auth_http_pass_client_cert
Директива `auth_http_pass_client_cert` настраивает, следует ли передавать сертификат клиента на HTTP-сервер аутентификации. — NGINX Mail Core
Описание
Директива `auth_http_pass_client_cert` является частью модуля Mail Core для NGINX и управляет пересылкой клиентского сертификата во время процессов HTTP-аутентификации. При установке в `on` NGINX пересылает сертификат клиента на внешний HTTP-сервер аутентификации, который затем может проверить или валидировать его по необходимости. Это особенно полезно в конфигурациях, где клиентские сертификаты являются частью механизма аутентификации и требуется проверка на централизованном сервере. Директива может принимать два значения: `on` и `off`. По умолчанию директива установлена в `off`, то есть сертификат клиента не будет пересылаться. Если функция необходима, операторы должны явно указать её в почтовой конфигурации NGINX. При значении `on` передаётся соответствующая информация о клиентском SSL, что важно для корректной проверки идентификации пользователя с помощью сертификатов. В практическом использовании следует провести соответствующие тесты, чтобы убедиться, что конфигурация работает как задумано, особенно в окружениях, где клиентские сертификаты требуются для доступа к определённым ресурсам. Неправильная настройка этой директивы может привести к отказам аутентификации или уязвимостям в безопасности, если сертификаты будут некорректно обработаны или станут доступны тогда, когда этого не должно происходить.
Пример конфига
mail {
auth_http_pass_client_cert on;
# additional configuration...
}Убедитесь, что внешний сервер HTTP-аутентификации правильно настроен для обработки поступающих клиентских сертификатов.
Неправильное понимание последствий установки этой директивы в `on`, поскольку это может привести к раскрытию клиентских сертификатов, если HTTP-сервер не обрабатывает это должным образом.