На OES2 Squid интегрирован с eDir?

Для любителей просто поболтать

Re: На OES2 Squid интегрирован с eDir?

Сообщение Пилютик Михаил » 27 сен 2011, 09:14

По поводу обсуждения конфигов, сегодня подключу к этой теме моего сотрудника, он занимается этим.
Если хочется проверять принадлежность к нескольким группам, то может достаточно скрипт SquidTrust.pl сделать чтобы он полное имя группы брал из параметра.

И еще к Dimerson. Не могли бы Вы выложить исходники SquidTrust.exe? Хочется убрать из него пункт меню - Выход
Пилютик Михаил
 
Сообщения: 310
Зарегистрирован: 09 июл 2002, 15:02
Откуда: Минск

Re: На OES2 Squid интегрирован с eDir?

Сообщение Dimerson » 27 сен 2011, 10:02

тот что я давал это был на коленке сделанный VCL вариант.
имеется работающий неск мес чистый WIN32 API вариант:

Содержимое папки E:\WATCOM\Projects\SquidTrust2

30.08.2011 15:41 <DIR> .
30.08.2011 15:41 <DIR> ..
07.07.2011 08:17 3 851 novell.cpp
07.07.2011 08:17 108 novell.err
07.07.2011 08:17 11 020 novell.obj
30.08.2011 15:41 13 168 squidtrust.cpp
30.08.2011 15:41 214 squidtrust.err
30.08.2011 15:42 36 352 squidtrust.exe
04.07.2011 10:57 2 238 SquidTrust.ico
30.08.2011 15:42 539 squidtrust.lk1
30.08.2011 15:42 21 059 squidtrust.map
30.08.2011 15:33 125 squidtrust.mk
30.08.2011 15:33 2 591 squidtrust.mk1
30.08.2011 15:41 19 030 squidtrust.obj
06.07.2011 15:13 63 squidtrust.rc
06.07.2011 15:15 2 462 squidtrust.res
30.08.2011 15:42 20 891 squidtrust.sym
09.07.2011 17:47 1 998 squidtrust.tgt
09.07.2011 17:47 254 squidtrust.wpj
17 файлов 135 963 байт
2 папок 5 776 662 528 байт свободно
Изображение
логин в открытом виде не летает (с легкой правкой SquidTrust.pl). тупо но хоть так. интегрировать шифрование на оба конца - с одной стороны C, с другой Perl как-то лениво :(

Про принадлежность к 2 или трем группам (cn= задаем с ком строки тут все очевидно):

придется external aсl писать 3 раза и если юзер в 3-ей группе то три SquidTrust.pl поочередно запросят его cn=
провееряя принадлежит ли он к целевой группе.

В общем-то может и ничего страшного.

+ тройной комплект хелперов в памяти.

была мысль сделать полностью свой хелпер который и URL проверяет и ACL выдавая OK и ERR ... с бакендом на SQL ...

выход из clntrust.exe нужен. может по паролю сделать ?А админку я после отпуска забросил - проблем других хватает.

Изображение
Аватара пользователя
Dimerson
 
Сообщения: 2791
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: На OES2 Squid интегрирован с eDir?

Сообщение Пилютик Михаил » 27 сен 2011, 10:56

Dimerson писал(а):тот что я давал это был на коленке сделанный VCL вариант.
имеется работающий неск мес чистый WIN32 API вариант:

выход из clntrust.exe нужен. может по паролю сделать ?А админку я после отпуска забросил - проблем других хватает.

Изображение


А поделиться чистым WIN32 API вариантом можно?

А по поводу выхода из clntrust.exe мне больше нравиться вариант clntrust для BM: пользователь его выгрузить не может, а для выгрузки используем dwntrust - удобно все это делать из login-скрипта, не надо ничего делать на ПК, пользователь может ходить в Инет с любого ПК без его предварительной настройки.
Пилютик Михаил
 
Сообщения: 310
Зарегистрирован: 09 июл 2002, 15:02
Откуда: Минск

Re: На OES2 Squid интегрирован с eDir?

Сообщение Dimerson » 27 сен 2011, 11:34

ок - сделаю dwsquidtrust.exe и выложу.
upd. функционал Exit удален. написан DwSquidTrust.exe. выгружающий squidtrust.exe

если надо вышлю мылом комплект из рабочего squidtrust (NO-VCL) + DwSquidTrust (win32 console) + SquidTrust.pl

DwSquidTrust = FindWindow + PostMessage :) в общем-то dwntrust примерно так и работает
Аватара пользователя
Dimerson
 
Сообщения: 2791
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: На OES2 Squid интегрирован с eDir?

Сообщение Boris Morozov » 28 сен 2011, 22:17

Я вот тут вплотную подошел к этой проблеме, пардон за ламерский вопрос, а почему не сгодится Clntrust от обычного бордюра? Почему нельзя изобразить тот же запрос со стороны squid? Или там протокол защищен аццки?
Boris Morozov
 
Сообщения: 1333
Зарегистрирован: 05 июн 2002, 22:24
Откуда: Минск

Re: На OES2 Squid интегрирован с eDir?

Сообщение Dimerson » 29 сен 2011, 05:52

Я вот тут вплотную подошел к этой проблеме, пардон за ламерский вопрос, а почему не сгодится Clntrust от обычного бордюра? Почему нельзя изобразить тот же запрос со стороны squid? Или там протокол защищен аццки?

нет но предполагается что BM содержит реплику .
а тут никаких NCP запросов и никакого Edir на сервере со squid. голый ldap клиент.
Аватара пользователя
Dimerson
 
Сообщения: 2791
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: На OES2 Squid интегрирован с eDir?

Сообщение Dimerson » 29 сен 2011, 08:55

програмлька на клиенте отдала fdn, сервер проверил на принадлежность группе , и выдал OK или ERR. настраивается TTL. все.
Аватара пользователя
Dimerson
 
Сообщения: 2791
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: На OES2 Squid интегрирован с eDir?

Сообщение Пилютик Михаил » 29 сен 2011, 09:25

Boris Morozov писал(а):Я вот тут вплотную подошел к этой проблеме, пардон за ламерский вопрос, а почему не сгодится Clntrust от обычного бордюра? Почему нельзя изобразить тот же запрос со стороны squid? Или там протокол защищен аццки?

Тем более и описание алгоритма Clntrust существует. А требование наличия реплики может не такая и большая нагрузка.
Пилютик Михаил
 
Сообщения: 310
Зарегистрирован: 09 июл 2002, 15:02
Откуда: Минск

Re: На OES2 Squid интегрирован с eDir?

Сообщение Dimerson » 29 сен 2011, 09:47

может тогда и ACL бордюра бум юзать ? (шутка)

если мне помнится то он перебирает список коннектов на бордюре (суть сервере NetWare) и найдя текущий шлет спец NCP пакет на сервер BM.
бум поднмать на SQUID'e edir + nmas ?

или таки эмулятор NCP сервера ... ?

имхо это черезчур усложнит все.
Аватара пользователя
Dimerson
 
Сообщения: 2791
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: На OES2 Squid интегрирован с eDir?

Сообщение Boris Morozov » 02 окт 2011, 02:27

У меня есть смутное подозрение, что NCP ему не надо. А лезет он через API клиента за логином, и отсылку бордюру делает ответом по порту TCP. Тогда это больше чем устроило бы. Слишком размер маленький у него и не менялся давно. Явно никаких ACL он сам не читает.
Boris Morozov
 
Сообщения: 1333
Зарегистрирован: 05 июн 2002, 22:24
Откуда: Минск

Re: На OES2 Squid интегрирован с eDir?

Сообщение Пилютик Михаил » 03 окт 2011, 09:25

Если мне не изменяет память, с ClnTrust разбирался Константин Ошмян и делился на своей информацией на этом форуме.
И еще в TID 3598432 изложен алгоритм общения BM и ClnTrust ("Single Sign-On vs SSL Proxy Authentication on Novell BorderManager")
Пилютик Михаил
 
Сообщения: 310
Зарегистрирован: 09 июл 2002, 15:02
Откуда: Минск

Re: На OES2 Squid интегрирован с eDir?

Сообщение Dimerson » 04 окт 2011, 13:34

хм проще тогда уж заглянуть в исходники cl4others ...
Аватара пользователя
Dimerson
 
Сообщения: 2791
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: На OES2 Squid интегрирован с eDir?

Сообщение Adrnin » 13 дек 2012, 15:08

Здравствуйте! Я не силен в Новелле и линуксе, но начальник озадачил: нужно выпускать пользователей в Интернет через SQUID-прокси на SLES с авторизацией через группу InternetAllow в eDir при помощи squidtrust.exe на клиенте и squidtrust.pl на сервере что бы не летали не зашифрованные логины и пароли по сети... можете помочь кто-нибудь??? Тут вообще кто-нибудь бывает??? На данный момент авторизация через eDir всех пользователей и пускает в Инет только тех, кто прописаны в файле!
Чем больше узнаю, тем больше понимаю, что ничего не знаю!!!
Adrnin
 
Сообщения: 8
Зарегистрирован: 13 дек 2012, 11:50

Re: На OES2 Squid интегрирован с eDir?

Сообщение Adrnin » 14 дек 2012, 05:41

Здрасти!
Как можно использовать авторизацию через squidtrust и выпускать в инет только тех, кто прописан в файле доспупа на проксисервере???
Чем больше узнаю, тем больше понимаю, что ничего не знаю!!!
Adrnin
 
Сообщения: 8
Зарегистрирован: 13 дек 2012, 11:50

Re: На OES2 Squid интегрирован с eDir?

Сообщение res » 27 май 2016, 11:53

To:Dimerson

Если есть возможность, поделитесь, плиз., комплектом squidtrust.
А исходники можно получить?
На res69@yandex.ru
res
 
Сообщения: 63
Зарегистрирован: 27 ноя 2006, 15:12
Откуда: Мурманск

Пред.След.

Вернуться в Флейм

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 5

cron