Меню
Статья Server Software

NGINX: LDAP аутентификация

igro

igro

• Время прочтения: 1 Мин.

Пересобираем Nginx с модулем аутентификации LDAP:

git clone https://github.com/dvershinin/nginx-auth-ldap.git
wget https://nginx.org/download/nginx-1.27.3.tar.gz
tar xvvf nginx-1.27.3.tar.gz
wget https://github.com/openssl/openssl/releases/download/openssl-3.4.0/openssl-3.4.0.tar.gz
tar xvvf openssl-3.4.0.tar.gz
cd nginx-1.27.3
./configure --with-http_stub_status_module --with-http_ssl_module --with-file-aio --with-threads --with-http_mp4_module --with-http_flv_module --with-http_realip_module --with-http_v2_module --with-http_auth_request_module --with-openssl=../openssl-3.4.0 --add-module=../nginx-auth-ldap/
make
make install

Это мой вариант сборки. Посмотреть с какими параметрами у вас собран Nginx можно таким способом: nginx -V

В конфигурационном файле в секцию http добавляем сервер LDAP (их может быть несколько):

ldap_server winserv {
	url ldaps://dc.example.com:636/DC=dc,DC=example,DC=com?sAMAccountName?sub?(objectClass=user);
	binddn "CONTOSO\contoso_admin";
	binddn_passwd "contoso_password";
	group_attribute member;
	group_attribute_is_dn on;
	satisfy any;
	require group "CN=administrators,CN=Users,DC=dc,DC=example,DC=com";
	ssl_ca_file /usr/local/etc/ssl/contoso.pem;
}

Доступ ограничиваем группой administrators и для подключения используем CA сертификат с Active Directory.
Чтобы экспортировать сертификат запускаем mmc.exe, добавляем оснастку "сертификаты" и в качестве учетной записи выбираем "учетная запись компьютера". Переходим в "доверенные корневые центры сертификации" -> "сертификаты". Тут надо найти сертификат с названием что-то в духе dc-CONTOSO-CA. Кликаем правой кнопкой -> все задачи -> экспорт. Все параметры оставляем по умолчанию и указываем куда сохранить (к примеру в документы с названием contoso.cer). Далее перекидываем на linux сервер и выполняем:

mkdir /usr/local/etc/ssl
openssl x509 -in centoso.cer -out /usr/local/etc/ssl/contoso.pem

Теперь в конфигурационном файле в секцию server прописываем:

auth_ldap "Forbidden";
auth_ldap_servers winserv;

Полная документация: https://nginx-extras.getpagespeed.com/modules/auth-ldap

Поделиться
Показать комментарии

Topics

Server Software: 49 Mind Flow: 25 linux: 17 Development: 9 centos: 6 python: 5 gitlab: 5 сборка с исходников: 4 letsencrypt: 4 openvpn: 4 установка и настройка: 4 freebsd: 4 сборка из исходников: 4 1c: 3 pfsense: 3 rocky linux: 3 openssh: 2 docker: 2 nic ru: 2 dns api: 2 godaddy: 2 днс сервер: 2 active directory: 2 wireguard: 2 policy based routing: 2 альтернатива: 2 megaraid: 2 dns: 2 как работает: 2 php: 2 zfs: 2 smtp: 2 nginx: 2 macos: 2 bacula: 2 Server Hardware: 1 slackbot: 1 crystal lang: 1 flask: 1 gunicorn: 1 pki: 1 сэд: 1 container registry: 1 трансфер зоны: 1 bind: 1 mycloud: 1 tomcat: 1 unifi cloud key: 1 jenkins: 1 облако: 1 перезагрузка сервера: 1 mosh: 1 nodejs: 1 pm2: 1 android: 1 цифровая подпись: 1 zoom: 1 jitsi: 1 maya: 1 animbot: 1 диск не определяется: 1 windows service: 1 основы работы: 1 dhcp: 1 кибербезопасность: 1 пароль: 1 raid: 1 btrfs: 1 xfs: 1 bsd: 1 distr: 1 ssmtp: 1 postfix: 1 gmail: 1 google: 1 oauth2: 1 аутентификация: 1 reverse proxy: 1 postgresql: 1 kvm: 1 kernel based virtual machine: 1 vlan: 1 unix: 1 unix like: 1 centos 7: 1 migrate: 1 миграция: 1 обновление до rocky linux: 1 microsemi: 1 adaptec: 1 8405E: 1 6028R-WTR: 1 mariadb-connector: 1 windows: 1 обновление сертификата: 1 site to site: 1 ktls: 1 zeniq: 1 scum: 1 скам: 1 пирамида: 1 ocs-investments: 1 отзыв: 1 review: 1 обзор: 1 safir: 1 MPT SAS2: 1 avago: 1 стал платным: 1 doscker for desktop: 1 docker hub: 1 opensource: 1 резервное копирование: 1 backup: 1 lfs: 1 удалить проект с LFS: 1 prune volumes: 1 lampa: 1 apple tv: 1 newreno: 1 sysctl: 1 onboot: 1 iphone: 1 icloud activation lock removal: 1 google workspace: 1 phishing: 1 spoofing: 1 dkim: 1 spf: 1 dmarc: 1 ai list: 1 ai collection: 1 pfsense upgrade 2.7: 1 nginx ldap authentication: 1 active directory security: 1 comfyui access control: 1 nginx ldap аутентификация: 1