Приветствую. Общая картина: нужно сделать так, чтобы некий внутренний веб-сервер давал доступ только при аутентификации по помянутому SSL-серту. Поднят внутренний СА, есть серт. Соответственно далее генерим дочерние серты и распространяем их.
Есть флешка (лучше смарт-карта) с сертом. Непонятно: как сделать так, чтобы серт запрашивался ТОЛЬКО с нее и не оставлял никаких следов в системе?
Т.е. есть флешка - есть доступ. Нет флешки - облом.
Гугль мучал всяко, так и не получил ответа - потому как не соображу как сформулировать запрос внятный - занят разгребанием горы ссылок.
Таг, а не пробовал по-русски вопросы задавать? 😀
(прикалываюсья)
http://forum.woweb.ru/wo.html?act=Search&nav=&CODE=show&searchid=e7e35702279b4ce1d036f6fd4fc18990&search_in=posts&result_type=topics&hl=&st=0 Можно здесь поковырять в результатах поиска, вдруг что полезное подвернется. 😊
Сенкс, но ничего особо оригинального не нашел... 😞 Исчем далее.
Доступ к внутреннему серваку нужен изнутри же?
Если да, то проблем особых нету.
Вот если снаружи, то тогда сложнее... Хотя все тоже решаемо с помощью терминального сервака 😊
Изнутри все. По крайней мере пока.
ну тогда надо бы не флешку все-таки использовать, а аладиновский ключик с софтом ихнем же. тогда и все проблемы отпадут...
смотрим тут http://www.aladdin.ru/catalog/etoken/
Смотрел ужо... начальство велело искать дальше, вот и рою. Но пока это единственный вариант. Сенкс.
Thug
Смотрел ужо... начальство велело искать дальше, вот и рою. Но пока это единственный вариант. Сенкс.
Это вообще, единственный вариант 😊
А можно обнаглеть и попросить вкратце рассказать, как сотворить задачу из инит-поста? 😊
Интересует именно клиентская сторона, на серверной хранилище сертификатов и прочая мутотень готовы...
Thug
А можно обнаглеть и попросить вкратце рассказать, как сотворить задачу из инит-поста? 😊
Интересует именно клиентская сторона, на серверной хранилище сертификатов и прочая мутотень готовы...
Постучи завтра в аську днем.
Буду на работе, все и расскажу сразу 😊
Роджер.
а с сертификатом должно работать свое приложение или стандартный броузер ?
например вот в приложении импексбанка - запускается свое приложение на activex - оно и идет куда ему надо - то есть по флешкам - за сертификатом.
Стандартный броухер - желательно. Но на край можно попытаться решить своим дополнением...
RomanА можно чуть подробнее про это приложение - что и как? Если не затруднит... И нельзя ли это реализовать как плагин к броузеру?
например вот в приложении импексбанка - запускается свое приложение на activex - оно и идет куда ему надо - то есть по флешкам - за сертификатом.
Можно конечно сделать так, чтобы приложение загружало сертификат из нужного места, проблем с этим никаких, но и безопасности тоже никакой.
Если хотите действительно безопасное решение с клиентскими сертификатами на сменных носителях, используйте специальные крипто-ключи - либо смарт-карты либо USB. Есть в Москве отделение Израильской компании Aladdin, они этим занимаются. Т.е. выпуском таких карт и УСБ "флешек".
О боги.... Ну вот стоит же задача: именно ссл-серт. Именно на смарт-карте. И чтобы вот именно по нему был доступ к апачу на фриБСД. А без него- не было. Не логин в домен, а именно безопасное хранение серта. 😞
В первом посте было сказано "флешка". И причем тут логин в домен? Этот же сертификат можно использовать в броузере.
Ладно, молчу. Ищите в Гугле.
MondorТаки было сказано "лучше смарт-карта".
В первом посте было сказано "флешка".
Далее: почему нет безопасности при запросе серта из заданного места? Алладиновцам я запрос послал, пока думают.
Тем не менее, Вы можете подсказать решение? Потому как пока что как заставить запрашивать серт именно с карточки никто не подкинул идей...
Что значит "именно с карточки"? Система будет искать нужный сертификат с любого подключенного хранилища. Если сервер настроен на прием сертификатов только одного CA, то это не проблема.
И что значит "нет безопасности при запросе"? Если сертификат нельзя экспортировать а сам dongle может быть защищен вплоть до биометрики (отпечатки пальцев, электрокардиограмма), что ещё может быть нужно? Пароль на применение сертификата? Устанавливается в обычном порядке.
Стоп-стоп-стоп.
Вроде бы прокрутил все параметры апача - нет там параметра "запросить сертификат у клиента с карты". Соответственно, как настраивать?
То, что есть желание получать доступ к какому-то сетевому ресурсу посредством подключения отделяемого дивайса, понятно.
А можно ли узнать:
- прочему только по https;
- отделяемый дивайс нужен как средство борьбы со склерозом на пароли?
Тут немного: http://www.microsoft.com/rus/technet/security/midsizebusiness/topics/networksecurity/smartcardlogonvpn.mspx
Можно узнать многое 😊
1)Потому что пока нужно ограничить доступ только к сайту одному.
2)Как средство борьбы с паролем вообще - ибо угнанный пароль можно юзать многим, а с карточкой сразу видно, чей косяк и кому вынести мозг за небрежное хранение.
Я так понимаю, что приличной СБ в конторе нет и информационной безопасностью занимаются админы. Поэтому проблемы решаются в порядке осенения ими руководства.
HTTP-сервис вынести в отдельную подсетку с доступом через ISA.
С паролями бороться не стоит, их надо часто менять политиками и мониторить логи. RealSecure хорошо бы...
А карточки теряют, передают другим сотрудникам. В случае маски-шоу карточки вообше попа.
А теперь: (тада-да-дам!!!) в конторе НЕТ серверов на винде. Посему ИСА слегка просасывает 😊. Можно сделать это IPFW - но что именно и как закрывать? Если множество народу не привязаны к компу? Т.е. в пределах локальной сети нет аутентификации юзеров.
OCTAGONА пофиг. Есть косяк - будет разбор. Серты-то именные будут 😊. И вообще, мое дело маленькое - сказали "надо" - ищу. А потом уже либо "отбой", либо "нет технической возможности".
А карточки теряют, передают другим сотрудникам.
Вот кто б еще про плагин для браузера рассказал что и как?...
ThugИзвестная проблема. Сначала линюксоиды убедительно доказывают, что Линюх всяко рулёзнее Винды, потом пытаюится выяснить, как же сделать на этом рулёзе что-то путное...
А теперь: (тада-да-дам!!!) в конторе НЕТ серверов на винде. Посему ИСА слегка просасывает 😊.
Ну ладно, я ритуально позлобствовал, теперь по сути...
Thug1. Вместо того, чтобы решить проблему аутентификации юзеров в сети любым штатным способом, дабы потом без проблем управлять доступом, ты пытаешься приделать к одному конкретному ресурсу оптимальный по твоему мнению именно для этого ресурса способ аутентификации.
Можно сделать это IPFW - но что именно и как закрывать? Если множество народу не привязаны к компу? Т.е. в пределах локальной сети нет аутентификации юзеров.
[/B]
К другому ресурсу наверное лучше подойдёт ещё какой-то специфический способ и т.д.
Система управления доступам должна быть единой на все ресурсы.
Исключением являются межсетевые экраны периметра и специальный софт сетевого мониторинга.
Разберись сначала с этим. В Виндах это без вариантов AD.
2. За безопасность в существенной мере отвечает архитектура.
Следует располагать в подсетях отделённых межсетевыми экранами от других подсетей:
- системообразующие сервера;
- прикладные сервера.
То есть, твой http-сервис должен находится в отдельном пространстве, связанном с пользователями через какой-то гейт с управляемым доступом.
Например, у пользователей на браузерах указан прокси, который управляет доступом к http-сервису, который открыт только от прокси.
ThugНадо самому объяснять руководству что есть правильно.
А пофиг. Есть косяк - будет разбор. Серты-то именные будут 😊. И вообще, мое дело маленькое - сказали "надо" - ищу. А потом уже либо "отбой", либо "нет технической возможности".
[/B]
ThugНет такого плагина. Есть клиент у ISA, который позволяет осуществлять использование правил по учётным записям AD.
Вот кто б еще про плагин для браузера рассказал что и как?...
[/B]
Хм.... намек понял... ушел в тину думать 😊