Вопрос по хранению доп. паролей в Дереве и их использованию

Обсуждение технических вопросов по продуктам Novell

Вопрос по хранению доп. паролей в Дереве и их использованию

Сообщение Андрей Тр. aka RH » 12 янв 2004, 05:39

Преамбула. :)

Имеется новелловская сеть ( 5.1, 6.5 ) с Зеном 4 и доступ к Интернету ( через НАТ, прокси и файервол, над которыми я не властен ). Доступ организован через некоего провайдера, у которого крутится Сквид и при попытке выхода в Инет ( за пределы местной сети ) запрашивается авторизация ( логин с паролем ). У прова ведется база пользовательских аккаунтов с различным уровнем доступа, фильтрами, статистикой, бюджетом там и т.п. Эту базу мы наполняем сами ( удаленно, через браузер же ), т.е. можем эти аккаунты создавать, менять пароли и пр. .. ну, это не суть важно. Важно то, что при попытке зайти, к примеру, на yahoo.com в браузере вылезает окно авторизации.

Новелловские аккаунты при этом никак не связаны с прововскими. Т.е., к примеру, человек, залогинившись собою в NDS, может потом в браузере ввести любое "инетовское" имя и пароль, которые он знает.

Амбула. :roll:

Чего хочется. Избавить людей от процедуры явной аутентификации при открытии браузера ( точнее, при доступе к какой-то странице ) - путем хранения их "инетовского" имени с паролем в NDS при их новелловском аккаунте. Более того, заполнять их автоматически при создании тех самых аккаунтов и паролей, так что пользователи - в идеале - даже бы и не знали свой инетовский логин. В качестве бонуса получаем невозможность использования чужих инетовских аккаунтов из-под своего новелловского.

Вопрос - можно ли как-то все это дело запихнуть в NDS, и, главное, как потом автоматически ( т.е. без участия пользователя ) скармливать этот пароль браузеру ? Знаю, что вроде бы можно - были некие вещи типа SecretStor, с которыми я не работал. Фокусы на стороне клиента типа AutoComplete в браузере не устраивают, т.к. а) больно дубовые, б) совершенно мною неуправляемые и в) индивидуальные пользовательские профили все равно не хранятся.

Большое спасибо :)
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение PavelKHTW » 12 янв 2004, 10:19

Избавить людей от процедуры явной аутентификации при открытии браузера ( точнее, при доступе к какой-то странице ) - путем хранения их "инетовского" имени с паролем в NDS при их новелловском аккаунте.

Иpбавить от процедуры такой можно, Squid такое умеет делать для MS домена, есть даже модуль для NDS, вот только сквиду нужно будет сравнивать имя и пароль в NDS, а для этого ему нужен доступ к твоему дереву и каждый кому не лень сможет из инет-а лазить по вашему дереву - оно вам нужно?[/list][/b]
PavelKHTW
 
Сообщения: 1037
Зарегистрирован: 08 окт 2003, 13:02
Откуда: Украина

Сообщение Алексей Волков » 12 янв 2004, 11:10

Novell SecureLogin (бывший Single Sign-On) позволяет настрить авторизацию и на проксе в частности.

Недостаток в том, что придётся всем на рабочии станции выставить клиента SecureLogin.
Алексей Волков
 
Сообщения: 292
Зарегистрирован: 14 окт 2003, 19:21
Откуда: Kiev

Сообщение Андрей Тр. aka RH » 12 янв 2004, 14:09

PavelKHTW писал(а):сквиду нужно будет сравнивать имя и пароль в NDS, а для этого ему нужен доступ к твоему дереву и каждый кому не лень сможет из инет-а лазить по вашему дереву - оно вам нужно?
Вариант с интеграцией Сквида ( на локальной проксе, а не того, что у прова - со всеми вытекающими ) в NDS пока прорабатывается. Насчет прововского Сквида - я не очень понимаю, как он сможет что-то сравнивать ( тем более пароль ), и что с чем ? Повторюсь, на том Сквиде я ничего менять и настраивать не могу.

Поэтому параллельно рассматривается вариант, описанный мною выше - с хранением данных в Дереве. Видимо, Alexi верно указал на SecureLogin - вот только дороговато получится решение. В данном случае мне не столько надо защищать информацию, сколько неохота возиться с двойными паролями - и все.
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение PavelKHTW » 12 янв 2004, 14:54

Насчет прововского Сквида - я не очень понимаю, как он сможет что-то сравнивать

Например мой сравнивает Имена с паролями, хранящимися в файле на проксевой машине.

А как SecureLogin может интегрироваться с Squid? С бордюром это еще понятно.
Есть еще вариант написания плагина к IE, который будет перехватывать событие аутентификации и подставлять твои данные, но это видимо из разряда фантастики. Можно сделать проще - если твои пользователи не перемещаются между машинами, просто привяжи их инетовские записи к IP - и никаких паролей, но тогда тебе придется поставить у себя локальный Squid, иначе вся затея с IP из-за NAT не пройдет.
PavelKHTW
 
Сообщения: 1037
Зарегистрирован: 08 окт 2003, 13:02
Откуда: Украина

Сообщение Андрей Тр. aka RH » 12 янв 2004, 15:30

PavelKHTW

Я просто пока толком не понимаю, как выстроить всю цепочку. Все же где что лежит и что с чем сравнивается ? Локальный Сквид уже стоит, пока просто как прокси для всяких дополнительных мелких функций. Но от прововского не избавиться в принципе. А Инета я не боюсь :)

Как я понял про SecureLogin, ему без разницы, к чему хранить логины с паролями. Но это отдельный продукт, и покупать его ради этого - не вариант. Получится из пушки по воробьям.
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение PavelKHTW » 12 янв 2004, 16:17

Задаю наводящие вопросы:
1. Пользователи сидят каждый за своим компьютером или используется DLU + Roaming Profiles?
2. IP статические или динамические?
2. Локальную проксю администрить можем?
PavelKHTW
 
Сообщения: 1037
Зарегистрирован: 08 окт 2003, 13:02
Откуда: Украина

Сообщение PavelKHTW » 12 янв 2004, 16:32

Вот набрал в Google "Squid Novell authorization"
Найденные ссфлки как раз в тему
Через Новелловый LDAP
http://www.osp.ru/lan/2003/03/022_print.htm
Через NCP
http://devel.squid-cache.org/external_acl/ на странице ищем check_ncp_group

Эти статьи полностью решат то, что ты хочешь
PavelKHTW
 
Сообщения: 1037
Зарегистрирован: 08 окт 2003, 13:02
Откуда: Украина

Сообщение Андрей Тр. aka RH » 12 янв 2004, 17:01

PavelKHTW

Да, про вариант со Сквидом и пр. я знаю, и уже поднимал раньше эту тему на форуме - выяснили, что это делается, в принципе. В Гугле тоже набирал, где-то полгода-год назад. В данной ветке как раз хотелось выяснить, есть ли альтернатива этому пути. Один из минусов - у прова уже есть практически все, что требуется ( управление аккаунтами, лимитирование трафика и пр. ), при переносе всего этого на локальный прокси придется все это добро реализовывать самим, а у нас на это маловато человеческих ресурсов.

За ссылки спасибо, однако ( хотя вот ту статью на ОСП.ру я читал ).

Отвечаю на вопросы :

1. Они бегают, и еще как. Используются Mandatory roaming profiles.

2. Адреса динамические, но при большой необходимости можно перейти на статику. Однако особого смысле не имеет - см. п.1.

3. С локальной проксей можем делать что угодно, хоть снести нафиг. Кстати, на днях будем переустанавливать ( под SuSE ).

P.S. Не очень понял, каким боком в тему check_ncp_group ? "a small external_acl helper check_ncp_group to verify Novell group memberships using the ncptools package" Мне не надо проверять членство в группе, мне нужно каким-то образом credentials юзера передавать проксе, причем прозрачно для юзера. Группы тут при чем ?
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение PavelKHTW » 12 янв 2004, 17:58

Я вижу два пути - поднимать свой прокси и на нем реализовывать через LDAP, а на проксе прова оставить только один вход для машины с проксей - тогда все аккаунты будут привязаны к NDS, но вводить имя и пароль все одно придется вручную.
или же написать свой плагин к IE который будет отвечать за передачу имени и пароля проксе по ее требованию, но боюсь без глубокого знания внутренностей IE и прочих браузеров будет нереально.
PavelKHTW
 
Сообщения: 1037
Зарегистрирован: 08 окт 2003, 13:02
Откуда: Украина

Сообщение Андрей Троценко » 12 янв 2004, 19:19

Андрей, если Вы используете (или можете использовать) BM у себя на стороне, то (предположительно) это можно обыграть так: настроить BM так, что squid будет для него как "parent"-proxy, а BM должен будет передавать запросы только по иерархии.
Аватара пользователя
Андрей Троценко
 
Сообщения: 529
Зарегистрирован: 31 июл 2002, 13:54
Откуда: Киев, Украина

Не пинайте ногами, если не нравится, но я такое делал для 1с

Сообщение Заварзин Сергей Петрович » 13 янв 2004, 12:54

задача была простая - авто-авторизация в 1с пользователей из-под NDS.
Деталей не могу точно припомнить, а смоделировать не чём :(
делал это так:
1. расширял схему NDS для объекта USER двумя дополнительными полями: 1с_Name и 1с_PWD (ранее была такая фриварная софтина, если не ошибаюсь - ScheMax 1.1). Важно ! для тренировки обязательно нужно левое дерево ибо после изменения отката не было, по крайней мере на тогдашней версии софтины и NDS.

2. забиваем чувакам эти поля из NWAdmin (подправленный соответствующим плагином)

3. в ZEN создаем аппликуху - и в параметрах командной строки тупо вписываем чего-то там из командной строки 1с.exe (там есть возможность указывать призапуске имя и пароль пользователя)

ВОТ и ВСЁ

если ie умеет как-то брать из командной строки имя и пароль - задачка решена - с Вас бытылочка при встрече.

Когда я уходил в говномерство с форума EMCA - я точно это прописывал :)))
В любом случае, этот вариант вам как-то больше подходит, ведь чем проще, тем надёжнее.
Один минус который я не успел в своё время прикрутить - экспорт+импорт.

Успехов, ковырятели.
Пламенный привет, Сергей Заварзин
Заварзин Сергей Петрович
 
Сообщения: 13
Зарегистрирован: 17 дек 2003, 18:43
Откуда: Ижевск

Сообщение Андрей Тр. aka RH » 13 янв 2004, 13:50

PavelKHTW

Про плагин - это круто, но, боюсь, чересчур ( некому этим заниматься, и я, честно говоря, не уверен, что слово "плагин" тут корректное; может, что-то можно сделать на ActiveX ? .. не знаю, я не программер ( не профессиональный, по крайней мере :) ). Если все "добро" переносить на локальный прокси, то со сквидом прова ИМХО можно договориться - вроде можно местных научить тихо авторизовываться на прововском под каким-то фиксированным именем ( я в этом почти уверен ).

Андрей Троценко

Забыл сказать в начале - ВМ как вариант не рассматривается :oops: По ряду причин. Иначе бы подобных проблем не возникало, наверное. Но мы же не ищем легких путей, правда ?

Заварзин Сергей Петрович

:) Ну да, идея понятна. Как засунуть данные в NDS - в общем, проблема небольшая. А вот как потом это дело скормить Ослику .. надо будет почитать ТехНет, но .. меня терзают смутные сомненья на эту тему. А бутылочку не жалко - при встрече отдам :)
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Очепяточка

Сообщение Заварзин Сергей Петрович » 13 янв 2004, 15:58

Конечно же, не плагин, а снапин :))) он ставится автоматом при инсталлляции ШиМакса.

А про траблу - верно подмечено - главное, чтобы твой зверь умел заглатывать данные из командной строки, а выцарапать их из НДС`а - фигня.

успехов.
Пламенный привет, Сергей Заварзин
Заварзин Сергей Петрович
 
Сообщения: 13
Зарегистрирован: 17 дек 2003, 18:43
Откуда: Ижевск


Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 5

cron