Проксирование в nginx с клиентскими сертификатами?

Question

[Александр Абакумов]

Доброго всем здравия коллеги.
Сразу к делу.
Есть сервер Apache, на нем настроен доступ к алиасам по клиентским сертификатам. Апач сам по себе работает и без нареканий, но сейчас захотелось маштабираемости ввиду увеличение хостов, требующих ssl.
Имеем один белый IP, внутри за NAT-ом стоит сервер на котором вертится Apache и на нем народ авторизовывается по сертификатам. 443 порт просто проброшен на эту машину. Сейчас я хочу на роутере поставить NGINX, который будет проксировать запросы на нужный сервер.
Задача оставить возможность авторизовываться по сертификатам.
в паче есть предположительно 3 алиаса:
/user
/admin
/guest
в конфете апача прописано вот так:

SSLVerifyClient require
SSLVerifyDepth 1
SSLOptions +OptRenegotiate
SSLCipherSuite HIGH:MEDIUM
SSLCACertificateFile "C:/Program Files (x86)/Apache Software Foundation/Apache2.2/ssl/ca.cer"
SSLRequire %{SSL_CLIENT_S_DN_Email} eq "email@mail.ru" and %{SSL_CLIENT_M_SERIAL} eq "Serial-1" \
or %{SSL_CLIENT_S_DN_Email} eq "email2@mail.ru" and %{SSL_CLIENT_M_SERIAL} eq "Serial-2" \
or %{SSL_CLIENT_M_SERIAL} eq "Serial-3" \
or %{SSL_CLIENT_S_DN_Email} eq "email3@mail.ru" and %{SSL_CLIENT_M_SERIAL} eq "Serial-4" \
or %{SSL_CLIENT_M_SERIAL} eq "Serial-5"

Все дело в том, что в /user должны иметь доступ только админы и юзеры.
в /admin только админы
в /guest все и юзеры и админы и гости.
Я думал сделать авторизацию в NginX, но там нет возможность использовать вложенные условия или значения "или" (OR,AND,||,&&). Попробовал прописать в конфете так:

# if ($ssl_client_serial !~ "Serial-1") {return 401;}
# if ($ssl_client_serial !~ "Serial-2") {return 401;}
# if ($ssl_client_serial !~ "Serial-3") {return 401;}

Но в случае несовпадения хоть одного, выкидывает с 401-й ошибкой.
Пробовал заюзать map, но ее можно использовать только в директиве http{}

Я хочу:
либо сделать проверку сертификата в nginx, с ограничением доступа,
либо сделать проброс/проксирование сертификата в апач, чтобу уже он проверял сертификат.

Подскажите пожалуйста, как такое возможно реализовать?

Answer 1

[Алексей С.]

можно как то так, если переделать ваш вариант:

# set $true 0;
# if ($ssl_client_serial = "Serial-1") {set $true 1;}
# if ($ssl_client_serial = "Serial-2") {set $true 1;}
# if ($ssl_client_serial = "Serial-3") {set $true 1;} 
# if ($true=0) {return 401;}

Comments

[Александр Абакумов]

К сожалению, происходит так, что при первом не совпадении переменной $true назначается значение "1". У каждого сертификата один серийный номер. Допустим первый if не сработал и значение осталось "0", а вот второй как раз и сработает, т.к. серийный номер не сходится. Значение становится "1" и в окончании return 401 :(
Эта идея уже была и опробована:(

[Алексей С.]

nops: Что то у вас не так ... если совпадёт 1й сертификат то присвоится , если второй то тоже, если третий то тоже .. а вот если не сойдётся все, то останется 0

[Александр Абакумов]

Получается вы "!~" заменили на "="?! Хорошо, завтра с утра попробую. Сразу отпишусь.

[Александр Абакумов]

Алексей С.: ага. Понял о чем вы. так должно сработать. завтра попробую.

[Кирилл Даншин]

мне кажется, или у Вас $ssl_client_serial перезапишется? или в nginx, все же, = - это оператор сравнения?

[Алексей С.]

Кирилл Даншин: сравнение )

[Кирилл Даншин]

Алексей С.: тогда прошу прощения, не привык условия в конфиге nginx писать. мне уж легче это все делать на уровне приложения или аутентификатора на golang, например :)

[Александр Абакумов]

Кирилл Даншин: Открою небольшую тайну/завесу. Эта необходимость нужна для авторизации пользователя в веб-клиенте 1С. Я решил сделать авторизацию на уровне веб-сервера и вынести front and зла пределы сервера приложений, т.е. сервера 1С.
Потому и такой огород.

[Александр Абакумов]

Алексей С.: Так работает, но нужно подправить последнюю строчку, ибо (!$true) не воспринимает, точнее знак "!" не знает. Поэтому добавил так: if ($true = 0) {return 401;} и все заработало.
Спасибо приогромнейшее. Если можете, подправьте свою рекомендацию, я помечу как решение:)