Халява, плиз. Или снова о Сквиде и Новеле.

Обсуждение технических вопросов по продуктам Novell

А чего не использовать Ldpa auth ?

Сообщение skoltogyan » 07 апр 2003, 16:00

linux+squid
в сквид сказать, что-бы использовал LDAP_Auth.
Указать, что LDAp сервер - это nw сервер с edir (там nldap.nlm запущен должен быть)

В сквиде сделать правила со списками нужных пользователей.
Аутентификация будет происходить при помощи обращений по LDAP к Вашему дереву.

Минус - надо вести списки пользователй на линукс, паралельно с заведением новых юзеров в дереве..
skoltogyan
 
Сообщения: 2037
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Сообщение Константин Ошмян » 07 апр 2003, 18:20

Тут ведь есть и ещё одна проблема - а именно, передача паролей от браузера сквиду. Ведь этот пароль вместе с именем пользователя передаются по сети в нешифрованном виде (всего лишь кодированными в Base64, т.е. практически в открытую), и передавать так тот же самый пароль, который используется и для доступа к основной сети - мягко говоря, не везде можно. Как быть с этим?
Аватара пользователя
Константин Ошмян
 
Сообщения: 991
Зарегистрирован: 13 авг 2002, 21:36
Откуда: Рига

WS-------->SQUID

Сообщение skoltogyan » 07 апр 2003, 20:18

Константин, да это есть и как решить ничего не изменяя в исходниках сквида - неведаю. Впрочем и какие именно изменения в исходниках нужны только предпологаю...: (

Очень гибкое решение Linux+Squid+iptables+..., позволяющее
и смотреть и разграничивать, Очень УСТОЧИВОЕ(к изменениям вносимым администратором в приложения), достаточно дешевое (в условиях дешевизны раб.силы в Украине)..

Вобщем...Как обычно - проблема Выбора.....(на флейм меня потянуло.. пардон)
skoltogyan
 
Сообщения: 2037
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Пока рано говорить, но...

Сообщение Сергей Дубров » 08 апр 2003, 06:13

Константин Ошмян писал(а):Тут ведь есть и ещё одна проблема - а именно, передача паролей от браузера сквиду. Ведь этот пароль вместе с именем пользователя передаются по сети в нешифрованном виде (всего лишь кодированными в Base64, т.е. практически в открытую), и передавать так тот же самый пароль, который используется и для доступа к основной сети - мягко говоря, не везде можно. Как быть с этим?

У меня студент сейчас заканчивает работу, посвящённую решению именно вышеуказанной проблеме - передаче открытым текстом (в каждом запросе!) пароля от рабочей станции к сквиду. Вроде пока получается плюс прикручиваются квоты и поимённый учёт. LDAP сервером работает eDir 8.7 на Linux-ах и NW 5.1.
Аватара пользователя
Сергей Дубров
 
Сообщения: 2096
Зарегистрирован: 05 июн 2002, 06:07
Откуда: Новосибирск, ин-т ядерной физики СО РАН

Константин, ..

Сообщение skoltogyan » 08 апр 2003, 09:39

Вы сможете ознакомить с этим трудом ?
skoltogyan
 
Сообщения: 2037
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

К кому вопрос? (Re: Константин, ..)

Сообщение Сергей Дубров » 08 апр 2003, 10:37

skoltogyan писал(а):Вы сможете ознакомить с этим трудом ?

Если вопрос ко мне, то я не Константин :lol: . Повторю - рано ещё знакомить, на стенде это работает, в реальной жизни на большом количестве машин/юзеров не проверялось, боевые испытания ещё предстоят. Будут успехи - доложу...
Аватара пользователя
Сергей Дубров
 
Сообщения: 2096
Зарегистрирован: 05 июн 2002, 06:07
Откуда: Новосибирск, ин-т ядерной физики СО РАН

Сергей, приветствую! А можно ли...

Сообщение Константин Ошмян » 08 апр 2003, 13:03

...ознакомить хотя бы с основными идеями - каков ваш подход к решению этой проблемы? Если это не коммерческая тайна, конечно. Я пока что вижу такие варианты:
  1. Использовать что-то типа Entrust Client for SSO, который будет передавать с клиента на сервер информацию о том, кем пользователь аутентифицировался (тут возможны варианты - простейший, например, это запускать на каждой виндовой машине фриварного ident-демона);
  2. Использовать другого клиента для SSO, который автоматом будет подставлять в нужные поля взятые из NDS (из Secret Store) имена-пароли для данного приложения - да, они будут нешифрованные, но это будут другие пароли;
  3. ничего нигде не подставлять автоматом, а просто использовать для аутентификации к Squid-у другой набор credentials, отведя для пользователя под это дело отдельный атрибут в его свойствах;
  4. попробовать сделать как в Border Manager-е: передавать аутентификационную информацию через SSL (пока не представляю себе, как этому научить Squid :nixweiss: )
А вы по какому пути пошли?
Аватара пользователя
Константин Ошмян
 
Сообщения: 991
Зарегистрирован: 13 авг 2002, 21:36
Откуда: Рига

Сообщение Владимир Никитин » 06 май 2003, 08:09

Аватара пользователя
Владимир Никитин
 
Сообщения: 445
Зарегистрирован: 05 июн 2002, 07:38
Откуда: Ростов-на-Дону

Сообщение Михаил Григорьев » 06 май 2003, 09:55

Владимир Никитин писал(а):Авторизация proxy-сервера Squid в Novell NDS


Попробуем сделать как написано... Мы уже 2-ю неделю бьёмся с этой авторизацией... Никак.... Пробуем через ldap_auth и ни в какую...
Аватара пользователя
Михаил Григорьев
 
Сообщения: 1462
Зарегистрирован: 04 июн 2002, 12:22
Откуда: Челябинск

Сообщение Иван Левшин aka Ivan L. » 06 май 2003, 10:28

Всем привет... Смотрю, тема все еще жива :) Положу и свои 5 копеек...

У меня тут напарник в инициативном порядке сваял за день нечто подобное клиенттрасту для сквида - маленькая программулина, которая садится в трей и при обращении к сквиду передающая ему имя того, кто сидит за машиной. Инфу берет из НДС. Дальше сквид проверяет это В СВОИХ ACL и принимает решение "казнить нельзя помиловать" ;). Имя передается открытым текстом - что не есть гуд, ИМХО... Будем бороться с этим. В дальнейшем - расширение схемы НДС с целью ведения и соблюдения квот по входящему трафику, разрешения/запрещения определенных видов трафика и пр. Короче - получится некий монстрик, который следит ЗА ВСЕМ, что юзверь хочет получить через TCP/IP :lol: Что получится - пока не знаю, потому как помимо этого "хобби" у товарища обязательных дел вагон... Опыт Сергей Дуброва - точнее, его студентов, - считаю безусловно интересным и было бы очень здорово, если бы Сергей нашел время и возможность поделиться инфой по данному проекту...
Иван Левшин aka Ivan L.
 
Сообщения: 2576
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

Сообщение Михаил Григорьев » 06 май 2003, 19:27

Идея интересная... Иван если будут результаты телеграфируй... Я сейчас активно движусь в направлении авторизации squid через ldap или вообще по NDS

Кстате тоже предполагается использовать ето дело в одном техникуме... так что надобность острая..
Аватара пользователя
Михаил Григорьев
 
Сообщения: 1462
Зарегистрирован: 04 июн 2002, 12:22
Откуда: Челябинск

Пред.

Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 59

cron