A
так учетки то есть, как заставить их сходить под жтими учетками в другой сервис?
При чём тут чужие учётки? у приложений должны быть свои учётки, ну и "маршрутизация" должна быть между ними через squid
Size: a a a
2020 December 04
И
При чём тут чужие учётки? у приложений должны быть свои учётки, ну и "маршрутизация" должна быть между ними через squid
Отлично, но! Есть же еще части приложения, которые на виндовых серваках крутятся! Если между собой эти сервисы при трасте между сквидами еще могут сходить, то в винду, где в приложении только кербкрос аутентификация они уже не сходят
S
SQUID тебе не подходит ! Он умеет только в авторизацию !
И
SQUID тебе не подходит ! Он умеет только в авторизацию !
Аутентификацию он тоже умеет!
S
А я что написал ?
A
Отлично, но! Есть же еще части приложения, которые на виндовых серваках крутятся! Если между собой эти сервисы при трасте между сквидами еще могут сходить, то в винду, где в приложении только кербкрос аутентификация они уже не сходят
так, а при чём тут винда, вот с ней вообще не понял. Вернее не понимаю структуру приложений. Ну запущены на винде сервисы, подними отдельное API которое взаимодейструет с ними, авторизируй его в АД, доступ к api через тот-же squid
И
А я что написал ?
Ты написал, что сквид умеет только авторизацию, но умеет и авторизацию и аутентификацию! Для аутентификации используется хелпер negotiate_kerberos_auth, для авторизации ext_kerberos_ldap_group_acl
S
так, а при чём тут винда, вот с ней вообще не понял. Вернее не понимаю структуру приложений. Ну запущены на винде сервисы, подними отдельное API которое взаимодейструет с ними, авторизируй его в АД, доступ к api через тот-же squid
Он имеет ввиду протоколы которые должны зафурычить через сквид =)
И
Он имеет ввиду протоколы которые должны зафурычить через сквид =)
да
S
Ты написал, что сквид умеет только авторизацию, но умеет и авторизацию и аутентификацию! Для аутентификации используется хелпер negotiate_kerberos_auth, для авторизации ext_kerberos_ldap_group_acl
Так вот молодой человек Авторизация может произойти только после аутентификации
S
да
так вот Сквид вам не подходит !!! Он умеет только в кеширование данных - В протоколы он не умеет
И
так, а при чём тут винда, вот с ней вообще не понял. Вернее не понимаю структуру приложений. Ну запущены на винде сервисы, подними отдельное API которое взаимодейструет с ними, авторизируй его в АД, доступ к api через тот-же squid
Смотри, приложение на винде, оно микросервисное, сейчас оно уезжает на контейнерную инфру в никсы. Поэтому часть сервисов все еще на винде, часть в никсах. Каждый сервис имеет аутентификацию керберос и авторизацию по АД группе. Но новые сервисы, которые сразу на никсы пилят они вообще без защиты и все секьюрити вынесено на отдельный уровень
И
так вот Сквид вам не подходит !!! Он умеет только в кеширование данных - В протоколы он не умеет
Да как же не умеет то?! А что тогда делают хелперы negotiate_kerberos_auth и ext_kerberos_ldap_group_acl?
S
Они нужны для авторизации .
A
Смотри, приложение на винде, оно микросервисное, сейчас оно уезжает на контейнерную инфру в никсы. Поэтому часть сервисов все еще на винде, часть в никсах. Каждый сервис имеет аутентификацию керберос и авторизацию по АД группе. Но новые сервисы, которые сразу на никсы пилят они вообще без защиты и все секьюрити вынесено на отдельный уровень
ок, ты уже сказал, что вся секьюрь к ним в squid, но сами они должны тоже уметь через squid авторизоваться
S
Пароль проверили Подошел Значит пускаем дальше И дальше либо кешируем данные http либо не кешируем
И
Они нужны для авторизации .
Хорошо, что тогнда такое неготиейшан и согласование протоколов? Авторизация?
S
Почитай назначение сквида !
И
ок, ты уже сказал, что вся секьюрь к ним в squid, но сами они должны тоже уметь через squid авторизоваться
Можно сквид чем то заменить! Это как один из вариантов, который я пробую. Задача сделать открытый хттп доступ закрытым с аутентификацией по керберос и авторизацией по АД группе. Если есть какие то альтернативные варианты- с радостью их выслушаю! Повторюсь, жинкс и апач пробовал- не подходит(