Ты слишком высоко оцениваешь мои бойцовские кондиции. Я давно своё отхоливарил.

Короче, задача явно описана, если нет знаний-навыков чтоб подсказать как ее решить- давайте тогда остановим этот пустой треп... Простите, что побеспокоил

Ну как сказать -- говорят гланды можно вырезать двумя способами, но почему то все используют первый...
Ну это предыстория, нормальное решение -- бэкэнд занимается авторизацией и её шарингом с другими сервисами, или я не верно понял задачу и архитектуру.

Их есть. Но это как черпать авгиевы конюшни лопатой вместо поворота северных рек — скучно, нудно, да ещё и вонюче.

Но раз до свиданья, то и до свиданья.

Скорее всего не верено понял...

Ну если по существу моей проблемы нечем помочь то о чем еще говорить? Обсирать поставленную задачу может и школота, оставлю, пожалуй, это им

Оставь. 1хер ты упёрся — или твой постановщик задач.
Ни ему не можешь болото мировосприятия взбаламутить, ни сам воспринять аргументацию, рассмотреть/донести т.н. бест-практисиз. Щастя в лишней жести и творческих узбеков.

А я спать, пожалуй. Всем пушистых баюшек.

Еще раз история) Есть контейнер (одна штука) с приложением работающим по http, оно без контроля доступа, любой может дернуть что угодно из него. Для того чтоб так небыло перед приложением ставится прокся на сквиде (готов обсудить альтернативные варианты, но апач и жинкс, скажу сразу, не справились), на которой настроена аутентификация по керберос протоколу и авторизация по группе из актив директори (sasl). В настройках авторизации сказано, что получить доступ к сервису могут только пользователи домена состоящие в группе "ЖОПА". Это все работает. Эти два контейнера- есть одна логическая единица. И таких логических единиц несколько. Так вот когда к такому сервису стучится сервис работающий под виндой, запущеный под каким то польхзователем из АД, то все отрабатывает как надо, но! Когда один сервис из контейнера обращается к другому (приложение1-сквид1-сквид2-приложение2 - это как идет цепочка), то они пытаются взаимодействовать без авторизации и ничего не получается... Соотвественно, когда приложение1 хояет сходить в приложение2, трафик сперва попадает на сквид1, тот должен взять имеющиейся у него кейтаб и спн, сходить в АД, выписать тикет и с этим тикетом пойти на сквид2, тем самым представившись, после этого сквид2 принимает решение о предоставлении доступа... Как то так

В общем, я пока не понимаю как это относится к убунте, сквид копал, но лет 10 назад, прикручивать к нему ад, можно, но, нафига..., а как я понимаю, тут ещё помимо ад надо бэкэнд дёргать, ну хотя, наверное, можно всё через ад реализовать, и какой-нить html-заголовок, но... безопасности тут и рядом не лежало...


Перечитал ТЗ, так в чём проблема для приложений завести учётки и сделать для них самих авторизацию?

Критикуешь- предлагай! Я ни какой конкретики кроме пустого трепа не слышу пока.

так учетки то есть, как заставить их сходить под жтими учетками в другой сервис?

Вчем нарушение безопасности ?

Usrer1—>SQUID<—доверие—>SQUID—>Приложение .

Я спрашивал аргументов. Вместо ответов получал отмазки про "так надо". А теперь кошка ждёт аж плачет — увидела, что дёрнулся к дивану.

не юзер там! Приложение1—>SQUID<—доверие—>SQUID—>Приложение2

И делается это через parent
А само доверие Хоть через керберос хоть через черта лысого

В чем разница между User и приложение ?

Ну опять таки, это траст между сквидами...

в логике...