HAProxy — это популярный балансировщик нагрузки и прокси-сервер с открытым исходным кодом, который обеспечивает высокую доступность, балансировку нагрузки и проксирование для приложений на основе TCP и HTTP. В этой статье мы рассмотрим различные методы добавления базовой аутентификации на внутренний сервер HAProxy для повышения безопасности ваших веб-приложений.

Метод 1. Использование внешней службы аутентификации

Один из способов реализовать базовую аутентификацию на внутреннем сервере HAProxy — использовать внешнюю службу аутентификации. Этот метод позволяет перенести процесс аутентификации на отдельную службу, например на сервер LDAP или настраиваемую микрослужбу аутентификации. Вот пример конфигурации:

backend my_backend
    mode http
    server my_server1 192.168.1.10:80 check
frontend my_frontend
    bind *:80
    acl auth_ok http_auth(my_auth_group)
    http-request auth realm MyAuth if !auth_ok
listen my_auth_group
    bind *:80
    http-request use-service lua.my_auth_service
lua-load /etc/haproxy/my_auth_service.lua

Метод 2: использование встроенного списка пользователей HAProxy

HAProxy предоставляет встроенную функцию списка пользователей, которая позволяет вам определять пользователей и соответствующие им пароли непосредственно в конфигурации HAProxy. Вот пример конфигурации:

backend my_backend
    mode http
    server my_server1 192.168.1.10:80 check
frontend my_frontend
    bind *:80
    acl auth_ok http_auth(my_auth_group)
    http-request auth realm MyAuth if !auth_ok
userlist my_auth_group
    user username password my_password

Метод 3: использование внешнего модуля аутентификации

Другой подход — использовать внешний модуль аутентификации, например модуль auth_request, который позволяет HAProxy делегировать процесс аутентификации внешней службе HTTP. Вот пример конфигурации:

backend my_backend
    mode http
    server my_server1 192.168.1.10:80 check
frontend my_frontend
    bind *:80
    acl auth_ok http_auth(my_auth_group)
    http-request auth realm MyAuth if !auth_ok
http-request deny unless { path_beg /auth }
http-request set-header X-User %[base64_auth(my_auth_group)]
http-request set-var(txn.auth_check) req.hdr(X-User),lower,regsub(^.*: ,"")
http-request set-var(txn.auth_status) req.hdr(X-User),lower,regsub(^.*: ,"")
http-request set-var(txn.userid) req.hdr(X-User),lower,regsub( :.* ,"")
http-request set-var(txn.auth_check) lua.my_auth_service.check
http-request set-var(txn.auth_status) lua.my_auth_service.status
http-request set-var(txn.userid) lua.my_auth_service.userid
lua-load /etc/haproxy/my_auth_service.lua

В этой статье мы рассмотрели три различных метода добавления базовой аутентификации на внутренний сервер HAProxy. Вы можете выбрать метод, который лучше всего соответствует вашим требованиям и инфраструктуре. Внедрив базовую аутентификацию, вы можете повысить безопасность своих веб-приложений и защитить конфиденциальные данные от несанкционированного доступа.

Не забывайте регулярно обновлять и защищать механизмы аутентификации, чтобы избежать потенциальных уязвимостей.