Регистрация Войти
Рейтинг:0
Computroniks avatar Server

Веб-интерфейс Freeipa за HAProxy

флаг us
Computroniks

Я пытаюсь настроить веб-интерфейс FreeIPA для работы за моим экземпляром HAProxy. Я нашел старый GitHub Gist для конфигурации (https://gist.github.com/m4ce/d081ab39654c3e13bbe8b150986526a3), а также статья среднего размера (https://medium.com/@michalmedvecky/running-freeipa-behind-haproxy-77620736698e), но в обоих случаях они используют рспиреп команда, которая больше не поддерживается в HAProxy. Пока у меня есть это:

        круговой баланс
        # Установите cookie, чтобы убедиться, что используется тот же сервер
        cookie SERVERID вставить непрямой nocache httponly secure

        # Изменить заголовки
        http-request set-header Реферер https://1.ipa.example.com/ipa

        # Установить домен куки
        acl hdr_set_cookie_dom_1 res.hdr(Set-cookie) -m sub Domain= 1.ipa.example.com
        http-response replace-header Set-Cookie ^Domain=1\.ipa\.example\.com(.*)$ Domain=authenticate\.example\.com\1 if hdr_set_cookie_dom_1

        сервер 1.ipa 1.ipa.example.com:443 проверить ssl проверить отсутствие cookie 1

Но это просто приводит к тому, что клиент перенаправляется с аутентифицировать.example.com к 1.ipa.example.com.

Есть ли у кого-нибудь более актуальное руководство о том, как настроить это или какие-либо идеи о том, что может быть причиной проблем?

124
0 + 0
Рейтинг:1
avatar Server
флаг ng
abbra

FreeIPA не поддерживает работу за прокси-сервером HA, какой бы продукт вы ни использовали для этого. Я бы посоветовал вам прочитать https://ssimo.org/blog/id_019.html для основных технических деталей, чтобы понять, почему это не поддерживается.

0 + 0
Computroniks avatar
флаг us
Computroniks
Я не пытаюсь запустить всю систему за обратным прокси-сервером, только веб-интерфейс (т.е. порт 80 и 443). Эта статья https://www.adelton.com/freeipa/freeipa-behind-load-balancer и эта https://www.adelton.com/freeipa/freeipa-behind-proxy-with-other-name#front- конечный прокси, кажется, указывает, что это возможно, и сайт связан со страницей документации FreeIPA.
0
Ответить
флаг ng
abbra
Как я уже сказал, эти конфигурации не поддерживаются. Например, нет гарантии, что изменения сохранятся после обновлений. Кроме того, как я уже отмечал, в этих статьях не описаны принципы Kerberos.
0
Ответить
флаг ng
abbra
Обратите внимание, что в случае FreeIPA нет «только веб-интерфейса». Все это является частью IPA API, доступ к которому возможен только через Kerberos. Регистрация клиентов IPA осуществляется через те же конечные точки, которые использует веб-интерфейс для своей работы. Это означает, что ваш процесс регистрации клиента IPA должен иметь дело с этим таким же образом. Это намного больше, чем то, что вы, кажется, понимаете здесь.
0
Ответить
Computroniks avatar
флаг us
Computroniks
Я понимаю эту часть. Для клиентов на компьютерах и серверах я по-прежнему буду использовать прямой доступ к серверу FreeIPA, это просто для конечных пользователей, обращающихся к веб-интерфейсу, чтобы изменить пароль или данные, я не хочу, чтобы они использовали длинное имя хоста server, а скорее укороченный, такой как ipa.example.com.
0
Ответить
флаг ng
abbra
Если вы хотите предоставлять услуги пользователям, я бы посоветовал вам вместо этого развернуть что-то вроде Noggin (служба учетных записей Fedora) в отдельном месте. https://github.com/fedora-infra/ноггин
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.