• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Авторизация

aameno2

Lotus Team
27.01.2009
730
134
BIT
100
Доброго всем коллеги.
Вопрос есть. Занимался ли кто нибудь двух факторной авторизацией?
В чистом виде это сертификат затем пароль. Меня больше интересует сертификат или пароль.
С учетом того, что перед домино что то обычно стоит (apache,nginx,iis,nhs), что как показывает практика
более чем разумно (мерзкое хихи по поводу sha-1), не совсем понятно как организовать авторизацию.
В моем случае перед домино nginx. Для клиентского сертификата можно выставить параметр в опциональный.
Но как передать его в домино не понимаю.
Был бы модуль для ltpa, можно было бы формировать куки. Но для nginx рабочих проектов с ltpa не находил.
А кроме домино за nginx еще и сфера есть.......
Буду благодарен за советы куда рыть.
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 927
608
BIT
150
что имеется в виду под двухфакторной авторизацией?
и что конкретно не работает?

Добавлено: с засада?
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 927
608
BIT
150
я к тому что сертификатами занимается nginx, а паролем домина (или чё там...)
если домен у куки тотже - никаких заморочек
между доминой и nginx - обычный хттп (безо всякого s)
или речь о клиентском сертификате, кот. должен принять фронтэнд, привязав его клиенту?
если да - то всетаки придется мантырить ssl к бэкэнду, как - не думал

Добавлено: но можно и не заморачиваться, а терминировать клиентский сертификат прям на nginx (какая разница) ведь сессия-то полюбасу пойдет с домины (без https)
 

aameno2

Lotus Team
27.01.2009
730
134
BIT
100
Двухфакторная - в данном случае имею ввиду либо клиентский сертификат, а если его нет то спрашивать логин.
Текущая конфигурация как раз та, что домино просто хттп.
Т.е. internet (ssl)->nginx(ssl)->domino(http)
Терминировать на nginx - имеется ввиду авторизовать и передать remote_user?
почти, находил именно модуль на lua для работы с ltpa ключами. Вот ищу заново)
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 927
608
BIT
150
Терминировать на nginx - имеется ввиду авторизовать и передать remote_user?
это о том что проверять валидность клиентского сертификата...
если авторизоваться по сертификату - то, разумеется, надо перенаправлять его в домину, по ssl
где-то были варианты (в гугле) но я не уверен по поводу разных уровней ssl
 

aameno2

Lotus Team
27.01.2009
730
134
BIT
100
Понял. Валидность да, можно проверять на nginx.
А вот дальше допустим выставить remote_user и отдать домино?
На край отдать апачу (ihs) и он уже домино....
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 927
608
BIT
150
как-то так
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!