BoZon et reverse proxy : impossible de se connecter

[SadarSSI]

Bonjour

J'essaye de faire fonctionner BoZon avec un reverse proxy apache avec une redirection basique <Location /bozon/> Order allow,deny Allow from all ProxyPass "https://srv2/bozon/" ProxyPassReverse "https://svr2/bozon/"

dans le fichier config.php j'ai essayé de modifier la variable $root en lui mettant $root="https://srv2/bozon"; ou $root="URL"; ou encore $root="https://192.168.1.58/bozon"; ou tout simplement laisser $root=false;

impossible de se connecter ! une fois le couple user/passwd donné à BoZon on revient systématiquement sur la page d'accueil ;-((

La phase d'authentification se passe bien puisse que, j'ai fait le test, un mauvais mot user/passwd provoque bien l'envoi du message d'erreur de login (...)

Une idée ?

Ma conf : un serveur archlinux accessible depuis le net via une adresse en srv1.dtdns.net qui en oeuvre un système d'authentification par clés (via le navigateur) et redirige vers un serveur local en fonction de l'url demandé

Par exemple https://srv1.dtdns.net/pluxml me redirige vers https://srv2/pluxml et cela fonctionne très bien (authentification, création de nouveau article, etc...)

La même chose avec BoZon, une fois l’authentification effectuée sur la page sur https://srv1.dtdns.net/bozon/index.php?p=login me renvoi vers https://sadar.dtdns.net/bozon/index.php

Bien sur, si je m'authentifie sur serveur srv2 en directe cela fonctionne directement

En espérant que mon sujet ne soit pas trop hors scoop

DJR

[Purexo]

J'utilise nginx (sans reverse proxy) avec php5-fpm et j'ai le même soucis. Impossible de ce co sur mon ordi de bureau (redirection vers la page d'accueil), par contre j'arrive a me connecter via mon smartphone (android avec firefox).

C'est à n'y rien comprendre :(.

Si quelqu'un à une idée. Je suis preneur !

[broncowdd]

Je suis en train de récrire complètement BoZoN et je reprends les routines de sécurité bientôt... Il y a sans doute un soucis dans la détection des problème de sécurité (réferrer ? token ? c'est à voir) Je garde ça en tête, merci à vous deux pour la remontée ^^

[Purexo]

Edit : je viens de changer des trucs dans la config

• le debug mode
• $root
• la langue

Je me suis connecté, ça marche. j'ai tout repassé comme avant, déco reco, ça marche toujours.

Donc problème résolu pour moi, mais je comprends pas trop pourquoi.

[broncowdd]

\o/ cool ^^

[SadarSSI]

Hello, merci de prendre en compte nos remarques

Une schite précision, basée sur un retour d’expérience sur la problématique des reverse proxy, histoire de ne pas chercher de trucs inutiles...

Je vais essayer d'être clair !

Dans le cas d'un reverse proxy, une authentification avec un paramètre d'authentification par certificat (SSLVerifyClient Require) ne transite pas du server1 vers le server2.

Why ?

Parce que le paramètre SSLVerifyClient Require est vérifié sur server1 ET CETTE AUTHENTIFICATION N'EST PAS TRANSMIS au server2 (reverse proxy=server1 BoZon sever2 par ex.) Par ailleurs, si l'on veut mettre SSLVerifyClient Require sur server2 (BoZon dans notre cas) cela ne fonctionne pas (cf doc apache sur le net)

Quel rapport avec notre cas me direz-vous ?

Sans doute une histoire de paramétrage coté reverse et/ou des problématique de session / cookies où que sais-je encore. Il faut garder en tête que la session n'est pas directement ouverte sur le serveur mais via une redirection. Certaines applications, Owcloud par exemple (désolé j'ai fait une rechute mais j'essaye de me soigner ;-)), permettent de faire une faire une configuration indiquant un accés via un proxy.

Bien que mes connaissances en programmation soient qq peu limitées (voir très), il me semble qu'en PHP les problématiques d’authentifications (via un proxy entre autres) ne sont pas si triviales puisque le serveur ne voit pas directement le client mais un reverse proxy qui lui "forward" la requète avec une entête qui n'est pas son adresse directe.

Bref, il y a probablement des gars plus compétents qui pourront éclairer le sujet mieux que moi, mais en synthèse la problématique d'authentification pourrait être en relation avec le fait que la requête n'est pas adressée au server2 (BoZon) mais au serveur server1/BoZon qui renvoi vers ....

mea culpa, je n'ai pas testé les paramètres de réécriture des en-têtes (rewrite rules proxy) pour voir si cela pouvait résoudre le problème...puisque qu'entre temps j'ai fait une rechute ! ;-//

Blagues à part je suis dispo pour (re)faire qq tests si besoin sur ce point là (une VM à mettre en oeuvre c'est assez vite fait)

Bon courage Bronco !

@++

[Purexo]

@broncowdd ben finalement ça refonctionne plus. Je me fais ban ip tout le temps je comprends pas trop pourquoi

[broncowdd]

Là je ne suis pas chez moi, du coup c'est chaud pour tester sur mon hybride win10(beurk)... Faudra sans doute ajouter la même option que sous owncloud dans la config... et que je me renseigne vraiment là-dessus ^^ Ces dernières semaines, j'ai beaucoup bossé sur la V3, du coup certains tests de la version courante sont passés à l'as :-/

[clems52]

Bonjour, J'ai le même problème que DJR-72.

Sur un serveur NAS debian utilisant nginx, il m'est impossible de me connecter.

• la config du mot de passe admin est OK.
  • une fois le couple user/passwd donné à BoZon on revient systématiquement sur la page d'accueil, sans message d'erreur.
• Si je saisis un mot de passe bidon j'ai bien une erreur d'authentification.

Je n'ai aucun message d'erreur dans mon error.log.