Страница 3 из 6

Re: решил поиграться с суперлюимином

СообщениеДобавлено: 06 фев 2012, 14:35
capricious
Dimerson писал(а):имхо его SSO по запросу сурвера после проверки сертификата отдает ему contextless cn + password.
пройдет для ваших юзверей ldap login ?

простите я темен и обхожусь без universal passwoprds :(



а дальше ? после "отдает ему contextless cn + password" ? куда эти значения идут ? опять в лдап? который требует username , universal password and token

так ?

Re: решил поиграться с суперлюимином

СообщениеДобавлено: 06 фев 2012, 14:37
Dimerson
ну тогда ой. squidtrust думаю будет работать. но там блин squid + внешний Auth модуль на перле. Я пилил чтоб получало с клиента fdn и отдавало серверу. остальное хардкорно на squid acl's :(

Re: решил поиграться с суперлюимином

СообщениеДобавлено: 06 фев 2012, 14:41
capricious
Dimerson писал(а):ну тогда ой. squidtrust думаю будет работать. но там блин squid + внешний Auth модуль на перле. Я пилил чтоб получало с клиента fdn и отдавало серверу. остальное хардкорно на squid acl's :(



а можно squid настроить так чтобы пускал только если юзер находится в опрелененной ldap группе ? ( скриптом буду загонять если юзер прологинился и удалять если разлогинился) и чтобы не спрашивал логин и пароль

был бы иедальный для меня вариант

Re: решил поиграться с суперлюимином

СообщениеДобавлено: 06 фев 2012, 14:45
Ковалев Артем
capricious писал(а):
Dimerson писал(а):ну тогда ой. squidtrust думаю будет работать. но там блин squid + внешний Auth модуль на перле. Я пилил чтоб получало с клиента fdn и отдавало серверу. остальное хардкорно на squid acl's :(



а можно squid настроить так чтобы пускал только если юзер находится в опрелененной ldap группе ? ( скриптом буду загонять если юзер прологинился и удалять если разлогинился) и чтобы не спрашивал логин и пароль

был бы иедальный для меня вариант

Можно.
Первое, что нашёл яндекс - http://www.opennet.ru/base/net/squid_ldap_ad.txt.html или http://www.cyberciti.biz/tips/howto-con ... ation.html
Там AD, с eDir есть некоторые отличия, но непринципиально.

Re: решил поиграться с суперлюимином

СообщениеДобавлено: 06 фев 2012, 14:49
capricious
я не понял ничего ...


1) юзер логин и пароль вводит не будет а ldap_helper всегда их требует вроде


2) а если поставить самбу или dsfw и настроить ntlm ? пустит ли тогда этих хитрых юзеров ?

Re: решил поиграться с суперлюимином

СообщениеДобавлено: 06 фев 2012, 16:42
Dimerson
capricious писал(а):
Dimerson писал(а):ну тогда ой. squidtrust думаю будет работать. но там блин squid + внешний Auth модуль на перле. Я пилил чтоб получало с клиента fdn и отдавало серверу. остальное хардкорно на squid acl's :(



а можно squid настроить так чтобы пускал только если юзер находится в опрелененной ldap группе ? ( скриптом буду загонять если юзер прологинился и удалять если разлогинился) и чтобы не спрашивал логин и пароль

был бы иедальный для меня вариант


да
именно до того состояния и пилился squidtrust. пошукайте тут поиском.
он проверяет user.context.context на принадлежность к группе

Re: решил поиграться с суперлюимином

СообщениеДобавлено: 06 фев 2012, 18:11
skoltogyan
"а можно squid настроить так чтобы пускал только если юзер находится в опрелененной ldap группе ? ( скриптом буду загонять если юзер прологинился и удалять если разлогинился) и чтобы не спрашивал логин и пароль

был бы иедальный для меня вариант"
Да. так оно и работает у меня

Re: решил поиграться с суперлюимином

СообщениеДобавлено: 06 фев 2012, 20:59
capricious
skoltogyan писал(а):"а можно squid настроить так чтобы пускал только если юзер находится в опрелененной ldap группе ? ( скриптом буду загонять если юзер прологинился и удалять если разлогинился) и чтобы не спрашивал логин и пароль

был бы иедальный для меня вариант"
Да. так оно и работает у меня



а поделитесь пожалуйста конфигом

Re: решил поиграться с суперлюимином

СообщениеДобавлено: 07 фев 2012, 09:00
Dimerson
1. был по мотивам скриптового (.ahk) SquidTrust был написан не-VCL SquidTrust.exe {многопоточный TCP клиент-сервер на асинхронных сокетах, чистый win32 API } виснет на 0.0.0.0:3333 (TCP)
если телнетом ввести 3 отдает имя вендовой машины
если 2 отдает windows user
если 1 то fdn {чуть поксоренный чтоб открытым текстом не летало}

как обычно висит в трее. примерно соответствует clntrust.exe по интерфейсу. к нему в пару есть DwSquidTrust.exe (выгружалка)

на сервере SquidTrust.pl
висит демоном (запускается нужное число потоков самим SQUID) по вводу IP в STDIN делает запрос на IP:3333 и получает fdn, далее делает запрос в ldap и проверяет принадлежность к группе если членство есть то в STDOUT выдает OK если нет то ERR

в теле скрипта (squidtrust.pl) прописаны параметры:

my @LDAPServerAddress = [ 'server.domain.name', 'server.ip.address' ];
my $binddn='cn=proxy-user, o=context';
my $bindpw='proxy-password';
my $edirgroup='cn=INTERNET_USERS,o=context';

делал принудительно с неанонимным биндом (перловый скрипт допиливается на раз, добавляем параметр для анономного бинда и правим в районе
Код: Выделить всё
my $mesg = $ldap->bind( $binddn, password=> $bindpw );
), звиняйте. думаю что можно задавать имя группы с коммандной строки при этом прописывать несколько ACL в конфиге сквида.

ну и в конфиге сквида классически

Код: Выделить всё
external_acl_type IPUser ttl=60 children=10 %SRC /usr/local/squid/SquidTrust.pl
acl AuthNDS external IPUser
http_access allow AuthNDS


соответственно если задавать имя группы с комм строки то можно проверять принадлежность к неск группам. ttl настраивается по вкусу.

собственно squidtrust использует уже с осени (или с лета запамятовал уже) Михаил Пилютик - я кое что правил по результатам его замечаний (типа чтоб работало кузяво на win98 и там еще глючок был).

Жаль что нельзя прикрепить файл к письму. Может можно залить тут (2 шт .exe и .pl) на novell.org.ru в файлы ?

В общем отличия от родного SquidTrust :

1. легкий squidtrust.exe (<40K) . получает fdn а не имя без контекста через Novell API. в самом SquidTrust.exe опции выгрузки нет - сделан DwSquidTrust.exe

2. squidtrust.pl работает с fdn, проверяя group membership. fdn не летает в явном виде хотя это так, мертвому припарки но лучше так чем никак . в SquidTrust добавлено немного проверок чтоб он не падал при получении в stdin не валидного IP адреса итд.

Пилить дальше не стал. Если хватит Сквида и просто принадлежности к группе eDir то этого хватит.

Re: решил поиграться с суперлюимином

СообщениеДобавлено: 07 фев 2012, 09:52
capricious
осталось только получить (2 шт .exe и .pl) :)

Re: решил поиграться с суперлюимином

СообщениеДобавлено: 07 фев 2012, 09:55
Dimerson
Есть мыло скину

Re: решил поиграться с суперлюимином

СообщениеДобавлено: 07 фев 2012, 11:42
capricious
в личку кинул мыло

Re: решил поиграться с суперлюимином

СообщениеДобавлено: 07 фев 2012, 16:28
Dimerson
ушло

Re: решил поиграться с суперлюимином

СообщениеДобавлено: 08 фев 2012, 09:08
Dimerson
Веду в данный момент переписку с большим боссом по разработке в компании производящей SLN. Пишет что мол блин где вы все были раньше ? Не было ни одного клиента из России но в последнюю неделю веду переписку исключительно с вашей братией ...

:)

Re: решил поиграться с суперлюимином

СообщениеДобавлено: 08 фев 2012, 13:53
Павел Гарбар
А тут мы все и были :-) И на Бордюре сидели...
А клиентов (ну, тех кто купил и пользуется) из СНГ у них, наверное, и сейчас мало (если вообще есть).