Авторизация

aameno2

Well-known member
27.01.2009
514
12
#1
Доброго всем коллеги.
Вопрос есть. Занимался ли кто нибудь двух факторной авторизацией?
В чистом виде это сертификат затем пароль. Меня больше интересует сертификат или пароль.
С учетом того, что перед домино что то обычно стоит (apache,nginx,iis,nhs), что как показывает практика
более чем разумно (мерзкое хихи по поводу sha-1), не совсем понятно как организовать авторизацию.
В моем случае перед домино nginx. Для клиентского сертификата можно выставить параметр в опциональный.
Но как передать его в домино не понимаю.
Был бы модуль для ltpa, можно было бы формировать куки. Но для nginx рабочих проектов с ltpa не находил.
А кроме домино за nginx еще и сфера есть.......
Буду благодарен за советы куда рыть.
 

lmike

нет, пердело совершенство
Lotus team
27.08.2008
6 601
277
#2
что имеется в виду под двухфакторной авторизацией?
и что конкретно не работает?

Добавлено: с этим засада?
 

lmike

нет, пердело совершенство
Lotus team
27.08.2008
6 601
277
#3
я к тому что сертификатами занимается nginx, а паролем домина (или чё там...)
если домен у куки тотже - никаких заморочек
между доминой и nginx - обычный хттп (безо всякого s)
или речь о клиентском сертификате, кот. должен принять фронтэнд, привязав его клиенту?
если да - то всетаки придется мантырить ssl к бэкэнду, как - не думал

Добавлено: но можно и не заморачиваться, а терминировать клиентский сертификат прям на nginx (какая разница) ведь сессия-то полюбасу пойдет с домины (без https)
 

aameno2

Well-known member
27.01.2009
514
12
#4
Двухфакторная - в данном случае имею ввиду либо клиентский сертификат, а если его нет то спрашивать логин.
Текущая конфигурация как раз та, что домино просто хттп.
Т.е. internet (ssl)->nginx(ssl)->domino(http)
Терминировать на nginx - имеется ввиду авторизовать и передать remote_user?
почти, находил именно модуль на lua для работы с ltpa ключами. Вот ищу заново)
 

lmike

нет, пердело совершенство
Lotus team
27.08.2008
6 601
277
#5
Терминировать на nginx - имеется ввиду авторизовать и передать remote_user?
это о том что проверять валидность клиентского сертификата...
если авторизоваться по сертификату - то, разумеется, надо перенаправлять его в домину, по ssl
где-то были варианты (в гугле) но я не уверен по поводу разных уровней ssl
 

aameno2

Well-known member
27.01.2009
514
12
#6
Понял. Валидность да, можно проверять на nginx.
А вот дальше допустим выставить remote_user и отдать домино?
На край отдать апачу (ihs) и он уже домино....