r'/(.*)$',
)
# We much except the openid URLs otherwise we go in loops.
LOGIN_REQUIRED_URLS_EXCEPTIONS = (
r'/openid/(.*)$',
)
Adicional:
Eu acredito que o problema decorre da transferência do Apache (SSL) para o gunicorn (nonSSL) e, quando ele atinge o launchpad.net, o url de retorno de chamada é o servidor Apache (nonSSL). Eu tentei usar algo como django-sslify para forçar SSL no lado do aplicativo, mas parece que o ProxyPreserveHost não se importa / verifique se o host está vindo de https ou http e apenas o padrão é http.
Mais:
Aqui estão os cabeçalhos de solicitação enviados para o launchpad.net
User-Agent:Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:22.0) Gecko/20100101 Firefox/22.0
Referer:https://10.0.3.218/openid/login/?next=/
Host:login.launchpad.net
DNT:1
Connection:keep-alive
E aqui estão os dados do formulário:
openid_referer:"https://10.0.3.218/openid/login/?next=/"
openid.return_to:http://10.0.3.218/openid/complete/?next=%2F&janrain_nonce=2013-07-13T03%3A35%3A28ZSrfuV5
openid.realm:http://10.0.3.218/
Isso está utilizando a biblioteca django-openid-auth e atualmente estou pesquisando o código para ver por que o consumidor está definindo diretamente o return_to http quando o referenciador mostra https?
Eu atualizei a postagem para mostrar a configuração correta em um vache do Apache e no arquivo settings.py do django.
Você vai querer ver um cabeçalho para algo como
RequestHeader set X-FORWARDED_PROTO "https"
E defina o seguinte nas configurações do django
SECURE_PROXY_SSL_HEADER = ('HTTP_X_FORWADED_PROTO', 'https')
Você pode ler mais sobre isso aqui: