auth_http_pass_client_cert
Директива `auth_http_pass_client_cert` настраивает, следует ли передавать сертификат клиента на HTTP-сервер аутентификации.
Описание
Директива auth_http_pass_client_cert является частью модуля Mail Core для NGINX и управляет пересылкой клиентского сертификата во время процессов HTTP-аутентификации. При установке в on NGINX пересылает сертификат клиента на внешний HTTP-сервер аутентификации, который затем может проверить или валидировать его по необходимости. Это особенно полезно в конфигурациях, где клиентские сертификаты являются частью механизма аутентификации и требуется проверка на централизованном сервере.
Директива может принимать два значения: on и off. По умолчанию директива установлена в off, то есть сертификат клиента не будет пересылаться. Если функция необходима, операторы должны явно указать её в почтовой конфигурации NGINX. При значении on передаётся соответствующая информация о клиентском SSL, что важно для корректной проверки идентификации пользователя с помощью сертификатов.
В практическом использовании следует провести соответствующие тесты, чтобы убедиться, что конфигурация работает как задумано, особенно в окружениях, где клиентские сертификаты требуются для доступа к определённым ресурсам. Неправильная настройка этой директивы может привести к отказам аутентификации или уязвимостям в безопасности, если сертификаты будут некорректно обработаны или станут доступны тогда, когда этого не должно происходить.
Пример конфига
mail {
auth_http_pass_client_cert on;
# additional configuration...
}Убедитесь, что внешний сервер HTTP-аутентификации правильно настроен для обработки поступающих клиентских сертификатов.
Неправильное понимание последствий установки этой директивы в on, поскольку это может привести к раскрытию клиентских сертификатов, если HTTP-сервер не обрабатывает это должным образом.