Configurando logons compartilhados para usuários da web e do sistema


0

Estou procurando criar uma área de automação e administração da Web que os usuários que têm permissões para executar tarefas do sistema possam executá-las via Web, como criar / editar usuários. Pensei em criar um sistema que sincronize as senhas do sistema e da web e, quando um usuário desejar executar uma tarefa específica que exija acesso root, peça sua senha sudoe salve a senha em uma sessão por um determinado período de tempo.

No entanto, eu sei que essa não é uma boa prática e, se alguém tiver acesso às informações da sessão, poderá obter as senhas para os usuários. Então isso me levou a pensar em um Serviço Central de Autenticação para o sistema e os usuários da web.

Minhas perguntas são: isso é possível ou já foi feito? Em caso afirmativo, como realizaria a configuração deste sistema CAS para usuários da web e usuários do sistema? Como permitiria que esses usuários do CAS realizassem ações sudo? E que outras implicações devo considerar para este projeto?

Respostas:


0

Não é necessário sincronizar o servidor da web e as senhas do sistema; você pode configurar o mod-auth-external para delegar a autenticação do usuário ao PAM. No entanto, ele somente autenticará o usuário no servidor da web (usando as credenciais do sistema), não no sistema (provavelmente é mais seguro dessa maneira).

Para administração remota baseada na Web, você deve procurar o plesk , cPanel ou Webmin que fazem exatamente isso. Seja extremamente cuidadoso se desejar reimplementar essa funcionalidade em seu próprio aplicativo: é um pesadelo de segurança.


O plesk e o cPanel são ferramentas comerciais. Estou me dando um tapa por dizer isso, mas talvez o Webmin seja 'melhor'. Mas, para esclarecer: as Ferramentas de Administração da Web são sempre uma péssima idéia, porque você pode ter muitos problemas de segurança entre o usuário e o núcleo do sistema (Navegador, Comunicação de Rede, Implementação de Servidor da Web, Bugs no próprio Web Administration Software, bugs no sistema que são apenas exploráveis ​​localmente, mas trazidos para a Web com essas ferramentas e assim por diante). Muitas dessas ferramentas causaram o seqüestro de muitos sistemas nos últimos anos e não são fáceis de corrigir.
noggerl

@noggerl que responderia "já foi feito", e a resposta é claramente sim. Vou adicionar o webmin à lista e você tem certeza de que é um grande risco à segurança. Por isso, atualizarei minha resposta para transmitir isso também.
Calimo 15/10
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.