Zabezpečený přístup k www (vyřešeno)

Pouziva se spise jmeno/heslo pres AuthBasic, nebo AuthDigest moduly a konfiguraci v .htaccess a SSL certfikat. K cemu to bude dobre ?

3.5.2010 10:11 ZemanJ
Rozbalit Rozbalit vše Re: Zabezpečený přístup k www

To s tím heslem to již znám, ale já nechci po uživatelech aby si pamatovali hesla, prostě každému uživateli přidělím klíč, ten si přidá do prohlížeče je je vše vyřešeno. Smazáním klíče na serveru pak mu přístup znemožním. Kopírování klíče mezi uživateli je stějně nebezpečné jako sdělování si hesla navzájem.

Jarda

PS: Jde jen o intranetovou aplikaci

Lze to, ale dá to trochu víc práce než s SSH.

HTTPS se musí použít. SSL totiž umožňuje autentizaci klienta pomocí certifikátu. Klient musí pak mít v prohlížeči nainstalovaný certifikát vydaný určenou certifikační autoritou (či autoritami). Práva lze uživateli přiřadit na základě informací v certifikátu.

Zkoušel jsem to v Apache a fungovalo mi to bez problémů.

Stručný postup, jak to nastavit v Apache2, je zde: http://blog.bombast.net/?p=468

Pokud to budete chtít skutečně použít, doporučuji si přečíst dokumentaci k mod_ssl: http://www.modssl.org/docs/2.8/ssl_reference.html

Vše ale předpokládá, že máte certifikáty, případně že je umíte vyrobit. V opačném případě doporučuji dát do Googlu "openssl certificate authority" a nastudovat, jak lze pomocí OpenSSL vytvářet certifikáty X.509.

3.5.2010 08:51 ZemanJ
Rozbalit Rozbalit vše Re: Zabezpečený přístup k www

Díky aspoň za toto info! Zkusím to, předpokládám, že certifikáty se vytvářejí identicky jak pro SSH přístup s klíči.

Jarda

3.5.2010 12:06 stilett
Rozbalit Rozbalit vše Re: Zabezpečený přístup k www

To bohužel předpokládáte špatně. Některé věci jsou shodné, ale je to složitější. Komplikuje se to tím, že nestačí jenom klíč, ale musí se vyhotovit klientský certifikát. Ten obsahuje soukromý klíč a veřejný klíč + data o uživateli + podpis certifikační autority. Nastavit a pochopit vlastní certifikační autoritu dá poprvé trochu práci, i když díky OpenSSL prostředky v systému už nejspíš máte.

Existuje sice možnost podepsat vlastní certifikát (a vynechat tak certifikační autoritu), ale to je pak těžko použitelné pro váš účel.

Psal jsem to stručně, protože jsem nevěděl, zda je to přijatelné řešení a jaké máte zkušenosti. HTTPS používá certifikáty podle standardu X.509, který toho umožňuje hodně, ale za cenu složitosti. Řeší se i způsob vydávání certifikátů. Tento způsob hodně závisí na tom, kdo jsou vaši uživatelé. Nejbezpečnější postup totiž je:

Uživatel si vygeneruje pár klíčů
Uživatel vytvoří žádost o certifikát - vezme veřejný klíč a připojí vlastní identifikační údaje
Pošle žádost certifikační autoritě
Autorita si ověří totožnost uživatele - že to byl skutečně on, kdo vystavil žádost
Pošle uživateli veřejný klíč a údaje za žádosti podepsané vlastním klíčem - vytvoří mu certifikát
Uživatel k certifikátu připojí soukromý klíč (ten nikam neposílal) a výsledek nainstaluje do prohlížeče

Tedy je to mnohdy zbytečně komplikované a spokojíte se s tím, že prostě uživatelům dáte už hotové klientské certifikáty (soukromý klíč lze chránit heslem).

3.5.2010 13:43 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Zabezpečený přístup k www

Před rokem vyšel na Rootu článek SSL autentizácia s webovým serverom Apache, případně starší seriál Jak na OpenSSL.

4.5.2010 16:41 ZemanJ
Rozbalit Rozbalit vše Re: Zabezpečený přístup k www

Dle Vámi uvedeného odkazu na návod to plně funguje!!! Přesně jak jsem potřeboval! Jen mi není jasné proč vyhledávač tento článek nenalezl.

Vřelé díky!!!

Jarda

Dotaz: Zabezpečený přístup k www

Odpovědi