proNovell


http://novell.org.ru/forum/

Вопрос по прокси-серверу

http://novell.org.ru/forum/viewtopic.php?f=2&t=9910

Страница 1 из 2

Вопрос по прокси-серверу

СообщениеДобавлено: 21 окт 2008, 10:26
Юрий Беляков
Коллеги, возникла тут задача.

Нужен прокси-сервер с авторизацией по пользователям.

Учетные записи пользователей в дереве каталога (например, eDir), доступ по LDAP через SSL.

Нужно:
1. чтобы прокси-сервер мог общаться с этим каталогом по LDAP через SSL
2. чтобы пользователи авторизовались "защищенно"

Т.е. шифровались данные не только между деревом каталога и прокси, но и между клиентской рабочей станцией и прокси. Иными словами - нет паролям в открытом виде :)

Есть готовые решения (не важно, коммерческие или нет)? Платформа желательно *nix.

MS ISA не подходит по причине отсутствия AD, BorderManager - не устраивает Заказчика.
Пробовали SUN Proxy, но не получилось заставить его работать по LDAP через SSL.

СообщениеДобавлено: 21 окт 2008, 10:48
Иван Левшин aka Ivan L.
Могу подкинуть давешнюю поделку - помнишь я писал?

Re: Вопрос по прокси-серверу

СообщениеДобавлено: 21 окт 2008, 14:44
Андрей Тр. aka RH
Юрий Беляков писал(а):MS ISA не подходит по причине отсутствия AD.

Ну, MAD можно и поставить :) пароли синхронизировать с eDir

СообщениеДобавлено: 22 окт 2008, 02:02
Timur Kazimirov
У нас ClearSwift MIMEsweeper for Web используется. Там авторизация через LDAP есть. Минус - не кэширующий и только под винду.

СообщениеДобавлено: 22 окт 2008, 05:42
Юрий Беляков
Timur Kazimirov писал(а):У нас ClearSwift MIMEsweeper for Web используется. Там авторизация через LDAP есть. Минус - не кэширующий и только под винду.


Нет, не подойдет.

Расширим вопрос: А кто какими прокси-серверами пользуется?
Пользователей > 500

СообщениеДобавлено: 22 окт 2008, 06:28
Михаил Григорьев
Юрий Беляков писал(а):
Timur Kazimirov писал(а):У нас ClearSwift MIMEsweeper for Web используется. Там авторизация через LDAP есть. Минус - не кэширующий и только под винду.


Нет, не подойдет.

Расширим вопрос: А кто какими прокси-серверами пользуется?
Пользователей > 500


Squid/2.6.STABLE5 (с NTLM аутентификацией) - пользователей > 1500

СообщениеДобавлено: 22 окт 2008, 07:20
Timur Kazimirov
Юрий Беляков писал(а):Расширим вопрос: А кто какими прокси-серверами пользуется?
Пользователей > 500

Да с удовольствием бы на сквиде сидел, если бы не "единообразие внутрикорпоративных решений"... Около 1300.

СообщениеДобавлено: 22 окт 2008, 10:47
Константин Ошмян
Григорьев Михаил писал(а):
Юрий Беляков писал(а):Расширим вопрос: А кто какими прокси-серверами пользуется?
Пользователей > 500
Squid/2.6.STABLE5 (с NTLM авторизацией) - пользователей > 1500
Аналогично: Squid (всё ещё 2.5.STABLE13) c NTLM-аутентификацией (авторизация - через членство в группах AD, которое проверяется по LDAP). Порядка 700 пользователей.

СообщениеДобавлено: 22 окт 2008, 21:11
skoltogyan
squid-2.5.STABLE12-18.12
по LDAP берет из edir какой пользователь с этого IP-ка работает, потом смотрит - в какую группу входит этот юзер. по групам разбит доступ.
добавлениеe пользователя чеерз eDir

Re: Вопрос по прокси-серверу

СообщениеДобавлено: 22 окт 2008, 21:56
v13
Юрий Беляков писал(а):Нужно:
1. чтобы прокси-сервер мог общаться с этим каталогом по LDAP через SSL
2. чтобы пользователи авторизовались "защищенно"

Первое исключает второе, поскольку при basic авторизации пароли между пользователем и прокси легко перехватываются.
Нужен как минимум ntlm.

Re: Вопрос по прокси-серверу

СообщениеДобавлено: 23 окт 2008, 07:06
Юрий Беляков
v13 писал(а):
Юрий Беляков писал(а):Нужно:
1. чтобы прокси-сервер мог общаться с этим каталогом по LDAP через SSL
2. чтобы пользователи авторизовались "защищенно"

Первое исключает второе, поскольку при basic авторизации пароли между пользователем и прокси легко перехватываются.
Нужен как минимум ntlm.


Это если говорить про Squid

Re: Вопрос по прокси-серверу

СообщениеДобавлено: 23 окт 2008, 21:37
v13
Юрий Беляков писал(а):Это если говорить про Squid

Приведите пример. У меня есть огромные сомнения что связка едиректория(через лдап) с любым прокси позволяет не basic аутентификацию.

ps:
Подумав ещё раз, рискну предположить, что заработает ntlm с чем-то типа openldap, где позволяется считывать пароль из директории.
Хотя таких реализаций сам не видел.

Re: Вопрос по прокси-серверу

СообщениеДобавлено: 24 окт 2008, 10:31
Юрий Беляков
v13 писал(а):Приведите пример. У меня есть огромные сомнения что связка едиректория(через лдап) с любым прокси позволяет не basic аутентификацию.


Простой пример: Sun Java System Web Proxy Server
В теории позволяет авторизовывать пользователей по сертификатам. В реальности быстро настроить не получилось. Индусы как всегда пишут криво документацию, а детально разбираться не было времени.

Видел в свое время коммерческие дистрибутивы, внутри которых был Squid. При первом входе пользователь перенаправлялся на какую-то страничку, где нужно было ввести имя/пароль. Прошел регистрацию - дальше может пользоваться. Как это делается в деталях - где бы почитать...

Re: Вопрос по прокси-серверу

СообщениеДобавлено: 24 окт 2008, 11:18
Константин Ошмян
v13 писал(а):
Юрий Беляков писал(а):Нужно:
1. чтобы прокси-сервер мог общаться с этим каталогом по LDAP через SSL
2. чтобы пользователи авторизовались "защищенно"
Первое исключает второе, поскольку при basic авторизации пароли между пользователем и прокси легко перехватываются.
Нужен как минимум ntlm.
[...]
Приведите пример. У меня есть огромные сомнения что связка едиректория(через лдап) с любым прокси позволяет не basic аутентификацию.
Я приводил пример выше.
Повторю мысль: аутентификация и авторизация - вещи хоть и связанные между собой, но разные. NTLM - это именно аутентификация (т.е. механизм, позволяющий с достаточной степенью достоверности узнать, что за пользователь обращается). Зная имя пользователя, решать разрешить ему доступ или нет - это уже авторизация; это следующий шаг, и выполняться он может, используя совершенно другие механизмы. В частности, у нас, как я уже говорил, это решение принимается Сквидом на основе анализа того, в какие группы входит каждый пользователь, а проверяется это членство в группах путём обращений по LDAP. Да, в нашем случае эти обращения идут к той же службе Active Directory (через которую пользователи и аутентифицируются через NTLM), но с таким же успехом можно эти запросы перенаправить и к eDirectory, и к любому другому LDAP-каталогу, т.к. всё, что на этом этапе выясняется - это входит ли пользователь с таким-то именем (которое выяснено на первом шаге) в такую-то группу (имя которой прописано в конфиге Сквида).

Можно ли делать и первый шаг (NTLM-аутентификацию), имея только eDirectory и не используя Windows-домена? Не знаю, не пробовал. Наверное, можно, если поднять CIFS или Samba.

Re: Вопрос по прокси-серверу

СообщениеДобавлено: 24 окт 2008, 14:26
v13
Константин Ошмян писал(а):
v13 писал(а):
Юрий Беляков писал(а):Нужно:
1. чтобы прокси-сервер мог общаться с этим каталогом по LDAP через SSL
2. чтобы пользователи авторизовались "защищенно"
Первое исключает второе, поскольку при basic авторизации пароли между пользователем и прокси легко перехватываются.
Нужен как минимум ntlm.
[...]
Приведите пример. У меня есть огромные сомнения что связка едиректория(через лдап) с любым прокси позволяет не basic аутентификацию.
Я приводил пример выше.

Ваш пример из другой оперы - посмотрите техзадание.
Часовой пояс: UTC + 3 часа [ Летнее время ]
Страница 1 из 2
2002-2010 proNovell Team
http://www.novell.org.ru/