خلفية صغيرة
بعد محاضرة في HighLoad ++ 2017. نظرت إلى هذا التقرير ، "كيف أطلقنا المشرف" ، في التسجيل. قال المتحدث أن جميع شركات الويب تواجه مشاكل مع كلمات المرور ، وكان لدي فكرة عن كيفية حل هذا. من المحتمل أن يكون شخص ما قد قام بذلك بالفعل ، ولكن بصراحة ، لا أعرف ، أريد فقط أن أصف ذلك ، ثم ربما شخص ما سيفعل ذلك أو سأفعل ذلك بنفسي بطريقة أو بأخرى. آمل أن يقرر شخص ما أن يفعل شيئًا كهذا ، سيكون مصدرًا مفتوحًا.
في الواقع وصفا للمشكلة وكيفية حلها
ما هي المشكلة ، مهما كانت غريبة في كلمات المرور نفسها ، أو بالأحرى ، حتى أن الموظفين عديمي الضمير لا يأخذونهم بعيدا عن الشركة.
هناك خياران لحل هذه المشكلة.
- انشر كل التغييرات على الموقع شخصيًا على رئيس الشركة.
- لابتكار وفعل شيء ما.
بشكل عام ، نحن نعمل على الخيار الثاني. الأول صعب ومكلف إذا كانت الشركة تتكون من عدد صغير من الناس.
ما يجب فعله هو المقرر ، والآن عليك أن تقرر كيفية القيام بذلك.
هنا في آن واحد أبسط فكرة ، لماذا لا تجعل وكيل؟ حسنا ، على الأرجح وكيل السوبر. خطة العمل بسيطة بشكل أساسي ووجهتها أدناه.
الشكل 1 - المخطط العام للنظامكما يتضح من المخطط والفكرة نفسها ، سيكون العنصر الرئيسي هنا هو خادم وكيل.
مهامه هي كما يلي:
- في المقابل ، قم بقبول حركة المرور ، أو حتى العمل على مستوى أوامر SSH و SFTP ، بالنسبة للمبتدئين ، وإرسال استجابة من خادم العميل إلى أخصائي.
- المصادقة والتفويض من أخصائي
- التحقق من شرعية الفرق ، ويمكن القيام بذلك في وقت لاحق.
سيكون هيكل الخادم الوكيل نفسه كما يلي:
الشكل 2 - مخطط كتلة للمكون الوكيل السوبروكيل - حركة مرور الوكيل مباشرة عبر SSH ، (S) FTP ، HTTP ، HTTPS
CA (التحكم في الوصول) - يتحكم في وصول المتخصص إلى موارد العميل.
SAP (لوحة إدارة Sever) - قم مباشرة بتوجيه الخادم الذي يتصل به المسؤول من خلال لوحة التحكم.
Core - جوهر النظام نفسه هو إدارة الطلبات بين الوحدات النمطية وإدارة النماذج.أعتقد أنه يجب معالجة الوصول بشكل منفصل ، لأن كل شيء بدأ بسبب هذا.
يتم تضمين جميع المستخدمين في سياسات المجموعة ، وتحدد سياسات المجموعة قواعد الوصول إلى خوادم العملاء ، وكذلك القواعد التي يطيعها مسؤولو النظام. سياسات المجموعة لها هيكل هرمي ، ولكل مستوى أعلى صلاحياته الخاصة مثل المستوى الأدنى. منذ البداية ، توجد سياسة "." ، وهي تشمل جميع الأذونات لكل شيء وقد تشمل مستخدمًا واحدًا ، وهو المسؤول الرئيسي. ثم هناك مجموعتان للسياسات ومسؤولي النظام والمشاريع.
الجدول المحوري - المسؤولون وحقوقهم| لقب الدور | حقوق الوصول | |
|---|
| مسؤول سياسة المجموعة | مجموعة المستخدم التحرير | |
| مسؤول سياسة المجموعة | إنشاء نهج المجموعة | إنشاء حذف وتحرير المستخدمين في نهج المجموعة |
| مسؤول إدارة المستخدم | إزالة مستخدم من نهج المجموعة | إنشاء حذف وتعديل المستخدمين |
| مسؤول النسخ الاحتياطي | قراءة المعلومات حول المستخدمين والمسؤولين | قراءة إدخالات نهج المجموعة |
| رئيس المسؤول | كل شيء آخر ، وكذلك تحرير وحذف سياسات المجموعة | فرض تغييرات كلمة المرور على خوادم العميل |
تحتوي سياسات المجموعة نفسها على سجل خادم يتم تطبيق هذه السياسة عليه.
وللمستخدمين القواعد التالية ، الموصوفة لكل مستخدم أو مجموعة على حدة ، في الواقع ، هذه هي القيم المنطقية التي تحدد ما إذا كان الكائن لديه وصول HTTP / HTTPS إلى لوحة تحكم الموارد (لوحة المسؤول) ، وصول SFTP / FTP ، SSH.
الآن بضع كلمات عن لوحة التحكم والعميل.
لوحة التحكم أو كل شيء واضح ، ولكن عليك أن تكتب مرة أخرى ، سيكون ذلك واضحًا.
لوحة التحكم هناك حاجة مباشرة لإدارة سياسات المجموعة والخادم ككل ، وكيل السوبر. يتم توزيعه كتطبيق مستقل أو خدمة ويب.
وفقًا لذلك ، يمكن للمسؤولين الوصول إلى لوحة التحكم.
العميل بسيط في المظهر ، معقد من الداخل.
يحتاج العميل إلى تطبيق ، في حالة HTTP (S) ، من الناحية النظرية البحتة ، يمكن أن يكون هذا التطبيق مستعرضًا تم تكوينه مباشرة للعمل من خلال خادم وكيل ، وسيتعين على خادمنا الوكيل الدخول في حركة المرور. بشكل عام ، على الأرجح ، سيكون من الضروري تطوير تطبيق منفصل يعمل عبر SSH ، (S) FTP ، HTTP (S) ، مع خوادم العميل ، من خلال خادمنا الفائق الوكيل ، أو سيكون من الأسهل التثبيت والتواصل مع خادم العميل نفسه هو خادم وكيل فائق ، وفي العميل المثبت على الكمبيوتر ، سيتم محاكاة العملية برمتها من قبل المتخصصين.
النظر في مثال HTTP (S).
- يرسل العميل طلبًا للاتصال مع العميل إلى الخادم الوكيل.
- يسمح خادم البروكسي الفائق بذلك أم لا ، إذا كان يسمح به ، فإن خادم البروكسي الفائق نفسه يرفع الاتصال ويسجل الدخول إلى لوحة التحكم.
- يستقبل خادم البروكسي Super مباشرة الصفحة الرئيسية للوحة الإدارة.
- يقوم الخادم الوكيل الفائق بتمرير هذه الصفحة إلى العميل ، مع استبدال عنوان مورد العميل بعلامة خاصة.
- يتبع المتخصص الروابط أو يملأ الحقول الموجودة في المتصفح ويقدم النموذج. يذهب البيانات إلى خادم وكيل السوبر.
- يستبدل الخادم الوكيل الفائق الرموز المميزة مرة أخرى إلى عنوان مورد العميل ، وبالتالي يرسلها مباشرة إلى مورد العميل نفسه.
مع العمل على SSH ، يمكنك نقل النص الخالص. ومباشرة من خادم البروكسي الفائق إلى مورد العميل ، يرتفع اتصال SSH العادي.
شيء مثل هذا. إنني أتطلع إلى تلقي ملاحظاتك في التعليقات والروابط إلى المستودعات ، إذا قرر شخص ما إنشاء مثل هذا النظام.