AS1024
/
Kanboard-Prod
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity
Kanboard-Prod/doc/ru_RU/reverse-proxy-authenticatio...

4.5 KiB
Raw Blame History

Аутентификация Reverse Proxy

Этот метод аутентификации часто используется для SSO (Технология единого входа), особенно удобно в больших организациях.

Аутентификация выполняется с помощью другой системы, поэтому Канборд не знает вашего пароля и допускает вас к приложению, так как вы уже прошли аутентификацию.

Требования

  • Правильно сконфигурированный reverse proxy

или

  • Apache Auth на том же сервере

Как это работает?

  1. Ваш reverse proxy аутентифицирует пользователя и посылает имя пользователя через заголовок HTTP.

  2. Канборд извлекает имя пользователя из запроса

    • Пользователь создается в Канборд автоматически (опция настраивается)

    • Открывается новая сессия Канборд (дополнительная аутентификация в Канборд не нужна)

Инструкция по установке

Настройка вашего reverse proxy

В рамках данной документации не рассматривается установка и настройка reverse proxy. Вы должны убедится, что логин пользователя отправляется с reverse proxy в заголовке HTTP.

Настройки Канборда

Создайте свой файл конфигурации config.php или скопируйте конфигурацию из файла config.default.php:

<?php



// Enable/disable reverse proxy authentication

define('REVERSE_PROXY_AUTH', true); // Set this value to true



// The HTTP header to retrieve. If not specified, REMOTE_USER is the default

define('REVERSE_PROXY_USER_HEADER', 'REMOTE_USER');



// The default Kanboard admin for your organization.

// Since everything should be filtered by the reverse proxy,

// you should want to have a bootstrap admin user.

define('REVERSE_PROXY_DEFAULT_ADMIN', 'myadmin');



// The default domain to assume for the email address.

// In case the username is not an email address, it

// will be updated automatically as USER@mydomain.com

define('REVERSE_PROXY_DEFAULT_DOMAIN', 'mydomain.com');

Примечание:

  • Если proxy находится на том же сервере, что и Канборд, то в соответствии с протоколом <http://www.ietf.org/rfc/rfc3875>`__ имя заголовка будет REMOTE_USER. Например, Apache добавляет REMOTE_USER по умолчанию, если установлено Require valid-user.

  • Если Apache служит reverse proxy для другого Apache выполняющего Канборд, то заголовок REMOTE_USER не установлен (это же относится к IIS и Nginx).

  • Если у вас имеется действующий reverse proxy, то проект HTTP ICAP предполагает, что заголовок должен быть X-Authenticated-User. Этот стандарт де-факто был принят разными инструментами.

Русская документация Kanboard