» »

Proxy za certifikate

Proxy za certifikate

tx-z ::

Imam spletno stran A, ki ne podpira certifikatov.

Imam stranko C, ki bi se rada v sistem A prijavila samo s certifikatom.

Ideja: Postavim sistem B, ki bo od stranke C zahteval certifikat, in če bo ustrezen, ga prijavi v sistem A.

Razmišljam da bi B bil nek server (nginx, apache), ki sprejme certifikat...V ozadju program, ki preveri ali je certifikat ustrezen in potem pošljem spletni strani A nekako (ne vem kako) podatek, da je uporabnik C avtoriziran in ga spustim naprej.

1. Ali je to nekakšna realna rešitev? Da bi preprečil, da se C poveže direkt na A, bi na A omejil da se lahko dostopa samo preko B. Torej C niti ne bo vedel da dostopa do A-ja preko B-ja...Kakšni predlogi, komentarji? Ali raje uporabim nginx, ali apache ali nekaj tretjega? A se to kako drugače rešuje?

2. Kakšen bi bil najboljši način za prvo prijavo (recimo če kdo ve kako je to na FRI-ju..prijaviš se z nekim userjem in passwordom in tam potrdiš da boš uporabljal ta certifikat in sistem si zapomni, da se boš lahko samo s tem certifikatom prijavljal) ...Kako se to dejansko izvede, kakšne smernice?

Hvala za odgovore!
tx-z

blackbfm ::

1 varjanta: b lahko poslje nek session hash na streznik a, potem pa posljes uporabnika na A preko linka, istocasno das query string od tega session hasha zraven

2 varjanta: reverse proxy, se pravi da uporabnik dostopa do A preko B

SeMiNeSanja ::

Še vedno boš moral nekje naštrikati nekaj s certifikatom....zakaj nebi potem direktno poštimal server A, da bo delal s certifikati? Verjetno bo lažje in manj komplikacij kot pri kakršnemkoli drugem improviziranju.

jkreuztzfeld ::

Najbrž najenostavnejša je v2 od @blackbfm. Apache mod rewrite & proxy na 'B'. Ni zelo zapleteno. Je pa malo odvisno kakšna je aplikacija na 'A'.
--
Great minds run in great circles.

MrStein ::

1.) kot rečeno, se temu reče reverse proxy in dela točno to, kar rabiš.

Nič nisi napisal, kako deluje prijava v sistem A.

A bi rabil pretvorbo "klinet certifikat --> username+geslo" ?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

tx-z ::

Hvala za opombo,

zaenkrat deluje username+pass ja. Rabil bi pa pretvorbo klient cert->username. Geslo pa vseeno vpiše.
tx-z

MrStein ::

aaaa, to pa je nekaj čisto drugega.
Precej večji zalogaj.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

SeMiNeSanja ::

Na SSH sem se ravno pred kratkim igral s to pretvorbo certifikata -> username in zadeva ni tak problem.
Za https pa ti žal ne vem svetovati nič konkretnega, ker se s tem nisem (še) ukvarjal.

Bistveno je, da certifikat že vsebuje email uporabnika, njegovo ime in priimek. Če je email enak username-u, zgolj uporabiš email property certifikata, ko enkrat ugotoviš, da imaš opravka z veljavnim certifikatom.
Pri SSH-ju sem imel poseben 'PKI Services Manager', ki vključuje 'Identitiy Mapper', kjer lahko vzpostavljaš povezavo med latnostmi certifikata in uporabniškim imenom.

Ne vem, če ti to kaj pomaga pri https-u, vendar verjetno to tam v princiou tudi ni kaj dosti drugače izvedeno.

jkreuztzfeld ::

Apache mod_ssl environment variables http://httpd.apache.org/docs/2.2/mod/mo...
--
Great minds run in great circles.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

NLB Klikin (strani: 1 2 3 4 )

Oddelek: Omrežja in internet
16144492 (8199) Machete
»

Dekriptiranje HTTPS povezave v Wiresharku

Oddelek: Omrežja in internet
195406 (4658) ragezor
»

Spreminjanje HTTP prometa v HTTPS/SSL

Oddelek: Omrežja in internet
51540 (1415) Vaseer
»

Zaščita web servisa

Oddelek: Programiranje
214223 (3470) SeMiNeSanja
»

Prijava z certifikatorm sigen-ca, custom

Oddelek: Izdelava spletišč
196475 (6111) jkreuztzfeld

Več podobnih tem