Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Single Sign On with Nginx
Mikhail Fursov wrote:
Вижу по этой ссылке только то, как настроить Basic, но не SSO.
Basic же подразумевается только внутри приватной сети, для передачи
логина и пароля внутренним серверам проксирующимся через фронт-сервер.
Логин же и пароль получать на фронт-сервере нужно не при помощи basic,
а, например, при помощи html формы.
Именно это позволяет mod_auth_form из Апача. (И все бы хорошо c этим
mod_auth_form если бы в нем не было кучи багов или хотя бы на эти
баги кто-нибудь реагировал).
есть еще некий mod_auth_tkt для апача.
http://www.openfusion.com.au/labs/mod_auth_tkt/
но если брать в более глобальном плане, то вы хотите от nginx слишком много.
SSO подразумевает собой гораздо больше, и для того чтобы оно успешно
работало, соотвествующий бекенд (динамика)
должен понимать как логиниться на SSO сервер, и что делать дальше с
пользователями.
Практически все бекенды со сложной логикой имеют разделение прав,
пользователей и т.д. и вот в этих бекендах
и происходит аутентификация, и соотвественно бекенды должны понимать SSO.
Например, у вас есть Jira, для которой вы хотите SSO (У Atlassian в
качестве SSO солюшина предлагается crowd),
сколько вы не бейтесь с идеями sso на фронтенде, атентификация то
пользователей происходит на бекенде...
Конечно если у вас на проксируемом сервере 100 сайтов васи пупкина, то
в качестве SSO солюшина подойдет и BASIC аутентификация.
Ну и второй момент, что в сложных структурах, где нужен SSO, на одной
машине не может и не должно быть все централизированно.
Это сводит на нет всю идею SSO на фронтенде.
Вы вообще определитесь для чего вам нужен SSO.
Практика показывает, что в большинстве случаев всем хватает
централизированного LDAP, что работает красиво и прозрачно.
2010/2/24 SaveFrom.net <savefrom@xxxxxxxxx <mailto:savefrom@xxxxxxxxx>>
http://sysoev.ru/nginx/docs/http/ngx_http_auth_basic_module.html
=/
23 февраля 2010 г. 22:32 пользователь Mikhail Fursov
<mike.fursov@xxxxxxxxx <mailto:mike.fursov@xxxxxxxxx>> написал:
Привет всем!
Скажите пожалуйста, возможно ли при помощи модулей/расширений
Nginx организовать единую аутентификацию для внутренней
подсети по типу mod_auth_form который войдет в Apache 2.4 ?
Изнутри это может работать примерно так:
1) пользователь вводит пароль на странице фронт-енд сервера
2) после этого серсер его пускает его на "внутренние" ресурсы
добавляя при этом Basic auth header во все внутренние HTTP
запросы.
Заранее спасибо за ответы.
_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://nginx.org/mailman/listinfo/nginx-ru
|