Доброго времени суток, коллеги!
По роду своей деятельности занимаюсь разработкой корпоративных приложений с дальнейшим прикручиванием к данным приложения Web-интерфейса. Привлекла идея оформлять функционально законченные части приложений в виде компонентов ActiveX с возможностью их повторного использования в Web-страницах. Сразу столкнулся с потенциальными трудностями для пользователей загружать и запускать неподписанные компоненты через браузер. Active Directory у нас пока находится в режиме Pre-Window, т.е. централизовано управлять настройками зоны безопасности в локальной сети нет возможности, а с настройками по умолчанию IE не загружает неподписанный контрол. Ходить по 300 ПК и поддерживать настройки безопасности в локальной интрасети - отдел эксплуатации заблокирует такое решение. Объяснять на Web-странице большим руководителям, что они "должны ткнуть здесь и здесь, чтобы это появилось на экране" - как-то не хочется.

Выходит, надо подписывать контролы. Только наш админ ломается поднять Certificate Services по причине неизведанности глубины омута (типа, при попытке их установки выдается предупреждение, что компьютер не может быть в дальнейшем добавлен/удален в/из домена).

Как бы мне ему (админу) доходчиво объяснить, что проблем после поднятия Certificate Services по объемному опыту участников форума SQL.RU не наблюдается? Поделитесь опытом/ссылками, если не жалко.

С уважением, Dominic

2Dankov
Спасибо за отклик.

По части решения описанных Вами проблем - я настроен более оптимистично. В частности, управлять настройками IE (в том числе настройками безопасности в локальной сети предприятия и списком доверенных сертификатов), который, кстати является стандартом предприятия, мы планируем через применение групповых политик в Active Directory (поправьте, если ошибаюсь: через Group Policy имеется возможность практически полностью управлять пользовательской частью реестра, а все настройки IE хранит именно там). Как я уже упоминал, сейчас Active Directory находится в режиме Pre-Window, из-за необходимости поддерживать клиентов Windows 95/98 и немногочисленные четверочные домены. Руководство практически гарантировало переход в локальной корпоративной сети на платформу 2000 в этом году, так что здесь мы победим.

По поводу браузеров NN и Opera. IE на нашем предприятии является стандартом предприятия, но "нетвердым", поэтому продвинутые пользователи их конечно ставят. Здесь мы победим путем расширения приватных информационных услуг сотрудникам: насколько я знаю, авторизоваться перед Web-сервером (IIS) по протоколу NTLM, а после "активизации" AD и по Kerberos может только IE. А значит открыть соединение к MSSQL серверу по Windows Authentification (на таком способе подключению к серверу БД мы, разработчики, настаиваем твердо) можно только, подключившись к IIS через IE. Ну, и представьте ситуацию: два сотрудника в одной комнате, служба эксплуатации установила им рабочие места, один из сотрудников меняет себе браузер. Второй оставляет IE и получает доступ к информационным ресурсам предприятия через Web-интерфейс, основной упор в которых мы стараемся делать на персонализацию: бухгалтерские данные, кадровые приказы, табельные данные. Я думаю, при такой несправедливости "тот, кто в опере" сделает свой выбор.

К сожалению похвастаться практикой "перевода" Web-приложения от версии к версии браузера я не могу. Творю в Web меньше года. Но стараюсь "юзать" персональные особенности браузеров аккуратно. Скажем так, информация об изменении в объектных моделях и поддержке спецификаций DHTML меня всегда интересует.

По поводу мудрого совета. Собственно мой первый постинг этого и касается. Я как раз и создаю в первую очередь клиент-серверное приложения (VB6 и VC++6), а посредством Web-технологий объединяю данные разработанных приложений - это уже вторичная задача, за невыполнение которой руководство сильно не бьет. Создавать "объединяющую" информацию клиент-серверную программу, которую тоже кстати можно автоматически развертывать через Group Policy - нерентабельно, да и дольше, чем откатать с готового приложения Web-версию. Ставить кадровскую или ОТИЗ-овскую программу всем подряд - руководство это никогда не одобрит, хотя на Windows Authentification при случаях несанкционированного овладевания дистрибутивом мы конечно надеемся.

Заставить пользователя запустить setup c шары - собственно так мы пока без сертификатов и делаем. Только как известить его, что появился upgrate? Корпоративное ПО, за которым следит группа разработки меняется очень часто.

Насчет "засады кругом". Конечно, по-настоящему сложных в плане функциональности ActiveX реализовывать не приходилось еще - все засады пока в одном: вместе с контролами приходится "таскать" по сетке все run-time библиотеки. Но вот как раз одинаковая среда на всех ПК - этот вопрос со службой эксплуатации можно решить. Сообщите, какие еще могут быть.

С уважением Dominic

2SiDen
Иными словами, если у тебя проблемы, забудь о них и напряги пользователей.
SiDen, есть технология, решающая вопросы повторного использования кода, автоматического распространения и обновления, и я хочу ей воспользоваться, черт возьми! То что Вы предлагаете - так примерно в текущий момент и организовано: клиентский код Web-страницы определяет, что компонент не смог запуститься и отправляет пользователя на страницу, где ему на выбор предлагается либо понизить безопасность в зоне локальной интрасети (со скриншотами), либо скопировать сетевой адрес setup компонета и запустить его. Текущее состояние дел меня не устраивает, так как из-за частых изменений версий пользователи уже начали жаловаться.

Итак, всё, что меня на текущий момент устроит - это подписать свои контролы. Для этого мне необходимо убедить сисадмина в том, что установка службы Sertificate Services пройдет без последствий. Прошу просто высказаться, типа "Да пусть ставит, потом восстановится с backup-сервера, если чего" или "Подняли центр авторизации, юзаем уже полгода, проблем не наблюдалось". Не использовать ActiveX уже не получится, за полгода их уже 7 штук сделано в трех приложениях, и при нашем плотном графике переделать приложения просто нет времени.

С уважением Dominic

2 SiDen
Спасибо за ссылки, которые Вы прислали. Good!

С уважением, Dominic

Крутил оснастки Cerificate Futhority и так и эдак, все соответствующие топики в Help`е перечитал, но никак не пойму: как экспортировать закрытый ключ из хранилища сертификатов - бинарники-то свои я подписывать на своем рабочем месте собираюсь, а не на сервере...
И еще, утилиты для подписания кода (SignCode.exe) сумел достать только от 97 года, на сайте Microsoft ссылки из MSDN 2001 не действительны.
Кто подписывал бинарники - поделитесь, как Вы решили все эти проблемы!

С уважением, Dominic