Webseal что это
Перейти к содержимому

Webseal что это

  • автор:

Незаметный выход из https зоны

Я активный пользователь портала городских услуг города Москвы. Недавно заметил странное мелькание в браузере при заходе на страницу https://pgu.mos.ru. Поскольку там имеются персональные данные, то решил посмотреть повнимательнее на то, что же происходит.

Первым делом отключил JavaScript в отладочной консоли Chrome:

Так, и что же мы видим:

А видим мы то, что чудесным образом покинули зону https и браузер никак про это не сообщил. Аналогично происходит в Internet Explorer в Windows и в Safari в OS X.

  1. Заходим на https://pgu.mos.ru и получаем ответ от сервера «301 Moved Permanently» с адресом http://pgu.mos.ru/ru/ (вот он, тихий выход из https).
  2. По адресу http://pgu.mos.ru/ru/ возвращается ответ «403 Forbidden» и страница «Privacy Required» как на картинке выше. На странице, которая «This is a WebSEAL error message template file», содержится следующий скрипт:

  

Перенаправление с главной страницы не единственное. Аналогично происходит если ткнуть во многие ссылки на портале. Например, так происходит с ссылкой «Центры госуслуг» на главной страницы (https://pgu.mos.ru/ru/mfc). Серверу не нравится что адрес не имеет «/» на конце и он перенаправляется через http зону в правильный, по мнению сервера, адрес.

Собственно, о результатах своего расследования я и написал в форму обратной связи на сайте pgu.mos.ru. Ответ получил совершенно шикарный: «Пришлите скриншот ошибки». При том, что ни про какую ошибку я вообще не писал. За все это время (обращение и ожидание ответа), проблема так и не была исправлена. В статью добавил скриншот ошибки как раз на случай, если прочитают админы городского портала.

Webseal что это

Приложение WebSEAL действует в качестве обратного веб прокси-сервера, получающего запросы HTTP или HTTPS от обозревателя Интернета и доставляющего содержимое от внутренних серверов приложений. Проходящие через WebSEAL запросы оцениваются собственной службой авторизации этого приложения, чтобы определить, имеет ли пользователь разрешение на доступ к Webtop.

Чтобы войти в репозиторий, выполните следующие действия.

    В обозревателе Интернета наберите URL-адрес WebSEAL. URL-адрес WebSEAL зависит от приложения Documentum, к которому осуществляется доступ. Если необходимо получить доступ к приложению Webtop, введите URL-адрес WebSEAL, соответствующий приложению Webtop.

Пример 1.1. URL-адрес WebSEAL

http://WEBSEAL:90/myjunction/webtop

http://://

  1. Выберите пункт Дополнительные параметры.
  2. Выберите пункт Сменить пароль.
  3. Введите действующий пароль и новый пароль.
  4. Нажмите кнопку Применить.

Замечание

Если в вашей организации используется протокол Lightweight Directory Access Protocol (LDAP), то вы не сможете изменить пароль на странице входа в систему. Уточните у системного администратора, как изменить пароль.

ISAM for Web without a User Registry – New and Improved

Philip Nye

In 2009, Shane Weeden posted an article about using WebSEAL without a user registry.

The article made use of a number of components, including TFIM as a mechanism to generate an ISAM credential and return that to WebSEAL to build a session.

This pattern is particularly useful in scenarios where the users are stored in a different kind of registry, for example a database or supplied via some kind of federation.

In ISAM v8.0.0.4, a new feature has been added that allows users to be supplied via an EAI that aren’t in the local ISAM user registry, simply by returning their username. This greatly simplifies the pattern as TFIM is no longer required to generate a credential, and a WS-TRUST client is no longer required in the EAI order to complete the authentication and make a callout to the Secure Token Service (STS).

Rather than supplying an ISAM credential back in the EAI header, it’s possible to return a user in the newly available headers described in the WebSEAL configuration below:

# EAI external USER ID header names # The eai-ext-user-id-header takes precedence over the eai-user-id-header. # If the authentication data that is presented to WebSEAL includes both headers, # WebSEAL will process it as an authentication for an external user. eai-ext-user-id-header = am-eai-ext-user-id eai-ext-user-groups-header = am-eai-ext-user-groups

Here is a sample EAI that I use for testing/developing.

EAI Sample App

This EAI application will simply return an authenticated user “emily”.
Emily can be supplied as a standard (fully featured) ISAM user when the header
“am-eai-user-id” is used, or it will use Emily as an external user, when
supplying the “am-eai-ext-user-id” header in the EAI response.

If using the standard ISAM user, emily MUST exist in the ISAM user registry
otherwise an error will be generated. If using the external user, emily doesn’t
have to exist in ANY user registry.

Note: The header names are all fully configurable, and are all detailed under the [eai] stanza in the ISAM for Web Reverse Proxy configuration file. If you are using older versions of ISAM 8, or have configured your ISAM for use with TFIM, then the headers may have changed from their default, where an ‘fim’ has been added into some of them. From ISAM 9, they should now all remain their default values, and I’ve changed the example below to use them as per their defaults.

eaiapp.jsp
         

EAI Sample App

This EAI application will simply return an authenticated user "emily". Emily can be supplied as a standard (fully featured) ISAM user when the header "am-eai-user-id" is used, or it will use Emily as an external user, when supplying the "am-eai-ext-user-id" header in the EAI response.

If using the standard ISAM user, emily MUST exist in the ISAM user registry otherwise an error will be generated. If using the external user, emily doesnt have to exist in ANY user registry.

This EAI is particularly useful for returning extended attributes, that can be used to test HTTP Tag Values that can be used in Context Based Access Authorization rules.

after

If you don’t want/need the prefix of ‘tagvalue_’ in your attributes, then set the following item in your WebSEAL configuration file:

force-tag-value-prefix = no

If not – be sure to at least understand the ramifications if you ARE using extended attributes.

Перевод «authentication manager» на русский

RSA Authentication Manager: The central two-factor authentication software that provides capabilities to manage security tokens, users, multiple applications, agents, and resources across physical sites.

Программное обеспечение Authentication Manager от RSA — это централизованное приложение для двухфакторной аутентификации, которое обеспечивает возможности управления токенами безопасности, пользователями, множественными приложениями, агентами и ресурсами на физических площадках.

To ensure the implementation of multi-factor authentication, management and monitoring of the remote access environment, TI Safe uses the Safenet Authentication Manager (SAM) solution together with physical or virtual tokens (Mobile Pass).

Чтобы обеспечить реализацию многофакторной аутентификации, управления и мониторинга среды удаленного доступа, TI Safe использует решение Safenet Authentication Manager (SAM) вместе с физическими или виртуальными токенами (Mobile Pass).

WebSEAL, also known as Tivoli Authentication Manager, is a reverse Proxy from IBM which is part of the Tivoli framework.

WebSEAL, также известный как Tivoli Authentication Manager, реверсивный прокси от IBM, являющийся частью Tivoli framework.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *