Apache2 Reverse Proxy a un punto final que requiere BasicAuth pero quiere ocultarlo del usuario

Question

Básicamente, mi caso es que tengo un sitio web interno que requiere un nombre de usuario y contraseña únicos para acceder (y esto no puede apagado, solo cambiado). Estoy exponiendo este sitio web a través de un proxy inverso por varias razones (ocultar el puerto, simplificar la URL, simplificar NAT, etc.).

Sin embargo, lo que me gustaría hacer es ser capaz de utilizar Apache para manejar la autenticación de forma que:

1. no tengo para dar a conocer sola contraseña para todos
2. puedo tener múltiples nombres de usuario y contraseñas usando BasicAuth
3. de Apache para los usuarios internos, no tiene que pedir una contraseña

EDIT: Segunda parte acerca de la autenticación más rico se ha trasladado a new question

Aquí hay más o menos lo que tengo ahora:

<VirtualHost *:80> 
    ServerName sub.domain.com 

    ProxyPass  /http://192.168.1.253:8080/endpoint 
    ProxyPassReverse/http://192.168.1.253:8080/endpoint 

    # The endpoint has a mandatory password that I want to avoid requiring users to type 
    # I.e. something like this would be nice (but does not work) 

    # ProxyPass  /http://username:password@192.168.1.253:8080/endpoint 
    # ProxyPassReverse/http://username:password@192.168.1.253:8080/endpoint 

    # Also need to be able to require a password to access proxy for people outside local subnet 
    # However these passwords will be controlled by Apache using BasicAuth, not the ProxyPass endpoint 

    # Ideas? 
</VirtualHost> 

Answer 1

añadir ni sobrescribir el encabezado de autorización antes de pasar cualquier solicitud a la punto final El encabezado de autorización puede ser codificado, es solo una codificación de base 64 de la cadena "nombre de usuario: contraseña" (sin las comillas).

Habilite el módulo mod_headers si aún no lo ha hecho.

RequestHeader set Authorization "Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==" 

Para realizar esto condicionalmente, habilite el mod_setenvif, p. Todavía pedir la contraseña maestra en el caso de las solicitudes locales:

SetEnvIf Remote_Addr "127\.0\.0\.1" localrequest 
RequestHeader set Authorization "Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==" env=!localrequest 

• http://en.wikipedia.org/wiki/Basic_access_authentication
• http://httpd.apache.org/docs/2.0/mod/mod_headers.html
• http://httpd.apache.org/docs/2.0/mod/mod_setenvif.html

Ejemplo

# ALL remote users ALWAYS authenticate against reverse proxy's 
# /www/conf/passwords database 
# 
<Directory /var/web/pages/secure> 
    AuthBasicProvider /www/conf/passwords 
    AuthType Basic 
    AuthName "Protected Area" 
    Require valid-user 
</Directory> 

# reverse proxy authenticates against master server as: 
# Aladdin:open sesame (Base64 encoded) 
# 
RequestHeader set Authorization "Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==" 

Answer 2

Bueno usé su ejemplo para apuntar a dos cámaras IP usando apache proxypass. Cuando utilicé el usuario sintaxis: password@camarafeliz3.compufiber.com y se accede a través de un iPhone Tengo un mensaje de seguridad de Safari (navegador de iPhone) así que cambié el ejemplo de trabajar bien con y iPhone 4S

<Location /camarafeliz1/ > 
     # usuario admin password 123456 
     ProxyPass   http://192.168.0.39/ 
     ProxyPassReverse http://192.168.0.39/ 
     RequestHeader set Authorization "Basic YWRtaW46MTIzNDU2==" 
</Location> 
<Location /camarafeliz3/ > 
     # usuario admin password 123456 
     ProxyPass   http://192.168.0.99/ 
     ProxyPassReverse http://192.168.0.99/ 
     RequestHeader set Authorization "Basic YWRtaW46MTIzNDU2==" 
</Location> 

y el iPhone 4s dejó de quejarse de la seguridad debido al usuario y la contraseña en el enlace.