Squid и авторизация через NTLM
Добавлено: 20 янв 2005, 14:07Сразу несколько вопросов.
Разумеется, хочется сделать как это было в Border Manager - прозрачную авторизацию. Почитал статьи разные, man'ы и начал пробовать.
1. Нигде не нашел толкового описания как запустить следующую конфигурацию. Два сервера. Первый основной - на нем стоит Samba и LDAP. Это все работает в связке. Работает нормально. Тут же запускаю winbind. Проверка работы через wbinfo -p и wbinfo -t проходит. Второй сервер - прокси. На нем нет ничего кроме Squid, что в принципе логично. Почта и веб-сервер прокинуты через DNAT внутрь сети. Сделано это с целью минимизации последствий взлома пограничного сервера. Хочется автоматически авторизовать пользователей на сервере после их авторизации в Samba. Поднимать BDC на прокси нет никакого желания.
Возможно такое запустить?
2. Попробовал следующее. На основном сервере (PDC) запускаю еще один Squid, который должен лишь авторизовать пользователей и все запросы не кэшируя их перенаправлять на пограничный сервер, где стоит уже "нормальный" Squid. Пока не включаю авторизацию по NTLM (модуль ntlm_auth из поставки Samba) конфиг Сквида нормально проходит тест и запускается сам прокси. Как только дописываю запуск этого модуля для проверки авторизации Squid перестает запускаться. В лог пишет об ошибке "Доступ запрещен" и указывает на файл /usr/bin/ntlm_auth. У файла атрибуты по умолчанию - 0755, т.е. каждый может его увидеть и запустить. После длительного изучения разнообразных форумов (в доке про это ничего нет) сделал вывод, что данный модуль на первичном контроллере домена не запускается ни от кого, кроме root'а. Короче, этот способ тоже не получился. А как на самом деле? кто-нибудь пробовал вышеописанную схему запускать?
3. Использование ntlm_auth не помогает при авторизации веб-клиентов, отличных от Explorer (т.е. FireFox не может, просит ввести пароль). Что также несерьезно.
4. Не слышал ли кто про запускаемые на клиентских машинах модулях, наподобии Client Trust от BM, говорящих о том, кто пытается работать в Инете. И автоматически авторизовывать пользователя, если доступ ему разрешен.
Разумеется, хочется сделать как это было в Border Manager - прозрачную авторизацию. Почитал статьи разные, man'ы и начал пробовать.
1. Нигде не нашел толкового описания как запустить следующую конфигурацию. Два сервера. Первый основной - на нем стоит Samba и LDAP. Это все работает в связке. Работает нормально. Тут же запускаю winbind. Проверка работы через wbinfo -p и wbinfo -t проходит. Второй сервер - прокси. На нем нет ничего кроме Squid, что в принципе логично. Почта и веб-сервер прокинуты через DNAT внутрь сети. Сделано это с целью минимизации последствий взлома пограничного сервера. Хочется автоматически авторизовать пользователей на сервере после их авторизации в Samba. Поднимать BDC на прокси нет никакого желания.
Возможно такое запустить?
2. Попробовал следующее. На основном сервере (PDC) запускаю еще один Squid, который должен лишь авторизовать пользователей и все запросы не кэшируя их перенаправлять на пограничный сервер, где стоит уже "нормальный" Squid. Пока не включаю авторизацию по NTLM (модуль ntlm_auth из поставки Samba) конфиг Сквида нормально проходит тест и запускается сам прокси. Как только дописываю запуск этого модуля для проверки авторизации Squid перестает запускаться. В лог пишет об ошибке "Доступ запрещен" и указывает на файл /usr/bin/ntlm_auth. У файла атрибуты по умолчанию - 0755, т.е. каждый может его увидеть и запустить. После длительного изучения разнообразных форумов (в доке про это ничего нет) сделал вывод, что данный модуль на первичном контроллере домена не запускается ни от кого, кроме root'а. Короче, этот способ тоже не получился. А как на самом деле? кто-нибудь пробовал вышеописанную схему запускать?
3. Использование ntlm_auth не помогает при авторизации веб-клиентов, отличных от Explorer (т.е. FireFox не может, просит ввести пароль). Что также несерьезно.
4. Не слышал ли кто про запускаемые на клиентских машинах модулях, наподобии Client Trust от BM, говорящих о том, кто пытается работать в Инете. И автоматически авторизовывать пользователя, если доступ ему разрешен.
