решил поиграться с суперлюимином

Обсуждение технических вопросов по продуктам Novell под Linux, а также *nix систем

Re: решил поиграться с суперлюимином

Сообщение capricious » 06 фев 2012, 14:35

Dimerson писал(а):имхо его SSO по запросу сурвера после проверки сертификата отдает ему contextless cn + password.
пройдет для ваших юзверей ldap login ?

простите я темен и обхожусь без universal passwoprds :(



а дальше ? после "отдает ему contextless cn + password" ? куда эти значения идут ? опять в лдап? который требует username , universal password and token

так ?
Аватара пользователя
capricious
 
Сообщения: 393
Зарегистрирован: 21 апр 2003, 14:36
Откуда: Moscow

Re: решил поиграться с суперлюимином

Сообщение Dimerson » 06 фев 2012, 14:37

ну тогда ой. squidtrust думаю будет работать. но там блин squid + внешний Auth модуль на перле. Я пилил чтоб получало с клиента fdn и отдавало серверу. остальное хардкорно на squid acl's :(
Аватара пользователя
Dimerson
 
Сообщения: 2749
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: решил поиграться с суперлюимином

Сообщение capricious » 06 фев 2012, 14:41

Dimerson писал(а):ну тогда ой. squidtrust думаю будет работать. но там блин squid + внешний Auth модуль на перле. Я пилил чтоб получало с клиента fdn и отдавало серверу. остальное хардкорно на squid acl's :(



а можно squid настроить так чтобы пускал только если юзер находится в опрелененной ldap группе ? ( скриптом буду загонять если юзер прологинился и удалять если разлогинился) и чтобы не спрашивал логин и пароль

был бы иедальный для меня вариант
Аватара пользователя
capricious
 
Сообщения: 393
Зарегистрирован: 21 апр 2003, 14:36
Откуда: Moscow

Re: решил поиграться с суперлюимином

Сообщение Ковалев Артем » 06 фев 2012, 14:45

capricious писал(а):
Dimerson писал(а):ну тогда ой. squidtrust думаю будет работать. но там блин squid + внешний Auth модуль на перле. Я пилил чтоб получало с клиента fdn и отдавало серверу. остальное хардкорно на squid acl's :(



а можно squid настроить так чтобы пускал только если юзер находится в опрелененной ldap группе ? ( скриптом буду загонять если юзер прологинился и удалять если разлогинился) и чтобы не спрашивал логин и пароль

был бы иедальный для меня вариант

Можно.
Первое, что нашёл яндекс - http://www.opennet.ru/base/net/squid_ldap_ad.txt.html или http://www.cyberciti.biz/tips/howto-con ... ation.html
Там AD, с eDir есть некоторые отличия, но непринципиально.
берем картину мироздания и тупо смотрим - что к чему...
Аватара пользователя
Ковалев Артем
 
Сообщения: 909
Зарегистрирован: 29 мар 2004, 11:44
Откуда: Москва

Re: решил поиграться с суперлюимином

Сообщение capricious » 06 фев 2012, 14:49

я не понял ничего ...


1) юзер логин и пароль вводит не будет а ldap_helper всегда их требует вроде


2) а если поставить самбу или dsfw и настроить ntlm ? пустит ли тогда этих хитрых юзеров ?
Аватара пользователя
capricious
 
Сообщения: 393
Зарегистрирован: 21 апр 2003, 14:36
Откуда: Moscow

Re: решил поиграться с суперлюимином

Сообщение Dimerson » 06 фев 2012, 16:42

capricious писал(а):
Dimerson писал(а):ну тогда ой. squidtrust думаю будет работать. но там блин squid + внешний Auth модуль на перле. Я пилил чтоб получало с клиента fdn и отдавало серверу. остальное хардкорно на squid acl's :(



а можно squid настроить так чтобы пускал только если юзер находится в опрелененной ldap группе ? ( скриптом буду загонять если юзер прологинился и удалять если разлогинился) и чтобы не спрашивал логин и пароль

был бы иедальный для меня вариант


да
именно до того состояния и пилился squidtrust. пошукайте тут поиском.
он проверяет user.context.context на принадлежность к группе
Аватара пользователя
Dimerson
 
Сообщения: 2749
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: решил поиграться с суперлюимином

Сообщение skoltogyan » 06 фев 2012, 18:11

"а можно squid настроить так чтобы пускал только если юзер находится в опрелененной ldap группе ? ( скриптом буду загонять если юзер прологинился и удалять если разлогинился) и чтобы не спрашивал логин и пароль

был бы иедальный для меня вариант"
Да. так оно и работает у меня
skoltogyan
 
Сообщения: 1897
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Re: решил поиграться с суперлюимином

Сообщение capricious » 06 фев 2012, 20:59

skoltogyan писал(а):"а можно squid настроить так чтобы пускал только если юзер находится в опрелененной ldap группе ? ( скриптом буду загонять если юзер прологинился и удалять если разлогинился) и чтобы не спрашивал логин и пароль

был бы иедальный для меня вариант"
Да. так оно и работает у меня



а поделитесь пожалуйста конфигом
Аватара пользователя
capricious
 
Сообщения: 393
Зарегистрирован: 21 апр 2003, 14:36
Откуда: Moscow

Re: решил поиграться с суперлюимином

Сообщение Dimerson » 07 фев 2012, 09:00

1. был по мотивам скриптового (.ahk) SquidTrust был написан не-VCL SquidTrust.exe {многопоточный TCP клиент-сервер на асинхронных сокетах, чистый win32 API } виснет на 0.0.0.0:3333 (TCP)
если телнетом ввести 3 отдает имя вендовой машины
если 2 отдает windows user
если 1 то fdn {чуть поксоренный чтоб открытым текстом не летало}

как обычно висит в трее. примерно соответствует clntrust.exe по интерфейсу. к нему в пару есть DwSquidTrust.exe (выгружалка)

на сервере SquidTrust.pl
висит демоном (запускается нужное число потоков самим SQUID) по вводу IP в STDIN делает запрос на IP:3333 и получает fdn, далее делает запрос в ldap и проверяет принадлежность к группе если членство есть то в STDOUT выдает OK если нет то ERR

в теле скрипта (squidtrust.pl) прописаны параметры:

my @LDAPServerAddress = [ 'server.domain.name', 'server.ip.address' ];
my $binddn='cn=proxy-user, o=context';
my $bindpw='proxy-password';
my $edirgroup='cn=INTERNET_USERS,o=context';

делал принудительно с неанонимным биндом (перловый скрипт допиливается на раз, добавляем параметр для анономного бинда и правим в районе
Код: Выделить всё
my $mesg = $ldap->bind( $binddn, password=> $bindpw );
), звиняйте. думаю что можно задавать имя группы с коммандной строки при этом прописывать несколько ACL в конфиге сквида.

ну и в конфиге сквида классически

Код: Выделить всё
external_acl_type IPUser ttl=60 children=10 %SRC /usr/local/squid/SquidTrust.pl
acl AuthNDS external IPUser
http_access allow AuthNDS


соответственно если задавать имя группы с комм строки то можно проверять принадлежность к неск группам. ttl настраивается по вкусу.

собственно squidtrust использует уже с осени (или с лета запамятовал уже) Михаил Пилютик - я кое что правил по результатам его замечаний (типа чтоб работало кузяво на win98 и там еще глючок был).

Жаль что нельзя прикрепить файл к письму. Может можно залить тут (2 шт .exe и .pl) на novell.org.ru в файлы ?

В общем отличия от родного SquidTrust :

1. легкий squidtrust.exe (<40K) . получает fdn а не имя без контекста через Novell API. в самом SquidTrust.exe опции выгрузки нет - сделан DwSquidTrust.exe

2. squidtrust.pl работает с fdn, проверяя group membership. fdn не летает в явном виде хотя это так, мертвому припарки но лучше так чем никак . в SquidTrust добавлено немного проверок чтоб он не падал при получении в stdin не валидного IP адреса итд.

Пилить дальше не стал. Если хватит Сквида и просто принадлежности к группе eDir то этого хватит.
Аватара пользователя
Dimerson
 
Сообщения: 2749
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: решил поиграться с суперлюимином

Сообщение capricious » 07 фев 2012, 09:52

осталось только получить (2 шт .exe и .pl) :)
Аватара пользователя
capricious
 
Сообщения: 393
Зарегистрирован: 21 апр 2003, 14:36
Откуда: Moscow

Re: решил поиграться с суперлюимином

Сообщение Dimerson » 07 фев 2012, 09:55

Есть мыло скину
Аватара пользователя
Dimerson
 
Сообщения: 2749
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: решил поиграться с суперлюимином

Сообщение capricious » 07 фев 2012, 11:42

в личку кинул мыло
Аватара пользователя
capricious
 
Сообщения: 393
Зарегистрирован: 21 апр 2003, 14:36
Откуда: Moscow

Re: решил поиграться с суперлюимином

Сообщение Dimerson » 07 фев 2012, 16:28

ушло
Аватара пользователя
Dimerson
 
Сообщения: 2749
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: решил поиграться с суперлюимином

Сообщение Dimerson » 08 фев 2012, 09:08

Веду в данный момент переписку с большим боссом по разработке в компании производящей SLN. Пишет что мол блин где вы все были раньше ? Не было ни одного клиента из России но в последнюю неделю веду переписку исключительно с вашей братией ...

:)
Аватара пользователя
Dimerson
 
Сообщения: 2749
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: решил поиграться с суперлюимином

Сообщение Павел Гарбар » 08 фев 2012, 13:53

А тут мы все и были :-) И на Бордюре сидели...
А клиентов (ну, тех кто купил и пользуется) из СНГ у них, наверное, и сейчас мало (если вообще есть).
Павел Гарбар
 
Сообщения: 686
Зарегистрирован: 05 июн 2002, 09:36
Откуда: Санкт-Петербург

Пред.След.

Вернуться в *nix

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron