使用 Nginx 作为反向代理对 Tomcat 应用程序 (JIRA) 进行基本身份验证

tag-icon tag-icon nginx tomcat reverse-proxy jira confluence
使用 Nginx 作为反向代理对 Tomcat 应用程序 (JIRA) 进行基本身份验证

我有几个运行 Atlassian Tomcat 应用程序的子域(jira.example.com、confluence.example.com、stash.example.com),我想知道是否可以使用密码保护它们basic_auth所有.htpasswd

Nginx 在没有 basic_auth 指令的情况下也能正常工作,但是如果我尝试像这样引入它nginx.conf...

user              nginx;
worker_processes  1;

error_log         /var/log/nginx/error.log;
pid               /var/run/nginx.pid;

events {
    worker_connections  1024;
}


http {

    include       /etc/nginx/mime.types;
    default_type  application/octet-stream;

    log_format  main  '$remote_addr - $remote_user [$time_local] $request '
                      '"$status" $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log  /var/log/nginx/access.log  main;

    sendfile        on;
    #tcp_nopush     on;

    #keepalive_timeout  0;
    keepalive_timeout  65;

    #gzip  on;

    # Load config files from the /etc/nginx/conf.d directory
    include /etc/nginx/conf.d/*.conf;

    # Our self-signed cert
    ssl_certificate     /etc/ssl/certs/fissl.crt;
    ssl_certificate_key /etc/ssl/private/fissl.key;

    # Password
    auth_basic "Restricted";
    auth_basic_user_file /home/passwd/.htpasswd;

    # redirect non-ssl Confluence to ssl
    server {
        listen 80;
        server_name  confluence.example.com;
        rewrite ^(.*) https://confluence.example.com$1 permanent;
    }

    # redirect non-ssl Jira to ssl
    server {
        listen 80;
        server_name  jira.example.com;
        rewrite ^(.*) https://jira.example.com$1 permanent;
    }

    #
    # The Confluence server
    #
    server {
        listen       443;
        server_name  confluence.example.com;

        ssl on;

        access_log  /var/log/nginx/confluence.access.log  main;
        error_log   /var/log/nginx/confluence.error.log;

        location / {
            proxy_pass http://127.0.0.1:8080;
            proxy_set_header X-Forwarded-Proto  https;
            proxy_set_header Host $http_host;            
        }

        error_page  404              /404.html;
        location = /404.html {
           root   /usr/share/nginx/html;
        }

        redirect server error pages to the static page /50x.html

        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
           root   /usr/share/nginx/html;
        }

    }

    #
    # The Jira server
    #
    server {
        listen       443;
        server_name  jira.example.com;

        ssl on;

        access_log  /var/log/nginx/jira.access.log  main;
        error_log   /var/log/nginx/jira.error.log;

        location / {
            proxy_pass http://127.0.0.1:9090/;
            proxy_set_header X-Forwarded-Proto  https;
            proxy_set_header Host $http_host;
        }

        error_page  404              /404.html;
        location = /404.html {
            root   /usr/share/nginx/html;
        }

        # redirect server error pages to the static page /50x.html
        #
        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   /usr/share/nginx/html;
        }

    }
}

..它要求输入凭证,但随后返回

HTTP 状态 401 - 基本身份验证失败 - 原因:AUTHENTICATION_DENIED

看起来有人设法通过使用作为反向代理运行的 apache 来解决这个问题http://jira.10933.n7.nabble.com/mod-proxy-and-password-protecting-td17279.html但该线程中的链接已失效...

编辑: 显然,这个问题可以在 Apache 中轻松解决,只需在 Tomcat 的 server.xml 连接器中添加tomcatAuthentication="false"和使用protocol="AJP/1.3"即可。或者,您可以使用指令阻止 apache 转发身份验证RequestHeader unset authorization。问题是,如何使用 Nginx 做到这一点?我想我必须进行更多研究。有什么见解吗?

答案1

好的,刚刚找到了解决方案nginx 邮件列表。我只需要告诉 nginx 不要将 auth 标头转发到 tomcat。在 location 块中添加几行代码nginx.conf即可:

  location / {
        proxy_set_header X-Forwarded-Host $host;
        proxy_set_header X-Forwarded-Server $host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_pass http://127.0.0.1:8090/;
        proxy_redirect off;

        # Password
        auth_basic "Restricted";
        auth_basic_user_file /home/passwd/.htpasswd;

        # Don't forward auth to Tomcat
        proxy_set_header   Authorization "";
    }

现在我只需要弄清楚如何防止 nginx 在每个子域(jira、confluence、stash 等)上请求身份验证。只需为所有子域输入一次凭据就很完美了,但这是另一个问题。

希望这可以帮助!

干杯。

答案2

我在使用 Confluence 时也遇到了同样的问题。这个非常有用(更新的问题和 SDude 的答案都很有用)。我在每个子路径级别都有代理参数(Confluence 的“/jira”、“/wiki”等),因此我proxy_set_header Authorization "";在 nginx 配置中的每个位置容器中添加了代理参数,从而解决了这个问题。它还解决了 Stash 的一个奇怪问题,即 Stash 通过浏览器身份验证框而不是自己的登录屏幕提示输入登录密码。使用上述方法,它现在显示实际的登录屏幕。

答案3

这种方法一直有效,直到您点击经过身份验证的资源,它会通过代理向客户端发回 401 标头,从而触发弹出窗口。

以下来自https://answers.atlassian.com/questions/2515/answers/39133735?flashId=366096075

这是一个超级老旧的帖子,但对于遇到此问题的其他人来说。解决方法是使用 Apache2 作为反向代理时取消设置授权标头。

RequestHeader unset Authorization

NGiNX 也可以实现同样的效果

proxy_set_header Authorization "";

这很有效并解决了这个问题。

但是,如果您的 Confluence 安装允许匿名访问,并且 NGiNX/Apache2 使用的身份验证与 Confluence 不同,您将会遇到特定元素的弹出窗口。

例如以下链接“rest/mywork/latest/status/notification/new”

<status>
<status-code>401</status-code>
<message>
Client must be authenticated to access this resource.
</message>
</status>

相关内容