• 15 апреля стартует «Курс «SQL-injection Master» ©» от команды The Codeby

    За 3 месяца вы пройдете путь от начальных навыков работы с SQL-запросами к базам данных до продвинутых техник. Научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения.

    На последнюю неделю приходится экзамен, где нужно будет показать свои навыки, взломав ряд уязвимых учебных сайтов, и добыть флаги. Успешно сдавшие экзамен получат сертификат.

    Запись на курс до 25 апреля. Получить промодоступ ...

Авторизация

aameno2

aameno2

Lotus Team
27.01.2009
732
137
BIT
133
Доброго всем коллеги.
Вопрос есть. Занимался ли кто нибудь двух факторной авторизацией?
В чистом виде это сертификат затем пароль. Меня больше интересует сертификат или пароль.
С учетом того, что перед домино что то обычно стоит (apache,nginx,iis,nhs), что как показывает практика
более чем разумно (мерзкое хихи по поводу sha-1), не совсем понятно как организовать авторизацию.
В моем случае перед домино nginx. Для клиентского сертификата можно выставить параметр в опциональный.
Но как передать его в домино не понимаю.
Был бы модуль для ltpa, можно было бы формировать куки. Но для nginx рабочих проектов с ltpa не находил.
А кроме домино за nginx еще и сфера есть.......
Буду благодарен за советы куда рыть.
 
lmike

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 941
609
BIT
214
что имеется в виду под двухфакторной авторизацией?
и что конкретно не работает?

Добавлено: с
Ссылка скрыта от гостей
засада?
 
lmike

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 941
609
BIT
214
я к тому что сертификатами занимается nginx, а паролем домина (или чё там...)
если домен у куки тотже - никаких заморочек
между доминой и nginx - обычный хттп (безо всякого s)
или речь о клиентском сертификате, кот. должен принять фронтэнд, привязав его клиенту?
если да - то всетаки придется мантырить ssl к бэкэнду, как - не думал

Добавлено: но можно и не заморачиваться, а терминировать клиентский сертификат прям на nginx (какая разница) ведь сессия-то полюбасу пойдет с домины (без https)
 
aameno2

aameno2

Lotus Team
27.01.2009
732
137
BIT
133
Двухфакторная - в данном случае имею ввиду либо клиентский сертификат, а если его нет то спрашивать логин.
Текущая конфигурация как раз та, что домино просто хттп.
Т.е. internet (ssl)->nginx(ssl)->domino(http)
Терминировать на nginx - имеется ввиду авторизовать и передать remote_user?
с этим засада?
Нажмите, чтобы раскрыть...
почти, находил именно модуль на lua для работы с ltpa ключами. Вот ищу заново)
 
lmike

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 941
609
BIT
214
Терминировать на nginx - имеется ввиду авторизовать и передать remote_user?
Нажмите, чтобы раскрыть...
это о том что проверять валидность клиентского сертификата...
если авторизоваться по сертификату - то, разумеется, надо перенаправлять его в домину, по ssl
где-то были варианты (в гугле) но я не уверен по поводу разных уровней ssl
 
aameno2

aameno2

Lotus Team
27.01.2009
732
137
BIT
133
Понял. Валидность да, можно проверять на nginx.
А вот дальше допустим выставить remote_user и отдать домино?
На край отдать апачу (ihs) и он уже домино....
 
lmike

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 941
609
BIT
214
как-то так
Ссылка скрыта от гостей
 
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ