proNovell

По поводу обсуждения конфигов, сегодня подключу к этой теме моего сотрудника, он занимается этим.
Если хочется проверять принадлежность к нескольким группам, то может достаточно скрипт SquidTrust.pl сделать чтобы он полное имя группы брал из параметра.

И еще к Dimerson. Не могли бы Вы выложить исходники SquidTrust.exe? Хочется убрать из него пункт меню - Выход

тот что я давал это был на коленке сделанный VCL вариант.
имеется работающий неск мес чистый WIN32 API вариант:

Содержимое папки E:\WATCOM\Projects\SquidTrust2

30.08.2011 15:41 <DIR> .
30.08.2011 15:41 <DIR> ..
07.07.2011 08:17 3 851 novell.cpp
07.07.2011 08:17 108 novell.err
07.07.2011 08:17 11 020 novell.obj
30.08.2011 15:41 13 168 squidtrust.cpp
30.08.2011 15:41 214 squidtrust.err
30.08.2011 15:42 36 352 squidtrust.exe
04.07.2011 10:57 2 238 SquidTrust.ico
30.08.2011 15:42 539 squidtrust.lk1
30.08.2011 15:42 21 059 squidtrust.map
30.08.2011 15:33 125 squidtrust.mk
30.08.2011 15:33 2 591 squidtrust.mk1
30.08.2011 15:41 19 030 squidtrust.obj
06.07.2011 15:13 63 squidtrust.rc
06.07.2011 15:15 2 462 squidtrust.res
30.08.2011 15:42 20 891 squidtrust.sym
09.07.2011 17:47 1 998 squidtrust.tgt
09.07.2011 17:47 254 squidtrust.wpj
17 файлов 135 963 байт
2 папок 5 776 662 528 байт свободно

логин в открытом виде не летает (с легкой правкой SquidTrust.pl). тупо но хоть так. интегрировать шифрование на оба конца - с одной стороны C, с другой Perl как-то лениво

Про принадлежность к 2 или трем группам (cn= задаем с ком строки тут все очевидно):

придется external aсl писать 3 раза и если юзер в 3-ей группе то три SquidTrust.pl поочередно запросят его cn=
провееряя принадлежит ли он к целевой группе.

В общем-то может и ничего страшного.

+ тройной комплект хелперов в памяти.

была мысль сделать полностью свой хелпер который и URL проверяет и ACL выдавая OK и ERR ... с бакендом на SQL ...

выход из clntrust.exe нужен. может по паролю сделать ?А админку я после отпуска забросил - проблем других хватает.

Dimerson писал(а):тот что я давал это был на коленке сделанный VCL вариант.
имеется работающий неск мес чистый WIN32 API вариант:

выход из clntrust.exe нужен. может по паролю сделать ?А админку я после отпуска забросил - проблем других хватает.

А поделиться чистым WIN32 API вариантом можно?

А по поводу выхода из clntrust.exe мне больше нравиться вариант clntrust для BM: пользователь его выгрузить не может, а для выгрузки используем dwntrust - удобно все это делать из login-скрипта, не надо ничего делать на ПК, пользователь может ходить в Инет с любого ПК без его предварительной настройки.

ок - сделаю dwsquidtrust.exe и выложу.
upd. функционал Exit удален. написан DwSquidTrust.exe. выгружающий squidtrust.exe

если надо вышлю мылом комплект из рабочего squidtrust (NO-VCL) + DwSquidTrust (win32 console) + SquidTrust.pl

DwSquidTrust = FindWindow + PostMessage в общем-то dwntrust примерно так и работает

Я вот тут вплотную подошел к этой проблеме, пардон за ламерский вопрос, а почему не сгодится Clntrust от обычного бордюра? Почему нельзя изобразить тот же запрос со стороны squid? Или там протокол защищен аццки?

Я вот тут вплотную подошел к этой проблеме, пардон за ламерский вопрос, а почему не сгодится Clntrust от обычного бордюра? Почему нельзя изобразить тот же запрос со стороны squid? Или там протокол защищен аццки?

нет но предполагается что BM содержит реплику .
а тут никаких NCP запросов и никакого Edir на сервере со squid. голый ldap клиент.

програмлька на клиенте отдала fdn, сервер проверил на принадлежность группе , и выдал OK или ERR. настраивается TTL. все.

Boris Morozov писал(а):Я вот тут вплотную подошел к этой проблеме, пардон за ламерский вопрос, а почему не сгодится Clntrust от обычного бордюра? Почему нельзя изобразить тот же запрос со стороны squid? Или там протокол защищен аццки?

Тем более и описание алгоритма Clntrust существует. А требование наличия реплики может не такая и большая нагрузка.

может тогда и ACL бордюра бум юзать ? (шутка)

если мне помнится то он перебирает список коннектов на бордюре (суть сервере NetWare) и найдя текущий шлет спец NCP пакет на сервер BM.
бум поднмать на SQUID'e edir + nmas ?

или таки эмулятор NCP сервера ... ?

имхо это черезчур усложнит все.

У меня есть смутное подозрение, что NCP ему не надо. А лезет он через API клиента за логином, и отсылку бордюру делает ответом по порту TCP. Тогда это больше чем устроило бы. Слишком размер маленький у него и не менялся давно. Явно никаких ACL он сам не читает.

Если мне не изменяет память, с ClnTrust разбирался Константин Ошмян и делился на своей информацией на этом форуме.
И еще в TID 3598432 изложен алгоритм общения BM и ClnTrust ("Single Sign-On vs SSL Proxy Authentication on Novell BorderManager")

хм проще тогда уж заглянуть в исходники cl4others ...

Здравствуйте! Я не силен в Новелле и линуксе, но начальник озадачил: нужно выпускать пользователей в Интернет через SQUID-прокси на SLES с авторизацией через группу InternetAllow в eDir при помощи squidtrust.exe на клиенте и squidtrust.pl на сервере что бы не летали не зашифрованные логины и пароли по сети... можете помочь кто-нибудь??? Тут вообще кто-нибудь бывает??? На данный момент авторизация через eDir всех пользователей и пускает в Инет только тех, кто прописаны в файле!

Здрасти!
Как можно использовать авторизацию через squidtrust и выпускать в инет только тех, кто прописан в файле доспупа на проксисервере???

To:Dimerson

Если есть возможность, поделитесь, плиз., комплектом squidtrust.
А исходники можно получить?
На res69@yandex.ru