From: Dank Bagryantsev <4alt@mail.ru>
To: ALT Linux sysadmins' discussion <sysadmins@lists.altlinux.org>
Subject: Re: [Sysadmins] Ввод логина-пароля для доступа к сайту неизвестных пользователю
Date: Thu, 28 Oct 2010 05:40:15 +0300
Message-ID: <1041415051.20101028054015@lugaport.net> (raw)
In-Reply-To: <1288216498.32412.60.camel@v3405.naf.net.ru>
Здравствуйте, Nikolay.
Вы писали 28 октября 2010 г., 0:54:58:
>> Ситуация осложняется тем, что у меня нет физического доступа к
>> ноутбукам пользователей и они находятся в разных странах....
NAF> Итого, переформулируя/уточняя постановку задачи:
NAF> есть организация X, использующая N платных веб-сервисов.
NAF> С этими сервисами работают M сотрудников, которым, соответственно,
NAF> передаются логины/пароли. Пароли к сервисам выдаются на организацию,
NAF> одну и ту же учётную запись используют одновременно несколько
NAF> сотрудников. Причём сотрудники работают удалённо и контролировать
NAF> их невозможно.
NAF> Поступающие вместе с счетами на оплату данные по числу входов,
NAF> запросов, и т.п., даже с указаниями точного времени и IP пользователя,
NAF> не позволяют понять, кто именно из сотрудников и что именно использовал.
NAF> Как следствие, при подписывании счетов у руководства возникают смутные
NAF> подозрения и большое желание ввести учёт и контроль. Так?
Совершенно верно.
>> ...
>> >> Пока у меня мысли, чтобы установить какую-то промежуточную вещь между
>> >> пользователями и сайтами. ....
NAF> ... с помощью которой такой учёт и можно было бы проводить. Т.е., VPN от
NAF> пользователя до контролируемой машины, и уже с неё / через неё -
NAF> обращение к сайтам.
NAF> В зависимости от того, что это за сайты, как с ними работают
NAF> пользователи и т.п. - это действительно может быть или терминал-сервер,
NAF> или прокси-сервер. Или и то, и другое - своё для разных сайтов.
NAF> Терминал-сервер будет универсальнее в организации доступа к сайтам -
NAF> но потребует больше трафика и может вызвать проблемы, например, при
NAF> необходимости печати или передачи файлов.
Трафик, в принципе, не проблема. Передачу файлов, скорее всего,
придется запретить. Печать - тут надо думать. Пока передо мной не
ставят задачу сохранять информацию с сайтов. Возможно будет достаточно
и информации на экране.
NAF> Прокси-сервер потребует разбора систем авторизации для каждого из
NAF> сайтов, написания фильтров под них (и изменения этих фильтров при
NAF> изменениях на сайтах), и дополнительные проблемы в случае использования
NAF> сайтами SSL.
Да. Но пока никаких толковых наработок я не нашел в этом направлении.
>> ....
>> Идея с nginx заманчивая. Случайно нет примера реализации?
NAF> Готовых рецептов по изменению содержания _запросов_, увы, не скажу.
NAF> По-идее, можно смотреть в сторону встроенного Perl, в обработчике
NAF> делать замену (подмену) паролей в запросе, далее передачу запроса на
NAF> веб-сервер, и возврат полученного ответа клиенту.
ОК. Попробую "покопать" в этом направлении. Пока нашел только решение
для nginx для basic-аутентификации.
>> ... Но да, если сайт доступен только по HTTPS, то этот способ скорее
>> всего не подойдет.
NAF> По размышлению - а почему нет? По-моему, в proxy_pass можно использовать
NAF> запросы через https:// . А для nginx сделать свой самоподписанный
NAF> сертификат. Да, это чистый вариант man-in-the-middle, и браузер клиента
NAF> таким сертификатом будет сильно недоволен, но в данном случае вполне
NAF> достаточно проинструктировать пользователей принять эту подделку.
Я не уверен, но если доступ к nginx будет все-равно через VPN, то
можно будет попробовать вариант перебрасывать с http nginx'a на https
сайтов (где https обязателен), чтобы избежать самоподписанных сертификатов.
Кстати, а вариант с промежуточным http-сервером и открытием сайтов во
фреймах и внесение-отсылка логинов-паролей через JavaScript, в моем
случае будет работоспособным?
--
С уважением,
Dank
next prev parent reply other threads:[~2010-10-28 2:40 UTC|newest]
Thread overview: 49+ messages / expand[flat|nested] mbox.gz Atom feed top
2010-11-01 19:42 ` [Sysadmins] Прощай, немытая рассылка! Mykola S. Grechukh
2010-11-01 19:47 ` Anatol B. Bazyukin
2010-11-02 6:17 ` Mikhail A. Pokidko
2010-11-02 6:20 ` Денис Назаров
2010-10-26 16:19 ` [Sysadmins] Ввод логина-пароля для доступа к сайту неизвестных пользователю Dank Bagryantsev
2010-10-27 6:20 ` Александр Ежов
2010-10-27 16:44 ` Dank Bagryantsev
2010-10-27 11:41 ` Michael Shigorin
2010-10-27 16:46 ` Dank Bagryantsev
2010-10-27 12:45 ` Roman Lesnichenko
2010-10-27 16:46 ` Dank Bagryantsev
2010-10-27 19:48 ` Roman Lesnichenko
2010-10-27 19:57 ` Roman Lesnichenko
2010-10-29 13:47 ` Mykola S. Grechukh
2010-10-29 13:51 ` melcomtec
2010-10-28 22:15 ` admin931
2010-10-27 20:16 ` melcomtec
2010-10-27 20:21 ` Roman Lesnichenko
2010-10-27 20:39 ` melcomtec
2010-10-27 20:44 ` Roman Lesnichenko
2010-10-27 21:05 ` melcomtec
2010-10-27 21:12 ` [Sysadmins] Adm Michael Shigorin
2010-10-27 21:10 ` Michael Shigorin
2010-10-27 20:34 ` [Sysadmins] Ввод логина-пароля для доступа к сайту неизвестных пользователю Roman Lesnichenko
2010-10-27 20:49 ` melcomtec
2010-10-27 21:42 ` Roman Lesnichenko
2010-10-27 21:48 ` [Sysadmins] Administrivia Michael Shigorin
2010-10-27 21:52 ` Roman Lesnichenko
2010-11-01 15:45 ` [Sysadmins] Ввод логина-пароля для доступа к сайту неизвестных пользователю Михаил
2010-11-01 17:40 ` Roman Lesnichenko
2010-11-01 17:44 ` Andrii Dobrovol`s`kii
2010-11-01 18:13 ` Михаил
2010-11-02 11:34 ` [Sysadmins] ну что же мы так :((( Michael Shigorin
2010-11-02 17:27 ` Denis Nazarov
2010-11-02 11:44 ` [Sysadmins] Administrivia Michael Shigorin
2010-10-27 15:17 ` [Sysadmins] Ввод логина-пароля для доступа к сайту неизвестных пользователю Nikolay A. Fetisov
2010-10-27 16:49 ` Dank Bagryantsev
2010-10-27 17:21 ` Michael Shigorin
2010-10-28 2:38 ` Dank Bagryantsev
2010-10-27 21:54 ` Nikolay A. Fetisov
2010-10-28 2:40 ` Dank Bagryantsev [this message]
2010-10-28 5:38 ` Nikolay A. Fetisov
2010-10-28 7:32 ` Michael Shigorin
2010-10-28 8:50 ` Yuri Bushmelev
2010-10-28 9:12 ` Gennadii Redko
2010-10-28 10:13 ` Nikolay A. Fetisov
2010-10-28 10:25 ` Michael Shigorin
2010-10-28 18:28 ` Dank Bagryantsev
2010-11-02 17:22 ` podenok
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=1041415051.20101028054015@lugaport.net \
--to=4alt@mail.ru \
--cc=sysadmins@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git