Re: [Sysadmins] Ввод логина-пароля для доступа к сайту неизвестных пользователю

ALT Linux sysadmins discussion
 help / color / mirror / Atom feed

From: "Nikolay A. Fetisov" <naf@naf.net.ru>
To: Dank Bagryantsev <4alt@mail.ru>,
	ALT Linux sysadmins' discussion <sysadmins@lists.altlinux.org>
Subject: Re: [Sysadmins] Ввод логина-пароля для доступа к сайту неизвестных пользователю
Date: Thu, 28 Oct 2010 01:54:58 +0400
Message-ID: <1288216498.32412.60.camel@v3405.naf.net.ru> (raw)
In-Reply-To: <303818767.20101027194911@lugaport.net>

В Срд, 27/10/2010 в 19:49 +0300, Dank Bagryantsev пишет:
> ...
> Ситуация осложняется тем, что у меня нет физического доступа к
> ноутбукам пользователей и они находятся в разных странах....

Итого, переформулируя/уточняя постановку задачи:
есть организация X, использующая N платных веб-сервисов.
С этими сервисами работают M сотрудников, которым, соответственно,
передаются логины/пароли. Пароли к сервисам выдаются на организацию,
одну и ту же учётную запись используют одновременно несколько
сотрудников. Причём сотрудники работают удалённо и контролировать
их невозможно. 
Поступающие вместе с счетами на оплату данные по числу входов,
запросов, и т.п., даже с указаниями точного времени и IP пользователя,
не позволяют понять, кто именно из сотрудников и что именно использовал.
Как следствие, при подписывании счетов у руководства возникают смутные
подозрения и большое желание ввести учёт и контроль. Так?

> ...
> >> Пока у меня мысли, чтобы установить какую-то промежуточную вещь между
> >> пользователями и сайтами. ....

... с помощью которой такой учёт и можно было бы проводить. Т.е., VPN от
пользователя до контролируемой машины, и уже с неё / через неё -
обращение к сайтам.

В зависимости от того, что это за сайты, как с ними работают
пользователи и т.п. - это действительно может быть или терминал-сервер,
или прокси-сервер. Или и то, и другое - своё для разных сайтов.

Терминал-сервер будет универсальнее в организации доступа к сайтам - 
но потребует больше трафика и может вызвать проблемы, например, при
необходимости печати или передачи файлов.
Прокси-сервер потребует разбора систем авторизации для каждого из
сайтов, написания фильтров под них (и изменения этих фильтров при
изменениях на сайтах), и дополнительные проблемы в случае использования
сайтами SSL.

> ....
> Идея с nginx заманчивая. Случайно нет примера реализации?

Готовых рецептов по изменению содержания _запросов_, увы, не скажу.
По-идее, можно смотреть в сторону встроенного Perl, в обработчике
делать замену (подмену) паролей в запросе, далее передачу запроса на
веб-сервер, и возврат полученного ответа клиенту.

>  ... Но да, если сайт доступен только по HTTPS, то этот способ скорее
> всего не подойдет.

По размышлению - а почему нет? По-моему, в proxy_pass можно использовать
запросы через https:// . А для nginx сделать свой самоподписанный
сертификат. Да, это чистый вариант man-in-the-middle, и браузер клиента
таким сертификатом будет сильно недоволен, но в данном случае вполне
достаточно проинструктировать пользователей принять эту подделку.

-- 
С уважением,
Николай Фетисов

next prev parent reply	other threads:[~2010-10-27 21:54 UTC|newest]

Thread overview: 49+ messages / expand[flat|nested]  mbox.gz  Atom feed  top
2010-11-01 19:42 ` [Sysadmins] Прощай, немытая рассылка! Mykola S. Grechukh
2010-11-01 19:47 ` Anatol B. Bazyukin
2010-11-02  6:17   ` Mikhail A. Pokidko
2010-11-02  6:20   ` Денис Назаров
2010-10-26 16:19     ` [Sysadmins] Ввод логина-пароля для доступа к сайту неизвестных пользователю Dank Bagryantsev
2010-10-27  6:20       ` Александр Ежов
2010-10-27 16:44         ` Dank Bagryantsev
2010-10-27 11:41       ` Michael Shigorin
2010-10-27 16:46         ` Dank Bagryantsev
2010-10-27 12:45       ` Roman Lesnichenko
2010-10-27 16:46         ` Dank Bagryantsev
2010-10-27 19:48           ` Roman Lesnichenko
2010-10-27 19:57           ` Roman Lesnichenko
2010-10-29 13:47             ` Mykola S. Grechukh
2010-10-29 13:51               ` melcomtec
2010-10-28 22:15           ` admin931
2010-10-27 20:16         ` melcomtec
2010-10-27 20:21           ` Roman Lesnichenko
2010-10-27 20:39             ` melcomtec
2010-10-27 20:44               ` Roman Lesnichenko
2010-10-27 21:05                 ` melcomtec
2010-10-27 21:12                   ` [Sysadmins] Adm Michael Shigorin
2010-10-27 21:10             ` Michael Shigorin
2010-10-27 20:34           ` [Sysadmins] Ввод логина-пароля для доступа к сайту неизвестных пользователю Roman Lesnichenko
2010-10-27 20:49             ` melcomtec
2010-10-27 21:42               ` Roman Lesnichenko
2010-10-27 21:48                 ` [Sysadmins] Administrivia Michael Shigorin
2010-10-27 21:52                   ` Roman Lesnichenko
2010-11-01 15:45             ` [Sysadmins] Ввод логина-пароля для доступа к сайту неизвестных пользователю Михаил
2010-11-01 17:40               ` Roman Lesnichenko
2010-11-01 17:44                 ` Andrii Dobrovol`s`kii
2010-11-01 18:13                     ` Михаил
2010-11-02 11:34                     ` [Sysadmins] ну что же мы так :((( Michael Shigorin
2010-11-02 17:27                       ` Denis Nazarov
2010-11-02 11:44               ` [Sysadmins] Administrivia Michael Shigorin
2010-10-27 15:17       ` [Sysadmins] Ввод логина-пароля для доступа к сайту неизвестных пользователю Nikolay A. Fetisov
2010-10-27 16:49         ` Dank Bagryantsev
2010-10-27 17:21           ` Michael Shigorin
2010-10-28  2:38             ` Dank Bagryantsev
2010-10-27 21:54           ` Nikolay A. Fetisov [this message]
2010-10-28  2:40             ` Dank Bagryantsev
2010-10-28  5:38               ` Nikolay A. Fetisov
2010-10-28  7:32               ` Michael Shigorin
2010-10-28  8:50               ` Yuri Bushmelev
2010-10-28  9:12                 ` Gennadii Redko
2010-10-28 10:13                   ` Nikolay A. Fetisov
2010-10-28 10:25                 ` Michael Shigorin
2010-10-28 18:28       ` Dank Bagryantsev
2010-11-02 17:22       ` podenok

Reply instructions:

You may reply publicly to this message via plain-text email
using any one of the following methods:

* Save the following mbox file, import it into your mail client,
  and reply-to-all from there: mbox

  Avoid top-posting and favor interleaved quoting:
  https://en.wikipedia.org/wiki/Posting_style#Interleaved_style

* Reply using the --to, --cc, and --in-reply-to
  switches of git-send-email(1):

  git send-email \
    --in-reply-to=1288216498.32412.60.camel@v3405.naf.net.ru \
    --to=naf@naf.net.ru \
    --cc=4alt@mail.ru \
    --cc=sysadmins@lists.altlinux.org \
    /path/to/YOUR_REPLY

  https://kernel.org/pub/software/scm/git/docs/git-send-email.html

* If your mail client supports setting the In-Reply-To header
  via mailto: links, try the mailto: link

ALT Linux sysadmins discussion

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
		sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
	public-inbox-index sysadmins

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.sysadmins


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git