<p>키 클로킹을 사용할 때 빛나프록시가 잘못된 리디렉션 URI를 생성합니다.</p>

에 만든 2020년 06월 19일 · 16코멘트 · 출처: openanalytics/shinyproxy

안녕하세요,

내 설정은 이렇습니다.

Shinyproxy는 이름이 shiny-proxy인 도커 컨테이너에서 실행됩니다.

apache httpd 역방향 프록시는 shinyproxy보다 먼저 실행되어 https로 변환하고 포트 2443을 사용하여 호스트에서 실행됩니다.
keycloak은 도커 컨테이너에서도 실행되지만 포트는 8443으로 호스트에서 열려 있습니다.

설정, application.xml

 keycloak:
    realm: shiny
    auth-server-url: https://keycloak:8443/auth
    #ssl-required: none
    ssl-required: external
    confidential-port: 2443
    verify-token-audience: true
    resource: shiny-proxy-p1
    credentials-secret: xxxxxxxxxxxx

아파치 역 프록시 구성

<VirtualHost *:2443>
  SSLEngine on
  SSLCertificateFile    /etc/apache2/ssl/server-cert.pem
  SSLCertificateKeyFile /etc/apache2/ssl/server-cert.key
  #   Server Certificate Chain:
  #   Point SSLCertificateChainFile at a file containing the
  #   concatenation of PEM encoded CA certificates which form the
  #   certificate chain for the server certificate. Alternatively
  #   the referenced file can be the same as SSLCertificateFile
  #   when the CA certificates are directly appended to the server
  #   certificate for convinience.
  SSLCertificateChainFile /etc/apache2/ssl/server-ca.crt


  <Proxy *>
    Allow from *
  </Proxy>

  RewriteEngine on
 RewriteCond %{HTTP:Upgrade} =websocket
 RewriteRule /(.*) ws://shiny-proxy:8080/$1 [P,L]
 RewriteCond %{HTTP:Upgrade} !=websocket
 RewriteRule /(.*) http://shiny-proxy:8080/$1 [P,L]
 ProxyPass / http://shiny-proxy:8080/
 ProxyPassReverse / http://shiny-proxy:8080/
 ProxyRequests Off

 ErrorLog ${APACHE_LOG_DIR}/proxy_error.log
 CustomLog ${APACHE_LOG_DIR}/proxy_access.log combined

</VirtualHost>

URL이 https://lxsqlpocnd04 :2443/인 Apache를 통해 Shinyprox에 액세스할 때를 가정해 보겠습니다.
로그인 페이지로 리디렉션되고 로그인 페이지 리디렉션 요청은 Keycloak 호스트 lxsqlpocnd04 및 포트 8443으로 리디렉션됩니다. 해당 URL에는 redirect_uri가 포함된 쿼리 문자열이 있지만 예상한 것이 아닙니다.

URL은 이렇습니다
https://lxsqlpocnd04 :8443/auth/realms/shiny/protocol/openid-connect/auth?response_type=code&client_id=shiny-proxy-p1&redirect_uri=http%3A%2F%2Fshiny-proxy%3A8080%2Fsso%2Flogin&state= e6a9-4768-8cf8-39d77500fea3&login=true&scope=openid

그리고 redirect_uri는 https://lxsqlpocnd04 :2443/sso/login이 아닌 http://shiny-proxy :8080/sso/login입니다.

누군가 도울 수 있습니까?

감사,

남자 이름

question

출처

robsonyeg

모든 16 댓글

application.yml에서 설정하셨나요?

server:
  useForwardHeaders: true

여기에서: https://www.shinyproxy.io/security/#https -ssl-tls

aiham 에 2020년 07월 28일

Apache가 무엇인지 확실하지 않지만 nginx에서는 이것이 문제를 해결하는 것일 수 있습니다.

    proxy_set_header  Host    $http_host;

aiham 에 2020년 07월 28일

@aiham 감사합니다.

나는 그것을 작동합니다. useForwardHeaders: true가 누락되었기 때문입니다.

robsonyeg 에 2020년 07월 28일

👍1

im using useForwardHeaders: true이지만 여전히 문제가 있습니다.

danielfm123 에 2020년 11월 16일

@danielfm123

im using useForwardHeaders: true이지만 여전히 문제가 있습니다.

SSL 인증서와 관련된 또 다른 가능성이 있습니다. Keycloak에 설치된 인증서가 공개적으로 신뢰할 수 없는 경우(루트 및 중간 CA가 Java의 기본 신뢰 목록에 없음) JRE 기본 신뢰할 수 있는 CA에 추가해야 합니다. JRE는 Shinyproxy를 실행하는 것입니다.

기본 위치는 JAVA_HOME---> JRE -->lib---> security--> cacerts JAVA_HOME---> JRE -->lib---> security--> cacerts입니다.

이런 식으로 가져 오기 명령.

keytool -import -noprompt -alias -your-root -file /opt/jboss/your-root.crt -keystore /etc/pki/java/cacerts -storepass changeit

robsonyeg 에 2020년 11월 16일

나는 그것을했지만 작동하지 않습니다. 나는 2.4.1 대신에 shinyproxy 2.3.1을 시도했고 그것은 올바른 redirect_uri를 보내지만 일부 브라우저에서만 작동합니다. 나머지에서는 err_too_many_redirects를 얻습니다.

danielfm123 에 2020년 11월 16일

귀하의 인증서는 공개적으로 신뢰할 수 있습니까? 테스트 단계에서 인증서가 공개적으로 신뢰할 수 없는 문제에 직면했습니다. 루트 CA 및 중간 CA를 브라우저 신뢰할 수 있는 저장소로 가져와야 합니다. 각 브라우저는 다르며 OS 및 브라우저에 따라 다릅니다. 제 경우에는 Certs를 신뢰할 수 있는 영역으로 가져온 후 Windows를 사용하고 있으며 그 후에 IE와 Chrome 모두 제대로 작동합니다.

여기 내 제안이 있습니다.

테스트 단계에서 하나의 브라우저가 작동하는 한 충분합니다.
프로덕션 배포의 경우 Shinyproxy 및 keycloak 전에 보안 웹 프록시를 추가하십시오. 웹 프록시의 SSL을 사용하고 신뢰할 수 있는 공개 인증서를 사용하도록 구성합니다. 이것은 더 나은 보안 배포 구조입니다. 조직에 하드웨어 보안 웹 프록시가 없는 경우 Apache HTTPD를 역방향 웹 프록시 및 로드 밸런서로도 사용할 수 있습니다.

robsonyeg 에 2020년 11월 16일

그것은 certbot으로 검증되었습니다.... 저는 Shinyproxy 2.3.1 및 다른 Active Directory 계정과 함께 작동하도록 관리했습니다...

그러나 Shinyproxy 2.4.1 및 2.4.0에는 버그가 있습니다.

danielfm123 에 2020년 11월 16일

안녕하세요 @danielfm123님 , 여기에서 몇 가지를 확인했는데 ShinyProxy 2.4.0/1의 redirect_uri 문제를 재현할 수 없습니다.
다음 정보로 새 문제를 열 수 있습니까? 그렇게 하면 버그가 있는지 살펴보고 확인할 수 있습니다.

ShinyProxy를 어떻게 실행하고 있습니까(jar, Docker, Kubernetes 등 사용)
application.yaml 파일 제공(민감한 값 제거) 코드 게시 방법은 여기를 참조
- 로드 밸런서 또는 역방향 프록시를 사용하고 있습니까? 어느 것, 어떻게 구성되어 있는지(예: X-Forwarded 헤더를 전달하는지) 등
- 어떤 openid 공급자를 사용하고 있습니까? 콜백 URL이 올바르게 구성되어 있습니까?
- Shinyproxy가 오류를 기록합니까? 전체 스택 추적을 제공하십시오.

LEDfan 에 2020년 11월 17일

같은 문제가 있습니다.

keycloak, apache2 리버스 프록시 및 shinyproxy 2.3.1로 설정하면 제대로 작동합니다. Docker를 통해 Shinyproxy를 실행합니다. Shinyproxy는 https://testauth.example.com으로 올바르게 리디렉션됩니다

Shinyproxy 2.4.1로 전환하면 외부에서 액세스할 수 있는 주소 대신 redirect_uri에 내부 IP(http://192.168.51.27:8082)가 포함되며 "Invalid parameter: redirect_uri" 오류가 발생합니다.

이것은 내 application.yml의 관련 부분입니다.

proxy:
  title: AUTHTEST
  hide-navbar: false
  template-path: /templates
  favicon-path: /www/favicon.png
  heartbeat-rate: 10000
  heartbeat-timeout: 600000
  port: 8080
  admin-groups: admin
  container-wait-time: 30000
  authentication: keycloak
  keycloak:
    realm: shinyr
    auth-server-url: http://192.168.51.122:8080/auth
    resource: shinyr
    credentials-secret: <secret>
  docker:
    internal-networking: true
  specs:
  - id: test
    display-name: Euler App
    description: Test App
    container-cmd: ["R", "-e", "shiny::runApp('/root/euler')"]
    container-image: saletelligence/test
    container-network: authtest_authtest_net
    access-groups: [admin, pm]
logging:
  file:
    shinyproxy.log
server:
  useForwardHeaders: true

이것은 아파치 구성입니다.

<VirtualHost *:443>
        RequestHeader set X-Forwarded-Proto "https"
        RequestHeader set X-Forwarded-Port "443"
        ServerName testauth.example.com

        RewriteEngine On
        RewriteCond %{HTTP:Upgrade} =websocket
        RewriteRule /(.*) ws://192.168.51.27:8082/$1 [P,L]
        RewriteCond %{HTTP:Upgrade} !=websocket
        RewriteRule /(.*) http://192.168.51.27:8082/$1 [P,L]
        ProxyRequests Off

        ProxyPass "/" "http://192.168.51.27:8082/"
        ProxyPassReverse "/" "http://192.168.51.27:8082/"

        SSLProxyEngine On
        SSLEngine On
        SSLCertificateFile /etc/apache2/sslcert/example.crt
        SSLCertificateKeyFile /etc/apache2/sslcert/example_pem.key
        SSLCACertificateFile /etc/apache2/sslcert/example_bundle.pem
</VirtualHost>

eastclintw00d 에 2020년 11월 25일

안녕하세요 @eastclintw00d

다음을 사용해 보십시오:

server:
  forward-headers-strategy: "native"

대신에

server:
  useForwardHeaders: true

감사!

LEDfan 에 2020년 11월 25일

👍1

안녕하세요 @LEDfan

문제가 해결되었습니다.

빠른 답변 감사합니다!

eastclintw00d 에 2020년 11월 25일

👍1

그것은 작동하지만 패키지 DT를 죽입니다.

danielfm123 에 2020년 11월 28일

@ danielfm123 당신은 shinyproxy 2.4.1을 실행하고 있습니까? DT는 잘 작동합니다.

eastclintw00d 에 2020년 11월 28일

@danielfm123 @eastclintw00d POST 요청(예: DT에서 수행)은 현재 ShinyProxy(2.4.1)와 함께 OIDC 를 @LEDfan 의 수정 사항은 향후 릴리스의 일부가 될 것이지만 이것은 이 스레드의 주제가 아닙니다.

tverbeke 에 2020년 11월 28일

👍1

POST 요청 문제는 이제 2.4.2 릴리스 에서 수정되었습니다.

원래 문제와 관련된 문서가 업데이트됩니다.

문제를 유지 관리할 수 있도록 이 문제를 잠그겠습니다.
물론, 항상 그렇듯이 문제가 발생하면 주저하지 말고 새 문제를 여십시오!

LEDfan 에 2020년 12월 18일

이 페이지가 도움이 되었나요?

0 / 5 - 0 등급

<p>키 클로킹을 사용할 때 빛나프록시가 잘못된 리디렉션 URI를 생성합니다.</p>

모든 16 댓글

관련 문제