Как настроить HAProxy чтобы для OWA с Form Based Authentication?

Question

Александр @asand3r

Как настроить HAProxy чтобы для OWA с Form Based Authentication?

Доброго дня.
Есть такая проблема - хочу выкинуть OWA наружу с Form Based Authentication. Наружу 443/tcp портом стоит HAproxy как обратный прокси, но при попытке обратиться к OWA, вместо приглашения ввести логин/пароль, браузер выдает ошибку "Сервер не найден", перенаправляя на имя физического сервера, вместо имени домена. Как-то криво описал, но смысл в том, что если ввести https://mail.company.com, он попытается найти форму аутентификации на:
https://severname/owa/auth/logon.aspx?url=https://...
хотя я бы ожидал увидеть:
https://mail.company.com/owa/auth/logon.aspx...
Внутри сети, без HAProxy, всё работает как ожидается. В какую сторону нужно смотреть?

Вопрос задан более трёх лет назад
1761 просмотр

1 комментарий

Подписаться 1 Средний 1 комментарий

Пригласить эксперта

Ответы на вопрос 1

1 комментарий

Александр @asand3r Автор вопроса

Ну примерно так оно сейчас и выглядит. Вот секции фронтендов и бэкендов конфига:

frontend HTTP
	mode http
	timeout client 10s
	timeout http-request 10s	
	bind 10.0.0.1:80
		
	# Redirect all HTTP to HTTPS
	redirect scheme https code 301 if !{ ssl_fc }

frontend HTTPS
	bind 10.0.0.1:443 ssl crt /etc/ssl/private/mail.company.com.pem
	mode http
	
	# options
	option http-keep-alive
	no option httpclose
	no option http-server-close
	timeout client 600s
	maxconn 1000
	
	# acl
	acl is_owa_redir path / /owa
	
	acl is_mail hdr(host) -i mail.company.com
	
	# redirect root to owa
	http-request redirect location /owa/ if is_mail is_owa_redir
	
	# backends
	use_backend EXCHANGE if { ssl_fc_sni mail.company.com }
	default_backend EXCHANGE

backend EXCHANGE
	# balance source
	
	# options
	option http-keep-alive
	option prefer-last-server
	option forwardfor
	option httplog
	no option httpclose
	no option http-server-close
	no option forceclose
	no option http-tunnel

	# server cas01 cas01.intranet.company.com:443 ssl verify none check
	# server cas02 cas02.intranet.company.com:443 ssl verify none check
	
    server mail.company.com mail.company.com:443 ssl verify none check

Как видите, я закомментировал обе записи, ссылающиеся на два сервера с ролью CAS и отключил балансировку, указав вместо этого просто запись mail.company.com, которая внутри сети разрешается в IP NLB кластера серверов CAS. Если включить балансировку и отключить FBA (form based auth.) на Excahnge, то всё работает хорошо, но с FBA адрес формы ищется как раз на одном из серверов, указанных в бэкенде - CAS01, CAS02.

Написано более трёх лет назад

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Active Directory

+2 ещё

Средний
Kerberos аутентификация пользователей в MS Exchange с двух разных доменов?
- 1 подписчик
- 3 часа назад
- 12 просмотров
1

ответ
Резервное копирование

+1 ещё

Простой
Как сделать резервную копию и восстановление ms exchange 2013?
- 2 подписчика
- 15 апр.
- 288 просмотров
4

ответа
Цифровые сертификаты

+1 ещё

Простой
Как установить SSL сертификат на MS Exchange 2013?
- 1 подписчик
- 03 апр.
- 138 просмотров
2

ответа
Outlook

+1 ещё

Простой
Почему стали появляться желтые конвертики напротив писем?
- 2 подписчика
- 01 апр.
- 715 просмотров
1

ответ
Outlook

+1 ещё

Средний
Ошибка проверки подлинности Outlook Mobile ящик Exchange санкции?
- 5 подписчиков
- 27 мар.
- 6294 просмотра
3

ответа
Microsoft Exchange

Простой
Проброс портов Exchange 2019 / DAG, как правильно?
- 2 подписчика
- 25 мар.
- 126 просмотров
3

ответа
Microsoft Exchange

Простой
Как сжать mail.que на сервере Exchange 2013?
- 2 подписчика
- 25 мар.
- 97 просмотров
1

ответ
Электронная почта

+1 ещё

Простой
Несколько доменов, несколько сертификатов в exchange как сделать?
- 2 подписчика
- 23 мар.
- 142 просмотра
2

ответа
Microsoft Exchange

Средний
Exchange. Не соответствие имени отправителя и адреса. Откуда растут ноги?
- 1 подписчик
- 21 мар.
- 81 просмотр
1

ответ
Microsoft Exchange

Средний
Проблема в долгой отправки сообщений почтовым сервером Exchange, в чём может быть?
- 2 подписчика
- 20 мар.
- 139 просмотров
1

ответ
Показать ещё Загружается…

Системный администратор

CRAFTER • Краснодар

от 80 000 до 100 000 ₽

Ведущий системный администратор

SOKOLOV

До 260 000 ₽

Ведущий системный администратор

Москворечье Трейдинг • Москва

от 170 000 ₽

Создать телеграмм бот на Python

25 апр. 2024, в 19:21

10000 руб./за проект

Разработка дизайна для мобильного приложения

25 апр. 2024, в 18:47

2795100 руб./за проект

Ищем программиста для поддержки сайта на PHP Laravel/Symfony

25 апр. 2024, в 18:36

10000 руб./за проект

Окей, я немного обошел проблему, указав в backend директиву server следующим образом:
server mail.company.com mail.company.com:443 ssl verify none check

Работает как нужно, но я думаю, что это неправильно. За адресом mail.company.com внутри сети стоит NLB из 2х CAS серверов и получается, что HAProxy пересылает запрос еще и на NLB, вместо того чтобы балансировать самому.

Answer 1 · 2018-08-18 23:25:28

Без конфигурации трудно будет вам чем то помочь, на самом деле это должно выглядеть например так:

frontend exch
        bind :443 name https tcp-ut 30s
        default_backend exch-be

backend exch-be
        balance leastconn
        stick on src 
        option tcp-check
	stick-table type ip size 1m expire 2h
        server exh-cmb1 10.10.10.111 weight 1 check port 135 inter 2s rise 2 fall 3 on-marked-down shutdown-sessions
        server exh-cmb2 10.10.10.112 weight 1 check port 135 inter 2s rise 2 fall 3 on-marked-down shutdown-sessions

Само собой mail.company.com снаружи должно резолвиться во внешний адрес haproxy.
А haproxy имел доступ до серверов. Ваша же фраза

Окей, я немного обошел проблему, указав в backend директиву server следующим образом:
server mail.company.com mail.company.com:443 ssl verify none check

мне совсем не понятна, вы обоим нодам поставили одинаковую запись? и почему вы порт пишете в бэкэнде?

Как настроить HAProxy чтобы для OWA с Form Based Authentication?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт