[Sysadmins] Ввод логина-пароля для доступа к сайту неизвестных пользователю

Чт Окт 28 02:40:15 UTC 2010

Здравствуйте, Nikolay.

Вы писали 28 октября 2010 г., 0:54:58:

>> Ситуация осложняется тем, что у меня нет физического доступа к
>> ноутбукам пользователей и они находятся в разных странах....

NAF> Итого, переформулируя/уточняя постановку задачи:
NAF> есть организация X, использующая N платных веб-сервисов.
NAF> С этими сервисами работают M сотрудников, которым, соответственно,
NAF> передаются логины/пароли. Пароли к сервисам выдаются на организацию,
NAF> одну и ту же учётную запись используют одновременно несколько
NAF> сотрудников. Причём сотрудники работают удалённо и контролировать
NAF> их невозможно. 
NAF> Поступающие вместе с счетами на оплату данные по числу входов,
NAF> запросов, и т.п., даже с указаниями точного времени и IP пользователя,
NAF> не позволяют понять, кто именно из сотрудников и что именно использовал.
NAF> Как следствие, при подписывании счетов у руководства возникают смутные
NAF> подозрения и большое желание ввести учёт и контроль. Так?

Совершенно верно.

>> ...
>> >> Пока у меня мысли, чтобы установить какую-то промежуточную вещь между
>> >> пользователями и сайтами. ....

NAF> ... с помощью которой такой учёт и можно было бы проводить. Т.е., VPN от
NAF> пользователя до контролируемой машины, и уже с неё / через неё -
NAF> обращение к сайтам.

NAF> В зависимости от того, что это за сайты, как с ними работают
NAF> пользователи и т.п. - это действительно может быть или терминал-сервер,
NAF> или прокси-сервер. Или и то, и другое - своё для разных сайтов.

NAF> Терминал-сервер будет универсальнее в организации доступа к сайтам - 
NAF> но потребует больше трафика и может вызвать проблемы, например, при
NAF> необходимости печати или передачи файлов.

Трафик, в принципе, не проблема. Передачу файлов, скорее всего,
придется запретить. Печать - тут надо думать. Пока передо мной не
ставят задачу сохранять информацию с сайтов. Возможно будет достаточно
и информации на экране.

NAF> Прокси-сервер потребует разбора систем авторизации для каждого из
NAF> сайтов, написания фильтров под них (и изменения этих фильтров при
NAF> изменениях на сайтах), и дополнительные проблемы в случае использования
NAF> сайтами SSL.

Да. Но пока никаких толковых наработок я не нашел в этом направлении.

>> ....
>> Идея с nginx заманчивая. Случайно нет примера реализации?

NAF> Готовых рецептов по изменению содержания _запросов_, увы, не скажу.
NAF> По-идее, можно смотреть в сторону встроенного Perl, в обработчике
NAF> делать замену (подмену) паролей в запросе, далее передачу запроса на
NAF> веб-сервер, и возврат полученного ответа клиенту.

ОК. Попробую "покопать" в этом направлении. Пока нашел только решение
для nginx для basic-аутентификации.

>>  ... Но да, если сайт доступен только по HTTPS, то этот способ скорее
>> всего не подойдет.

NAF> По размышлению - а почему нет? По-моему, в proxy_pass можно использовать
NAF> запросы через https:// . А для nginx сделать свой самоподписанный
NAF> сертификат. Да, это чистый вариант man-in-the-middle, и браузер клиента
NAF> таким сертификатом будет сильно недоволен, но в данном случае вполне
NAF> достаточно проинструктировать пользователей принять эту подделку.

Я не уверен, но если доступ к nginx будет все-равно через VPN, то
можно будет попробовать вариант перебрасывать с http nginx'a на https
сайтов (где https обязателен), чтобы избежать самоподписанных сертификатов.

Кстати, а вариант с промежуточным http-сервером и открытием сайтов во
фреймах и внесение-отсылка логинов-паролей через JavaScript, в моем
случае будет работоспособным?

-- 
С уважением,
 Dank