Single Sign On with Nginx

Sergej Kandyla sk.paix на gmail.com
Ср Фев 24 11:19:07 MSK 2010


Mikhail Fursov wrote:
> Вижу по этой ссылке только то, как настроить Basic, но не SSO.
>
> Basic же подразумевается только внутри приватной сети, для передачи 
> логина и пароля внутренним серверам проксирующимся через фронт-сервер. 
> Логин же и пароль получать на фронт-сервере нужно не при помощи basic, 
> а, например, при помощи html формы.
>
> Именно это позволяет mod_auth_form из Апача. (И все бы хорошо c этим 
> mod_auth_form  если бы в нем не было кучи багов или хотя бы на эти 
> баги кто-нибудь реагировал).

есть еще некий  mod_auth_tkt для апача.
http://www.openfusion.com.au/labs/mod_auth_tkt/

но если брать в более глобальном плане, то вы хотите от nginx слишком много.
SSO подразумевает собой гораздо больше, и для того чтобы оно успешно 
работало, соотвествующий бекенд (динамика)
должен понимать как логиниться на SSO сервер, и что делать дальше с 
пользователями.
Практически все бекенды со сложной логикой имеют разделение прав, 
пользователей и т.д. и вот в этих бекендах
и происходит аутентификация, и соотвественно бекенды должны понимать SSO.

Например, у вас есть Jira, для которой вы хотите SSO (У Atlassian в 
качестве SSO солюшина предлагается crowd),
сколько вы не бейтесь с идеями sso на фронтенде,  атентификация то 
пользователей происходит на бекенде...

Конечно если у вас на проксируемом сервере   100 сайтов васи пупкина, то 
в качестве SSO солюшина подойдет и BASIC  аутентификация.

Ну и второй момент, что в сложных структурах, где нужен SSO, на одной 
машине не может и не должно быть все централизированно.
Это сводит на нет всю идею SSO на фронтенде.

Вы вообще определитесь для чего вам нужен SSO.
Практика показывает, что в большинстве случаев всем хватает 
централизированного LDAP, что работает красиво и прозрачно.



>
> 2010/2/24 SaveFrom.net <savefrom at gmail.com <mailto:savefrom at gmail.com>>
>
>     http://sysoev.ru/nginx/docs/http/ngx_http_auth_basic_module.html
>     =/
>
>     23 февраля 2010 г. 22:32 пользователь Mikhail Fursov
>     <mike.fursov at gmail.com <mailto:mike.fursov at gmail.com>> написал:
>
>         Привет всем!
>
>         Скажите пожалуйста, возможно ли при помощи модулей/расширений
>         Nginx организовать единую аутентификацию для внутренней
>         подсети по типу mod_auth_form который войдет в Apache 2.4 ?
>
>         Изнутри это может работать примерно так:
>
>         1) пользователь вводит пароль на странице фронт-енд сервера
>
>         2) после этого серсер его пускает его на "внутренние" ресурсы
>         добавляя при этом Basic auth header во все внутренние HTTP
>         запросы.
>
>         Заранее спасибо за ответы.
>
>




Подробная информация о списке рассылки nginx-ru