У меня есть несколько поддоменов, на которых работают приложения Atlassian Tomcat (jira.example.com, confluence.example.com, stash.example.com), и я хотел бы знать, можно ли защитить паролем все из них с помощью basic_auth с участием .htpasswd.
Nginx работает нормально без директивы basic_auth, но если я попытаюсь ввести это так в nginx.conf...
user nginx;
worker_processes 1;
error_log /var/log/nginx/error.log;
pid /var/run/nginx.pid;
events {
worker_connections 1024;
}
http {
include /etc/nginx/mime.types;
default_type application/octet-stream;
log_format main '$remote_addr - $remote_user [$time_local] $request '
'"$status" $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log /var/log/nginx/access.log main;
sendfile on;
#tcp_nopush on;
#keepalive_timeout 0;
keepalive_timeout 65;
#gzip on;
# Load config files from the /etc/nginx/conf.d directory
include /etc/nginx/conf.d/*.conf;
# Our self-signed cert
ssl_certificate /etc/ssl/certs/fissl.crt;
ssl_certificate_key /etc/ssl/private/fissl.key;
# Password
auth_basic "Restricted";
auth_basic_user_file /home/passwd/.htpasswd;
# redirect non-ssl Confluence to ssl
server {
listen 80;
server_name confluence.example.com;
rewrite ^(.*) https://confluence.example.com$1 permanent;
}
# redirect non-ssl Jira to ssl
server {
listen 80;
server_name jira.example.com;
rewrite ^(.*) https://jira.example.com$1 permanent;
}
#
# The Confluence server
#
server {
listen 443;
server_name confluence.example.com;
ssl on;
access_log /var/log/nginx/confluence.access.log main;
error_log /var/log/nginx/confluence.error.log;
location / {
proxy_pass http://127.0.0.1:8080;
proxy_set_header X-Forwarded-Proto https;
proxy_set_header Host $http_host;
}
error_page 404 /404.html;
location = /404.html {
root /usr/share/nginx/html;
}
redirect server error pages to the static page /50x.html
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root /usr/share/nginx/html;
}
}
#
# The Jira server
#
server {
listen 443;
server_name jira.example.com;
ssl on;
access_log /var/log/nginx/jira.access.log main;
error_log /var/log/nginx/jira.error.log;
location / {
proxy_pass http://127.0.0.1:9090/;
proxy_set_header X-Forwarded-Proto https;
proxy_set_header Host $http_host;
}
error_page 404 /404.html;
location = /404.html {
root /usr/share/nginx/html;
}
# redirect server error pages to the static page /50x.html
#
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root /usr/share/nginx/html;
}
}
}
.. он запрашивает учетные данные, но затем возвращает
Статус HTTP 401 - Ошибка базовой аутентификации - Причина: AUTHENTICATION_DENIED
Похоже, кому-то удалось это исправить с помощью apache, работающего как обратный прокси http://jira.10933.n7.nabble.com/mod-proxy-and-password-protecting-td17279.html но эти ссылки в этой ветке мертвы ...
РЕДАКТИРОВАТЬ: По-видимому, эту проблему можно легко решить в Apache, добавив tomcatAuthentication="false" и используя protocol="AJP/1.3" в коннекторе Tomcat server.xml. Или вы можете запретить apache пересылать аутентификацию с помощью директивы RequestHeader unset authorization. Дело в том, как это сделать с Nginx? Думаю, мне нужно исследовать больше .. Есть идеи?
Хорошо, только что нашел решение на список рассылки nginx. Мне просто пришлось сказать nginx, чтобы он не пересылал заголовки auth в tomcat. Добавляем пару строк в блоки локации в nginx.conf сделал трюк:
location / {
proxy_set_header X-Forwarded-Host $host;
proxy_set_header X-Forwarded-Server $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass http://127.0.0.1:8090/;
proxy_redirect off;
# Password
auth_basic "Restricted";
auth_basic_user_file /home/passwd/.htpasswd;
# Don't forward auth to Tomcat
proxy_set_header Authorization "";
}
Теперь мне просто нужно выяснить, как запретить nginx запрашивать аутентификацию на каждом поддомене (jira, confluence, stash и т. Д.). Было бы идеально ввести учетные данные только один раз для всех, но это уже другая проблема.
Надеюсь это поможет!
Ура.
У меня была такая же проблема с Confluence. Это было очень полезно (как обновленный вопрос, так и ответ SDude). У меня есть параметры прокси на каждом уровне подпути («/ jira», «/ wiki» для Confluence и т. Д.), Поэтому я добавил proxy_set_header Authorization ""; к каждому контейнеру местоположения в конфигурации nginx, который устранил проблему. Это также вылечило странную проблему со Stash, когда Stash запрашивал пароль для входа в систему через окно авторизации браузера, а не через собственный экран входа в систему. Теперь он отображает фактический экран входа в систему.
Это работает до тех пор, пока вы не нажмете на аутентифицированные ресурсы, которые отправят клиенту заголовок 401 через прокси-сервер, который вызывает всплывающее окно.
Ниже из https://answers.atlassian.com/questions/2515/answers/39133735?flashId=366096075
Это чертовски старая ветка, но для всех, кто пришел сюда с этой проблемой. Чтобы обойти эту проблему, нужно отключить заголовок авторизации при использовании Apache2 в качестве обратного прокси.
RequestHeader unset Authorization
То же самое можно сделать с NGiNX.
proxy_set_header Authorization "";
Это отлично работает и решает проблему.
Однако, если ваша установка Confluence разрешает анонимный доступ, а аутентификация, используемая с NGiNX / Apache2, отличается от Confluence. Вы столкнетесь со всплывающими окнами для определенных элементов.
Например, следующая ссылка «rest / mywork / latest / status / notification / new»
<status>
<status-code>401</status-code>
<message>
Client must be authenticated to access this resource.
</message>
</status>