前言
上回在 用 Nginx 的 auth_request 模块集成 LDAP 认证 里介绍了如何用 Nginx 的 auth_request 集成外部的第三方认证,以及官方 demo nginxinc/nginx-ldap-auth 的实现。
官方 demo 里直接把用户名密码往 cookie 里写的方式自然是太粗暴了一点,我们尝试重新写一个基于 session 来做验证的 demo。
Demo 基于 Golang 的 Beego 框架来实现,单纯只是因为方便而已。你可以用任何自己熟悉的方式来实现,意思是一样的。
Go 版的 nginx-ldap-auth
项目地址 -- https://github.com/shanghai-edu/nginx-ldap-auth
repo
中提供了一个 nginx.conf
的配置模板,auth_request
上回已经讲过了,不再赘述。简单介绍下路由
location /
# 对应后端的 backend 的 /,测试 demo 中的受保护路径
location /login
# 认证部分
location /logout
# 登出部分
location /captcha
# 验证码部分
location /static
# 静态部分,css, js 等
location /auth-proxy
# auth_request 的校验
复制代码
Demo 我们用了 Beego 框架,非常适合快速的做一个简单的 Demo 示例。目录结构如下:
# tree
.
├── cfg.example.json
├── cfg.json
├── control
├── g
│ ├── cfg.go
│ └── const.go
├── http
│ ├── controllers
│ │ ├── auth-proxy.go
│ │ ├── control.go
│ │ ├── default.go
│ │ ├── error.go
│ │ ├── login.go
│ │ └── logout.go
│ ├── http.go
│ └── router.go
├── LICENSE
├── main.go
├── nginx.conf
├── README_CN.MD
├── README.MD
├── static
│ ├── css
│ │ ├── bootstrap.min.css
│ │ ├── ie10-viewport-bug-workaround.css
│ │ └── signin.css
│ ├── favicon.ico
│ └── js
│ ├── ie10-viewport-bug-workaround.js
│ └── ie-emulation-modes-warning.js
├── utils
│ ├── ipCheck.go
│ ├── ip_test.go
│ ├── ldap.go
│ ├── ldap_test.go
│ ├── time_check.go
│ ├── time_test.go
│ └── utils.go
└── views
├── deny.tpl
├── direct.tpl
└── login.tpl
复制代码
路由
同样我们从路由开始看。我们通过 RESTful Controller
的方式注册了这些路由。
# http/router.go
beego.Router("/", &controllers.MainController{})
beego.Router("/login", &controllers.LoginController{})
beego.Router("/logout", &controllers.LogoutController{})
beego.Router("/auth-proxy", &controllers.AuthProxyController{})
beego.Router("/api/v1/:control", &controllers.ControlController{})
复制代码
除了之前在 nginx.conf
中提及的,api/v1/
部分提供了一些简单的控制管理的 API。(例如热重载配置)
静态文件部分,我们通过 beego.SetStaticPath
建立,然后把 css
等都丢到 static
目录里就好了
# http/http.go
beego.SetStaticPath("/static", "static")
复制代码
基于 session 的认证
我们说了,生成环境上的认证控制,肯定要通过 session
来做,不可能把用户名密码直接写到 cookie
里去的,所以我们在 beego
里开启 session
,用默认的内存模式就好了。
# http/router.go
beego.BConfig.WebConfig.Session.SessionOn = true
beego.BConfig.WebConfig.Session.SessionName = "sessionID"
复制代码
这样我们的 login, logout 就非常好处理了。操作 session
就好了嘛。login 就加一条 session
# http/controllers/login.go
func (this *LoginController) Post() {
this.Ctx.Request.ParseForm()
username := this.Ctx.Request.Form.Get("username")
password := this.Ctx.Request.Form.Get("password")
target := this.Ctx.Request.Form.Get("target")
err := utils.LDAP_Auth(g.Config().Ldap, username, password)
if err == nil {
this.SetSession("uname", username)
this.Ctx.Redirect(302, target)
}
}
复制代码
logout 就删掉 session
# http/controllers/logout.go
func (this *LogoutController) Get() {
clientIP := this.Ctx.Input.IP()
uname := this.GetSession("uname")
if uname != nil {
this.DelSession("uname")
}
this.Ctx.Redirect(302, "/")
}
复制代码
/auth-proxy
上校验也就很简单了,查 session
就好了
# http/controllers/auth-proxy.go
func (this *AuthProxyController) Get() {
this.Ctx.Output.Header("Cache-Control", "no-cache")
uname := this.GetSession("uname")
if uname == nil {
this.Ctx.Abort(401, "401")
return
}
this.Ctx.Output.Body([]byte("ok"))
}
复制代码
login 认证
回过头来我们看 /login
的代码。首先是 LDAP 认证,Go 上的 LDAP 认证我在 用 Go 写一个轻量级的 ldap 测试工具 写过,用 go-ldap/ldap 这个库就好,很简单。
我们把表单里拿到的用户名密码去做个 LDAP 认证,如果通过了写进 session
,然后重定向给 target
就好了。
还记得 target
吗?我们在 nginx
中送在 header
里的 X-Target
字段,我们通过这个字段来决定认证之后往哪里跳转。和之前 python 的 demo 一样,我们把这个字段放在表单里,以 hidden
的方式重新提交上来以使用。
# http/controllers/login.go
target := this.Ctx.Input.Header("X-Target")
this.Data["target"] = target
复制代码
# http/views/login.tpl
<input type="hidden" name="target" value={{.target}}>
复制代码
现在思考一个问题,用户认证失败的时候怎么办?
肯定会重新跳回 /login
上对不对?但是此时获得的 X-Taget
已经不是请求资源的路径了,而会变成 /login
。为什么?
我们回过来看看 nginx
中的配置:
# nginx.conf
location / {
auth_request /auth-proxy;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Host $http_host;
error_page 401 =200 /login;
proxy_pass http://backend/;
}
location /login {
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Host $http_host;
proxy_set_header X-Target $request_uri;
proxy_pass http://backend/login;
}
复制代码
诶? 插入 X-Target
的 location
是 /login
诶,这样说来,首次请求时获得的 X-Target
是 /
才比较奇怪吧?(这里 /
是受 auth_request
保护的路径),为什么?
因为在受保护路径中,我们的重定向是通过 error_page 401=200 /login
做的,这里其实是一种 nginx
内部的重定向,此时url
是不会变的。看看我们上回 demo 里的代码和运行截图:
if url.path.startswith("/login"):
return self.auth_form()
复制代码
对不对,表单是在 /login
上的,但是我们请求资源跳过来时路由仍然是 /
。
nginxinc/nginx-ldap-auth 这个 demo 的实现里不需要考虑认证失败的问题,因为他的认证处理逻辑全部在 /auth-proxy
里面——就是用户名密码直接写进 cookie
里去了。然后在 nginx
内部请求 /auth-proxy
时从 cookie
里拆出用户名密码来做校验。所有认证错误产生的重定向,都由 /auth-proxy
返回 401 然后最终回到 nginx
的 error_page
上,变成一个循环。
我们一开始就拒绝了用户名密码进 cookie
嘛,所以这个方案不行。我们的逻辑必须放在 login
上面。
所以我们选择把 target
的信息,以 Get
的方式重新带回到认证失败的请求上去。这样我们在认证失败的 /login
上,就可以通过 Get
方式把 target
重新拿过来。
# http/controllers/login.go
this.Ctx.Redirect(302, fmt.Sprintf("/login?target=%s", target))
复制代码
验证码
为了防止被暴力撞密码,基本的验证码策略还是要是做的。好在 beego
直接内置了验证码的库,所以这事就很简单了。。。
首先引入 beego
的 cache
模块和 captcha
模块
# http/controllers/login.go
import (
"github.com/astaxie/beego/cache"
"github.com/astaxie/beego/utils/captcha"
)
复制代码
然后我们需要增加验证码初始化的代码。开启 cache
,验证码的字数,长度宽度什么的。
# http/controllers/login.go
func init() {
store := cache.NewMemoryCache()
cpt = captcha.NewWithFilter("/captcha/", store)
cpt.ChallengeNums = 6
cpt.StdWidth = 120
cpt.StdHeight = 40
}
复制代码
考虑这个验证码其实挺考验眼力的。。。所以我们只在用户认证失败的时候再增加验证码。认证失败的信息通过 session
来记录
# http/controllers/login.go
loginFailed := this.GetSession("loginFailed")
if loginFailed != nil {
this.Data["captcha"] = true
}
复制代码
在模板里,我们把这块根据 captcha
的值做个判断,来决定是否开启验证码。
# http/views/login.tpl
{{if .captcha}}
<div class="form-group">
<div class="row">
<div class="col-md-6">
<input class="form-control" name="captcha" type="text" placeholder="Captcha" required>
</div>
<div class="col-md-6">
{{create_captcha}}
</div>
</div>
</div>
{{end}}
复制代码
如果开启了验证码,那么拿收到的验证码做验证就好了,验证方法也给封装好了,beego
很贴心呢。
# http/controllers/login.go
if _, ok := this.Ctx.Request.Form["captcha"]; ok {
if !cpt.VerifyReq(this.Ctx.Request) {
beego.Notice(fmt.Sprintf("%s - - [%s] Login Failed: Captcha Wrong", clientIP, logtime))
this.Ctx.Redirect(302, fmt.Sprintf("/login?loginFailed=3&target=%s", target))
return
}
}
复制代码
XSRF
由于我们的请求要通过 cookie 来校验,那么开启 XSRF 就很有必要了。beego 可以很方便的开启 XSRF —— 跨站请求伪造
特殊策略
上回我们还说过,有时候我们需要根据 IP ,或者根据时间来做一些特殊的策略。
其实做法也很简单,在 /login
的时候根据请求的 IP 和时间做个判断,然后直接写入 session
或者直接拒绝访问就好了。
此外,有时候我们希望限制仅允许部分 LDAP 用户来访问,但是 LDAP 内属性又不太完整,不太方便通过 Filter
的方式来做。那么我们也可以在 login
的时候通过检查请求的用户名来直接做过滤。
最后的 control
配置就会变成这样。
"control":{
"ipAcl":{
"deny":["192.168.2.10","192.168.0.0/24","192.168.1.0-192.168.1.255"],
"direct":[]
},
"timeAcl":{
"deny":["00:00-8:00","17:00-23:59"],
"direct":[]
},
"allowUser":["user1"]
},
复制代码
应用示例
ELK(Kibana) + 认证
众所周知,ELK 中的 Kibana 默认是没有认证功能的,他的认证模块集成在 X-Pack
的高级授权里。所以我们要限制 kibana 访问的时候,通常就是限下 ip 地址完事。
现在我们可以通过 shanghai-edu/nginx-ldap-auth 来实现了。
首先我们给 kibana 增加一个路径后缀,以便于在 nginx
上区分。如下修改 kibana.yml
就可以了,修改完重启 kibana 。
# Enables you to specify a path to mount Kibana at if you are running behind a proxy. This only affects
# the URLs generated by Kibana, your proxy is expected to remove the basePath value before forwarding requests
# to Kibana. This setting cannot end in a slash.
server.basePath: "/kibana"
复制代码
现在我们给 nginx
增加对 Kibana 的路径保护配置。
upstream elk {
server elk.local:5601;
}
server {
…………
location /kibana/ {
auth_request /auth-proxy;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Host $http_host;
error_page 401 =200 /login;
proxy_pass http://elk/;
}
…………
复制代码
好啦,现在我们安装我们的 nginx-ldap-auth
就好了,直接下载编译好的 release
解压,修改配置文件,启动即可
# tar -zxvf nginx-ldap-auth-0.1.3.tar.gz
# mv cfg.example.json cfg.json
# ./control start
复制代码
好了,现在我们访问 kibana 时就会弹出认证 Portal 了
认证之后,正常访问进入 kibana,美滋滋。
传说中的 webvpn
webvpn 本来大多指的是 ssl vpn,也就是基于 ssl (其实现在应该说 tls 了)来建立隧道的 vpn 技术。因为基于 SSL,所以大多时候仅通过浏览器就能够使用,当然通常需要装一些插件:
https://www.cisco.com/c/en/us/about/security-center/ssl-vpn-security.html
Today, this SSL/TLS function exists ubiquitously in modern web browsers. Unlike traditional IP Security (IPSec) remote-access VPN technology, which requires installation of IPSec client software on a client machine before a connection can be established, users typically do not need to install client software in order to use SSL VPN. As a result, SSL VPN is also known as “clientless VPN” or “Web VPN”.
而现在 webvpn 通常特指无需任何插件或客户端,纯 "web" 式访问的 web vpn,甚至已经有了 百度百科。
之所以能实现无浏览器依赖和无插件依赖,是因为这种模式真的是纯 "web" 的,也就是说只能使用 "webvpn" 来访问 web 资源,你想 vpn 上来然后开个 ssh 或者 mstsc 上的是没可能的。(业内有利用 webtty 这样的方式来实现这种需求,这是后话)。
在我了解的一些产品里,他的具体实现就是个叠加了认证的反向代理。这很好理解,既然本质上是反向代理,自然就无浏览器依赖了,因为最终访问的还是原来的网站嘛。
而且我们可以利用反向代理上的控制策略,还能顺便实现诸如特定时间开启日志,对特定 IP 地址(比如内网地址)直通访问等等,来灵活的实现一些复杂的需求。
2018/07/03 16:43:33.395 [N] 192.168.95.65 - 192.168.95.65 [03/Jul/2018 04:43:33] Login Successed: Direct IP
2018/07/03 16:44:08.153 [N] 127.0.0.1 - - [03/Jul/2018 04:44:08] Config Reloaded
2018/07/03 16:44:14.049 [N] 192.168.95.65 - 192.168.95.65 [03/Jul/2018 04:44:14] Logout Successed
2018/07/03 16:44:14.839 [N] 192.168.95.65 - - [03/Jul/2018 04:44:14] Login Failed: IP 192.168.95.65 is not allowed
2018/07/03 16:44:57.971 [N] 127.0.0.1 - - [03/Jul/2018 04:44:57] Config Reloaded
2018/07/03 16:45:00.398 [N] 192.168.95.65 - timeDirect [03/Jul/2018 04:45:00] Login Successed: Direct Time
2018/07/03 16:45:29.570 [N] 127.0.0.1 - - [03/Jul/2018 04:45:29] Config Reloaded
2018/07/03 16:45:32.980 [N] 192.168.95.65 - timeDirect [03/Jul/2018 04:45:32] Logout Successed
2018/07/03 16:45:32.991 [N] 192.168.95.65 - - [03/Jul/2018 04:45:32] Login Failed: This Time is not allowed
复制代码
参考文献
ssl-vpn-security
webvpn_百度百科
beego 简介
以上
原文于 2018 年 7 月首发于简书,搬家存档。
行文有微调。
评论