Форум: "Сети";
Текущий архив: 2002.07.08;
Скачать: [xml.tar.bz2];
ВнизПроблема с Indy и OpenSSL Найти похожие ветки
← →
Konstantin Borodachev (2002-04-25 14:42) [0]Вопрос по Indy и Open SSL. В состав Delphi6 входит
пакет Indy, в нем есть компоненты TIdHTTPServer,
TIdInterceptOpenSSL. Я скомпилировал демо приложение
HTTPServer, которое есть в составе Indy, скачал
и подключил ssl dll-ки. В составе этой демки есть
пробный сертификат. Проблема заключается в том, что
сертифицируется сервер, то есть при попытке
зайти браузером на сервер выдается предупреждение
о сертификате, и, если сертификат принимается клиентом
(то есть на стороне браузера), устанавливается
ssl соединение и клиент (браузер) попадает на сервер.
Таким образом, ЛЮБОЙ клиент может зайти на сервер.
Мне же необходимо, чтобы сертификат удостоверял клиента,
и те клиенты, которые сертификат не имеют, на сервер
бы никогда не попадали. Пробовал изменять поля
IdInterceptOpenSSL.VerifyMode, IdInterceptOpenSSL.SSLOptions,
но ничего не помогает. В Indy нет даже нормального
описания этих полей. Может быть кто-то посоветует, как
разрешить эту проблему, если вообще это возможно с данными
компонентами, буду очень признателен.
Мой e-mail kosta@energobank.ru
← →
Wonder (2002-04-25 15:16) [1]Насколько я помню:
SSL - протокол защиты передаваемых данных, а не механизм авторизации. Ты перепутал направление. Не сервер выбирает, а клиент может подключаться по SSL к любым серверам которым он "доверяет". Т.е. сертификат сервера имеется в списке надежных.
← →
Konstantin Borodachev (2002-04-25 18:11) [2]То есть с помощью SSL нельзя ограничить доступ к серверу?
Каим же образом, кроме пароля, это можно сделать?
Смысл в том, что только тем клиентам, на компьютере которых есть нечто, например, некий сертификат, позволено заходить на сервер. Пароля мало. Ловить ip адрес - не получится, как правило, адреса динамические и не удастся жестко привязать адрес к клиенту. Как же тогда быть?
← →
Wonder (2002-04-27 11:24) [3]Если это http-сервер, то в http имеется встроенный механизм авторизации.
Если он не устраивает, можно написать свой собственный механизм используя серверные языки скриптов (perl, php) или cgi. К тому же к веб-серверам существуют уже готовые подключаемые модули авторизации. К apache - уж точно.
"Ловить ip адрес - не получится"
Динамические адреса, как правило, назначаются из диапазона одной сети. Можно проверять, скажем, адрес сети клиента.
А почему пароля-то мало?
Страницы: 1 вся ветка
Форум: "Сети";
Текущий архив: 2002.07.08;
Скачать: [xml.tar.bz2];
Память: 0.45 MB
Время: 0.005 c