From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: <4alt@mail.ru> X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org X-Spam-Level: * X-Spam-Status: No, score=1.8 required=5.0 tests=BAYES_50,DNS_FROM_OPENWHOIS, RDNS_NONE,SPF_SOFTFAIL autolearn=no version=3.2.5 Date: Thu, 28 Oct 2010 05:40:15 +0300 From: Dank Bagryantsev <4alt@mail.ru> X-Priority: 3 (Normal) Message-ID: <1041415051.20101028054015@lugaport.net> To: ALT Linux sysadmins' discussion In-Reply-To: <1288216498.32412.60.camel@v3405.naf.net.ru> References: <332809524.20101026191942@lugaport.net> <1288192640.16208.194.camel@v3405.naf.net.ru> <303818767.20101027194911@lugaport.net> <1288216498.32412.60.camel@v3405.naf.net.ru> MIME-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Transfer-Encoding: 8bit Subject: Re: [Sysadmins] =?koi8-r?b?99fPxCDMz8fJzsEt0MHSz8zRIMTM0SDEz9PU1dDB?= =?koi8-r?b?IMsg08HK1NUgzsXJ2tfF09TO2cgg0M/M2NrP18HUxczA?= X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: Dank Bagryantsev <4alt@mail.ru>, ALT Linux sysadmins' discussion List-Id: ALT Linux sysadmins' discussion List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Thu, 28 Oct 2010 02:46:19 -0000 Archived-At: List-Archive: Здравствуйте, Nikolay. Вы писали 28 октября 2010 г., 0:54:58: >> Ситуация осложняется тем, что у меня нет физического доступа к >> ноутбукам пользователей и они находятся в разных странах.... NAF> Итого, переформулируя/уточняя постановку задачи: NAF> есть организация X, использующая N платных веб-сервисов. NAF> С этими сервисами работают M сотрудников, которым, соответственно, NAF> передаются логины/пароли. Пароли к сервисам выдаются на организацию, NAF> одну и ту же учётную запись используют одновременно несколько NAF> сотрудников. Причём сотрудники работают удалённо и контролировать NAF> их невозможно. NAF> Поступающие вместе с счетами на оплату данные по числу входов, NAF> запросов, и т.п., даже с указаниями точного времени и IP пользователя, NAF> не позволяют понять, кто именно из сотрудников и что именно использовал. NAF> Как следствие, при подписывании счетов у руководства возникают смутные NAF> подозрения и большое желание ввести учёт и контроль. Так? Совершенно верно. >> ... >> >> Пока у меня мысли, чтобы установить какую-то промежуточную вещь между >> >> пользователями и сайтами. .... NAF> ... с помощью которой такой учёт и можно было бы проводить. Т.е., VPN от NAF> пользователя до контролируемой машины, и уже с неё / через неё - NAF> обращение к сайтам. NAF> В зависимости от того, что это за сайты, как с ними работают NAF> пользователи и т.п. - это действительно может быть или терминал-сервер, NAF> или прокси-сервер. Или и то, и другое - своё для разных сайтов. NAF> Терминал-сервер будет универсальнее в организации доступа к сайтам - NAF> но потребует больше трафика и может вызвать проблемы, например, при NAF> необходимости печати или передачи файлов. Трафик, в принципе, не проблема. Передачу файлов, скорее всего, придется запретить. Печать - тут надо думать. Пока передо мной не ставят задачу сохранять информацию с сайтов. Возможно будет достаточно и информации на экране. NAF> Прокси-сервер потребует разбора систем авторизации для каждого из NAF> сайтов, написания фильтров под них (и изменения этих фильтров при NAF> изменениях на сайтах), и дополнительные проблемы в случае использования NAF> сайтами SSL. Да. Но пока никаких толковых наработок я не нашел в этом направлении. >> .... >> Идея с nginx заманчивая. Случайно нет примера реализации? NAF> Готовых рецептов по изменению содержания _запросов_, увы, не скажу. NAF> По-идее, можно смотреть в сторону встроенного Perl, в обработчике NAF> делать замену (подмену) паролей в запросе, далее передачу запроса на NAF> веб-сервер, и возврат полученного ответа клиенту. ОК. Попробую "покопать" в этом направлении. Пока нашел только решение для nginx для basic-аутентификации. >> ... Но да, если сайт доступен только по HTTPS, то этот способ скорее >> всего не подойдет. NAF> По размышлению - а почему нет? По-моему, в proxy_pass можно использовать NAF> запросы через https:// . А для nginx сделать свой самоподписанный NAF> сертификат. Да, это чистый вариант man-in-the-middle, и браузер клиента NAF> таким сертификатом будет сильно недоволен, но в данном случае вполне NAF> достаточно проинструктировать пользователей принять эту подделку. Я не уверен, но если доступ к nginx будет все-равно через VPN, то можно будет попробовать вариант перебрасывать с http nginx'a на https сайтов (где https обязателен), чтобы избежать самоподписанных сертификатов. Кстати, а вариант с промежуточным http-сервером и открытием сайтов во фреймах и внесение-отсылка логинов-паролей через JavaScript, в моем случае будет работоспособным? -- С уважением, Dank