proNovell

Владимир Горяев писал(а):Кстати там же http://forge.novell.com/modules/xfmod/p ... sqauthldap

Да, прочитал я доку .. и даже исходники. Но под мою задачу их надо править, а разбираться времени особо нет.

Аркадий Глазырин

Требуется настроить авторизацию ко Сквиду через еДир ( причем очень хочется прозрачную аутентификацию ). А на Netware - не на Netware - какая разница, на чем он крутится. Имеется в виду обычный Сквид, на Линуксе.

причем очень хочется прозрачную аутентификацию

если я правильно понял это, встроенная проверка подленности средствами IE ?

у меня тоже есть squid 2.5 stable5 под win32, там есть модули ldpa_auth правда в доке настройка описана по dc, но хочу попробовать чере NDS и очень интересна прозрачная авторизация на squid-е

Aleksandr

Ну да, то есть чтобы Сквид мог каким-то образом подтверждать информацию о клиенте, уже залогиненном в NDS. А не чтобы в браузере ( IE, например ) открывалось окошко логина в ответ на challenge Сквида. Как я понял, это довольно хитрая задача ( почему-то ). Хотя с DC под Виндой и Сквидом на Линуксе ( равно как и с Самбой ) она вроде бы решена.

У меня же на это накладывается еще и тот факт, что хочется, чтобы местный Сквид, получив каким-то образом такую инфу ( имя пользователя, открывающего страницу в браузере ), передал бы ее вышестоящему Сквиду, где уже, собсно, и выполняется авторизация. Утверждается, что новый Сквид ( точно версии сейчас не помню - кажется, 3. чего-то там ? не помню ) такое проделывать не может, в отличие от предыдущих. Вроде как можно в его конфиге прописать имя - статическое, под которым он будет авторизовываться выше, и все. Хотя я сам с этим не разбирался, мне тут доложили

если я не ошибаюсь за это отвечает ntlm_auth
а это только для win32, хотя надо внимательней почитать доку у сквида про метод авторизации и проверки подленности
а то выходит для NDS только basic

Хотя есть одна идея в 6,0 есть такая фича как бесклиентская регистрация...
Значит можно, только как ???

Aleksandr писал(а):Хотя есть одна идея в 6,0 есть такая фича как бесклиентская регистрация...
Значит можно, только как ???

NFAP. К LDAP-у никакого отношения не имеет, хотя и звучит похоже

Sergey Tarabrin писал(а):http://www.osp.ru/lan/2003/03/022.htm

Эта статейка стара как мир... и извесна многим...

Томко Дмитрий

Аутентификация пользователей прокси-сервера Squid (Linux) через NDS

Не всегда использование BorderManager в вашей организации подходит для вас и приемлемо. Использование Linux-серверов с прокси-сервером Squid позволяет значительно уменьшить затраты на Internet-инфраструктуру для организаций, реализовать расширенные возможности (прозрачное проксирование, ограничение трафика, поддержка WCCP и т.д. – данные функции либо не реализованы в BM либо их реализация не на должном уровне). Однако при реализованном дереве NDS стоит вопрос авторизации на прокси через одну базу пользователей и данная проблема решается довольно легко с помощью продукта NDS Corporate Edition (на данный момент Novell Account Management), возможно использование для этих целей NDS eDirectory, но в данном документе это не описывается. Вся инсталляция занимает не более получаса. Шаги инсталляции:

Установка NDS Corporate Edition ( можно инсталлировать только модули UAM, без перехода на новый NDS). Вас попросят данные о дереве, контексте и т.д. Это самый главный шаг в инсталляции.
Скачать модуль pam – авторизации для Squid (например с http://squid.sourceforge.net/hno/software.html#PAM) или использовать тот, что идет с вашим прокси-серовером и скомпилировать его.
Сконфигурировать squid.conf :
authenticate_program _path_to_compiled_pam_authenticator_

и добавить в него строчки для аутентификации пользователей (если вы еще не добавили), например:

acl foo proxy_auth REQUIRED
http_access allow foo
Сконфигурировать pam- модули (пример для RedHat 6.2, для вашего дистрибутива может быть немного по-другому). Создать файл /etc/pam.d/squid например следующего содержания:
auth sufficient /lib/security/pam_nds.so.0
account sufficient /lib/security/pam_nds.so.0
password sufficient /lib/security/pam_nds.so.0
session sufficient /lib/security/pam_nds.so.0

И в общем все уже должно работать.



Небольшое примечание – главное правильно сконфигурировать настройки на первом шаге – при неудаче проверьте правильную настройку фалов nsswitch.conf, nds.conf. Это первая версия данного документа и, возможно, она содержит небольшие опечатки и неточности.

Email – dtomko@iba.com.by

Сколько я понимаю, pam модули вам мало помогут - сквид точно также как и при обычной http basic аутентификации запросит имя и пароль у пользователя, потом передаст эти данные модулю. Чем в таком случае это отличается от ldap аутентификации для которой никаких дополнительных продуктов ставить не надо?

Евгений Рашковский писал(а):Установка NDS Corporate Edition ( можно инсталлировать только модули UAM, без перехода на новый NDS).

А где можно достать NDS Corporate Edition или хотя бы только модули?

Ниже описываю минимальный вариант, без использования групп.

В скивде , например SQUID-2.5.STABLE4
уже есть встроеная поддержка работы с LDAP
Достаточно указать, что:

auth_param basic /usr/lib/squid/squid_ldap_auth -u cn -s sub -f cn=%s -b -t=TREENAME -D cn=userprx,o=org -w passworduserx 192.168.0.5

где:
192.168.0.5 - IP вашего сервера с LDAP
TREENAME - имя Вашего дерева
cn=userprx,o=org - это юзер Вашего дерева: cn=userprx.o=org с правами . Для простоты дайте ему права админа.
passworduserprx - пароль этого юзверя для входа в сеть


далее создаете файл в линухе:
/etc/squid/ndsusers
и забиваете его именами тех пользовталей, которые должны иметь право ходить.
имена писать не полные (независимо от контекста), например:
abogemov
oromanov
.....

Далее:
acl pr_auth proxy_auth "/etc/squid/ndsusers"
http_access allow pr_auth

Все.

1. Пользователь стучится к сквиду.
2. Сквид через броузер спрашивает имя и пароль.
3. Пользователь вводит:
oromanov
пароль
4. Сквид по LDAP лезет к серверу LDAP , что вы прописали и используя полученые имя и пароль пытается пройти аутентификацию, если все нормально - пользователь получает доступ