为 mod_proxy_ajp 重写经过身份验证的 Apache2.2 用户

Question

我有一个 Tomcat 通过 mod_proxy_ajp 连接到 Apache2.2 实例。 Apache 通过 mod_auth_kerb 进行身份验证，Tomcat 使用 request.getRemoteUser() 来获取经过身份验证的用户。

这基本上可行，但我想重写用户。但是，我设置的标头都不会影响 request.getRemoteUser() 返回的内容，我只将它们视为附加标头，我该怎么办？

   # Rewrite Magic: change REMOTE_USER to something Alfresco expects
    RewriteEngine On

    RewriteMap domain_map txt:/etc/apache2/rewrite-map.txt

    # Grab the REMOTE_USER apache environment variable for HTTP forwarding (requires sub-request!)
    RewriteCond %{LA-U:REMOTE_USER} (.*)@(.*)

    # change the format and replace the domain, e.g.: 
    # [email protected]  ==>  other.domain_user
    RewriteRule . - [E=RU:${domain_map:%2|%2}_%1]

    # copy processed user to HTTP headers
    RequestHeader set REMOTE_USER %{RU}e
    RequestHeader set HTTP_REMOTE_USER %{RU}e
    RequestHeader set AJP_REMOTE_USER %{RU}e
    RequestHeader set AJP_HTTP_REMOTE_USER %{RU}e

谢谢！

Answer 1

我怀疑标头没有按照您期望的那样设置，并且它们到达 Tomcat 时为空。

我遇到过一些令人费解的处理顺序问题，导致 RequestHeader 忽略 RewriteRule 设置的环境变量。查看 https://stackoverflow.com/a/9303018/239408 是否有帮助

Answer 2

看来 getRemoteUser() 值不能被 Apache 标头指令覆盖，因为 AJP 协议处理程序从某些内部 Apache 结构获取用户名。我通过 http 标头发送用户名并修改 Java 代码来使用它而不是使用 getRemoteUser() 来解决这个问题。