nginx reverse proxy avec authentification Windows qui utilise l'authentification NTLM

Quelqu'un sait si il est possible de faire du reverse proxy avec authentification Windows qui utilise le protocole NTLM? Je ne peux pas le trouver n'importe quel exemple. Quelles devraient être les valeurs de more_set_headers champ?

location /{
            proxy_http_version      1.1;
            proxy_pass_request_headers on;
            proxy_set_header        Host            $host;
            proxy_set_header        X-Real-IP       $remote_addr;
            proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;


            more_set_input_headers  'Authorization: $http_authorization';

            proxy_set_header  Accept-Encoding  "";

            proxy_pass              http://host/;
            proxy_redirect          default;
            #This is what worked for me, but you need the headers-more mod
            more_set_headers        -s 401 'WWW-Authenticate: Basic realm="host.local"';
}

Si je accéder à l'hôte directement l'authentification de réussir si j'ai accès avec le proxy inverse, l'échec de l'authentification à chaque fois.

pour ceux qui sont nouveaux à nginx comme moi la more_set_input_headers et more_set_headers config lignes peut rendre votre nginx crash au premier abord (montrant Abandonnée en HTTP journaux) c'est parce que vous avez besoin pour installer les en-têtes-plus-nginx-module, plus d'infos ici github.com/openresty/headers-more-nginx-module#installation

OriginalL'auteur matheus | 2014-01-22

  1. 13

    Pour activer l'authentification NTLM pass-through avec Nginx -

    upstream http_backend {
    server 2.3.4.5:80;
    keepalive 16;
}
server {
    ...
    location /{
       proxy_pass http://http_backend/;
       proxy_http_version 1.1;
       proxy_set_header Connection "";
    ...
    }
 }

    -- Ramon

    Merci, cela a fonctionné pour moi.
    J'ai un très semblable, question pour cela, si vous avez le temps, et vous pouvez répondre, il n'y a actuellement une prime sur elle.
    Vous dire que nous n'avez pas besoin de la version commerciale de nginx pour la prise en charge NTLM?
    Cela a également travaillé pour nodejs express-ntlm
    Le même n'est pas de travail pour moi. Pourquoi? À l'aide de tomcat dans le backend.

    OriginalL'auteur Fizz

  2. 3

    Autant que je sache, ce n'est actuellement pas possible avec nginx. J'ai étudié en profondeur me suis juste un peu tout à l'heure. Le problème de base est que l'authentification NTLM exigera le même socket être utilisé sur la demande subséquente, mais le proxy ne pas le faire. Jusqu'à ce que la nginx équipe de développement de l'offre de support pour ce problème, la façon dont j'ai géré ce fut en recourant à s'authentifier dans le reverse proxy lui-même. Je suis actuellement en train de faire cela à l'aide d'apache 2.2, mod_proxy, mod_auth_sspi (pas parfait, mais il fonctionne). Bonne chance! Désolé, nginx, je vous aime, mais nous pourrions vraiment utiliser un peu d'aide pour cette utilisation.

    Tony, donc si j'ai bien compris vous avez fait le suivant: les Utilisateurs se connectent au serveur Apache, Apache authentifier l'utilisateur itlsef avec NTLM. Après que Apache start un reverse proxy connexion avec un serveur et de le renvoyer à l'Utilisateur?
    En gros, oui. Le client s'authentifie à apache en cours d'exécution mod_auth_sspi. apache procurations de la demande à un serveur lors de l'injection de l'id de l'utilisateur dans un en-tête de requête. c'est un mode de fonctionnement de siteminder par exemple. juste être sûr d'éviter l'accès direct à votre serveur d'arrière-plan. c'est une façon de le faire. mieux approches sont possibles. rediriger vers auth server, par exemple, et utiliser un oauth2 style jeton mécanisme.

    OriginalL'auteur Tony Schwartz

  3. 3

    Depuis, j'ai trouver une autre solution pour ce. Ce n'est pas le même que nginx faire le NTLM (ce qui serait sympa si la nginx équipe met en œuvre cette). Mais, pour l'instant, ce que je fais fonctionne pour nous.

    J'ai écrit certains de code lua qui utilise un cookie crypté. Le cookie chiffré contient l'id de l'utilisateur, le temps qu'il a authentifié et l'adresse ip à partir de laquelle il a authentifié. Je suis à la fixation de ce genre de choses ici pour référence. Ce n'est pas poli, mais peut-être que vous pouvez utiliser pour développer votre propre système similaire.

    Fondamentalement, la façon dont il fonctionne est:

    1. Si le cookie n'est PAS disponible ou si elle est expirée ou invalide, nginx fait un appel de service (pré-auth) à un client d'application IIS passant l'adresse IP du client, puis redirige le client vers une application web IIS où j'ai "l'Authentification Windows est déjà activé. Le back-end de l'application IIS pré-auth service génère un GUID et les magasins d'une entrée dans la base de données pour que les guid et un drapeau indiquant le GUID est sur le point d'être authentifié.
    2. Le navigateur est redirigé par nginx à l'application google authenticator passer le GUID.
    3. IIS application authentifie l'utilisateur à l'aide de l'authentification windows et de mises à jour de la db enregistrement pour les GUID et l'adresse IP du client avec l'id utilisateur et le temps authentifié.
    4. IIS application redirige le client pour la demande initiale.
    5. nginx code lua intercepte l'appel et se rend à l'arrière-porte de service de l'appel à l'IIS de nouveau l'application (post-auth) et demande de l'id utilisateur et le temps authentifié. Cette information est présentée dans un cookie crypté et est envoyé au navigateur. La demande est autorisé à passer à travers et le REMOTE_USER est envoyé.
    6. les demandes ultérieures par le navigateur de passer le témoin et la nginx code lua voit le cookie valide et les mandataires de la demande directement (sans avoir besoin de s'authentifier à nouveau, bien sûr) en passant par le REMOTE_USER-tête de la demande.

    accès.lua:

    local enc     = require("enc");
local strings = require("strings");
local dkjson  = require("dkjson");


function beginAuth()
    local headers = ngx.req.get_headers();
    local contentTypeOriginal = headers["Content-Type"];
    print( contentTypeOriginal ); 
    ngx.req.set_header( "Content-Type", "application/json" );
    local method = ngx.req.get_method();
    local body = "";
    if method == "POST" then
        local requestedWith = headers["X-Requested-With"];
        if requestedWith ~= nil and requestedWith == "XMLHttpRequest" then
            print( "bailing, won't allow post during re-authentication." );
            ngx.exit(ngx.HTTP_GONE); -- for now, we are NOT supporting a post for re-authentication.  user must do a get first.  cookies can't be set on these ajax calls when redirecting, so for now we can't support it.
            ngx.say("Reload the page.");
            return;
        else
            print( "Attempting to handle POST for request uri: " .. ngx.var.uri );
        end
        ngx.req.read_body();
        local bodyData = ngx.req.get_body_data();
        if bodyData ~= nil then
            body = bodyData;
        end
    end
    local json = dkjson.encode( { c = contentTypeOriginal, m = method, d = body } );
    local origData = enc.base64encode( json );
    local res = ngx.location.capture( "/preauth", { method = ngx.HTTP_POST, body = "{'clientIp':'" .. ngx.var.remote_addr .. "','originalUrl':'" .. ngx.var.FrontEndProtocol .. ngx.var.host .. ngx.var.uri .. "','originalData':'" .. origData .. "'}" } );
    if contentTypeOriginal ~= nil then
        ngx.req.set_header( "Content-Type", contentTypeOriginal );
    else
        ngx.req.clear_header( "Content-Type" );
    end
    if res.status == 200 then
        ngx.header["Access-Control-Allow-Origin"] = "*";
        ngx.header["Set-Cookie"] = "pca=guid:" .. enc.encrypt( res.body ) .. "; path=/"
        ngx.redirect( ngx.var.authurl .. "auth/" .. res.body );
    else
        ngx.exit(res.status);
    end
end

function completeAuth( cookie )
    local guid = enc.decrypt( string.sub( cookie, 6 ) );
    local contentTypeOriginal = ngx.header["Content-Type"];
    ngx.req.set_header( "Content-Type", "application/json" );
    local res = ngx.location.capture( "/postauth", { method = ngx.HTTP_POST, body = "{'clientIp':'" .. ngx.var.remote_addr .. "','guid':'" .. guid .. "'}" } );
    if contentTypeOriginal ~= nil then
        ngx.req.set_header( "Content-Type", contentTypeOriginal );
    else
        ngx.req.clear_header( "Content-Type" );
    end
    if res.status == 200 then
        local resJson = res.body;
        -- print( "here a1" );
        -- print( resJson );
        local resTbl = dkjson.decode( resJson );
        if resTbl.StatusCode == 0 then
            resTbl = resTbl.Result;
            local time = os.time();
            local sessionData = dkjson.encode( { u = resTbl.user, t = time, o = time } );
            ngx.header["Set-Cookie"] = "pca=" .. enc.encrypt( sessionData ) .. "; path=/"
            ngx.req.set_header( "REMOTE_USER", resTbl.user );
            if resTbl.originalData ~= nil and resTbl.originalData ~= "" then
                local tblJson = enc.base64decode( resTbl.originalData );
                local tbl = dkjson.decode( tblJson );
                if tbl.m ~= nil and tbl.m == "POST" then
                    ngx.req.set_method( ngx.HTTP_POST );
                    ngx.req.set_header( "Content-Type", tbl.c );
                    ngx.req.read_body();
                    ngx.req.set_body_data( tbl.d );
                end
            end
        else
            ngx.log( ngx.ERR, "error parsing json " .. resJson );
            ngx.exit(500);
        end
    else
        print( "error completing auth." );
        ngx.header["Set-Cookie"] = "pca=; path=/; Expires=Thu, 01 Jan 1970 00:00:00 GMT; token=deleted;"
        print( res.status );
        ngx.exit(res.status);
    end
end


local cookie = ngx.var.cookie_pca;
print( cookie );
if cookie == nil then 
    beginAuth();
elseif strings.starts( cookie, "guid:" ) then
    completeAuth( cookie );
else
    -- GOOD TO GO...
    local json = enc.decrypt( cookie );
    local d = dkjson.decode( json );
    local now = os.time();
    local diff = now - d.t;
    local diffOriginal = 0;
    if d.o ~= nil then 
        diffOriginal = now - d.o;
    end
    if diff > 3600 or diffOriginal > 43200 then
        beginAuth();
    elseif diff > 300 then
        print( "regenerating new cookie after " .. tostring( diff ) .. " seconds." );
        local sessionData = dkjson.encode( { u = d.u, t = now, o = d.t } );
        ngx.header["Set-Cookie"] = "pca=" .. enc.encrypt( sessionData ) .. "; path=/"
    end
    ngx.req.set_header( "REMOTE_USER", d.u );
end

    cordes.lua:

    local private = {};
local public = {};
strings = public;

function public.starts(String,Start)
   return string.sub(String,1,string.len(Start))==Start
end

function public.ends(String,End)
   return End=='' or string.sub(String,-string.len(End))==End
end

return strings;

    enc.lua:

    -- for base64, try something like: http://lua-users.org/wiki/BaseSixtyFour
local private = {};
local public = {};
enc = public;

local aeslua = require("aeslua");

private.key = "f8d7shfkdjfhhggf";

function public.encrypt( s )
    return base64.base64encode( aeslua.encrypt( private.key, s ) );
end

function public.decrypt( s )
    return aeslua.decrypt( private.key, base64.base64decode( s ) );
end

return enc;

    exemple de conf nginx:

    upstream dev {
    ip_hash;
    server app.server.local:8080;
}
set $authurl http://auth.server.local:8082/root/;
set $FrontEndProtocol https://;
location /{
    proxy_pass     http://dev/;
    proxy_set_header Host $host;
    proxy_redirect default;
    proxy_http_version 1.1;
    proxy_set_header Connection "";
    proxy_set_header X-Real-IP $remote_addr;
    proxy_buffers 128 8k;
    access_by_lua_file conf/lua/app/dev/access.lua;
}
    Salut Tony. J'aimerais voir comment vous avez fait implemeneted. Envisagez-vous de mettre un post, ensemble, de prendre quelqu'un à travers elle, ou m'aider d'une façon quelconque? J'ai actuellement deux apache frone fin de serveurs web authentifier tous les utilisateurs via NTML et c'est horriblement lent. Je apprecaite gens vont dire que je peux brancher Apache (bla , bla), mais mon expérience avec nginx, c'est qu'il est beaucoup plus rapide et je voudrais juste préfèrent l'utiliser. J'ai IIS boîtes disponibles à l'utilisation, donc si je pouvais copie de votre configuration et de l'utilisation d'un IIS boîte pour authentiation et de s'appuyer sur nginx pour faire le serveur de travail qui pourrait être fantastique.
    BeardedGeek, je suis juste en train de lire ce post. Si j'ai un peu de temps bientôt, je vais essayer de mettre ensemble, étape par étape, ou même juste le bundle.
    au lieu de l'authentification à chaque demande unique, ce que j'ai à faire est de s'authentifier à l'accès à l'application, à partir de ce point sur l'application du cookie de session est utilisé. Qui accélère vraiment la chose entière.

    OriginalL'auteur Tony Schwartz

  4. 0

    Ok, nous avons écrit code lua pour nginx/openresty, ce qui résout ntlm reverse-proxy problème avec certains résoluble limites et sans besoin de commerciaux nginx version

    OriginalL'auteur broomrider