HAProxy üzerinden temel HTTP erişim doğrulaması eklenebilir mi?

25

HAProxy'yi, üzerinde hiçbir kontrolümü olmayan bir HTTP sunucusunun önüne başarıyla kurdum .

HAProxy'yi, tüm sitelere Basit HTTP Kimlik Doğrulaması ekleyecek şekilde yapılandırmak mümkün mü , arka uçta bunu yapılandıramazsam?

Teşekkürler,

Lars

haproxy http-authentication

— Lars Schneider
kaynak

36

Bunu bugün kendim yapmak zorunda kaldım (çünkü IIS 7.5 tuhaf bir şekilde aslında Windows kullanıcı hesapları veya AD dışında hiçbir şeyin doğrulanmasını desteklemiyor!) ...

İşte tüm kod

userlist UsersFor_AcmeCorp
  user joebloggs insecure-password letmein

backend HttpServers
  .. normal backend stuff goes here as usual ..
  acl AuthOkay_AcmeCorp http_auth(UsersFor_AcmeCorp)
  http-request auth realm AcmeCorp if !AuthOkay_AcmeCorp

Burada biraz daha iyi belgeledim: http://nbevans.wordpress.com/2011/03/03/cultural-learnings-of-ha-proxy-for-make-benefit/

— nbevans
kaynak

2

+1 Sadece son satırları istediğinizde frontenddeğil bir tanımda da ekleyebileceğinizi eklemek istedim backend. Ve realm xxxxkısmı isteğe bağlıdır.

— UpTheCreek

Bunu uyguladım, ancak gerçekleşen her sonraki api çağrısında kimlik doğrulama için açılır pencereyi alıyorum. Bu kullanılamaz hale getiriyor. Yine de, bir kez daha istendiğinde aramaların geri kalanı için önbelleğe alındığı bir şey var mı? Çok yardımı dokunur.

— shshnk

2

Bunun gerçekten mümkün olduğunu düşünüyorum, ama şu an sadece seni yarı yolda bırakacak bir örnek bulabilirim ...

http://haproxy.1wt.eu/download/1.4/doc/configuration.txt sizin incilinizdir.

Bölüm 3.4'e göz atın (Kullanıcı listeleri)

Başlar:

Yalnızca kimliği doğrulanmış ve yetkili kullanıcılara izin vererek ön uç / arka uç / dinleme bölümlerine veya http istatistiklerine erişimi kontrol etmek mümkündür . Bunu yapmak için en az bir kullanıcı listesi oluşturmak ve kullanıcıları tanımlamak gerekir.

Bu bölümde bir kullanıcı listesinin nasıl oluşturulacağı açıklanmaktadır. Bu bölümdeki örnek oldukça ayrıntılı, bu nedenle gerekirse bunu kopyalayın.

Daha sonra, nasıl uygulanacağını bulmaya ihtiyacımız var ... Cevap 7.5.3 (Katman 7'de Eşleştirme) bölümünde verilen cevabı bence.

Bir acl'de aşağıdakileri kullanmak kadar basit olabileceğini düşünüyorum:

http_auth(userlist)
http_auth_group(userlist) <group> [<group>]*
  Returns true when authentication data received from the client matches
  username & password stored on the userlist. It is also possible to
  use http_auth_group to check if the user is assigned to at least one
  of specified groups.

Yine, test etmedim, ancak önerdiği gibi belgeleri okuduğum budur.

Umarım başlaman için bu yeterlidir?

— Pahalı
kaynak

İyi bağırma, sanırım şimdi alışkınım!

— Pricey

Her ne kadar tekrar baksam da, aylardır güncellenmemiş gibi görünüyor ... O ve metin duvarı arasında belirli bir değişiklik olup olmadığını kontrol etmedim, ancak bazılarının olduğunu varsayıyorum.

— Pahalı

1

Bu 'daha iyi' incil bağlantısı 404'dür. Daha da iyisi bu haproxy.org/#docs olurdu . Orada HTML / metin kılavuzu güzellikler bulabilirsiniz.

— Glenn Plas,

El kitaplarına ulaşmak için linkler: cbonte.github.io/haproxy-dconv .

— slm

1

Bunu bir kimlik doğrulaması amacıyla yapmak istiyorsanız

option httpchk

config, bu basit çözüm işe yarıyor: /programming/13325882/haproxy-solr-healthcheck-with-authentication

— Dan Richelson
kaynak

1

Sunucu Arızasına Hoşgeldiniz! Bu soruyu teorik olarak cevaplasa da , cevabın temel kısımlarını buraya eklemek ve referans için bağlantıyı sağlamak tercih edilir.

— UmutsuzN00b