Всю голову сломал, причём уже второй раз, но на сей раз положение безвыходное уже, нужно настроить.
Хочу вроде бы простую вещь: чтобы haproxy:
1) Создал SSL-туннель с удалённым сервером, предоставляющим «услугу» (в данном случае - LDAP)
2) Клиенты подключались бы к HAProxy без шифрования, а уже он общался бы с сервером через SSL
С учётом того, что клиенты на самом деле на том же localhost'е, что и haproxy - секьюрность явно не страдает.
Читаю доки к HAProxy - и постоянно сталкиваюсь с тем, что либо предлагается весь трафик шифровать, либо только от клиента до HAProxy. А мне как раз нужно чтобы только между HAProxy и серверами трафик был шифрованным.
Как быть? Где описана именно такая, stunnel-подобная конфигурация haproxy?
Спасибо!
Solved:
global
log 127.0.0.1 local4
pidfile /var/run/haproxy/pidfile
daemon
stats socket /var/lib/haproxy/stats
ssl-server-verify none
defaults
mode tcp
log global
timeout connect 5000ms
timeout client 50000ms
timeout server 50000ms
frontend FE_ldap
bind 0.0.0.0:389
option tcplog
default_backend BE_ldaps
backend BE_ldaps
option ssl-hello-chk
option ldap-check
option tcpka
server ldap01 remote.server1.com:636 ssl verify none crt /etc/ssl/certs/thisServer_cert_and_privKey_here.pem check check-ssl fall 1 rise 1 inter 2s
server ldap02 remote.server2.com:636 ssl verify none crt /etc/ssl/certs/thisServer_cert_and_privKey_here.pem check check-ssl fall 1 rise 1 inter 2s backup
