Руки ваши да будут здоровы!
Я не вижу причин, по которым благородные доны не могут пропустить по стаканчику ируканского)
Надеюсь доны простят некоторую фривольность в изложении. Это не инструкция, но благородные доны опытные и направления хватит.
Итак. Мне кажется у вас тоже встречаютсяидиоты заблудшие овцы, сохраняющие веб пароли в браузерах. Речь пойдет как раз о таких.
Ни для кого не секрет, что сохраненные пароли спокойно вытаскиваются. В моем случае, достаточно было перейти по ссылкам в письме.
Да да, так делать нельзя, но дляидиотов овец это не преграда. Это приводит нас, как ни банально, к 2fa.
Казалось бы ну что тут....однако мы сидим на домино и вариантов у нас 2. Ждать 12ю версию и использовать готовый продукт, который обойдется папаше Дорсету в много долларов.
Оба варианта отметаем. Когда еще выйдет 12, стучалки и стоимость перехода.....готовый продукт дешевле перехода но в моем понимании слишком дорог.
Как истинные доны направляем взор в гугл. Не буду утомлять перебором вариантов, но меня он привел к OpenAM.
Небольшое отступление. Домино прекрасен, однако как старые индусы так и новые забили болт и пилят наверное нужные вещи, но вот лдап в доминогавно не поддерживает некоторые стандарты, которые вы легко найдете в openldap.
Из-за этого кстати нашел замечательные продукт lsc, ибо нужно было прибить пользователей из домину к cucm.
Продолжаем. У нашего подопытного есть некоторое количество агентов авторизации. Меня устроил агент индейца. Банальности опускаем, первый итог - авторизация идет через портал OpenAM и использует лдап.
Но после первого этапа нас приветливо встречает уже родная авторизация домино, что не красиво.
Конечно можно посмотреть на SAML,OAUTH2 в домино....но нет. На мой не искушенный взгляд, в текущий момент, это делаетсячерез жопу излишне сложно.
Остается LTPA. Открываем дедушку гугла и он нас приводит к замечательному
Вариантов это сделать слишком много. Однако они все сводятся к - "вы конечно можете вот так, но правильный путь это Authentication Post Processing Classes. И скромный пример шаблонного класса.
Ладно) Опять пропускаем мои поиски. В функции плагина есть параметр SSOToken, в него то и можно запихнуть наш лтпа. Победа ? Хрен там)
Чтобы он появился в куках, нужно эмпирически найти параметр в настройках агента индейца и сказать ему - все параметры пихай в куки. И да) Он появился, но......значение берется в кавычки!
И да, это не лечится настройками. Однако мы ведь красноглазые?) Берем исходник агента, находим нужный нам класс и грязно говорим, что не нужно трогать лтпа.
Вот теперь победа доны. Авторизация проходит на портале, получается лтпа кука и мы радостно попадаем в домино.
Ну а описание прикручивания отп в цепочку авторизации описано на
Уф....две недели господа, но я дико доволен.
З.Ы, Если @lmike как гуру nginx, расскажет как сделать его фронтом для tomcat, я буду признателен)
Я не вижу причин, по которым благородные доны не могут пропустить по стаканчику ируканского)
Надеюсь доны простят некоторую фривольность в изложении. Это не инструкция, но благородные доны опытные и направления хватит.
Итак. Мне кажется у вас тоже встречаются
Ни для кого не секрет, что сохраненные пароли спокойно вытаскиваются. В моем случае, достаточно было перейти по ссылкам в письме.
Да да, так делать нельзя, но для
Казалось бы ну что тут....однако мы сидим на домино и вариантов у нас 2. Ждать 12ю версию и использовать готовый продукт, который обойдется папаше Дорсету в много долларов.
Оба варианта отметаем. Когда еще выйдет 12, стучалки и стоимость перехода.....готовый продукт дешевле перехода но в моем понимании слишком дорог.
Как истинные доны направляем взор в гугл. Не буду утомлять перебором вариантов, но меня он привел к OpenAM.
Небольшое отступление. Домино прекрасен, однако как старые индусы так и новые забили болт и пилят наверное нужные вещи, но вот лдап в домино
Из-за этого кстати нашел замечательные продукт lsc, ибо нужно было прибить пользователей из домину к cucm.
Продолжаем. У нашего подопытного есть некоторое количество агентов авторизации. Меня устроил агент индейца. Банальности опускаем, первый итог - авторизация идет через портал OpenAM и использует лдап.
Но после первого этапа нас приветливо встречает уже родная авторизация домино, что не красиво.
Конечно можно посмотреть на SAML,OAUTH2 в домино....но нет. На мой не искушенный взгляд, в текущий момент, это делается
Остается LTPA. Открываем дедушку гугла и он нас приводит к замечательному
Ссылка скрыта от гостей
. Итак мы получили генератор печенок. Теперь просто передадим это пользователю....да но нет.Вариантов это сделать слишком много. Однако они все сводятся к - "вы конечно можете вот так, но правильный путь это Authentication Post Processing Classes. И скромный пример шаблонного класса.
Ладно) Опять пропускаем мои поиски. В функции плагина есть параметр SSOToken, в него то и можно запихнуть наш лтпа. Победа ? Хрен там)
Чтобы он появился в куках, нужно эмпирически найти параметр в настройках агента индейца и сказать ему - все параметры пихай в куки. И да) Он появился, но......значение берется в кавычки!
И да, это не лечится настройками. Однако мы ведь красноглазые?) Берем исходник агента, находим нужный нам класс и грязно говорим, что не нужно трогать лтпа.
Вот теперь победа доны. Авторизация проходит на портале, получается лтпа кука и мы радостно попадаем в домино.
Ну а описание прикручивания отп в цепочку авторизации описано на
Ссылка скрыта от гостей
.Уф....две недели господа, но я дико доволен.
З.Ы, Если @lmike как гуру nginx, расскажет как сделать его фронтом для tomcat, я буду признателен)
