Восстановить вход в графический интерфейс
Если при входе в графический интерфейс платформы “Штурвал” вы столкнулись с проблемой постоянного перенаправление на форму аутентификации при вводе корректных учетных данных, проверьте размер токена пользователя и ограничения на размер HTTP-заголовков.
Такая ситуация может возникнуть, например, когда пользователь входит в большое количество LDAP-групп (более 100). При этом весь перечень групп пользователя попадает в токен, из-за чего токен становится слишком тяжелым. После успешной выдачи токена браузер передает его в HTTP-заголовках, а Модуль управления внешними подключениями (shturval-ingress-controller) отклоняет запрос при превышении допустимого размера заголовка.
Диагностика проблемы
Понять, связано ли постоянное перенаправление на форму аутентификации с весом токена, возможно по следующим признакам:
- в логах
authnповторяются записи об успешном входе пользователя;
Пример команды проверки логов authn
kubectl -n shturval-backend logs deployments/authn --all-pods --all-containers
Пример записей в логах об успешном входе
{"log_level":"INFO","time":"2026-05-07 12:02:03.261","message":"login","result":"success","from":"<ip-адрес>","request_id":"<request_id>","username":"<имя_пользователя>","token_id":"<token_id>"}
{"log_level":"INFO","time":"2026-05-07 12:02:04.284","message":"login","result":"success","from":"<ip-адрес>","request_id":"<request_id>","username":"<имя_пользователя>","token_id":"<token_id>"}
{"log_level":"INFO","time":"2026-05-07 12:02:05.309","message":"login","result":"success","from":"<ip-адрес>","request_id":"<request_id>","username":"<имя_пользователя>","token_id":"<token_id>"}
Повтор таких записей примерно каждую секунду характерен при зацикливании на форме аутентификации.
- в логах
shturval-ingress-controllerесть сообщения о превышении допустимого размера HTTP-заголовка;
Пример команды проверки логов shturval-ingress-controller
kubectl -n ingress logs deployments/shturval-ingress-controller-controller --all-pods --all-containers
Пример записи в логах shturval-ingress-controller
[pod/shturval-ingress-controller-controller-866f94-q7z/controller] 2026/05/14 12:47:09 [info] 18663#18663: *client sent too large header field while processing HTTP/2 connection, client: <client>, server: <server>
- токен пользователя значительно больше установленного ограничения на 16 КБ;
- пользователь состоит в большом количестве LDAP-групп (более 100).
Решение
Если после диагностики выявлено, что вход в графический интерфейс недоступен из-за веса токена, вы можете восстановить доступ, увеличив допустимый размер HTTP-заголовков в shturval-ingress-controller. Для этого:
- Подготовьте ShturvalServicePatch для применения к спецификации (ssc) Модуля управления внешними подключениями (
shturval-ingress-controller), задав вlarge-client-header-buffersтребуемый размер HTTP-заголовка.
Пример ShturvalServicePatch
apiVersion: ops.shturval.tech/v1beta2
kind: ShturvalServicePatch
metadata:
name: shturval-ingress-controller-large-headers
spec:
shturvalServiceConfigName: shturval-ingress-controller
customvalues:
controller:
config:
large-client-header-buffers: "<ваше значение параметра>"
| Параметр | Описание | Пример |
|---|---|---|
metadata.name |
Имя создаваемого PatchSSC | shturval-ingress-controller-large-headers |
large-client-header-buffers |
Количество и размер буферов для HTTP-заголовков. По умолчанию значение 2 16k, которое устанавливает ограничение на два буфера по 16 КБ |
2 128k |
- В кластере управления примените подготовленный ShturvalServicePatch.
Пример команды применения ShturvalServicePatch
kubectl apply -f <ВВЕДИТЕ-ИМЯ-ФАЙЛА-С-МАНИФЕСТОМ-ShturvalServicePatch>.yaml
При отсутствии прав доступа к кластеру управления обратитесь к администратору платформы.
-
Дождитесь применения конфигурации
shturval-ingress-controller. -
Выполните вход в графический интерфейс платформы.
После применения настройки Ingress Controller сможет принимать запросы с более крупными HTTP-заголовками.