logo
Доступ к удалённым ресурсам организации из дома

ELiS WebProxy

WebProxy logoОткрыть ресурсы через веб-прокси

ELiS WebProxy работает аналогично EZproxy: веб-сервер устанавливается в сети организации по адресу site_ru.proxy.youorg.ru и при заходе на этот адрес ресурсы забираются с site.ru и отдаются с site_ru.proxy.youorg.ru.
Так как веб-сервер стоит в сети организации, site.ru видит пользователя авторизованным и предоставляет доступ.
Минус подхода: необходимо все ссылки менять с site.ru на site_ru.proxy.youorg.ru, что может ломать некоторые сайты. Также сложности могут возникать с поддоменами, когда site.ru может использовать подсайты auth.site.ru или внешнюю авторизацию.

Принцип работу webProxy

Принципы работы

Веб-прокси разворачивается на сервере организации с поддержкой PHP и NGINX/Angie, в том числе может быть развернут на отечественных ОС.
Веб-прокси подменяет сайт с удаленным ресурсом (в примере он будет site.ru) на поддомен в сети организации site__ru.proxy.myorg.ru, где myorg.ru - домен организации, а proxy.myorg.ru и *.proxy.myorg.ru указывают на сервер с веб-прокси.
Дальше идут следующие этапы:

Шаг 1. Переход на страницу site__ru.proxy.myorg.ru

Пользователь должен начать просмотр site.ru не с самого сайта, а с его проксированной версии, открыт site__ru.proxy.myorg.ru.
С одной стороны такой подход несет определенные неудобства, т.к. если пользователь будет открывать некоторый ресурс с site.ru из поиска или по прямой ссылке из списка литературы, то он откроет непроксированный ресурс.
С другой стороны пользователю не надо ставить никаких плагинов или программ и чего-то настраивать, он видит на сайте организации список ресурсов и просто кликает на них.

Шаги 2-4. Аутентификация и авторизация пользователя

Веб-сервер проверяет, что пользователь имеет права на доступ к удаленным ресурсам. Возможны несколько вариантов, как это можно реализовать.
Авторизация из сети организации производится просто по IP-адресу (не надо вводить логин с паролем).
Также можно автоматически авторизовать если пользователь открывает ресурс с определенного сайта, например если авторизовать при переходе из LMS, то кликая по ссылке, размещенной в lms.myorg.ru пользователь откроет site__ru.proxy.myorg.ru без ввода логина и пароля.
Для общего случая можно провести аутентификацию пользователя в базе данных пользователей, хранящейся в LDAP, файле с хешами и любым другим способом, поддерживаемым прокси-сервером.
В простейшем случае можно завести файл с единым логином/паролем для всей организации и разместить его в закрытом из интернета месте (не надо выкладывать его в интернете в открытом доступе).
При авторизации по IP/сайту доступ предоставляется сразу, иначе запрашивается логин с паролем и они проверяются.

Шаг 5. Запрос страницы сайта с ресурсом

Веб-прокси перезаписывает запрос, подменяя в нем site__ru.proxy.myorg.ru на site.ru и отправляет запрос страницы на целевой site.ru.

Шаг 6. Целевой сайт отправляет страницу с ответом

Т.к. веб-прокси уже находится в сети организации, он авторизует запрос по IP-адресу организации.
Ответ для пользователя приходит в веб-прокси.

Шаг 7. Подмена ответа целевого сайта

Куки и ссылки в ответе имеют адрес site.ru, но чтобы они работали на site__ru.proxy.myorg.ru, их надо подменить.
Фактически это аналог MITM-атаки, но производится он не с целью кражи данных, а для предоставления удаленного доступа.

Шаг 8. Отображение подмененной страницы в браузере пользователя

Подмененная страница с site.ru отображается в браузере как site__ru.proxy.myorg.ru..