Администратор Drupal и логин, их защита с помощью HTTPS


15

Я много читал об этом и пробовал многие методы, которые нашел, и пока не смог заставить что-либо работать должным образом.

Я хочу иметь возможность защитить область администратора и связанные страницы входа в систему. Поэтому все, что находится в example.com/admin/* или example.com/user/* и т. Д., Должно проходить через SSL / TLS. Мы хотели бы, чтобы это применялось к каждому сайту с настройкой мультисайта. Таким образом, example1.com, example2.com, example3.com находятся на одной учетной записи сервера / пользователя.

Настройка

  • Drupal 7 multi site
  • Чистые URL включены
  • PHP 5.3
  • MySQL v14 d5
  • Apache2

Примечания

  • Securepages не вариант, так как нет стабильной версии Drupal 7, а для использования существующей версии dev необходимо установить исправление Drupal Core, что противоречит нашей политике
  • Пробовал сессию 443 безуспешно
  • Попытка безопасного входа без успеха
  • Сертификат SSL (самоподписанный на данный момент во время тестирования) установлен и работает на сервере для других целей, но не для Drupal.
  • Я прочитал все документы на Drupal.org о включении HTTPS и пытался следовать указаниям там с небольшим успехом
  • Я переключил параметр $ conf ['https'] в файле settings.php без видимых результатов.

Вопросы

Если я включаю HTTPS для всего на сайте, я получаю 404 за все, что пытается пройти через https: //, что заставляет меня думать, что правила перезаписи не применяются для страниц https. Что мне здесь не хватает? Есть ли условие / правило перезаписи, которые я могу добавить в htaccess, чтобы это исправить?

Разве это не решенная проблема в сообществе Drupal? Люди просто оставляют свои административные зоны незащищенными, а пароли пользователей отправляются в открытом виде? Мне трудно в это поверить, но кажется, что нет встроенного или общеизвестного решения проблемы.


Хороший вопрос. Вы читали это? drupal.stackexchange.com/questions/23149/…
недооценка

Drupal должен работать без проблем как на http, так и на https. Я предполагаю, что ваша проблема заключается в конфигурации Apache (возможно, сайт SSL указывает на другой DocumentRoot). Не могли бы вы опубликовать конфигурацию Apache и .htaccess Drupal для дальнейшего анализа?
Por

@undersound Спасибо. Да, я прочитал это. Мы действительно заинтересованы в обеспечении всех административных задач по протоколу HTTPS, а не только входа в систему.
KevinL

2
Вероятно, лучшая ставка - помочь в тестировании и продвижении двух основных исправлений, необходимых для утверждения. У них обоих есть обновления с этой недели ...
squarecandy

Ответы:


4

Это не вопрос, который вы задали, а самый простой ответ: вы должны просто изменить свою политику.

«Взлом» ядра (исправление его) и запуск нестабильных выпусков - это реальность работы сайта.

Два исправления, необходимые для защищенных страниц, часто нуждаются в повторных проверках, обзорах или улучшениях. Примите участие в этом цикле и помогите им стать стабильными.


0

Я использовал следующие настройки для этого ... и мне не нужен был модуль для этого. 1) httpd.conf

#APACHE stuff...
Listen 443
NameVirtualHost *:443
Include conf.d/vhosts/*.conf #Need this for multi-site and subdomains

<IfModule mod_header.c>
#enable HSTS
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"
</IfModule>

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

2) conf.d / vhosts / site1.conf

<VirtualHost *:443>
#APACHE stuff...
SSLEngine on
RewriteCond %{HTTP_HOST} !^www\. [NC] #Force www... be careful with subdomains
RewriteRule ^ https://www.%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</VirtualHost>

3) settings.php

$base_url = 'https://www.example.com';  // NO trailing slash!

И воооала !! это заставит весь http-трафик проходить через https, включая такие ресурсы, как js и css. Если вам нужны субдомены, обязательно добавьте соответствующие директивы ServerAlias ​​в файл (ы) vhosts.


0

Я использую модуль Ubercart SSL, который является фантастическим модулем, хотя он ужасно назван . Вам не нужно запускать Ubercart, чтобы воспользоваться преимуществами этого модуля, который очень стабилен и прост в использовании.

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.