Lexa Software: Nginx-ru@sysoev.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: nginx-ru

Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Single Sign On with Nginx

To: nginx-ru@xxxxxxxxx
Subject: Re: Single Sign On with Nginx
From: Sergej Kandyla <sk.paix@xxxxxxxxx>
Date: Wed, 24 Feb 2010 10:19:07 +0200
Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma; h=domainkey-signature:received:received:message-id:date:from :user-agent:mime-version:to:subject:references:in-reply-to :content-type:content-transfer-encoding; bh=u7aLWgGDGIw7IgCE6u6uBO+ZH57ebpUgzyP4cgDFlPA=; b=sNWX4WCHGN0tju8WaHu+Ij/hsxgM2CCrtvvNtrFQBiAeORTLxrL0DhS1ENL01ysU11 VnEk4PmvlUotmO6IsxsV6AFU7RlyBpsQKc0jm6+g73ezGkRX/Ib2k7B2WGJK5K6AWh/B KnmrSG4SErXWqKbw6hWqDLevYhza54ZZroUy0=
Domainkey-signature: a=rsa-sha1; c=nofws; d=gmail.com; s=gamma; h=message-id:date:from:user-agent:mime-version:to:subject:references :in-reply-to:content-type:content-transfer-encoding; b=uJVfGa3IHzbx15BcH/A0cdYQBmclB4bE95Ic+gpXthfpGoWJqGjk00SrTuV8cGJEdV 096jZdqG2NlqniKN5y99y9QVklrZVAoGyzM6YgpiOGsvMzjI5XP2jjgEqDP9m51i6iD4 kQWAlxA7n3MxJ7UBdNWxa3v+FhiQK5bG6EIM8=
In-reply-to: <bc79dd601002231531peaea8c8q5c9dd2c37f0fdc03@xxxxxxxxxxxxxx>
References: <bc79dd601002231132g36946d68g5f6abc0e6aefe70f@xxxxxxxxxxxxxx> <f4079bd81002231349g76f776a8y4f44c44af072f51b@xxxxxxxxxxxxxx> <bc79dd601002231531peaea8c8q5c9dd2c37f0fdc03@xxxxxxxxxxxxxx>

Mikhail Fursov wrote:

Вижу по этой ссылке только то, как настроить Basic, но не SSO.
Basic же подразумевается только внутри приватной сети, для передачилогина и пароля внутренним серверам проксирующимся через фронт-сервер.Логин же и пароль получать на фронт-сервере нужно не при помощи basic,а, например, при помощи html формы.
Именно это позволяет mod_auth_form из Апача. (И все бы хорошо c этимmod_auth_form если бы в нем не было кучи багов или хотя бы на этибаги кто-нибудь реагировал).


есть еще некий  mod_auth_tkt для апача.
http://www.openfusion.com.au/labs/mod_auth_tkt/

но если брать в более глобальном плане, то вы хотите от nginx слишком много.

SSO подразумевает собой гораздо больше, и для того чтобы оно успешноработало, соотвествующий бекенд (динамика)должен понимать как логиниться на SSO сервер, и что делать дальше спользователями.Практически все бекенды со сложной логикой имеют разделение прав,пользователей и т.д. и вот в этих бекендах

и происходит аутентификация, и соотвественно бекенды должны понимать SSO.

Например, у вас есть Jira, для которой вы хотите SSO (У Atlassian вкачестве SSO солюшина предлагается crowd),сколько вы не бейтесь с идеями sso на фронтенде, атентификация топользователей происходит на бекенде...

Конечно если у вас на проксируемом сервере 100 сайтов васи пупкина, тов качестве SSO солюшина подойдет и BASIC аутентификация.

Ну и второй момент, что в сложных структурах, где нужен SSO, на одноймашине не может и не должно быть все централизированно.

Это сводит на нет всю идею SSO на фронтенде.

Вы вообще определитесь для чего вам нужен SSO.

Практика показывает, что в большинстве случаев всем хватаетцентрализированного LDAP, что работает красиво и прозрачно.


2010/2/24 SaveFrom.net <savefrom@xxxxxxxxx <mailto:savefrom@xxxxxxxxx>>

    http://sysoev.ru/nginx/docs/http/ngx_http_auth_basic_module.html
    =/

    23 февраля 2010 г. 22:32 пользователь Mikhail Fursov
    <mike.fursov@xxxxxxxxx <mailto:mike.fursov@xxxxxxxxx>> написал:

        Привет всем!

        Скажите пожалуйста, возможно ли при помощи модулей/расширений
        Nginx организовать единую аутентификацию для внутренней
        подсети по типу mod_auth_form который войдет в Apache 2.4 ?

        Изнутри это может работать примерно так:

        1) пользователь вводит пароль на странице фронт-енд сервера

        2) после этого серсер его пускает его на "внутренние" ресурсы
        добавляя при этом Basic auth header во все внутренние HTTP
        запросы.

        Заранее спасибо за ответы.



_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://nginx.org/mailman/listinfo/nginx-ru

Follow-Ups:
- Re: Single Sign On with Nginx
  - From: Mikhail Fursov

References:
- Single Sign On with Nginx
  - From: Mikhail Fursov
- Re: Single Sign On with Nginx
  - From: SaveFrom.net
- Re: Single Sign On with Nginx
  - From: Mikhail Fursov

Prev by Date: Re: failed (54: Connection reset by peer) - те перь php-fpm
Next by Date: Re: Single Sign On with Nginx
Previous by thread: Re: Single Sign On with Nginx
Next by thread: Re: Single Sign On with Nginx
Index(es):
- Date
- Thread