Aller au contenu

Proxy Inversé DSM6 et authentification


Messages recommandés

Suite à la perte intempestive du système d'exploitation de mon nas, j'ai du tout reconfigurer.

Du coup j'ai utilisé la nouvelle fonctionnalité de DSM, à savoir le proxy inversé natif.

Il est ultra simple comparé à mon ancienne configuration ou j'utilisais haProxy.

La question: j'ai besoin de l'utiliser pour accéder à mon serveur domotique. Y aurait-il une configuration cachée pour mettre en place une authentification?

En gros, j'aimerai devoir m'authentifier lorsque je viens de l'extérieur de mon réseau. Sinon c'est un peu trop open bar !

 

J'ai bien une authentification obligatoire lorsque je viens de l'extérieur mais en passant au travers du reverse proxy mon serveur domotique me voie comme une connection locale.

Si j'ouvre un port dédié sur le routeur, je n'ai plus de soucis, mais je ne peux plus me connecter depuis le bureau. D’où l'utilisation du proxy inversé.

Lien vers le commentaire
Partager sur d’autres sites

Merci pour ta suggestion.
C'est comme ça que j'ai limité la casse. Pour info, le serveur domotique c'est Domoticz. 

Avec Domoticz, tu peux spécifier soit la liste des machines autorisées sans authentification, soit un range de machines autorisées avec *. Style 192.168.0.*

Mais ça m'oblige à entrer la liste exhaustive des machines susceptible de s'y connecter. Alors qu'en fait, il n'y en a qu'une (le nas), que je souhaite restreindre.

Du coup, je me demandais s'il était possible de configurer le reverse proxy avec une authentification. Depuis l'interface, il n'y a rien de ce genre de visible. Mais peut etre dans un fichier de configuration. Ou une autre solution.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 18 heures, gaetan.cambier a dit :

regarde dans ce fichier :


/etc/nginx/nginx.conf

tu devrait trouver ton bonheur

 

après, à chaque update, tu es bon à refaire les modif (ou créer un script qui modifie le fichier à chaque boot ;))

Serait peut-être plus clean de ne pas modifiers les fichiers gérés par DSM et d'ajouter un ou plusieurs fichiers .conf perso dans "/usr/local/etc/nginx/conf.d"  (avec en prime plus un espoir qu'ils soient conservés lors des upgrades)

Par exemple je verrai bien un "domoticz.conf" dans le style de celui que j'avais temporairement mis en place sur ma conf nginx sous dsm:

Brut de fonderie, à affiner (directives "listen" à supprimer "location /" serait sans doute du genre "location ~ ^/domoticz", et auth à adapter):

#+
# domoticz
#-

server {
    listen       *:6080;
    listen       *:6443 ssl;
    server_name  ~^dz\..*$;
    add_header X-Frame-Options SAMEORIGIN;
    include ssl_defaults.conf;
    location / {
        proxy_pass  http://localhost:8084/;
        include proxy_defaults.conf;
        auth_basic "Authentification"; 
        auth_basic_user_file /site/etc/nginx/htpasswd;
    }
}

# Local Variables:
# mode: nginx
# End:
Modifié par CoolRaoul
Lien vers le commentaire
Partager sur d’autres sites

Le 10/05/2016 at 21:06, amemo06 a dit :

J'ai bien une authentification obligatoire lorsque je viens de l'extérieur mais en passant au travers du reverse proxy mon serveur domotique me voie comme une connection locale.

Si j'ouvre un port dédié sur le routeur, je n'ai plus de soucis, mais je ne peux plus me connecter depuis le bureau. D’où l'utilisation du proxy inversé.

Bizarre, j'ai l'impression d'avoir la même config. que toi et je n'ai aucun problème.

Je me loggue de l'extérieur sur mon serveur Domoticz vie le proxy inverse de DSM 6 avec l'adresse https://domoticz.mondomaine.com. Là, il me demande une authentification.

Si je me loggue en local il ne me demande rien.

A moins qu'il y ait une subtilité que je n'ai pas compris dans ton post ?

Georges

 

Lien vers le commentaire
Partager sur d’autres sites

@CoolRaoul: merci encore. Des que j'ai un peu de temps (insomnie !?) J'étudie ngingx et ton exemple. Ça semble être exactement ce que je recherche.

@Georges: intéressant et merci pour ton exemple. Là, moi aussi, j'aimerai bien comprendre ou est la subtilité.

Un petit point que j'ai oublié de mentionner. Domoticz tourne sur un raspberry dédié. Il n'est pas installé sur le NAS.

Même commentaire que dessus. Dès qu'un peu de temps je regarde les log de connections de domoticz

Lien vers le commentaire
Partager sur d’autres sites

Il y a 7 heures, amemo06 a dit :

@CoolRaoul: merci encore. Des que j'ai un peu de temps (insomnie !?) J'étudie ngingx et ton exemple. Ça semble être exactement ce que je recherche.

J'en un peu creusé le truc entre temps, pas sur que ce soit aussi trivial.

Me suis aperçu que la conf Nginx native Syno est un peu alambiquée, en particulier avec des fichiers de conf générés à la volée au démarrage. Ca pourrait peut être marcher en mettant le .conf dédié Domoticz dans le dossier "sites-enabled" mais toute mauvaise manip (erreur de syntaxe) risque de faire perdre l'accès http à DSM (ports 5000/5001). Mieux vaut sans doute opter pour l'approche que je décrit dans mon tuto de reverse proxy via Nginx, plus sure (car il s'agit d'une instance Nginx entièrement indépendante de l'instance système)

Modifié par CoolRaoul
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.