Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: Реализация Single Sign on (LDAP + Nginx ?)  (Прочитано 1066 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Punko

  • Автор темы
  • Гость
Реализация Single Sign on (LDAP + Nginx ?)
« : 02 Март 2017, 23:55:12 »
Привет, сообщество.

В общем, ситуация следующая:
Есть несколько сервисов (допустим, почта, некое приложение для бухучёта, корпоративный чат\звонилка), которым нужна атворизация. Не все поддерживают LDAP, но хотелось бы иметь возможность рулить авторизацией централизовано.

Я нагуглил вариант с использованием Nginx (auth_request module).

Как вижу схему:
1. На сервере, который смотрит в "мир", поступает запрос на определённое приложение;
2. nginx делает редирект на страничку авторизации (самописную, скорее всего, php, RoR, Python, etc) где и происходит авторизация с LDAP-сервера;
3. При удачной авторизации (определяем по коду ответа) мы делаем редирект на старничку, которую пользователь запросил изначально, но при этом он уже атворизован.
4. При не удачной просим верные креды или предлагаем регистрацию (в зависимости от настроек, скорее всего регистрация будет только вручную админом).

Реально ли организовать такую схему? Если реально, то где ещё можно почитать что-то, кроме официальной документации Nginx (с LDAP более-менее дружу) ?

Опыта в реализации SSO нет, поэтому прошу камнями не кидать =)

Спасибо!

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27435
    • Просмотр профиля
Re: Реализация Single Sign on (LDAP + Nginx ?)
« Ответ #1 : 03 Март 2017, 02:38:34 »
http-auth-request это жутчайшая хрень, на самом деле.
Но помимо этого факта, вам она не поможет.
Хотя бы потому, что вы путаете авторизацию и аутентификацию.
В случае http-auth-request, аутентификацию делает nginx и передаёт вам готовое имя пользователя.
По которому вы уже можете делать авторизацию.
И, да, это не SSO.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Punko

  • Автор темы
  • Гость
Re: Реализация Single Sign on (LDAP + Nginx ?)
« Ответ #2 : 03 Март 2017, 13:22:44 »
AnrDaemon, подумал, что для авторизации юзера в приложении он в любом случае должен там присутствовать - или во внутренней базе пользователей, или в общем сервере.

То есть, все приложения должны поддерживать общий сервис, правильно?

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27435
    • Просмотр профиля
Re: Реализация Single Sign on (LDAP + Nginx ?)
« Ответ #3 : 03 Март 2017, 16:59:15 »
Я бы на вашем месте поискал решения для аутентификации пользователей напрямую на LDAP (или PAM) для тех приложений, что вы используете.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Punko

  • Автор темы
  • Гость
Re: Реализация Single Sign on (LDAP + Nginx ?)
« Ответ #4 : 03 Март 2017, 19:50:10 »
AnrDaemon, тоже склоняюсь к этому варианту.

 

Страница сгенерирована за 0.221 секунд. Запросов: 24.