Как сделать более «красивую» авторизацию через Nginx?

Question

[HoHsi]

Добрый день!
Мне тут досталось в наследство 10 сайтов, причем все на разных технологиях и языках, но все они одна большая семья)
Там есть GitLab, Wiki, Jenkins и так далее.

Сейчас на все внутренние сайты стоит Nginx basic авторизация, или вовсе не стоит. Мониторить все эти заходы муторно и лениво, да и хочется достичь большей безопасности.

Возникла мысль, так как на внутренние ресурсы не такая большая нагрузка, поставить между ними второй слой прокси, по средствам Express.js приложения, через который и авторизовывать разработчикав, и тем самым не заставлять их по 10 раз вводить пароли на разных сайтах.

Насколько адекватная эта идеи, и есть ли уже готовые аналоги?

Answer 1

[Дмитрий Воронков]

Обычно ко всему этому зоопарку делают lpdap авторизацию. Удобно. завел пользователя, выдал ему пароль и пусть идет в jenkis, gitlab и т.д. Уволился сотрудник, удалил его учетку и прощай.

Answer 2

[Влад Животнев]

Клиентские сертификаты прикрутите, ничего вводить не нужно будет.

Comments

[HoHsi]

Какие сертификаты по HTTP в браузере? Они же не по SSH будут на WIKI ходтиь

[Влад Животнев]

HoHsi: x509, какие ж ещё.

https://pravka.net/nginx-mutual-auth/

Перейти на https нужно будет, да. В наше время это бесплатно.

[Эргил Осин]

Влад Животнев: > В наше время это бесплатно
Самоподписанные(а для внутренних нужд все равно их юзать) и в наше время было бесплатно. А, вообще, вы правы, правда когда-то давно у nginx были проблемы с отзывом сертификатов, но вроде это давно пофикшено.

[Влад Животнев]

Эргил Осин: ну на само https-соединение можно и от startssl валидные взять.
А клиентские в любом случае из своего СА выписывать нужно будет, да.