înregistrare Logare
Puncte:0
Computroniks avatar Server

Interfața web Freeipa din spatele HAProxy

drapel us
Computroniks

Încerc să configurez interfața web FreeIPA să funcționeze în spatele instanței mele HAProxy. Am găsit un vechi GitHub Gist pentru configurație (https://gist.github.com/m4ce/d081ab39654c3e13bbe8b150986526a3), precum și un articol mediu (https://medium.com/@michalmedvecky/running-freeipa-behind-haproxy-77620736698e) dar în ambele cazuri folosesc rspirep comanda, ceva care nu mai este acceptat în HAProxy. Pana acum am primit asta:

        echilibru roundrobin
        # Setați cookie-ul pentru a vă asigura că este utilizat același server
        cookie SERVERID inserați indirect nocache http numai sigur

        # Modificați anteturile
        http-request set-header Referer https://1.ipa.example.com/ipa

        # Setați domeniul cookie-urilor
        acl hdr_set_cookie_dom_1 res.hdr(Set-cookie) -m sub Domeniu= 1.ipa.example.com
        http-response replace-header Set-Cookie ^Domain=1\.ipa\.example\.com(.*)$ Domain=authenticate\.example\.com\1 dacă hdr_set_cookie_dom_1

        server 1.ipa 1.ipa.example.com:443 verificați ssl verificați niciun cookie 1

Dar acest lucru are ca rezultat doar redirecționarea clientului de la authenticate.example.com la 1.ipa.example.com.

Are cineva un ghid mai actualizat despre cum să configurați acest lucru sau orice idee despre ce ar putea cauza problemele?

124
0 + 0
Puncte:1
avatar Server
drapel ng
abbra

FreeIPA nu acceptă rularea în spatele proxy-ului HA, indiferent de produsul pe care l-ați folosi pentru asta. Ți-aș sugera să citești https://ssimo.org/blog/id_019.html pentru detalii tehnice de bază pentru a înțelege de ce nu este acceptat.

0 + 0
Computroniks avatar
drapel us
Computroniks
Nu încerc să rulez întregul sistem în spatele unui proxy invers, doar interfața web (adică portul 80 și 443). Acest articol https://www.adelton.com/freeipa/freeipa-behind-load-balancer și acesta https://www.adelton.com/freeipa/freeipa-behind-proxy-with-different-name#front- end-proxy-ul ambele par să indice că este posibil și site-ul este legat de pe pagina de documente FreeIPA
0
Răspunde
drapel ng
abbra
După cum am spus, aceste configurații nu sunt acceptate. Nu există nicio garanție pentru modificări pentru a supraviețui upgrade-urilor, de exemplu. De asemenea, acele articole nu detaliază cu principalele Kerberos, așa cum am subliniat.
0
Răspunde
drapel ng
abbra
Vă rugăm să rețineți că nu există „doar interfața web” în cazul FreeIPA. Întregul lucru face parte din API-ul IPA, care este accesibil numai prin Kerberos. Înscrierea clienților IPA se face prin aceleași puncte finale pe care le folosește Web UI pentru funcționarea sa. Aceasta înseamnă că procesul dvs. de înregistrare a clientului IPA va trebui să se ocupe de el în același mod. Are un domeniu de aplicare mult mai mare decât ceea ce parți să realizați aici.
0
Răspunde
Computroniks avatar
drapel us
Computroniks
Înțeleg partea aceea. Pentru clienții de pe computere și servere voi folosi în continuare accesul direct la serverul FreeIPA, este doar pentru utilizatorii finali care accesează interfața web să schimbe o parolă sau detalii, nu vreau să folosească numele lung de gazdă al server, mai degrabă unul scurtcircuitat, cum ar fi ipa.example.com.
0
Răspunde
drapel ng
abbra
Dacă doriți să oferiți un serviciu utilizatorilor, vă sugerez să implementați ceva de genul Noggin (serviciul Conturi Fedora) într-o locație separată. https://github.com/fedora-infra/noggin
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.