web-dev-qa-db-ja.com

Nginxをリバースプロキシとして使用するTomcatアプリ(JIRA)の基本認証

Atlassian Tomcatアプリ(jira.example.com、confluence.example.com、stash.example.com)を実行するいくつかのサブドメインがあり、basic_authを使用してそれらすべてをパスワードで保護できるかどうか知りたい.htpasswd

Nginxは、basic_authディレクティブがなくても問題なく動作しますが、nginx.conf...でこのように導入しようとすると、.

user              nginx;
worker_processes  1;

error_log         /var/log/nginx/error.log;
pid               /var/run/nginx.pid;

events {
    worker_connections  1024;
}


http {

    include       /etc/nginx/mime.types;
    default_type  application/octet-stream;

    log_format  main  '$remote_addr - $remote_user [$time_local] $request '
                      '"$status" $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log  /var/log/nginx/access.log  main;

    sendfile        on;
    #tcp_nopush     on;

    #keepalive_timeout  0;
    keepalive_timeout  65;

    #gzip  on;

    # Load config files from the /etc/nginx/conf.d directory
    include /etc/nginx/conf.d/*.conf;

    # Our self-signed cert
    ssl_certificate     /etc/ssl/certs/fissl.crt;
    ssl_certificate_key /etc/ssl/private/fissl.key;

    # Password
    auth_basic "Restricted";
    auth_basic_user_file /home/passwd/.htpasswd;

    # redirect non-ssl Confluence to ssl
    server {
        listen 80;
        server_name  confluence.example.com;
        rewrite ^(.*) https://confluence.example.com$1 permanent;
    }

    # redirect non-ssl Jira to ssl
    server {
        listen 80;
        server_name  jira.example.com;
        rewrite ^(.*) https://jira.example.com$1 permanent;
    }

    #
    # The Confluence server
    #
    server {
        listen       443;
        server_name  confluence.example.com;

        ssl on;

        access_log  /var/log/nginx/confluence.access.log  main;
        error_log   /var/log/nginx/confluence.error.log;

        location / {
            proxy_pass http://127.0.0.1:8080;
            proxy_set_header X-Forwarded-Proto  https;
            proxy_set_header Host $http_Host;            
        }

        error_page  404              /404.html;
        location = /404.html {
           root   /usr/share/nginx/html;
        }

        redirect server error pages to the static page /50x.html

        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
           root   /usr/share/nginx/html;
        }

    }

    #
    # The Jira server
    #
    server {
        listen       443;
        server_name  jira.example.com;

        ssl on;

        access_log  /var/log/nginx/jira.access.log  main;
        error_log   /var/log/nginx/jira.error.log;

        location / {
            proxy_pass http://127.0.0.1:9090/;
            proxy_set_header X-Forwarded-Proto  https;
            proxy_set_header Host $http_Host;
        }

        error_page  404              /404.html;
        location = /404.html {
            root   /usr/share/nginx/html;
        }

        # redirect server error pages to the static page /50x.html
        #
        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   /usr/share/nginx/html;
        }

    }
}

..itは資格情報を要求しますが、その後、

HTTPステータス401-基本認証の失敗-理由:AUTHENTICATION_DENIED

誰かがリバースプロキシとして実行されているApacheでこれを修正できたようです http://jira.10933.n7.nabble.com/mod-proxy-and-password-protecting-td17279.html しかし、これらのリンクそのスレッドで死んでいます...

EDIT:この問題は、ApacheでTomcatのserver.xmlコネクタ内にtomcatAuthentication="false"を追加してprotocol="AJP/1.3"を使用することで簡単に解決できるようです。または、ApacheがRequestHeader unset authorizationディレクティブを使用して認証を転送しないようにすることもできます。事は、Nginxでそれを行う方法ですか?もっと研究する必要があると思います。洞察はありますか?

5
SDude

nginxメーリングリスト で解決策を見つけました。認証ヘッダーをTomcatに転送しないようにnginxに指示する必要がありました。数行をnginx.confのロケーションブロックに追加すると、うまくいきました。

  location / {
        proxy_set_header X-Forwarded-Host $Host;
        proxy_set_header X-Forwarded-Server $Host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_pass http://127.0.0.1:8090/;
        proxy_redirect off;

        # Password
        auth_basic "Restricted";
        auth_basic_user_file /home/passwd/.htpasswd;

        # Don't forward auth to Tomcat
        proxy_set_header   Authorization "";
    }

ここで、nginxが各サブドメイン(jira、confluence、stashなど)で認証を要求しないようにする方法を理解する必要があります。すべての資格情報を一度だけ導入することは完璧ですが、それは別の問題です。

お役に立てれば!

乾杯。

11
SDude

Confluenceにも同じ問題がありました。これは非常に役に立ちました(更新された質問とSDudeの回答の両方)。各サブパスレベル( "/ jira"、 "/ wiki"はConfluenceなど)にプロキシパラメータがあるため、nginx構成の各ロケーションコンテナにproxy_set_header Authorization "";を追加して、問題を修正しました。また、Stashが独自のログイン画面ではなくブラウザの認証ボックスからログインパスワードの入力を求めていたStashの奇妙な問題も解決しました。上記により、実際のログイン画面が表示されます。

2
Ville