Действительно ли возможно использовать Шибболет 2 с Nginx + Пассажир?
Временное обходное решение: Вы могли статически определить некоторых дополнительных имена на Вашем DC, если web1/server1 имеет статический IP-адрес. Это - немного изворотливого взлома - но он мог бы работать временно, если он должен произойти и рабочий ASAP.
В Консоли управления DNS (dnsmgmt.msc) на Вашем Контроллере домена, в левой области, разворачивают DC и щелкают правой кнопкой по 'Forward Lookup Zones' и выбору, 'Добавьте новая зона'. Можно затем добавить 'web1' как вперед зона поиска. После того как это сделало, нажимают на новый 'web1' в левой панели, затем на правой панели щелкают правой кнопкой и добавляют новые помехи имя, которое указывает на все (*) на фактический статический IP-адрес web1.
Существует две проблемы с этим:
- Так как основной будет то, что это имя больше не является динамичным, и необходимо будет удалить/обновить его, если Вы когда-нибудь удаляете Web1 или изменяете IP-адрес Web1.
- Другой то, что это на самом деле не решает базовую проблему, и это соединит все, если необходимо добавить другой сервер, и то же самое происходит снова
Только когда FastCGI поддерживает "authorizer" режим. Шибболет 2 документации описывает приложение FastCGI SP, но объясняет, что это не работает с Nginx, потому что это испытывает недостаток в "authorizer" режиме, необходимом фильтра.
Поток Nginx показывает, что многие люди хотят "authorizer" режим, но слишком трудно реализовать. Когда люди пробуют, они сдаются.
Рекламируйте Alex на этом потоке направляющих, совместно использует код Ruby для автора Шибболета, но, кажется, использовал Apache. Другое использование плакатов Nginx все еще не могло заставить его работать.
I haven't yet tried this myself, but checkout David Beitey's entries on the Shibboleth wiki.
Да, это возможно. Установить и настроить модуль nginx-http-shibboleth для nginx, который предоставляет возможность nginx понять части спецификации FastCGI-авторизатора, которые nginx может поддерживать ; достаточно для успешной Shibboleth-аутентификации. Для вашей установки потребуется сборка FastCGI провайдера Shibboleth Service Provider (SP). и соответствующей конфигурации nginx для связи с шибайзером и FastCGI-приложениями .
Все бэкэндные приложения и окружения могут поддерживаться тем или иным образом, предполагая, что они поддерживают либо HTTP-заголовки, либо переменные окружения, установленные из nginx. Передача атрибутов Shibboleth приложению осуществляется либо через переменные окружения nginx (через shib_request_set), либо через shib_request_use_headers on; для HTTP-заголовков (будьте осторожны с подменой). Я никогда не использовал Passenger для хостинга приложения, но в вашем случае вы можете использовать passenger_env_var и shib_request_set для получения атрибутов Shibboleth в вашем приложении.
Полный процесс настройки находится в репозитории GitHub по адресу https://github. com/nginx-shib/nginx-http-shibboleth.
Ограничение ответственности: Я являюсь текущим мейнтейнером этого модуля.
Примечание: этот модуль заменяет все предыдущие записи в блоге или вики, которые я мог написать ранее.
.