Смоленск 1.5 apache2 и mod_proxy не работает в смоленске.

azm9s

New member
Сообщения
277
#1
Доброго всем.
Директивы
ProxyPass / http://127.0.0.1:9898/
ProxyPassReverse / http://127.0.0.1:9898/
не работают. выпадает ошибка 500.
В пакете апача на орле все работает четко.
Конфиг и модули одни и те же, тока версии ОС разные(1.5 смоленск и соответствующий 1.5шке орел) :(

куда ковырять, можете подсказать?
 

oko

New member
Сообщения
1 257
#2
to azm9s
Модуль экстрасенсорики подсказывает, что подобная функция Apache2 именно в Смоленске 1.5 работать не будет, поскольку:
  • Apache собран с обязательной PAM-авторизацией любого подключающегося пользователя (в ALSE 1.6 эта функция отключаема);
  • ошибка 500 - отказ в доступе к ресурсам из-за проблем авторизации (ошибки авторизации);
  • видимо, proxy-модуль Apache не переделан (не поддерживает PAM) и отрабатывает до запроса на PAM-авторизацию, что, по понятным причинам, блокируется Apache...
Если нужен реверсивный прокси, попробуйте прикрутить Squid, который есть в составе Смоленска 1.5. Конечно, сложнее, зато надежнее, ага. nginx или lighttpd, кажись, в репозитории отсутствуют...
 

azm9s

New member
Сообщения
277
#3
нее, мне нужен был апач, чтобы локальный сервис, работающий без https и без авторизации.(скрипт на питоне), прокинуть в https с авторизацией.

в апаче если убираю эти две строки - то апач открывает директорию, где ключи лежат генерации https. то есть авторизация kerberos работает.

дописываю эти пару строк - 500 ошибка...
это умеет сквид делать? локальный http 127.0.0.1 перевести на https ip
 
Последнее редактирование:

azm9s

New member
Сообщения
277
#4
почитал - не умеет это сквид.
придется извращаться с ufw. создавать белый список на этот порт, где работает скрипт :(
 

oko

New member
Сообщения
1 257
#5
to azm9s
Немного не понял проблему, но squid умеет перенаправлять поступающие запросы с HTTP-протоколом на другой адрес с HTTPS-протоколом. То ли дело встроить его по-середине в уже существующую схему (без изменений на стороне клиента, в частности) не так просто, как с тем же Apache или Nginx...
И, если клиент у вас по умолчанию инициализирует соединение с сервером по HTTP, то редиректом портов на сервере через UFW/iptables здесь не обойдешься - клиент-то будет ожидать HTTP-ответ, а новый порт сервера поддерживает только HTTPS...
Кстати, возможно вас спасет stunnel? Его средствами сделаете SSL-обертку для HTTP-трафика, а авторизацию прикрутите на уровне Apache нативным образом?
 

azm9s

New member
Сообщения
277
#6
нашел сертифицированный nginx и нагло воспользовался им.
тока странно как то.
первое обращение сбрасывает url на 80 порт....
второе обращение проходит нормально и дальнейшая работа нормальная...
чую в пятницу буду мануалы по nginx читать))
 

azm9s

New member
Сообщения
277
#7
и так.
пришлось вернуться к вопросу....
оказалось в 1.5 nginx не имеет ключей digsig для ЗПС.

Кстати, возможно вас спасет stunnel? Его средствами сделаете SSL-обертку для HTTP-трафика, а авторизацию прикрутите на уровне Apache нативным образом?
а как пакет называется по правильному? что-то в дистрибутиве не нашел его.

squid умеет перенаправлять поступающие запросы с HTTP-протоколом
сквид я так понял на диске разработчика. а на него есть ключи digsig?

в общем почитал про squid
буду пробовать. ибо необходим https и ЗПС.
 
Последнее редактирование:

azm9s

New member
Сообщения
277
#8

oko

New member
Сообщения
1 257
#9
to azm9s
squid - всего лишь прокси-сервер, не способный добавить TLS/SSL в открытый трафик. Так что вам в любом случае нужен какой-то веб-сервер, умеющий https. Или иные решения обертки TLS/SSL...
Судя по вашим мессагам на форуме, вы периодически внедряете "костыльные" решения в больших объемах и на серьезных объектах (без обид - сам таким был некоторое время назад)? Возможно, стоит зайти с другой стороны? Если с nginx все работает, то почему бы не выйти на РусБИТех с просьбой подписать его компоненты для проверки через digsig? Думаю, при определенной серьезности объектов, не откажут...
 
Последнее редактирование:

azm9s

New member
Сообщения
277
#10
мне оплачивать нечем.
я служу.
а от имени части никто не хочет из вышестоящих начальников этим заниматься.
 

oko

New member
Сообщения
1 257
#11
to azm9s
МО РФ всегда отличалось двойственностью подходов: до*ться до знаков препинания и расплывчатых формулировок в отчетных документах, но при этом "закрыть глаза" на костыли при внедрении решений...
Альтернативы, подсказанные модулем дедукции:
  • юзать ALSE 1.4, которая сертифицирована по линии МО РФ, - в ней все проще с подписью бинарей и самоконтролем, ага;
  • реализовать SSL на базе существующего "веб-сервера" (который, как я помню, в виде python-скриптов, да?);
  • поиграть с Apache и его реверс-прокси-функциями, узнав у РусБИТеха как отключить обязательную pam-проверку Apache в ALSE1.5;
  • юзать nginx и положить на digsig, обосновав это в действующих документах по защите информации.
 

azm9s

New member
Сообщения
277
#12
1. ssl в python можно реализовать только с версии 3.5, которая также только в 1.6 идёт.
2. 1.4 в принципе можно)))
3. если они на это пойдут)))
4. пока так и сделано)))
 

azm9s

New member
Сообщения
277
#13
в общем, вышли на связь с промышленностью оборудования с наездом - почему не подписано у Вас, 30 дней на исправление.
приняли и поставили на входящий заявку эту)
буду ждать ключей в официальном порядке)))
p.s. а такой вопрос.
а если версии nginx будут одинаковые(я еще не сравнивал версии, что лежат на wiki астры, не до этого было) - ключи под 1.6 и 1.5 одинаковые будут или разные?
 

azm9s

New member
Сообщения
277
#14
эх. там разные версии.
у меня 1.12.1, а на вики 1.14.1
p.s. кхм....
а обычному люду как обратиться к технарям?
Данный ресурс доступен только клиентам, которые приобрели пакет услуг технической поддержки: https://clck.ru/MLDDr.

Логин и пароль мы высылаем на контактный e-mail после поступления оплаты.
Если логин и пароль утрачены, для их восстановления пришлите нам на e-mail lk@astralinux.ru письмо, указав в нем:
• юридическое наименование своей организации;
• дату приобретения пакета.

Мы сообщим Вам о результате в ответном письме.
и почты написать им - тоже нема...