我在Hawtio (一个Karaf托pipe的JVMpipe理控制台)前面configuration了Apache。 尽pipeHawtio由Jetty提供服务,并受到Karaf的JAAS实现的保护,但我们希望Apache添加Basic Auth,以便我们可以额外确保它的安全,例如,使用Fail2Ban进行powershell攻击。
但是,尽pipe有这样的build议,Apache的基本身份validation不断popup,而不是只要求一次凭据。 在两次login请求后,Hawtio的login页面会被载入,但是,一旦你放入了Hawtio的login信息,Apache不断popup它的login页面。 我甚至已经走了20次,但仍然要求更多!
我错过了什么明显的?
这是我的configuration:
<VirtualHost *:80> ServerAdmin admin@localhost ServerName hawtio.mydomain.com ErrorLog ${APACHE_LOG_DIR}/error.log LogLevel warn CustomLog ${APACHE_LOG_DIR}/access.log combined # suppress rule checking for Hawtio stuff SecRuleRemoveById 950901 960010 970003 970014 981257 981318 981407 981205 981222 981240 981220 <Location /> ProxyPass http://application-server:8765/ ProxyPassReverse http://application-server:8765 AuthUserFile /etc/users AuthName "Restricted area" AuthGroupFile /dev/null AuthType Basic Require valid-user RequestHeader unset Authorization </Location> </VirtualHost> 我已经尝试了许多变化,包括使用<Proxy>组而不是<Location />但无济于事。 根据这篇文章 ,我添加了RequestHeader unset Authorization ,看看它是否是投诉的Jetty,但既不存在也不缺乏的指令有所作为。
如果我删除了基本的auth指令,那么这个网站可以很好地工作。
感谢任何指针。
你需要设置一个cookie或caching一些如何的凭据。 我在使用一次性密码configurationApache时看到了这一点。 mod_auth_radius支持AuthRadiusCookieValid。 不知道你会在这里使用什么。