Как авторизовать пользователя по сертификату в NGINX с проверкой CN?

Question

[Valentin Barbolin]

Все добрый день.
Появилась задачка настроить доступ пользователей к ресурсам компании по сертификатам на базе NGINX.
Хочу дополнительно к проверке сертификата добавить проверку CN="test_user01" в сертификате, для возможности разграничения доступа к ресурсам на основании групп в AD.
В nginx есть переменная $ssl_client_s_dn, которая возвращает что-то такое "/DC=org/DC=testdomain/OU=Spec/OU=Admin/CN=test_user01".

Можно выгружать список пользователей из AD по cron, но как потом сравнить данные из этого списка с CN из сертификата? Куда допать?)

Answer 1

[Михаил Григорьев]

CN из $ssl_client_s_dn можно достать с помощью map, например в nginx.conf пишем:

map $ssl_client_s_dn $ssl_client_s_dn_cn {
	default "";
	~/CN=(?<CN>[^/]+) $CN;
}

в vhost мы можем использовать переменную $ssl_client_s_dn_cn для своих нужд, например для выставления заголовка
server {
...
proxy_set_header X-CLIENT-SSL-CN $ssl_client_s_dn_cn;
...
}

далее заголовок X-CLIENT-SSL-CN легко проверяется в самом web-приложении с нужным списком CN

Возможен и другой вариант - это написание логики проверки CN на самом nginx например с использованием njscript.

Comments

[Valentin Barbolin]

Что-то подобное я в итоге и слепил. Написал простой скрипт на BASH который достает из АД пользователей, а nginx достает из сертификата CN и сравнивает со списком из АД.

Answer 2

[Dimonchik]

скрипты
повершелл, если винда, баш/питон, если нет

Comments

[Valentin Barbolin]

ты просто чудо!

Answer 3

[Николай Корабельников]

Можно использовать сервер аутентификации, который будет при доступе к ресурсу проверять сертификат пользователя на валидность и на принадлежность к группам в LDAP, а при необходимости и другие параметры учесть, например, разрешенных IP-адресов или дату/время доступа. Достаточно стандартная задача.

Comments

[Valentin Barbolin]

| сервер аутентификации

Какой сервер хотите предложить? Для меня задача не стандартная, т.к. использую публикацию vmware view через nginx по сертификатам.

[Николай Корабельников]

Я часто работаю с сервером Nexus Hybrid Access Gateway. Он позволяет организовать доступ к ресурсам (не только веб) по сертификатам и другим методам аутентификации. Права на ресурсы можно распределять по группам, в том числе доменным. В вашем случае сервер Nexus HAG будет стоять "перед" веб-ресурсом в режиме reverse-proxy и пускать на ресурс только аутентифицированных пользователей с соответстующими правами. Причем права не только по группе в домене, но и можно по IP, времени входа и пр.