|
Надо реализовать авторизацию пользователей домена на сервере приложений. Есть вопросы...
|
||
|---|---|---|
Участник
Откуда: Подмосковье
Сообщения: 227 |
||
| 30.12.2010, 12:02 |
|
|
|
|
|
Надо реализовать авторизацию пользователей домена на сервере приложений. Есть вопросы...
|
|||
|---|---|---|---|
|
#18+
Задача Есть серверное приложение, предоставляющее клиентам некоторые свои сервисы. Сейчас клиенты авторизуются через логин/пароль. Серверное приложение держит список логинов и назначенные им полномочия (доступные сервисы). Требуется модернизировать эту схему так, чтобы серверное приложение могло идентифицировать пользователя, авторизовавшегося в домене. То есть имеем традиционную тройственную схему: домен-контроллер - клиент - сервер приложений. Клиент обращается к серверу приложений через WinSockеt. В литературе все красиво написано: Есть SID (пользователя/группы/компа), есть Access Token, который пользователь получает при входе и далее предоставляет его всем и везде для олицетворения себя любимого. К сожалению, на практике не так все красиво (или я просто не туда копаю). Возникает ряд вопросов 1. Как? Как передается Access Token от клиента к серверу приложений? Или как на сервере приложений получить Access Token клиента? 2. Можно считать на кленте его SID, передать его серверу приложений и он уже по этому SID-у раскрутит все группы и привелегии. Но! Насколько уникальна комбинация "Имя домена + SID пользователя"? То есть не возникнет ли ситуации, когда клиент Вася авторизуется в домене "Домен.com" где у него есть свой "SID1", далее он "стучится" на сервер приложений и передает ему всю эту информацию. Сервер приложений реально расположен в где-нибудь другой стране, но его домен совершенно случайно тоже называется "Домен.com", он по полученному SID1 пытается определить пользователя в своем "Домен.com" - и, о чюдо!, есть такой пользователь и он совершенно случайно тоже Вася. Мы его пускаем, но он реально не тот Вася. 3. Исходя из ситуации в вопросе 2: Как 100% точно определить, находятся ли мой сервер приложений и пытающийся подконнектиться клиент в рамках одного домена (леса доменов) или это просто может оказаться случайное совпадение имен доменов? 4. Или, может, вообще все не так? Истина где-то рядом... Вариант 2 мне вообще не нравиться, так как не безопасен (возможна подмена своего SIDа чьим-то чужим). Спасибо всем за то, что дочитали сей пост до конца! Заранее благодарен за ответы и тыканье носом в мануалы! Всех с наступающим Новым годом! ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 30.12.2010, 12:02 |
|
||
|
Надо реализовать авторизацию пользователей домена на сервере приложений. Есть вопросы...
|
|||
|---|---|---|---|
|
#18+
Что-то в этой ветке форума глухо... Кому интересно, обсуждение данного вопроса тут: http://www.sql.ru/forum/actualthread.aspx?tid=817862 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.01.2011, 18:30 |
|
||
|
|
start [/forum/topic.php?fid=16&fpage=91&tid=1343216]: |
0ms |
get settings: |
7ms |
get forum list: |
10ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
41ms |
get topic data: |
8ms |
get forum data: |
2ms |
get page messages: |
28ms |
get tp. blocked users: |
1ms |
| others: | 243ms |
| total: | 346ms |
| 0 / 0 |
