nginx-reverse-proxy mit Windows-Authentifizierung mit NTLM

Jemand weiß, wenn möglich reverse-proxy mit Windows-Authentifizierung mit NTLM? Ich kann nicht finden, Beispiel auf dieser. Was sollten die Werte von more_set_headers Feld?

location /{
            proxy_http_version      1.1;
            proxy_pass_request_headers on;
            proxy_set_header        Host            $host;
            proxy_set_header        X-Real-IP       $remote_addr;
            proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;


            more_set_input_headers  'Authorization: $http_authorization';

            proxy_set_header  Accept-Encoding  "";

            proxy_pass              http://host/;
            proxy_redirect          default;
            #This is what worked for me, but you need the headers-more mod
            more_set_headers        -s 401 'WWW-Authenticate: Basic realm="host.local"';
}

Wenn ich auf den host zugreifen, direkt die Authentifizierung erfolgreich ist, wenn ich den Zugang mit der reverse-proxy die Authentifizierung scheitern jedes mal.

  • für diejenigen, die neu in nginx wie mich die more_set_input_headers und more_set_headers config-Zeilen könnte Ihre nginx-Absturz beim ersten (zeigt Aborted in HTTP-Protokolle) denn zu installieren, müssen Sie Kopfzeilen-mehr-nginx-Modul, weitere Infos hier github.com/openresty/headers-more-nginx-module#installation
InformationsquelleAutor matheus | 2014-01-22
  1. 14

    Aktivieren von NTLM-pass-through-mit Nginx -

    upstream http_backend {
    server 2.3.4.5:80;
    keepalive 16;
}
server {
    ...
    location /{
       proxy_pass http://http_backend/;
       proxy_http_version 1.1;
       proxy_set_header Connection "";
    ...
    }
 }

    -- Ramon

    • Vielen Dank, das funktionierte für mich.
    • Ich habe eine sehr ähnliche question diese, wenn Sie Zeit haben, und Sie beantworten kann, derzeit ist es eine bounty auf ihn.
    • Sie meinen, wir brauchen keine kommerzielle version von nginx für die NTLM-Unterstützung?
    • Dieser arbeitete auch für nodejs, mit express-ntlm
    • Das gleiche ist nicht für mich arbeiten. Warum? Verwendung von tomcat im backend.
    • es funktioniert mit express-ntlm, nur wenn Sie eine session. andernfalls werden Benutzer-log-in als jeder andere.
    • richtig.

    InformationsquelleAutor Fizz
  2. 3

    Soweit ich weiß, ist dies derzeit nicht möglich mit nginx. Ich untersuchte diese in der Tiefe mich nur eine kleine Weile her. Das grundlegende problem ist, dass die NTLM-Authentifizierung erfordern die gleiche Buchse verwendet werden, auf die spätere Anfrage, aber der proxy nicht tun. Bis die nginx Entwicklungs-team bietet irgendeine Art von Unterstützung für dieses Verhalten, die Art, wie ich behandelt wurde dies durch den Rückgriff zu authentifizieren, die in der reverse-proxy selbst. Ich bin derzeit dabei, dies mit apache 2.2, mod_proxy, mod_auth_sspi (nicht perfekt, aber funktioniert). Viel Glück! Sorry, nginx, ich Liebe dich, aber wir könnten wirklich etwas Hilfe für diesen gemeinsamen Einsatz.

    • Tony, also wenn ich es richtig du hast die folgenden: die Benutzer stellen die Verbindung zum Apache server, Apache authentifizieren Benutzer itlsef mit NTLM. Danach Apache starten mit einem reverse-proxy Verbindung mit einem server und senden Sie es zurück an Benutzer?
    • Im Grunde, ja. Der client authentifiziert apache mod_auth_sspi. apache proxies die Anfrage an einen server, während die Injektion der Benutzer-id in eine Anfrage-header. dies ist ein Modus der den Betrieb von siteminder zum Beispiel. nur sicher sein, um zu verhindern, dass den direkten Zugriff auf Ihre backend-Server. dies ist ein Weg, dies zu tun. bessere Ansätze sind möglich. Umleitung zu auth-server zum Beispiel, und verwenden Sie einen oauth2-Stil-token-Mechanismus.
    InformationsquelleAutor Tony Schwartz
  3. 3

    Ich habe da eine andere Lösung für dieses. Dies ist noch nicht das gleiche wie nginx tun, die NTLM - (das wird gut sein, wenn der nginx-team jemals implementiert). Aber, für jetzt, was ich mache, der für uns arbeitet.

    Ich geschrieben habe, einige lua-code, der verwendet ein verschlüsseltes cookie. Das verschlüsselte cookie enthält die Benutzer-id, die Zeit, die er sich authentifiziert und die ip-Adresse, von der er sich authentifiziert. Ich bin durch das anbringen dieses Zeug hier zur Referenz. Es ist nicht Poliert, aber vielleicht können Sie es verwenden, zu entwickeln, Ihre eigenen ähnlichen Schema ab.

    Im Grunde, wie es funktioniert, ist:

    1. Wenn das cookie NICHT vorhanden ist oder wenn es abgelaufen oder ungültig ist, nginx macht ein service-Aufruf (pre-auth) an ein backend-IIS-Anwendung Weitergabe der client-IP-Adresse und leitet dann den client auf einem IIS-web-Anwendung, wo ich "Windows-Authentifizierung" aktiviert. Die back-end-IIS-Anwendung pre-auth-service generiert eine GUID und speichert einen Eintrag in der db für die guid und ein flag, das anzeigt, diese GUID wird über beglaubigt werden.
    2. Der browser wird umgeleitet von nginx an den authenticator app die übergabe der GUID.
    3. Der IIS-app authentifiziert den Benutzer über die windows-Authentifizierung und aktualisiert die db-Datensatz für die GUID und client-IP-Adresse mit Benutzer-id und die Zeit, die authentifiziert werden.
    4. Der IIS-app leitet den client zurück auf die ursprüngliche Anfrage.
    5. nginx lua-code fängt diesen Aufruf und macht einen back-door-service-Aufruf auf dem IIS-app erneut (post-auth) und fragt nach der Benutzer-id und Zeit authentifiziert. Diese Informationen werden in einem verschlüsselten cookie an den browser gesendet wird. Die Anfrage ist erlaubt zu passieren und die REMOTE_USER wird mitgeschickt.
    6. nachfolgende Anfragen durch den browser übergeben Sie die Cookies und den nginx lua-code sieht das gültige cookie und leitet die Anfrage direkt (ohne sich erneut authentifizieren zu müssen natürlich), indem der REMOTE_USER-request-header.

    Zugang.lua:

    local enc     = require("enc");
local strings = require("strings");
local dkjson  = require("dkjson");


function beginAuth()
    local headers = ngx.req.get_headers();
    local contentTypeOriginal = headers["Content-Type"];
    print( contentTypeOriginal ); 
    ngx.req.set_header( "Content-Type", "application/json" );
    local method = ngx.req.get_method();
    local body = "";
    if method == "POST" then
        local requestedWith = headers["X-Requested-With"];
        if requestedWith ~= nil and requestedWith == "XMLHttpRequest" then
            print( "bailing, won't allow post during re-authentication." );
            ngx.exit(ngx.HTTP_GONE); -- for now, we are NOT supporting a post for re-authentication.  user must do a get first.  cookies can't be set on these ajax calls when redirecting, so for now we can't support it.
            ngx.say("Reload the page.");
            return;
        else
            print( "Attempting to handle POST for request uri: " .. ngx.var.uri );
        end
        ngx.req.read_body();
        local bodyData = ngx.req.get_body_data();
        if bodyData ~= nil then
            body = bodyData;
        end
    end
    local json = dkjson.encode( { c = contentTypeOriginal, m = method, d = body } );
    local origData = enc.base64encode( json );
    local res = ngx.location.capture( "/preauth", { method = ngx.HTTP_POST, body = "{'clientIp':'" .. ngx.var.remote_addr .. "','originalUrl':'" .. ngx.var.FrontEndProtocol .. ngx.var.host .. ngx.var.uri .. "','originalData':'" .. origData .. "'}" } );
    if contentTypeOriginal ~= nil then
        ngx.req.set_header( "Content-Type", contentTypeOriginal );
    else
        ngx.req.clear_header( "Content-Type" );
    end
    if res.status == 200 then
        ngx.header["Access-Control-Allow-Origin"] = "*";
        ngx.header["Set-Cookie"] = "pca=guid:" .. enc.encrypt( res.body ) .. "; path=/"
        ngx.redirect( ngx.var.authurl .. "auth/" .. res.body );
    else
        ngx.exit(res.status);
    end
end

function completeAuth( cookie )
    local guid = enc.decrypt( string.sub( cookie, 6 ) );
    local contentTypeOriginal = ngx.header["Content-Type"];
    ngx.req.set_header( "Content-Type", "application/json" );
    local res = ngx.location.capture( "/postauth", { method = ngx.HTTP_POST, body = "{'clientIp':'" .. ngx.var.remote_addr .. "','guid':'" .. guid .. "'}" } );
    if contentTypeOriginal ~= nil then
        ngx.req.set_header( "Content-Type", contentTypeOriginal );
    else
        ngx.req.clear_header( "Content-Type" );
    end
    if res.status == 200 then
        local resJson = res.body;
        -- print( "here a1" );
        -- print( resJson );
        local resTbl = dkjson.decode( resJson );
        if resTbl.StatusCode == 0 then
            resTbl = resTbl.Result;
            local time = os.time();
            local sessionData = dkjson.encode( { u = resTbl.user, t = time, o = time } );
            ngx.header["Set-Cookie"] = "pca=" .. enc.encrypt( sessionData ) .. "; path=/"
            ngx.req.set_header( "REMOTE_USER", resTbl.user );
            if resTbl.originalData ~= nil and resTbl.originalData ~= "" then
                local tblJson = enc.base64decode( resTbl.originalData );
                local tbl = dkjson.decode( tblJson );
                if tbl.m ~= nil and tbl.m == "POST" then
                    ngx.req.set_method( ngx.HTTP_POST );
                    ngx.req.set_header( "Content-Type", tbl.c );
                    ngx.req.read_body();
                    ngx.req.set_body_data( tbl.d );
                end
            end
        else
            ngx.log( ngx.ERR, "error parsing json " .. resJson );
            ngx.exit(500);
        end
    else
        print( "error completing auth." );
        ngx.header["Set-Cookie"] = "pca=; path=/; Expires=Thu, 01 Jan 1970 00:00:00 GMT; token=deleted;"
        print( res.status );
        ngx.exit(res.status);
    end
end


local cookie = ngx.var.cookie_pca;
print( cookie );
if cookie == nil then 
    beginAuth();
elseif strings.starts( cookie, "guid:" ) then
    completeAuth( cookie );
else
    -- GOOD TO GO...
    local json = enc.decrypt( cookie );
    local d = dkjson.decode( json );
    local now = os.time();
    local diff = now - d.t;
    local diffOriginal = 0;
    if d.o ~= nil then 
        diffOriginal = now - d.o;
    end
    if diff > 3600 or diffOriginal > 43200 then
        beginAuth();
    elseif diff > 300 then
        print( "regenerating new cookie after " .. tostring( diff ) .. " seconds." );
        local sessionData = dkjson.encode( { u = d.u, t = now, o = d.t } );
        ngx.header["Set-Cookie"] = "pca=" .. enc.encrypt( sessionData ) .. "; path=/"
    end
    ngx.req.set_header( "REMOTE_USER", d.u );
end

    strings.lua:

    local private = {};
local public = {};
strings = public;

function public.starts(String,Start)
   return string.sub(String,1,string.len(Start))==Start
end

function public.ends(String,End)
   return End=='' or string.sub(String,-string.len(End))==End
end

return strings;

    enc.lua:

    -- for base64, try something like: http://lua-users.org/wiki/BaseSixtyFour
local private = {};
local public = {};
enc = public;

local aeslua = require("aeslua");

private.key = "f8d7shfkdjfhhggf";

function public.encrypt( s )
    return base64.base64encode( aeslua.encrypt( private.key, s ) );
end

function public.decrypt( s )
    return aeslua.decrypt( private.key, base64.base64decode( s ) );
end

return enc;

    Beispiel nginx conf:

    upstream dev {
    ip_hash;
    server app.server.local:8080;
}
set $authurl http://auth.server.local:8082/root/;
set $FrontEndProtocol https://;
location /{
    proxy_pass     http://dev/;
    proxy_set_header Host $host;
    proxy_redirect default;
    proxy_http_version 1.1;
    proxy_set_header Connection "";
    proxy_set_header X-Real-IP $remote_addr;
    proxy_buffers 128 8k;
    access_by_lua_file conf/lua/app/dev/access.lua;
}
    • Hi Tony. Ich würde gerne sehen, wie Sie tatsächlich implemeneted diese. Würden Sie in Erwägung ziehen, einen post zusammen zu nehmen jemand durch Sie, oder helfen Sie mir in irgendeiner Weise? Ich habe derzeit zwei apache-frone end-web-Servern, die die Authentifizierung aller Benutzer per NTLM und es ist entsetzlich langsam. Ich apprecaite die Leute werden sagen, ich kann tune Apache (bla , bla), aber meine Erfahrung mit nginx ist, dass es viel schneller und ich würde es vorziehen, es zu benutzen. Ich habe IIS-Boxen zur Verfügung, so dass, wenn ich könnte kopiere dein setup, und verwenden Sie einen IIS-box für authentiation und setzen auf nginx zu tun, der webserver funktioniert, das wäre fantastisch.
    • BeardedGeek, ich bin jetzt gerade diesen Beitrag Lesen. Wenn ich einige Zeit bald, werde ich versuchen, zusammen eine Schritt-für-Schritt oder auch nur bündeln Sie es auf.
    • statt die Authentifizierung jeder einzelnen Anfrage, was ich tun, ist die Authentifizierung nur der Zugang zu der Anwendung, so dass von diesem Zeitpunkt an die Anwendung der session-cookie wird verwendet. Wirklich beschleunigt die ganze Sache.
    InformationsquelleAutor Tony Schwartz
  4. 0

    Ok, wir schrieben lua-code für nginx/openresty, das löst die ntlm-reverse-proxy-Problem mit einigen lösbar Einschränkungen und ohne die Notwendigkeit des kommerziellen nginx version

    InformationsquelleAutor broomrider
Schreibe einen Kommentar