Страница 3 из 3

А чего не использовать Ldpa auth ?

СообщениеДобавлено: 07 апр 2003, 16:00
skoltogyan
linux+squid
в сквид сказать, что-бы использовал LDAP_Auth.
Указать, что LDAp сервер - это nw сервер с edir (там nldap.nlm запущен должен быть)

В сквиде сделать правила со списками нужных пользователей.
Аутентификация будет происходить при помощи обращений по LDAP к Вашему дереву.

Минус - надо вести списки пользователй на линукс, паралельно с заведением новых юзеров в дереве..

СообщениеДобавлено: 07 апр 2003, 18:20
Константин Ошмян
Тут ведь есть и ещё одна проблема - а именно, передача паролей от браузера сквиду. Ведь этот пароль вместе с именем пользователя передаются по сети в нешифрованном виде (всего лишь кодированными в Base64, т.е. практически в открытую), и передавать так тот же самый пароль, который используется и для доступа к основной сети - мягко говоря, не везде можно. Как быть с этим?

WS-------->SQUID

СообщениеДобавлено: 07 апр 2003, 20:18
skoltogyan
Константин, да это есть и как решить ничего не изменяя в исходниках сквида - неведаю. Впрочем и какие именно изменения в исходниках нужны только предпологаю...: (

Очень гибкое решение Linux+Squid+iptables+..., позволяющее
и смотреть и разграничивать, Очень УСТОЧИВОЕ(к изменениям вносимым администратором в приложения), достаточно дешевое (в условиях дешевизны раб.силы в Украине)..

Вобщем...Как обычно - проблема Выбора.....(на флейм меня потянуло.. пардон)

Пока рано говорить, но...

СообщениеДобавлено: 08 апр 2003, 06:13
Сергей Дубров
Константин Ошмян писал(а):Тут ведь есть и ещё одна проблема - а именно, передача паролей от браузера сквиду. Ведь этот пароль вместе с именем пользователя передаются по сети в нешифрованном виде (всего лишь кодированными в Base64, т.е. практически в открытую), и передавать так тот же самый пароль, который используется и для доступа к основной сети - мягко говоря, не везде можно. Как быть с этим?

У меня студент сейчас заканчивает работу, посвящённую решению именно вышеуказанной проблеме - передаче открытым текстом (в каждом запросе!) пароля от рабочей станции к сквиду. Вроде пока получается плюс прикручиваются квоты и поимённый учёт. LDAP сервером работает eDir 8.7 на Linux-ах и NW 5.1.

Константин, ..

СообщениеДобавлено: 08 апр 2003, 09:39
skoltogyan
Вы сможете ознакомить с этим трудом ?

К кому вопрос? (Re: Константин, ..)

СообщениеДобавлено: 08 апр 2003, 10:37
Сергей Дубров
skoltogyan писал(а):Вы сможете ознакомить с этим трудом ?

Если вопрос ко мне, то я не Константин :lol: . Повторю - рано ещё знакомить, на стенде это работает, в реальной жизни на большом количестве машин/юзеров не проверялось, боевые испытания ещё предстоят. Будут успехи - доложу...

Сергей, приветствую! А можно ли...

СообщениеДобавлено: 08 апр 2003, 13:03
Константин Ошмян
...ознакомить хотя бы с основными идеями - каков ваш подход к решению этой проблемы? Если это не коммерческая тайна, конечно. Я пока что вижу такие варианты:
  1. Использовать что-то типа Entrust Client for SSO, который будет передавать с клиента на сервер информацию о том, кем пользователь аутентифицировался (тут возможны варианты - простейший, например, это запускать на каждой виндовой машине фриварного ident-демона);
  2. Использовать другого клиента для SSO, который автоматом будет подставлять в нужные поля взятые из NDS (из Secret Store) имена-пароли для данного приложения - да, они будут нешифрованные, но это будут другие пароли;
  3. ничего нигде не подставлять автоматом, а просто использовать для аутентификации к Squid-у другой набор credentials, отведя для пользователя под это дело отдельный атрибут в его свойствах;
  4. попробовать сделать как в Border Manager-е: передавать аутентификационную информацию через SSL (пока не представляю себе, как этому научить Squid :nixweiss: )
А вы по какому пути пошли?

СообщениеДобавлено: 06 май 2003, 08:09
Владимир Никитин

СообщениеДобавлено: 06 май 2003, 09:55
Михаил Григорьев
Владимир Никитин писал(а):Авторизация proxy-сервера Squid в Novell NDS


Попробуем сделать как написано... Мы уже 2-ю неделю бьёмся с этой авторизацией... Никак.... Пробуем через ldap_auth и ни в какую...

СообщениеДобавлено: 06 май 2003, 10:28
Иван Левшин aka Ivan L.
Всем привет... Смотрю, тема все еще жива :) Положу и свои 5 копеек...

У меня тут напарник в инициативном порядке сваял за день нечто подобное клиенттрасту для сквида - маленькая программулина, которая садится в трей и при обращении к сквиду передающая ему имя того, кто сидит за машиной. Инфу берет из НДС. Дальше сквид проверяет это В СВОИХ ACL и принимает решение "казнить нельзя помиловать" ;). Имя передается открытым текстом - что не есть гуд, ИМХО... Будем бороться с этим. В дальнейшем - расширение схемы НДС с целью ведения и соблюдения квот по входящему трафику, разрешения/запрещения определенных видов трафика и пр. Короче - получится некий монстрик, который следит ЗА ВСЕМ, что юзверь хочет получить через TCP/IP :lol: Что получится - пока не знаю, потому как помимо этого "хобби" у товарища обязательных дел вагон... Опыт Сергей Дуброва - точнее, его студентов, - считаю безусловно интересным и было бы очень здорово, если бы Сергей нашел время и возможность поделиться инфой по данному проекту...

СообщениеДобавлено: 06 май 2003, 19:27
Михаил Григорьев
Идея интересная... Иван если будут результаты телеграфируй... Я сейчас активно движусь в направлении авторизации squid через ldap или вообще по NDS

Кстате тоже предполагается использовать ето дело в одном техникуме... так что надобность острая..