<div dir="ltr">Hi,<div><br></div><div>Does anybody have any experience putting the IPA web UI behind a reverse proxy? In an attempt to allow our users to access the UI without browser warnings and without having to add the root CA certificate to their trusted store (there was some resistance to that idea), I set up an nginx server as a simple reverse proxy.</div><div><br></div><div>Every request returns an "Unable to verify your Kerberos credentials" error page. The headers returned:</div><div><br></div><div><div>$ http -h GET <a href="https://proxy/ipa">https://proxy/ipa</a></div><div>HTTP/1.1 401 Unauthorized</div><div>Accept-Ranges: bytes</div><div>Connection: keep-alive</div><div>Content-Length: 1474</div><div>Content-Type: text/html; charset=UTF-8</div><div>Date: Fri, 24 Apr 2015 18:43:06 GMT</div><div>Last-Modified: Thu, 19 Mar 2015 18:38:36 GMT</div><div>Server: nginx/1.4.6 (Ubuntu)</div><div>WWW-Authenticate: Negotiate</div><div><br></div><div>I saw this thread from 2013: <a href="https://www.redhat.com/archives/freeipa-users/2013-August/thread.html#00065">https://www.redhat.com/archives/freeipa-users/2013-August/thread.html#00065</a></div><div><br></div><div>I'm sending the proper Host and Referer headers by the proxy as specified, and I modified the Apache rewriting rules to not redirect to the hostname of the backend IPA server.</div><div><br></div><div>Any ideas how this can be done?</div><div><br></div><div>Thanks,</div><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div>Benjamen Keroack</div><div><i>Infrastructure/DevOps Engineer</i></div><div><a href="mailto:benjamen@dollarshaveclub.com" target="_blank">benjamen@dollarshaveclub.com</a></div><div><br></div></div></div></div></div>
</div></div>