170 похожих чатов

Добрый день. Подскажите пожалуйста как сделать бесшовную авторизацию через ldap?

Т.е. пользователь открыл мой сайт и по его логину (что при входе в систему ii.ivanov) проходит поиск в моей БД, находит среди пользователей ii.ivanov и впускает пользователя в систему?

29 ответов

41 просмотр

ежели найдешь и мне расскажи плиз))

Mikhail-B. Автор вопроса
HermanSochi 🌴
ежели найдешь и мне расскажи плиз))

Я делал в свое время через ntlm. Теперь не варик

Mikhail B.
Я делал в свое время через ntlm. Теперь не варик

Я через https://github.com/adldap/adLDAP делал. Там тривиально:

Mikhail-B. Автор вопроса
Mikhail B.
Спасибо. сейчас посмотрю

В крайнем случае все есть тут - https://www.php.net/manual/ru/book.ldap.php

Mikhail B.
Спасибо. сейчас посмотрю

Заодно и это глянь - https://github.com/ldaptools/ldaptools

Mikhail-B. Автор вопроса
Mikhail B.
Можно я Вам в личку напишу?)

Я ничего более нового не скажу )) Я в свое время встроенные (ну не совсем встроенные) в PHP функции юзал.

необходимо кешировать данную информацию и при обращении по урлу смотреть обновился или нет, иначе будет медленно для бесшовной аутентификации между сервисами необходимо иметь общий сервис для валидации личности, обязательно оно должно быть на одном домене (но разные поддомены), куки помогут, если требуются разные сайты - то необходимо настроить корс и со стороны клиента отправлять запрос на сервис, и в случае положительного ответа от сервиса - отправлять ещё один запрос на бек с уже токеном из того сервиса задачка уровня мидл+ / сеньор

Dmitri Fredik
необходимо кешировать данную информацию и при обра...

другой вариант - вход осуществлять через единый сервис входа, и при входе - передавать в качестве параметра jwt какой-нибудь от сервиса (но тут будет редирект), в общем, все зависит от задачи бизнеса, и такие решения принимаются коллективно всей компаниец

Dmitri Fredik
необходимо кешировать данную информацию и при обра...

Херассе, значит я уже сеньор? )))) Насчет кэшировать - категорически не согласен. Админы в домене учетку отключили, а мы по кэшу еще авторизуемся какое-то время. Имхо это не правильно. А LDAP для того и создавали шоб быстро обслуживать туеву хучу запросов.

Dmitri Fredik
необходимо кешировать данную информацию и при обра...

Мегафон, кстати форк OpenLDAP для себя написал (точней для Мегафона написали), когда столкнулся с тем, что с их нагрузками OpenLDAP не справляется. А там не веб-какой нибудь, а жесткий рилтайм... https://github.com/erthink/ReOpenLDAP

HermanSochi 🌴
Херассе, значит я уже сеньор? )))) Насчет кэширова...

кеширование имеет свойство сбрасываться при действии, если с учёткой произошло что-то, то мы обновляем кеш

Dmitri Fredik
кеширование имеет свойство сбрасываться при действ...

А теперь подробней как со стороны того же AD сделать это...

HermanSochi 🌴
А теперь подробней как со стороны того же AD сдела...

зачем со стороны ад? со стороны бека, который принимает запрос и идёт в ад чтобы посмотреть информацию об учетке, в общем, думаю тебе стоит создать тестовую среду такого формата, и поиграться со сценариями, и сделать латенси тяжеловатый между службами, тогда вот почувствуется, будет супер если опубликуешь в паблик - я буду первым, кто скачает твоё решение, чтобы поиграться

Dmitri Fredik
зачем со стороны ад? со стороны бека, который при...

Админы отключили учетку в АД. У нас на бэке она закеширована. Как бек об этом узнает? Или каждый раз идем в AD и смотрим статус? Нахрена тогда кэширование? ))) Можно извратиться, и со стороны AD вызывать вебхук при удалении учетки, но во первых автору вопроса это явно не нужно, во вторых у меня в лесу доменов из нескольких тысяч компов десятки запроов в секунду к DC, которые стягивают всех юзеров, включая их фотки из AD. Ничего не тормозит. Но правда фотки я потом переписал, и кэшировать стал, просто от нечего делать. И так все работало.

Dmitri Fredik
зачем со стороны ад? со стороны бека, который при...

А теперь самая главная проблема пароль или хэш пароля ты от AD не получишь. И толку то тогда от такого кэширования? Ну да, кэшировать статус можно будет. Но пароль в AD поменялся, как его на беке получить? Только заставлять юзера вводить еще раз и хэш в базу класть. Короче не вижу я плюсов от такого решения...

HermanSochi 🌴
Админы отключили учетку в АД. У нас на бэке она за...

все индивидуально, если тебе летенси не важно, то можно без кеширования, если важно, то кеширование

HermanSochi 🌴
А теперь самая главная проблема пароль или хэш пар...

зачем пароль кешировать? блин, ещё раз, построй систему, потом фантазируй, все что ты пишешь - бессмысленное обсуждение воды

Dmitri Fredik
зачем пароль кешировать? блин, ещё раз, построй си...

Ткните носом в небессмысленное решение проблемы.

HermanSochi 🌴
Ткните носом в небессмысленное решение проблемы.

все зависит сугубо от задачи, нужно - кешируешь - не нужно - не кешируешь, если тебе не важен опыт пользователя, а важно удобство для админов - не кешируешь, важно удобство пользователя, кешируешь, ты мыслишь как разработчик, а не как бизнес

Dmitri Fredik
все зависит сугубо от задачи, нужно - кешируешь - ...

Вы в крупной конторе работали? Где СБшники лично контролируют отключение доменных учеток при увольнении Топов или ИТшников? Какое там нафиг кэширование??? Они наоборот требуют гарантий что уволенный больше никак не сможет в корпоративные сервисы подключиться.

HermanSochi 🌴
Вы в крупной конторе работали? Где СБшники лично к...

да, я работаю в корпорации, точнее, в её дочке, у нас есть сб, и? ещё раз, узнай про бизнес, потом строй решения? че ты до меня пристал со своими "кеширование в ад это плохо"

HermanSochi 🌴
Вы в крупной конторе работали? Где СБшники лично к...

а по образованию я как раз таки СПЕЦИАЛИСТ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ, да ещё и работал как безопасник в государственной организации 🤔🤔🤔

Dmitri Fredik
да, я работаю в корпорации, точнее, в её дочке, у ...

Я пристал? Я вообще понять не могу что это значит - "необходимо кешировать данную информацию и при обращении по урлу смотреть обновился или нет, иначе будет медленно" в контексте аутентификации/авторизации на корпоративном веб-сервисе...

HermanSochi 🌴
Я пристал? Я вообще понять не могу что это значит ...

а я так понял, что продукт из масс сегмента в рамках экосистемы какой-то

это не обязательно делать тут 😂

Похожие вопросы

Обсуждают сегодня

Господа, а что сейчас вообще с рынком труда на делфи происходит? Какова ситуация?
Rꙮman Yankꙮvsky
29
А вообще, что может смущать в самой Julia - бы сказал, что нет единого стандартного подхода по многим моментам, поэтому многое выглядит как "хаки" и произвол. Короче говоря, с...
Viktor G.
2
30500 за редактор? )
Владимир
47
а через ESC-код ?
Alexey Kulakov
29
Чёт не понял, я ж правильной функцией воспользовался чтобы вывести отладочную информацию? но что-то она не ловится
notme
18
У меня есть функция где происходит это: write_bit(buffer, 1); write_bit(buffer, 0); write_bit(buffer, 1); write_bit(buffer, 1); write_bit(buffer, 1); w...
~
14
Добрый день! Скажите пожалуйста, а какие программы вы бы рекомендовали написать для того, чтобы научиться управлять памятью? Можно написать динамический массив, можно связный ...
Филипп
7
Недавно Google Project Zero нашёл багу в SQLite с помощью LLM, о чём достаточно было шумно в определённых интернетах, которые сопровождались рассказами, что скоро всех "ибешни...
Alex Sherbakov
5
Ребят в СИ можно реализовать ООП?
Николай
33
https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_h_common.erl#L174 https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_olp.erl#L76 15 лет назад...
Maksim Lapshin
20
Карта сайта