proNovell

Вижу этот вопрос поднимается часто, помощи сдесь не нашёл, разобрался сам, вот решение.

используется схема ntlm/basic авторизация + группы из ldap

freebsd + squid 2.6 (/usr/ports/squid)

Едиректория с сервером nw 6.5 с настроенным cifs (пользователи без novell client должны нормально заходить на шары cifs)

Работает также через самбу, прикрученную к e-directory через ldap но это отдельный разговор.

Настроенный ldap с разрешенным cleartext password
можно и не cleartext, но это уже нюансы, для простоты настройки их опускаю.

на squid добавляем:

#ntlm авторизация
auth_param ntlm program /usr/local/libexec/squid/ntlm_auth workgroup/nwserver (workgroup - рабочая группа cifs)
auth_param ntlm children 5

#basic авторизация (браузеры не поддерживающие ntlm к примеру)
auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -f "(&(objectclass=perso
n)(cn=%s))" -b "o=mycompany" nwserver
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server

authenticate_ttl 2 hour
acl password proxy_auth REQUIRED

#настройка хелпера для поиска групп в ldap
#опция -S убирает домен авторизации перед поиском в ldap
external_acl_type LDAP_group %LOGIN /usr/local/libexec/squid/squid_ldap_group -S -P -v 3 -
b "o=mycompany" -f "(&(cn=%g)(uniquemember=%u))" -F "(&(cn=%s)(objectclass=person))" nwserver

#описание самих групп (группы с такими названиями должны присутствовать в e-directory)
acl users_full external LDAP_group inet_users_full
acl users_normal external LDAP_group inet_users_normal
acl users_limited external LDAP_group inet_users_limited

#собственно сами разрешения.
http_access allow password users_full
http_access allow password users_normal
http_access allow password users_limited

нюансы по вкусу (delay pools и.т.п.)

У меня работает

когда пользователь через броузер обращается к проксе, например за
http://www.novell.com
прокся спрашивает у пользователя Имя и Пароль ?

Естесственно нет. Почитайте где-нибудь в инете что такое ntlm.

а коротко рассказать можете - что этотакое ?

v13 писал(а):Естесственно нет. Почитайте где-нибудь в инете что такое ntlm.

Это только для IE?...

Для IE это встроенная хрень, для оперы недавно видел какой-то костыль.

Dmitry aka DrHoo писал(а):

v13 писал(а):Естесственно нет. Почитайте где-нибудь в инете что такое ntlm.

Это только для IE?...

Для ФФ NTLM включается для списка доменов, который прописывается в about:config | filter : ntlm, далее в automatic-ntlm-auth.trusted-uris указывается доменное имя, для которого поддерживать NTLM-аутентификацию.

А удалось ли кому-нибудь авторизовать русскоимённых юзеров? Squid'2.5 кодирует русские буквы в процент и 16-ричный код буквы; кодировка имён, похоже, KOI8-r. При этом winbind и ntlm_auth (оба - из Самбы) опознают русские имена юзеров нормально

НЕт. У Бордюра только анлоязычные.

А при чём тут, извините, Бордюр ?

Андрей Тр. aka RH писал(а):А при чём тут, извините, Бордюр ?

Так спрашивали-то - русскоименных, а сайт - мормонов

Э-э .. я так понял, что вопрос про авторизацию "русскоимённых юзеров" в некоем своём Сквиде ( 2.5 ) по LDAP ( к своему жн еДиру ? ). См. сабж ( "squid ntlm прозрачная авторизация" ).

Теоретически должно работать, так как в этой схеме используются хэши, а им без разницы русское имя или нет.
Но лично я не практикую русские имена в е-директори хотя бы по той причине чтоб держать одинаковые имена для е-мыла(groupwise).
Опять же не все продукты корректно работают с русскими именами, и через лдап замучаешься чтонибудь делать.

v13 писал(а):используется схема ntlm/basic авторизация + группы из ldap

freebsd + squid 2.6 (/usr/ports/squid)

Едиректория с сервером nw 6.5 с настроенным cifs (пользователи без novell client должны нормально заходить на шары cifs)

Один мой клиент пытается настроить прозрачную авторизацию по приведенной схеме - имеется сервер OES2 SLES10 и на нем Squid2.6 плюс еДир на NW6.5SP6. Кстати, в 2.6 теперь вроде есть отдельный хелпер для еДира, пока не знаю, есть ли у него какое-то преимущество. Поручил там одному разобраться .. пока без результата Похоже, проще сделать самому

По ходу возникла пара вопросов. Каким образом компилять сквид, чтобы включить этот хелпер - ntlm_auth, там вроде есть 4 (?) варианта ? Типа smb, mswin и еще какие-то.

И еще возникла небольшая проблема с CIFS. Завел шару на сервере, и юзеров из одного контейнера пускает, а из другого - нет. То есть у вторых не получается даже аутентифицироваться, а снова вылезает запрос имени/пароля. Когда-то давно ( когда еще CIFS рулился из С1 в свойствах сервера ) мне казалось, что где-то там имелся список OU с доступом к шаре. Но теперь в иМанагере я ничего подобного не нашел.

а почему не настроить, что-бы сквид смотрел так:
с какого IP-ка идет запрос, псоле этого чреез LDAP в дереве смотрел какой юзверь с этого ip-ка, и далее в какую группу входит этот юзверь и далее - куда этой группе можно..
тогда между станцией и сквидом не будет передаваться ни имя и ни пароль