Каталог решений - Ограничение доступа к HTTP публикациям 1С сервера используя NGINX

Ограничение доступа к HTTP публикациям 1С сервера используя NGINX

Ограничение доступа к HTTP публикациям 1С сервера используя NGINX

В наличии

В статье опишу вариант ограничения доступа к HTTP публикациям 1С сервера используя NGINX.

Категория:

Описание

Вводные

  • База 1С: Управление торговлей 11 с публикацией по HTTP
  • Требуется подключить входящие уведомления то АТС, без Basic аутентификации, с Token аутентификацией
  • Требуется подключить тонкий клиент по HTTPS
  • Требуется подключить API для работы с мобильными клиентами (товары, заказы)
    • с basic аутентификацией на уровне кода HTTP сервиса (без использования внутреннего справочника пользователи).
    • с ограничением по количеству запросов в минуту

Базовая схема подключения:

 

Описание проблемы

 

Для каждого из видов подключения нужна своя аутентификация и отдельный набор ролей доступа. При одной публикации доступ пересекается, стандартные "грабли": при подключении телефонии тонкий клиент на автомате подключается под сервисным пользователем телефонии.

Разнесение на отдельные публикации 

 

Решает проблему пересечения, но не решает вопрос контроля доступа. При публикации HTTP сервисов расширений публикуются все, потенциально под одним пользователем могут подключится к другому сервису.

Так же остается проблема если нужна Basic аутентификация на уровне кода сервиса.

 

Вариант решения

Использовать обратный прокси перед основным web сервером и на его уровне настроить ограничения доступа.

Схема:

 

Подготовка

  • для тестов организовал DNS запись test.malikov.pro
  • основная машина на win 10,
  • сервер 1С на основной машине c apache 2.4 (IP 192.168.57.2) на порту 8080
  • конфигурация УТ 11.4.11.100
  • в качестве ОС использую Ubuntu, инструкция по установке Nginx в Ubuntu 18.04
    • для установки ubuntu тестов использую VMWare Workstation
    • в настройках сетевого адаптера VM стоит "bridge" для нахождения в одной сети с роутером и проброса портов извне (IP 192.168.57.5) 
    • подключаюсь к ubuntu через SSH, (клиент), отправляю файлы через WinSCP(ссылка), в тестовой среде подключаюсь под root (инструкция по включению root), в рабочей среде желательно использовать SSL ключи и использовать нестандартный порт.

1. Проверяю доступность web сервера из вне

 

has been added to your cart:
Оформление заказа