external auth basic

Sergey Skvortsov skv at protey.ru
Fri Jul 6 16:13:31 MSD 2007 

Задача:

Есть frontend (nginx) - скажем для https://internal.com.
frontend проксирует запросы к backend'ам.

Аутентификация - HTTP Basic (поскольку используется строго SSL, то
паранойя приглушённо молчит).

Но, сама аутентификация и авторизация происходит на backend'ах -
пользователи хранятся в LDAP-сервере, доступ к ресурсам регулируется на
основе их вхождения в LDAP-группы и другими странными способами (скажем
через authz_svn).

Кроме всего этого nginx отдает статику - которая тоже предмет контроля
доступа.

Что хочется - аутентифицировать по HTTP Basic через внешний "authenticator".

Т.е. вместо директивы "auth_basic_user_file" использовать нечто иное -
желательно как можно более гибкое.

Видятся варианты:

1. Заголовок "Authorization"

Идея проста - проверять в if () наличия заголовка "Authorization", если
его нет - форсировать процесс запроса credentials у пользователя.

Если же есть - передавать запрос далее backend'у, который уже сам всё
проверит.

server {
...

if ($http_authorization !~ Basic) {
	add_header	WWW-Authenticate	"Basic realm=\"closed site\"";
	return 401;
}

Вариант теоретически рабочий (только для обработки статики придется
делать где-то на backend'е специальный handler, который будет каждый раз
проверять credentials и при успешной авторизации возвращать
Accel-Redirect на реальный файл).

"теоретически" рабочий - потому что add_header сейчас срабатывает только
для 200|204|301|302|304.

Возможно, имеет смысл добавить директиву типа "error_add_header" - по
аналогии с "err_headers_out" в Apache/mod_perl.

2. FCGI_AUTHORIZER.

Мощный способ, поскольку кроме аутентификации может и производить
авторизацию. (Кстати, есть в lighttpd.)

location /restricted {
	auth_basic           	 "closed site";
	auth_basic_authnz_location	/check_user;
}

location /check_user {
	internal;
	fastcgi_pass	localhost:9000;
	fastcgi_role	authorizer;
	fastcgi_param	QUERY_STRING	$query_string;
	fastcgi_param	REMOTE_USER	$remote_user;
	fastcgi_param	REMOTE_PASSWD	$remote_passwd;
	fastcgi_param	AUTH_REALM	$auth_realm;
}

Далее вроде все понятно. С реализованным мультиплексированием запросов
был бы вообще отличный вариант.

3. "auth_http" - как для IMAP

location /restricted {
	auth_basic      "closed site";
	auth_http	127.0.0.1:80/auth;
}

Далее как обычно.

Что передавать: "Auth-User", "Auth-Pass"
Что возвращает handler: "Auth-Status" = (200|401|403)

4. perl handler

Аналигично чему-то вышеописанному - на вход дается тройка (username,
password, query_string) - на выходе решение 200|401|403.

----------------

Итог - в общем-то нужно решить задачку, а не создавать сверхгибкое решение.

Но, всё же хочется видеть right-way направление - ведь интуитивно есть
такая штука как "nginx style" :)

-- 
Sergey Skvortsov
mailto: skv at protey.ru

More information about the nginx-ru mailing list