Авторизация пользователей SQUID через NDS

Обсуждение технических вопросов по продуктам Novell

Сообщение Андрей Тр. aka RH » 09 апр 2004, 12:19

Владимир Горяев писал(а):Кстати там же http://forge.novell.com/modules/xfmod/p ... sqauthldap
Да, прочитал я доку .. и даже исходники. Но под мою задачу их надо править, а разбираться времени особо нет.

Аркадий Глазырин

Требуется настроить авторизацию ко Сквиду через еДир ( причем очень хочется прозрачную аутентификацию ). А на Netware - не на Netware - какая разница, на чем он крутится. Имеется в виду обычный Сквид, на Линуксе.
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Бурылов Александр » 09 апр 2004, 14:03

причем очень хочется прозрачную аутентификацию


если я правильно понял это, встроенная проверка подленности средствами IE ?

у меня тоже есть squid 2.5 stable5 под win32, там есть модули ldpa_auth правда в доке настройка описана по dc, но хочу попробовать чере NDS и очень интересна прозрачная авторизация на squid-е
Аватара пользователя
Бурылов Александр
 
Сообщения: 302
Зарегистрирован: 13 окт 2003, 09:05
Откуда: Пермь

Сообщение Андрей Тр. aka RH » 09 апр 2004, 14:58

Aleksandr

Ну да, то есть чтобы Сквид мог каким-то образом подтверждать информацию о клиенте, уже залогиненном в NDS. А не чтобы в браузере ( IE, например ) открывалось окошко логина в ответ на challenge Сквида. Как я понял, это довольно хитрая задача ( почему-то ). Хотя с DC под Виндой и Сквидом на Линуксе ( равно как и с Самбой ) она вроде бы решена.

У меня же на это накладывается еще и тот факт, что хочется, чтобы местный Сквид, получив каким-то образом такую инфу ( имя пользователя, открывающего страницу в браузере ), передал бы ее вышестоящему Сквиду, где уже, собсно, и выполняется авторизация. Утверждается, что новый Сквид ( точно версии сейчас не помню - кажется, 3. чего-то там ? не помню ) такое проделывать не может, в отличие от предыдущих. Вроде как можно в его конфиге прописать имя - статическое, под которым он будет авторизовываться выше, и все. Хотя я сам с этим не разбирался, мне тут доложили :?
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Бурылов Александр » 09 апр 2004, 15:38

если я не ошибаюсь за это отвечает ntlm_auth
а это только для win32, хотя надо внимательней почитать доку у сквида про метод авторизации и проверки подленности
а то выходит для NDS только basic
Аватара пользователя
Бурылов Александр
 
Сообщения: 302
Зарегистрирован: 13 окт 2003, 09:05
Откуда: Пермь

Сообщение Бурылов Александр » 09 апр 2004, 17:02

Хотя есть одна идея в 6,0 есть такая фича как бесклиентская регистрация...
Значит можно, только как ???
Аватара пользователя
Бурылов Александр
 
Сообщения: 302
Зарегистрирован: 13 окт 2003, 09:05
Откуда: Пермь

Сообщение Сергей Дубров » 09 апр 2004, 17:46

Aleksandr писал(а):Хотя есть одна идея в 6,0 есть такая фича как бесклиентская регистрация...
Значит можно, только как ???

NFAP. К LDAP-у никакого отношения не имеет, хотя и звучит похоже :lol:
Аватара пользователя
Сергей Дубров
 
Сообщения: 2096
Зарегистрирован: 05 июн 2002, 06:07
Откуда: Новосибирск, ин-т ядерной физики СО РАН

Сообщение Sergey Tarabrin » 15 апр 2004, 13:54

Аватара пользователя
Sergey Tarabrin
 
Сообщения: 10
Зарегистрирован: 06 июн 2002, 07:00
Откуда: Ekaterinburg

Сообщение Михаил Григорьев » 15 апр 2004, 16:21

Sergey Tarabrin писал(а):http://www.osp.ru/lan/2003/03/022.htm


Эта статейка стара как мир... и извесна многим...
Аватара пользователя
Михаил Григорьев
 
Сообщения: 1462
Зарегистрирован: 04 июн 2002, 12:22
Откуда: Челябинск

Это было в решениях на emca.ru

Сообщение Евгений Рашковский » 21 апр 2004, 06:52

Томко Дмитрий

Аутентификация пользователей прокси-сервера Squid (Linux) через NDS

Не всегда использование BorderManager в вашей организации подходит для вас и приемлемо. Использование Linux-серверов с прокси-сервером Squid позволяет значительно уменьшить затраты на Internet-инфраструктуру для организаций, реализовать расширенные возможности (прозрачное проксирование, ограничение трафика, поддержка WCCP и т.д. – данные функции либо не реализованы в BM либо их реализация не на должном уровне). Однако при реализованном дереве NDS стоит вопрос авторизации на прокси через одну базу пользователей и данная проблема решается довольно легко с помощью продукта NDS Corporate Edition (на данный момент Novell Account Management), возможно использование для этих целей NDS eDirectory, но в данном документе это не описывается. Вся инсталляция занимает не более получаса. Шаги инсталляции:

Установка NDS Corporate Edition ( можно инсталлировать только модули UAM, без перехода на новый NDS). Вас попросят данные о дереве, контексте и т.д. Это самый главный шаг в инсталляции.
Скачать модуль pam – авторизации для Squid (например с http://squid.sourceforge.net/hno/software.html#PAM) или использовать тот, что идет с вашим прокси-серовером и скомпилировать его.
Сконфигурировать squid.conf :
authenticate_program _path_to_compiled_pam_authenticator_

и добавить в него строчки для аутентификации пользователей (если вы еще не добавили), например:

acl foo proxy_auth REQUIRED
http_access allow foo
Сконфигурировать pam- модули (пример для RedHat 6.2, для вашего дистрибутива может быть немного по-другому). Создать файл /etc/pam.d/squid например следующего содержания:
auth sufficient /lib/security/pam_nds.so.0
account sufficient /lib/security/pam_nds.so.0
password sufficient /lib/security/pam_nds.so.0
session sufficient /lib/security/pam_nds.so.0

И в общем все уже должно работать.



Небольшое примечание – главное правильно сконфигурировать настройки на первом шаге – при неудаче проверьте правильную настройку фалов nsswitch.conf, nds.conf. Это первая версия данного документа и, возможно, она содержит небольшие опечатки и неточности.

Email – dtomko@iba.com.by
Евгений Рашковский
 
Сообщения: 47
Зарегистрирован: 11 июн 2002, 06:34
Откуда: Екатеринбург

Сообщение Vadziku » 21 апр 2004, 12:26

Сколько я понимаю, pam модули вам мало помогут - сквид точно также как и при обычной http basic аутентификации запросит имя и пароль у пользователя, потом передаст эти данные модулю. Чем в таком случае это отличается от ldap аутентификации для которой никаких дополнительных продуктов ставить не надо?
Vadziku
 
Сообщения: 97
Зарегистрирован: 20 июл 2002, 15:46
Откуда: Almaty, Kazakhstan

Re: Это было в решениях на emca.ru

Сообщение Михаил Григорьев » 21 апр 2004, 13:36

Евгений Рашковский писал(а):Установка NDS Corporate Edition ( можно инсталлировать только модули UAM, без перехода на новый NDS).


А где можно достать NDS Corporate Edition или хотя бы только модули?
Аватара пользователя
Михаил Григорьев
 
Сообщения: 1462
Зарегистрирован: 04 июн 2002, 12:22
Откуда: Челябинск

через LDAP - проще

Сообщение skoltogyan » 22 апр 2004, 11:43

Ниже описываю минимальный вариант, без использования групп.

В скивде , например SQUID-2.5.STABLE4
уже есть встроеная поддержка работы с LDAP
Достаточно указать, что:

auth_param basic /usr/lib/squid/squid_ldap_auth -u cn -s sub -f cn=%s -b -t=TREENAME -D cn=userprx,o=org -w passworduserx 192.168.0.5

где:
192.168.0.5 - IP вашего сервера с LDAP
TREENAME - имя Вашего дерева
cn=userprx,o=org - это юзер Вашего дерева: cn=userprx.o=org с правами . Для простоты дайте ему права админа.
passworduserprx - пароль этого юзверя для входа в сеть


далее создаете файл в линухе:
/etc/squid/ndsusers
и забиваете его именами тех пользовталей, которые должны иметь право ходить.
имена писать не полные (независимо от контекста), например:
abogemov
oromanov
.....

Далее:
acl pr_auth proxy_auth "/etc/squid/ndsusers"
http_access allow pr_auth

Все.

1. Пользователь стучится к сквиду.
2. Сквид через броузер спрашивает имя и пароль.
3. Пользователь вводит:
oromanov
пароль
4. Сквид по LDAP лезет к серверу LDAP , что вы прописали и используя полученые имя и пароль пытается пройти аутентификацию, если все нормально - пользователь получает доступ
skoltogyan
 
Сообщения: 2037
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Пред.

Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: Bing [Bot] и гости: 56

cron