From: "Nikolay A. Fetisov" <naf@naf.net.ru> To: Dank Bagryantsev <4alt@mail.ru>, ALT Linux sysadmins' discussion <sysadmins@lists.altlinux.org> Subject: Re: [Sysadmins] Ввод логина-пароля для доступа к сайту неизвестных пользователю Date: Thu, 28 Oct 2010 01:54:58 +0400 Message-ID: <1288216498.32412.60.camel@v3405.naf.net.ru> (raw) In-Reply-To: <303818767.20101027194911@lugaport.net> В Срд, 27/10/2010 в 19:49 +0300, Dank Bagryantsev пишет: > ... > Ситуация осложняется тем, что у меня нет физического доступа к > ноутбукам пользователей и они находятся в разных странах.... Итого, переформулируя/уточняя постановку задачи: есть организация X, использующая N платных веб-сервисов. С этими сервисами работают M сотрудников, которым, соответственно, передаются логины/пароли. Пароли к сервисам выдаются на организацию, одну и ту же учётную запись используют одновременно несколько сотрудников. Причём сотрудники работают удалённо и контролировать их невозможно. Поступающие вместе с счетами на оплату данные по числу входов, запросов, и т.п., даже с указаниями точного времени и IP пользователя, не позволяют понять, кто именно из сотрудников и что именно использовал. Как следствие, при подписывании счетов у руководства возникают смутные подозрения и большое желание ввести учёт и контроль. Так? > ... > >> Пока у меня мысли, чтобы установить какую-то промежуточную вещь между > >> пользователями и сайтами. .... ... с помощью которой такой учёт и можно было бы проводить. Т.е., VPN от пользователя до контролируемой машины, и уже с неё / через неё - обращение к сайтам. В зависимости от того, что это за сайты, как с ними работают пользователи и т.п. - это действительно может быть или терминал-сервер, или прокси-сервер. Или и то, и другое - своё для разных сайтов. Терминал-сервер будет универсальнее в организации доступа к сайтам - но потребует больше трафика и может вызвать проблемы, например, при необходимости печати или передачи файлов. Прокси-сервер потребует разбора систем авторизации для каждого из сайтов, написания фильтров под них (и изменения этих фильтров при изменениях на сайтах), и дополнительные проблемы в случае использования сайтами SSL. > .... > Идея с nginx заманчивая. Случайно нет примера реализации? Готовых рецептов по изменению содержания _запросов_, увы, не скажу. По-идее, можно смотреть в сторону встроенного Perl, в обработчике делать замену (подмену) паролей в запросе, далее передачу запроса на веб-сервер, и возврат полученного ответа клиенту. > ... Но да, если сайт доступен только по HTTPS, то этот способ скорее > всего не подойдет. По размышлению - а почему нет? По-моему, в proxy_pass можно использовать запросы через https:// . А для nginx сделать свой самоподписанный сертификат. Да, это чистый вариант man-in-the-middle, и браузер клиента таким сертификатом будет сильно недоволен, но в данном случае вполне достаточно проинструктировать пользователей принять эту подделку. -- С уважением, Николай Фетисов
next prev parent reply other threads:[~2010-10-27 21:54 UTC|newest] Thread overview: 49+ messages / expand[flat|nested] mbox.gz Atom feed top 2010-11-01 19:42 ` [Sysadmins] Прощай, немытая рассылка! Mykola S. Grechukh 2010-11-01 19:47 ` Anatol B. Bazyukin 2010-11-02 6:17 ` Mikhail A. Pokidko 2010-11-02 6:20 ` Денис Назаров 2010-10-26 16:19 ` [Sysadmins] Ввод логина-пароля для доступа к сайту неизвестных пользователю Dank Bagryantsev 2010-10-27 6:20 ` Александр Ежов 2010-10-27 16:44 ` Dank Bagryantsev 2010-10-27 11:41 ` Michael Shigorin 2010-10-27 16:46 ` Dank Bagryantsev 2010-10-27 12:45 ` Roman Lesnichenko 2010-10-27 16:46 ` Dank Bagryantsev 2010-10-27 19:48 ` Roman Lesnichenko 2010-10-27 19:57 ` Roman Lesnichenko 2010-10-29 13:47 ` Mykola S. Grechukh 2010-10-29 13:51 ` melcomtec 2010-10-28 22:15 ` admin931 2010-10-27 20:16 ` melcomtec 2010-10-27 20:21 ` Roman Lesnichenko 2010-10-27 20:39 ` melcomtec 2010-10-27 20:44 ` Roman Lesnichenko 2010-10-27 21:05 ` melcomtec 2010-10-27 21:12 ` [Sysadmins] Adm Michael Shigorin 2010-10-27 21:10 ` Michael Shigorin 2010-10-27 20:34 ` [Sysadmins] Ввод логина-пароля для доступа к сайту неизвестных пользователю Roman Lesnichenko 2010-10-27 20:49 ` melcomtec 2010-10-27 21:42 ` Roman Lesnichenko 2010-10-27 21:48 ` [Sysadmins] Administrivia Michael Shigorin 2010-10-27 21:52 ` Roman Lesnichenko 2010-11-01 15:45 ` [Sysadmins] Ввод логина-пароля для доступа к сайту неизвестных пользователю Михаил 2010-11-01 17:40 ` Roman Lesnichenko 2010-11-01 17:44 ` Andrii Dobrovol`s`kii 2010-11-01 18:13 ` Михаил 2010-11-02 11:34 ` [Sysadmins] ну что же мы так :((( Michael Shigorin 2010-11-02 17:27 ` Denis Nazarov 2010-11-02 11:44 ` [Sysadmins] Administrivia Michael Shigorin 2010-10-27 15:17 ` [Sysadmins] Ввод логина-пароля для доступа к сайту неизвестных пользователю Nikolay A. Fetisov 2010-10-27 16:49 ` Dank Bagryantsev 2010-10-27 17:21 ` Michael Shigorin 2010-10-28 2:38 ` Dank Bagryantsev 2010-10-27 21:54 ` Nikolay A. Fetisov [this message] 2010-10-28 2:40 ` Dank Bagryantsev 2010-10-28 5:38 ` Nikolay A. Fetisov 2010-10-28 7:32 ` Michael Shigorin 2010-10-28 8:50 ` Yuri Bushmelev 2010-10-28 9:12 ` Gennadii Redko 2010-10-28 10:13 ` Nikolay A. Fetisov 2010-10-28 10:25 ` Michael Shigorin 2010-10-28 18:28 ` Dank Bagryantsev 2010-11-02 17:22 ` podenok
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to=1288216498.32412.60.camel@v3405.naf.net.ru \ --to=naf@naf.net.ru \ --cc=4alt@mail.ru \ --cc=sysadmins@lists.altlinux.org \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux sysadmins discussion This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \ sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com public-inbox-index sysadmins Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sysadmins AGPL code for this site: git clone https://public-inbox.org/public-inbox.git