Zammad: 基本認証で問題を引き起こすHTTP401応答

作成日 2020年03月24日 · 12コメント · ソース: zammad/zammad

情報：

使用済みZammadバージョン：3.2.0
インストール方法（ソース、パッケージ、..）：nginxrproxyの背後にあるRuby2.5.5を使用したソースから。
オペレーティングシステム：Ubuntu 18.04.4 LTS（バイオニック）
データベース+バージョン：postgres 9.5.21
Elasticsearchバージョン：5.6.16
ブラウザ+バージョン：Google Chrome 80.0.3987.132

予想される行動：

Zammadは、基本認証のレイヤーとスムーズに統合されます。したがって、ステータスコード「HTTP401Unauthorized」は使用されません。別の方法として、ステータスコード403が適切な代替手段になります。

実際の動作：

全体として、Zammadは、基本認証と組み合わせた場合、多くの問題はありません。ただし、要求がステータスコード401で応答され、現在のユーザーが基本認証資格情報の再入力を余儀なくされる場合がいくつかあります。

コードベースでステータス401（またはunauthorized ）を簡単に検索できます。
https://github.com/zammad/zammad/search?l=Ruby&q=%3Aunauthorized

動作を再現する手順：

Zammadインスタンスを設定し、基本認証の背後に配置します

その後

間違った資格情報でログインしてみてください
アプリケーションはステータスコード401のページをレンダリングし、基本認証資格情報の再入力を強制します

または

個人1がアクセスできるグループに割り当てられたチケットを作成します
人1はそのチケットと対話します
そのチケットを、個人1がアクセスできない別のグループに移動します
個人1は、Zammadの概要で上記のチケットへの401リクエストを引き続き表示し、基本認証からログアウトします。

はい、これはバグであり、機能のリクエストや一般的な質問はないと確信しています。

API bug verified

ソース

makmic

👍2

最も参考になるコメント

やあみんな！貴重な情報と説明をありがとう。 RFCを読みましたが、401と403の違いについてはまだ少し混乱していました。しかし、StackOverflowでこのすばらしい説明を見つけました。見積もり：

認証エラーのHTTPステータスコードである401Unauthorizedに問題があります。そしてそれはそれだけです：それは認証のためであり、承認のためではありません。

それがポイントになります。 Zammadはauthorizationエラーに401を使用します。これは技術的に間違っているため、バグです。問題を再開します。

ただし、影響を確認する必要があります。そこにあるすべての実装とAPIコンシューマーのために、これは重大な変更だと思います。
私の現在の計画は、Zammad3.4で401 authorizationをソフト非推奨にし、3.5（または3.6）でハード非推奨にして403に切り替えることです。
これについては、社内でさらに議論する必要があります。

これについてのさらなる考えは誰ですか？

thorsteneckel 2020年04月21日

❤2 👍2

全てのコメント12件

正確なインストール情報を保持するために最初の記事を更新してください-「any」は現時点では実際には適切ではありません-申し訳ありません。 :)

また、完全なWebサーバー構成を提供してください（使用しているものをお知らせください）。今は技術的な質問のような匂いがしますが、完全に確認したいと思います。しかし、そのためにはすべてが必要です。 ;）

ありがとう。

MrGeneration 2020年03月24日

また会ったね、
問題の説明を更新しました-最初は不足して申し訳ありません！
ベスト

makmic 2020年03月24日

更新していただきありがとうございます。 Webサーバーの構成は、基本認証によって拡張されたデフォルトの構成ですか？そのvhost構成も提供していただけませんか？何かを見逃していないことを確認するためだけに。

ありがとう！

MrGeneration 2020年03月24日

はい、基本的にはZammad Default config + BasicAuthだけです。これがvhost設定です：

auth_basic 'Restricted: general basic auth';
auth_basic_user_file /etc/.htpasswd.d/zammad;
location /ws {
    proxy_pass  http://zammad_ws;
    proxy_redirect  off;
    proxy_hide_header X-Powered-By;
    proxy_set_header  Host              $host;
    proxy_set_header  X-Forwarded-For   $proxy_add_x_forwarded_for;
    proxy_set_header  X-Forwarded-Proto $scheme;
    proxy_set_header  X-Real-IP         $remote_addr;
    proxy_set_header  X-Forwarded-Host  $host;
    proxy_set_header  X-Forwarded-Port  443;
    proxy_set_header CLIENT_IP $remote_addr;
    proxy_read_timeout 86400;
    proxy_http_version 1.1;
    proxy_set_header  Upgrade           $http_upgrade;
    proxy_set_header  Connection        "upgrade";
    proxy_max_temp_file_size  0;
    error_page 502 503 504 =503 @fallback;
}
location / { 
    try_files $uri @proxy;
}
location <strong i="6">@proxy</strong> { 
    proxy_pass  http://zammad;
    proxy_redirect  off;
    proxy_hide_header X-Powered-By;
    proxy_set_header  Host              $host;
    proxy_set_header  X-Forwarded-For   $proxy_add_x_forwarded_for;
    proxy_set_header  X-Forwarded-Proto https;
    proxy_set_header  X-Real-IP         $remote_addr;
    proxy_set_header  X-Forwarded-Host  $host;
    proxy_set_header  X-Forwarded-Port  $server_port;
    proxy_http_version 1.1;
    proxy_set_header  Upgrade           $http_upgrade;
    proxy_set_header  Connection        "upgrade";
    proxy_max_temp_file_size  0;
    proxy_set_header CLIENT_IP $remote_addr;
    error_page 502 503 504 =503 @fallback;
}

makmic 2020年03月24日

👍1

もう一度調べました。
私たちの推測（Michaelが書いたように）は、HTTP 401を返すのではなく（ブラウザに、指定された基本認証資格情報が正しくないと信じさせる）、禁止されているHTTP403を返すことです。

私がそれを正しく見たなら、これは意味するでしょう

app / controllers / application_controller / handlers_errors.rb＃L39
respond_to_exception(e, :unauthorized)

に置き換える必要があります
respond_to_exception(e, :forbidden)

RFCによると、ブラウザの動作は異なる必要があります（https://tools.ietf.org/html/rfc7231#section-6.5.3）：「リクエストで認証資格情報が提供された場合、サーバーはそれらがアクセスを許可するには不十分であると見なします。クライアントはSHOULD同じ認証情報でリクエストを自動的に繰り返さないでください。」

ただし、先週の別のプロジェクトで同じ問題が発生し、403の作業が発生しました。
403を返す他の問題が見られない場合は、PRを発行できます。

ベスト

thomase 2020年03月27日

👍2

時間がかかってすみません。
これはZammad関連の問題（アプリケーションベース）ではなく、nginxの「バックエンドの問題」であることに注意してください。

基本認証の認証要求は、アプリケーションとしてZammadに到達することはありませんが、nginxまたは使用する他のWebサーバーですでに終了しています（そしてチェックされています）。

したがって、ソースコードを変更しても、問題はまったく解決しないと思います。
技術的には、401の無許可は、私が言えることから正しいです（403が必要だと理解していますが）。

参照：
https://serverfault.com/questions/616770/nginx-auth-basic-401-htpasswd

ところで：
念のため、Zammadのバックエンドが応答できないように、Zammadプロキシパーツを完全にコメントアウトしました。 401の結果は同じであるため、nginxの障害です。 :)

これはバグではなく技術的な質問であるため、終了します。

MrGeneration 2020年04月16日

こんにちは@MrGeneration 、
これを調べてくれてありがとう。

この問題はZammadアプリケーションの範囲外のように思われることは理解していますが、それでも（Ngnixではなく）それが原因であると思います。理由を説明しようと思います：

ngnixが基本認証を使用するように構成されていないと仮定しましょう。この場合、私たち2人は、Zammadアプリケーション（ngnixの「背後」）が正常に機能することに同意します。

ここで、上記の構成をngnixに追加することにより、基本認証を有効にします。現在でも、認証（基本ログインとZammadログイン）とZammadアプリケーション自体の両方を含め、ほとんどすべてが期待どおりに機能することに注意してください。

以前に説明しようとした問題は、アプリケーションがステータスコード401のページをレンダリングするときに、後で（Zammad！によって）発生することがあります。この場合、基本認証が有効になっている_すべてのWebサーバー_は強制的にログアウトします。

この場合、意味的に言えば401が「ちょうどいい」ように聞こえることに同意します。技術的に言えば、基本認証で避けられない問題が発生するため、403に置き換える必要があります。
多くのユーザーのZammadアプリケーションのUXにも影響を与える可能性があるため、この問題を再度開いてください。

makmic 2020年04月21日

@thorsteneckelこれについてどう思いますか？

MrGeneration 2020年04月21日

認証エラーのHTTPステータスコードである401Unauthorizedに問題があります。そしてそれはそれだけです：それは認証のためであり、承認のためではありません。

それがポイントになります。 Zammadはauthorizationエラーに401を使用します。これは技術的に間違っているため、バグです。問題を再開します。

これについてのさらなる考えは誰ですか？

thorsteneckel 2020年04月21日

❤2 👍2

それらは素晴らしいニュースです！私にはいいですね。

makmic 2020年04月21日

👍2

常に最新情報を入手するには：次の4.0リリースでこれを実装します。

内部実装の目的： https ：

thorsteneckel 2021年01月22日

❤1

上記のコミットで修正されました。チャンスをつかんで401エラーのメッセージの一部を改善しましたが、基本的に変更したのは、非認証エラーを403 Forbiddenに変更したことだけ

これは、最新のdevelopパッケージを使用して、今から約30分でテストできます。 これは動作中のブランチであり、安定していないことに注意してください。 したがって、必ずバックアップを取り、最悪の事態を予想してください:)フィードバックをお待ちしております！

thorsteneckel 2021年02月04日

👍2 ❤1

このページは役に立ちましたか？

0 / 5 - 0 評価