Системы видеонаблюдения/видеофиксации сейчас очень популярны. И хотя на рынке их великое множество, желание сэкономить, особенно для использования дома или в секторе SOHO, часто приводит к мукам выбора.

В частности, у меня были следующие условия для домашнего NVR:

1. работа серверной части NVR под управлением Linux в виртуальной машине VMWare ESXi;
2. невысокая требовательность к ресурсам виртуальной машины при подключении 6-8 FullHD H.264 камер;
3. возможность подключения и управления сервером NVR с Windows компьютера и смартфона (Android);
4. невысокая стоимость (лучше бесплатно);

26 мая в г. Казань завершилась работа 11й всероссийской конференции «IT & Security Forum». Конференция проходила в отеле «Корстон». Конференция собрала более 900 участников из 80 городов России. На конференции прозвучало 60 докладов, в демозоне представлено большое число тематических стендов.

27 мая 2016 года в городе Казань завершилась 10 юбилейная конференция “IT & Security Forum”.
Работа форума фактически началась 25 мая, когда приехавшие участники смогли организованно посетить новый город-саттелит Казани — Иннополис, который, как обещает руководство Татарстана уже в недалеком будущем будет главным местом расположения ИТ-индустрии нашей страны. Однако, пока город выглядит как большая стройка. Хотя то, что уже построено — прекрасно.
Очень неплохо выглядит и снаружи и внутри Университет Иннополис, собственно в котором и происходила основная часть экскурсии. Во вступительном докладе руководства университета была донесена идея организации работы этого университета по схеме, аналогичной работе университетов с мировыми именами: “Стэнфорд”, “Карнеги Меллон” и т.д. Звучали приглашения к сотрудничеству с университетом, призывы к открытию новых инновационных подразделений в этом городе. Особая экономическая зона, налоговые преференции, уникальная удобная инфраструктура города Иннополис — все это должно выглядеть привлекательным для инвесторов и поможет привлечь интеллектуалов всей страны.
Иннополис был торжественно открыт ровно один год назад, а к текущему моменту в нем уже зарегистрированы 27 компаний.

Уже давно в качестве домашнего DLNA-сервера использую Mediatomb. Это очень надежный и легкий сервер, который позволяет получить доступ к своему видео-аудио-фото архиву с любого устройства, поддерживающего DLNA.
Mediatomb обладает интерактивным WEB-интерфейсом, посредством которого можно добавлять под контроль указанного сервера каталоги с медиа-данными. Однако, мне понадобилась возможность не интерактивного, а консольного управления этим сервером, в частности появилась необходимость добавлять и удалять папки с медиа-информацией. К сожалению, никаких штатных средств для этих операций системой не предусмотрено, поэтому был создан небольшой скрипт, на основе CURL, который, понятно, имитирует работу пользователя с браузером и собственно позволил мне достичь нужного результата.

Возможно, проделанная работа может потребоваться кому-нибудь еще, поэтому решил воспроизвести ее на Хабре.

При эксплуатации системы GitLab CE на своем предприятии (имеющему большую филиальную структуру), была обнаружена уязвимость, которая может привести к получению полного доступа к аккаунту любого пользователя системы администраторами филиалов предприятия.

Проблема выявлена в подсистеме LDAP-аутентификации пользователей. Дело в том, что основной сущностью, с использованием которой происходит авторизация в GitLab является E-Mail пользователя. Однако при входе пользователей в GitLab с использованием LDAP процесс аутентификации/авторизации происходит следующим образом:

• Пользователь вводит на странице Sign-In системы свои имя/пароль из службы каталогов LDAP (Active Directory).
• GitLab, используя введенные данные аккаунта производит аутентификацию пользователя в LDAP.
• В случае успешной аутентификации GitLab считывает из атрибута MAIL аутентифицированного аккаунта адрес электронной почты и авторизует по нему в GitLab без всяких дополнительных проверок

.
В результате, например, «нехороший» системный администратор «филиала A», может используя свои полномочия, к примеру в Active Directory, создать в своем OU «Филиал А» любого пользователя (например hackuser) и записать в его LDAP-атрибут MAIL адрес электронной почты пользователя любого другого филиала, на который даже не распространяются полномочия этого администратора. После этого «нехороший» администратор «Филиала А» может авторизоваться пользователем hackuser в системе GitLab, при этом в результате авторизации будет получен полный доступ к аккаунту пользователя, имеющего адрес электронной почты установленный «нехорошим» администратором для hackuser.

Начало

Однажды мне пришлось заняться разработкой Web-приложения для корпоративного использования на Python+Django. И самым первым вопросом, который пришлось решать — это прозрачная авторизация на сайте или Single Sign-On (SSO).

На предприятии широко используется служба каталогов на базе Microsoft Active Directory, и к настоящему моменту практически все корпоративные приложения позволяют использовать windows-авторизацию и не вводить постоянно логины/пароли, поэтому новое приложение просто должно было удовлетворять существующему положению вещей и реализовывать указанную выше возможность для «прозрачной» авторизации пользователей.

Хотя о вопросе реализации SSO для Django написано немало статей, однако для того, чтобы реализовать то, что мне было необходимо, пришлось затратить относительно много времени. Поэтому, чтобы избавить некоторых из вас от возможных долгих поисков информации и ее сборки в работающую схему, предлагаю вам свой мануал, как сделать прозрачную авторизацию в приложении Django с использованием учетных записей Active Directory.

Итак мы имеем: