Proxy Inversé DSM6 et authentification

[amemo06]

Suite à la perte intempestive du système d'exploitation de mon nas, j'ai du tout reconfigurer.

Du coup j'ai utilisé la nouvelle fonctionnalité de DSM, à savoir le proxy inversé natif.

Il est ultra simple comparé à mon ancienne configuration ou j'utilisais haProxy.

La question: j'ai besoin de l'utiliser pour accéder à mon serveur domotique. Y aurait-il une configuration cachée pour mettre en place une authentification?

En gros, j'aimerai devoir m'authentifier lorsque je viens de l'extérieur de mon réseau. Sinon c'est un peu trop open bar !

 

J'ai bien une authentification obligatoire lorsque je viens de l'extérieur mais en passant au travers du reverse proxy mon serveur domotique me voie comme une connection locale.

Si j'ouvre un port dédié sur le routeur, je n'ai plus de soucis, mais je ne peux plus me connecter depuis le bureau. D’où l'utilisation du proxy inversé.

[Einsteinium]

Change ce comportement sur ton serveur domotique non ?

[amemo06]

Merci pour ta suggestion.
C'est comme ça que j'ai limité la casse. Pour info, le serveur domotique c'est Domoticz. 

Avec Domoticz, tu peux spécifier soit la liste des machines autorisées sans authentification, soit un range de machines autorisées avec *. Style 192.168.0.*

Mais ça m'oblige à entrer la liste exhaustive des machines susceptible de s'y connecter. Alors qu'en fait, il n'y en a qu'une (le nas), que je souhaite restreindre.

Du coup, je me demandais s'il était possible de configurer le reverse proxy avec une authentification. Depuis l'interface, il n'y a rien de ce genre de visible. Mais peut etre dans un fichier de configuration. Ou une autre solution.

[gaetan.cambier]

regarde dans ce fichier :

/etc/nginx/nginx.conf

tu devrait trouver ton bonheur

 

après, à chaque update, tu es bon à refaire les modif (ou créer un script qui modifie le fichier à chaque boot ;))

Modifié le 10 mai 2016 par gaetan.cambier

[CoolRaoul]

Il y a 18 heures, gaetan.cambier a dit :

regarde dans ce fichier :

/etc/nginx/nginx.conf

tu devrait trouver ton bonheur

 

après, à chaque update, tu es bon à refaire les modif (ou créer un script qui modifie le fichier à chaque boot ;))

Serait peut-être plus clean de ne pas modifiers les fichiers gérés par DSM et d'ajouter un ou plusieurs fichiers .conf perso dans "/usr/local/etc/nginx/conf.d"  (avec en prime plus un espoir qu'ils soient conservés lors des upgrades)

Par exemple je verrai bien un "domoticz.conf" dans le style de celui que j'avais temporairement mis en place sur ma conf nginx sous dsm:

Brut de fonderie, à affiner (directives "listen" à supprimer "location /" serait sans doute du genre "location ~ ^/domoticz", et auth à adapter):

#+
# domoticz
#-

server {
    listen       *:6080;
    listen       *:6443 ssl;
    server_name  ~^dz\..*$;
    add_header X-Frame-Options SAMEORIGIN;
    include ssl_defaults.conf;
    location / {
        proxy_pass  http://localhost:8084/;
        include proxy_defaults.conf;
        auth_basic "Authentification"; 
        auth_basic_user_file /site/etc/nginx/htpasswd;
    }
}

# Local Variables:
# mode: nginx
# End:

Modifié le 11 mai 2016 par CoolRaoul

[Vinky]

Et un serveur web avec un .htaccess ca ne suffirait pas ?

[goerges]

Le 10/05/2016 at 21:06, amemo06 a dit :

J'ai bien une authentification obligatoire lorsque je viens de l'extérieur mais en passant au travers du reverse proxy mon serveur domotique me voie comme une connection locale.

Si j'ouvre un port dédié sur le routeur, je n'ai plus de soucis, mais je ne peux plus me connecter depuis le bureau. D’où l'utilisation du proxy inversé.

Bizarre, j'ai l'impression d'avoir la même config. que toi et je n'ai aucun problème.

Je me loggue de l'extérieur sur mon serveur Domoticz vie le proxy inverse de DSM 6 avec l'adresse https://domoticz.mondomaine.com. Là, il me demande une authentification.

Si je me loggue en local il ne me demande rien.

A moins qu'il y ait une subtilité que je n'ai pas compris dans ton post ?

Georges

 

[amemo06]

@CoolRaoul: merci encore. Des que j'ai un peu de temps (insomnie !?) J'étudie ngingx et ton exemple. Ça semble être exactement ce que je recherche.

@Georges: intéressant et merci pour ton exemple. Là, moi aussi, j'aimerai bien comprendre ou est la subtilité.

Un petit point que j'ai oublié de mentionner. Domoticz tourne sur un raspberry dédié. Il n'est pas installé sur le NAS.

Même commentaire que dessus. Dès qu'un peu de temps je regarde les log de connections de domoticz

[goerges]

il y a 7 minutes, amemo06 a dit :

Un petit point que j'ai oublié de mentionner. Domoticz tourne sur un raspberry dédié. Il n'est pas installé sur le NAS.

 

Ah ok, je crois qu'elle est là, la subtilité ;-)

Chez moi Domoticz est sur le NAS.

[CoolRaoul]

Il y a 7 heures, amemo06 a dit :

@CoolRaoul: merci encore. Des que j'ai un peu de temps (insomnie !?) J'étudie ngingx et ton exemple. Ça semble être exactement ce que je recherche.

J'en un peu creusé le truc entre temps, pas sur que ce soit aussi trivial.

Me suis aperçu que la conf Nginx native Syno est un peu alambiquée, en particulier avec des fichiers de conf générés à la volée au démarrage. Ca pourrait peut être marcher en mettant le .conf dédié Domoticz dans le dossier "sites-enabled" mais toute mauvaise manip (erreur de syntaxe) risque de faire perdre l'accès http à DSM (ports 5000/5001). Mieux vaut sans doute opter pour l'approche que je décrit dans mon tuto de reverse proxy via Nginx, plus sure (car il s'agit d'une instance Nginx entièrement indépendante de l'instance système)

Modifié le 18 mai 2016 par CoolRaoul