Мне поручили защитить веб-сайт на чистом HTML для кого-то, и я не совсем уверен, как подойти к этой проблеме. Вот ограничения:
- Все логины должны быть связаны с нашим текущим доменом Active Directory.
- (Необязательно, но желательно) Решение должно включать в белый список запросы, поступающие из нашей интрасети, то есть, если кто-то попытается получить доступ к сайту из кампуса, он будет немедленно допущен.
- (Необязательно, но желательно) Решение должно включать в белый список запросы, сделанные с нашего узлового веб-сайта, независимо от того, находятся ли они в кампусе или нет. Упомянутый центральный сайт защищен логинами, которые ссылаются на наш домен Active Directory, так что это, по сути, запрос на транзит.
Подавляющее большинство нашей пользовательской базы совершенно не разбираются в технологиях, поэтому небольшая площадь с небольшим количеством запросов на вход в систему — это nessecery.
Обычно у меня не было бы проблем с этим, но это сайт на чистом HTML, поэтому мои возможности немного ограничены. Мои текущие идеи:
- Используйте службу безопасности каталогов IIS6, чтобы просто принудительно выполнить аутентификацию Active Directory. Я не могу использовать IP-разрешение/запрет, потому что эта проверка предшествует чему-либо еще в жизненном цикле и быстро отклоняет что-либо в списке запрещенных. Я не могу изменить это поведение.
- Закодируйте файл aspx, который находится на нашем центральном веб-сайте, который предварительно загружает интегрированные учетные данные безопасности Windows для пользователя, автоматически аутентифицируя их на веб-сайте HTML. Однако, что касается IIS, это два разных веб-сайта, и это в лучшем случае звучит как плохая практика, а в худшем - как имитация попытки межсайтового вторжения.
Я должен признать, что застрял. Кто-нибудь когда-нибудь сталкивался с такой проблемой раньше?