Re: Уточнение логики работы ngx_http_auth_request_module

Dzmitry Stremkouski mitroko at gmail.com
Tue Nov 5 10:40:17 UTC 2013


Максим, спасибо за ваш ответ.
Я попробовал сделать апгрейд nginx по вашему замечанию, чтобы сузить
область поиска ошибки.

На данный момент у меня сборка следующая:
nginx version: nginx/1.5.6
built by gcc 4.4.5 (Debian 4.4.5-8)
TLS SNI support enabled
configure arguments: --with-openssl=/usr/build/openssl-1.0.1e
--conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log
--http-client-body-temp-path=/var/lib/nginx/body
--http-fastcgi-temp-path=/var/lib/nginx/fastcgi
--http-log-path=/var/log/nginx/access.log
--http-proxy-temp-path=/var/lib/nginx/proxy
--lock-path=/var/lock/nginx.lock --pid-path=/var/run/nginx.pid --with-debug
--with-http_flv_module --with-http_geoip_module
--with-http_gzip_static_module --with-http_realip_module
--with-http_stub_status_module --with-http_ssl_module
--with-http_sub_module --with-mail --with-mail_ssl_module
--add-module=/usr/build/nginx-upstream-fair-master --with-http_spdy_module
--with-http_auth_request_module

Все симптомы остались прежними.
CGI скрипты нагиоса работают через такую связку отлично, как и ранее.
однако, другие приложения (owncloud, roundcube) требуют "медленного"
прохода.
Ещё сделал различие, что нагиос работает везде GET запросами, в то время,
как owncloud, jenkins, roundcube делают периодически POST
Возможно, это неверно как-то обрабатывается.

Дополнительно, я попытался смягчить условия для мониторинга, прописал в
http секцию

  geo $ip_range {
    default 0;
    192.168.125.0/24 1;
  }

и в секциях server/location

  set $auth_location /auth/;
  if ( $ip_range = 1 ) {
    set $auth_location /always_ok;
  }

  location = /always_ok {
    return 200;
  }

  location /jenkins {
    auth_request          $auth_location;
    proxy_pass              http://192.168.125.37:8080;
    proxy_buffering         on;
    proxy_set_header        SSL NO;
    proxy_set_header        Host $host;
    proxy_set_header        X-Real-IP $remote_addr;
    proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_read_timeout      1800;
  }

такая связка не работает.
Ошибка в логе всё та же. auth_request зачем-то ищет файл $auth_location а
не делает подзапрос в локейшн возращаемый переменной.

2013/11/05 13:17:13 [error] 32126#0: *1243 open()
"/usr/local/nginx/html$auth_location" failed (2: No such file or
directory), client: 185.6.244.255, server: ssl.stremki.net, request: "GET
/jenkins/login?from=%2Fjenkins%2F HTTP/1.1", subrequest: "$auth_location",
host: "ssl.stremki.net", referrer: "https://ssl.stremki.net/jenkins/"
2013/11/05 13:17:13 [error] 32126#0: *1243 auth request unexpected status:
404, client: 185.6.244.255, server: ssl.stremki.net, request: "GET
/jenkins/login?from=%2Fjenkins%2F HTTP/1.1", host: "ssl.stremki.net",
referrer: "https://ssl.stremki.net/jenkins/"

Я включил дебаг для своего адреса. Вот, его вывод.
http://pastebin.com/aKDG4gYk

Буду благодарен за помощь.



2013/11/5 Maxim Dounin <mdounin at mdounin.ru>

> Hello!
>
> On Sat, Nov 02, 2013 at 10:21:39PM +0400, Dzmitry Stremkouski wrote:
>
> > Я установил nginx и модуль Максима Дунина (ngx_http_auth_request_module)
> > Настройку этого модуля производил по README от модуля.
> > Сам вебсервер собрал с такими параметрами в дебиане:
> >
> > nginx version: nginx/1.3.14
>
> Порекомендую начать с простого.  Не надо использовать 1.3.14, это
> старая и неподдерживаемая версия.  Надо взять 1.5.6, где
> соответствующий модуль в коробке.
>
> [...]
>
> > Я пытался делать без проксирования, указывая URI
> > auth_request http://192.168.125.35/auth/
> > Но это не работало и я в логах nginx видел ошибку
> > 2013/11/01 23:31:51 [error] 10938#0: *245 "/usr/local/nginx/htmlhttp://
> > 192.168.125.35/auth/index.html" is not found (2: No such file or
> > directory), client: 192.168.125.47, server: ssl.stremki.net, request:
> "GET
> > /mail/ HTTP/1.1", subrequest: "http://192.168.125.35/auth/", host: "
> > ssl.stremki.net"
> >
> > Было бы здорово, если бы я смог работать без проксирования /auth/.
> > Просто, пока не понял, как прописать внутренний бекенд для обработки и
> > сейчас
> > пользуюсь локейшном /auth/ в режиме проксирования.
>
> Модуль auth_request не пытается реализовывать каких-либо
> протколов сам, он просто делает подзапрос.  Точно так же, как это
> делает SSI или модуль addition.
>
> Настроить необходимую обработку для соответствующего URI, который
> вы используете в auth_request - ваша задача, будь то проксирование
> или что-либо ещё.
>
> --
> Maxim Dounin
> http://nginx.org/en/donation.html
>
> _______________________________________________
> nginx-ru mailing list
> nginx-ru at nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru




-- 
<pre>
(o_ - Dzmitry Stremkouski.
//\ - cel: +7 (916) 090-85-68
V_/_- web: http://mitroko.com
</pre>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.nginx.org/pipermail/nginx-ru/attachments/20131105/739b94b4/attachment-0001.html>


Подробная информация о списке рассылки nginx-ru