Можно ли привязать авторизацию на сайте к рабочему месту

Question

[Роман Кутенко]

Собственно задача в следующем, есть веб сайт с админкой. Можно ли ограничить вход в панель администратора с одного рабочего места. Например если пользователь приходит домой, то уже не сможет в панель администратора. Сайт разработан на PHP. IP в офисе динамические.

Answer 1

[greynix]

IP динамический, но как правило провайдер выдает ip из определенного диапазона. Вам только надо узнать этот блок (например у провайдера) и разрешить доступ с этого диапазона.

Comments

[Сергей Савостин]

Тогда можно будет коннектиться с любого компьютера организации.
И по большому счету с любого компьютера, подключенного к этому провайдеру.

[Anton_from_Amber]

В любом случае ограничения реализуются комплексом мер, а не одной волшебной палочкой

Answer 2

[RuJet]

Можно настроить доступ usb-токену.
Но здесь реализация упирается в деньги.

Comments

[Сергей Савостин]

Хм, а подскажите пожалуйста основные моменты реализации?

Answer 3

[Lico]

Может в офисе поставить dyndns клиент с определенным доменом, а в админке проверять, совпадает ли айпи адрес авторизующегося с тем, на который отзывается этот домен?

Comments

[Ivan Komarov]

Самый оптимальный вариант, IMHO

Answer 4

[Сергей Савостин]

Если админ захочет, то обойдет любую защиту.
Варианты разно степени защищенности:
1. Вечная кука, установленная на комп. Можно подсмотреть какая и установить себе где надо.
2. SSL сертификат. Можно скопировать и установить где надо.
3. Некая программа, привязанная к железу (не запускается на другом компьютере), которая делает запрос к админке, определенным образом формируя запрос, в ответ получает «секретный» URL, действующий какое-то время и запускает браузер с этим URL

Comments

[AstonMartin]

А если в варианте с пользовательским сертификатом сделать его без возможности экспорта? Тогда ведь его будет не перенести на другой комп.
Другое дело, что к этому компу можно подключиться через RDP/VNC откуда угодно ;)

[Сергей Савостин]

Для подключения по VNC/RDP нужен внешний ip на этой машине, если не ошибаюсь.
Не уверен можно ли запретить экспорт сертификата (имхо для бэкапа он нужен как минимум).

[keltanas]

Есть такая программа, как TeamViewer [ www.teamviewer.com/ru/index.aspx ]
Для нее не нужно иметь внешний IP, или проброс портов до управляемой машины.

Answer 5

[Vyacheslav]

Как правильно указали выше, опытный админ обойдет все варианты, это 100%.
Но если нужна защита от пользователей и есть доступ к компу, на котором должна запускаться админка, может быть попробовать организовать проверку на наличие определенного файла на локальной машине.
docs.php.net/manual/en/function.fopen.php — через fopen, например.
Файл не куки, которые для разных браузеров разные да и пользователь может вдруг почистить диск.
Положить куда-нибудь подальше его. Ну а дальше на ваше усмотрение — можно проверить содержимое файла, кроме его наличия.
Такая мысль.

Comments

[ultimate_darkness]

Как вы собрались с помощью fopen на сервере смотреть на клиентский файл?

[Vyacheslav]

Через fopen никак. Я имел ввиду подумать в этом направлении.

Answer 6

[anitspam]

похоже, что организационная задача решается техническими методами. не совсем правильный подход.
если работа для сотрудников важна, то можно уволить пару человек, которые пытаются работать нет так, как предписано, чтобы другие так не делали.

Answer 7

[BReal]

В файле /etc/hosts пропишите диапазон IP

Comments

[Роман Кутенко]

Не подходит, есть ли другие варианты?

Answer 8

[Anton_from_Amber]

Судя по вопросу, у вас повышенная паранойя. Ко всему сказанному (диапазон адресов, вечный куки) контролиуйте время работы. То есть, когда админ дома после дежурства, его аккаунт система не пускает. Ну, и в довесок, прикрепите к пропускной системе вашей организиции контроль входа-выхода по магнитым картам: при выходе человека из здания(комнаты) блокируйте акк.
И не забывайте: человек может подключить к своей машине удалнный доступ и управлять админкой без всяческих обходных манёвров насмехаясь над вашими усилиями ;-)

Comments

[Роман Кутенко]

Почему сразу параноя, все гораздо проще. Админка многопользовательская. При входе в систему автоматом проставляется + в листок посещения, так вот задача чтобы человек не придя на работу не смог зайти в админку чтобы проставился +

[Vyacheslav]

«в листок посещения» — к сожалению, могу сказать, что мои сотрудники такую проблема обошли очень просто. Они звонят по телефону и просят коллегу отметиться за него ))) И приходится другими средствами вычислять злостных опаздывателей прихода на работу.

Answer 9

[keltanas]

1. Подключите к сети организации постоянный внешний IP;
2. Перенесите сайт на сервер в сеть организации;
3. Настройте доступ через apache только с необходимого компа.

4. Можно сделать доступ к админке только по 443 порту через сертификат. И закрыть его на роутере от внешнего доступа. Или настроить на сервере фаервол, чтобы доступ к нему (порту) был только с локалки или с конкретной машины в локалке.

Опять же, не исключено, что человек сможет удаленно зайти на свою рабочую машину и делать с сайтом что хочет.

Можно еще придумать схему с VPN… Можно написать софт, который будет вместо админки… все зависит, на сколько сильно надо защитить админку сайта и к сколько ресурсов владелец готов на это выделить )))

Comments

[keltanas]

Еще есть вариант, если управляющий сайтом со своего раб. места зальет какой-нибудь эксплоит на сайт через админку и будет пользоваться им откуда угодно ))) Так что идеала не существует ))) А стремление к нему будет стоить неопределенных средств ))

[keltanas]

Можно кастомизовать строку User-Agent браузера. Но обход этого элементарен. Если человек, который хочет обойти, догадается в чем дело )))

[Damaskus]

Можно кастомизировать и другие настройки доступные в хедерах. Например, поддержка gzip или еще что нибудь. С помощью js можно узнать разрешение экрана и т.д. Надо постараться использовать набор параметров.