squid ntlm прозрачная авторизация - решение.

Обсуждение технических вопросов по продуктам Novell под Linux, а также *nix систем

Сообщение Андрей Тр. aka RH » 16 фев 2008, 15:55

Такой метод ( проверять IP у пользователя ) вполне реален, и даже описан здесь : Seamless Authentication with the Squid Proxy. На первый взгляд, меня в нем не устраивают две вещи. 1) необходимость некоего скрипта ( в приведенной статье - перлового ), который бы по LDAP-запросу возвращал IP и 2) при большом TTL возможны ситуации, когда пользователь уже отлогинился, на этом IP появился другой, которого Сквид еще пускает в Инет. При уменьшении TTL возрастает частота запросов тех самых IP.

Хотя у этого метода есть и преимущество - он не зависит от браузера и от платформы. То есть работать будет и там, где новелловского клиента нет вообще - например, на Маках .. вероятно, даже на PDA и пр. Метод с NTLM в целом кажется "правильней", т.к. основан на том, что Сквид уже и так "понимает" в качестве источника аутентификации ( и никаких самописных примочек не требуется ). Что, впрочем, налагает свои ограничения на сам метод - т.к. используется NTLM.
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Иван Левшин aka Ivan L. » 16 фев 2008, 17:33

Андрей Тр. aka RH писал(а):Такой метод ( проверять IP у пользователя ) вполне реален, и даже описан здесь : Seamless Authentication with the Squid Proxy.

Прекрасный метод - однако есть вести с полей, которые неутешительны. Под большой нагрузкой выносит к чертовой матери едыр (сервер, который лдап-запросы обрабатывает, подвисает). НСМ использует именно такую авторизацию - на нем, собственно, и выяснилось.

"Нежнее нада... еще нежнее"
Иван Левшин aka Ivan L.
 
Сообщения: 2378
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

Сообщение Андрей Тр. aka RH » 16 фев 2008, 19:07

Не понял - выносит из-за банальных запросов по ЛДАП для поиска конкретного атрибута конкретного пользователя ? Речь ведь даже не про аутентификацию. Насколько помню, Новеллом заявлялись вполне такие умопомрачительные характеристики своих ЛДАП-серверов. Причем ИМХО небезосновательно.

И что в таком случае понимается под большой нагрузкой ? Цифры в студию, пожалуйста.
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Иван Левшин aka Ivan L. » 16 фев 2008, 22:47

Касаемо деталей сейчас ничего сказать не могу. Вопрос, что называется - в стадии изучения. Как данность - при разворачивании довольно крупных инсталляций NSM (крупных - масштаба, скажем, полутора-двух тысяч пользователей, из которых порядка 100-200 - одновременно подключались) столкнулись с проблемой, описанной мной. Разворачивал не я, сам лично столкнулся с выносом сервера с едир 8.8.2 в похожей ситуации (стоял стервер Apache2 под вендой, повис к такой-то матери, однако после этого в течение суток бомбардировал едыр запросами именно свойства "ищем пользователя по IP". В результате - в TCPCON висящие LDAP-коннекты в огромном количестве и отсутствие признаков жизни со стороны едыра. Сервант работает, но ни авторизовать, ни синхронизировать реплики - не может)
Пока из предварительного анализа могу сказать, что с полем NetworkAddress не все так просто - это динамическое шестнадцатеричное поле, которое новель категорически не рекомендует индексировать и устраивать по нему массированные поиски. Получаются Gory-процессы со всеми вытекающими. Так что, господа, изобретайте что-нибудь еще. Не зря же в новеле изобрели clntrust-технологию, а не тупо в лоб ищут в лдапе ;)

Касаемо же "умопомрачительных характеристик" - а никто никого и не обманывает. Это действительно один из самых быстрых и надежных серверов в отрасли :)

P.S. С проблемами с НСМ сталкивался не я, до меня дошли только отголоски. Тогда (вроде бы) проводились эксперименты с едыром 8.7.3.х и на нетвари, и на линухе. И там, и там - грабли.
Иван Левшин aka Ivan L.
 
Сообщения: 2378
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

Сообщение Андрей Тр. aka RH » 17 фев 2008, 07:16

Иван Левшин aka Ivan L. писал(а):Так что, господа, изобретайте что-нибудь еще. Не зря же в новеле изобрели clntrust-технологию, а не тупо в лоб ищут в лдапе ;)

В общем-то по большому счёту этот метод - не замена clntrust, это скорее обходной маневр ( за неимением лучшей технологии - помимо предлагаемой NTLM-аутентификации, со своими минусами ). Но то, что еДир ведет себя так позорно при запросах такого рода - это нехорошо. Я бы понял, если б на запрос выдавались какие-то ошибки, или генерились ошибки в самом DS, но чтобы вешать саму службу каталогов .. это просто некрасиво. Надеюсь, индусы в будущем это дело поправят :)

Насчет изобретать .. что ж, можно и поизобретать. Например, насколько я понимаю, у каждого сервера с еДиром ( NW, Linux .. наверное, даже Win :) ) имеется таблица коннектов с залогиненными ( и просто приконнекченными ) пользователями. В этой таблице сопоставлены имя пользователя и его адрес ( в т.ч. IP ). Очевидно, каким-то способом эту инфу из этой таблицы можно извлечь - таким образом избегая ЛДАП запросов к еДиру. Сразу понятны ограничения - пользователь должен гарантированно присутствовать в таблице нужного сервера ( по ЛДАП можно опросить любой из имеющихся ЛДАП ). Но именно таким образом у нас PCounter считает задания печати, приходящие от Маков - там NLM смотрит в таблице коннектов, какой пользователь соответствует IP, с которого пришло задание. Потому как с Мака имя пользователя вместе с заданием печати не приходит.

Еще безумная идея - хранить имена пользователей и их IP в некоей БД :shock: Ну, например в той же мускульной базе на SLES. И синхронизировать атрибут IP при помощи IDM :) Нужно всего-то написать политику .. и купить database module. Хотя, теоретически, можно попробовать и простым IDM копировать атрибут IP в какой-то другой атрибут того же пользователя .. (?) уже в другом формате. Чтобы еДир от запросов к нему не вешался. Правда, еще не надо забывать, что у пользователей адресов может быть более одного ..

.. бардак, короче :twisted:
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Иван Левшин aka Ivan L. » 17 фев 2008, 17:04

Андрей Тр. aka RH писал(а):В общем-то по большому счёту этот метод - не замена clntrust, это скорее обходной маневр ( за неимением лучшей технологии - помимо предлагаемой NTLM-аутентификации, со своими минусами ). Но то, что еДир ведет себя так позорно при запросах такого рода - это нехорошо. Я бы понял, если б на запрос выдавались какие-то ошибки, или генерились ошибки в самом DS, но чтобы вешать саму службу каталогов .. это просто некрасиво. Надеюсь, индусы в будущем это дело поправят :)

Андрей, я не понимаю - почему используются выражения навроде "позорно"? Предположения относительно генерации ошибок в ДС - это просто пять :D ИМХО повисший сервис проще и быстрее передернуть, чем потеть над исправлением ошибок в ДС - это раз. Два - если у тебя в инструкции к автомобилю написано "лить неэтилированный 95 бензин" - это считать позором автопроизводителя или как? Действительно - что за фигня?! Почему он не едет на солярке или, еще круче, на сырой нефти?

И - я же отметил, что эта информация в настоящее время не более, чем драфт. Несмотря на уверения товарища - я пока не нашел прямого подтверждения данного факта.
Иван Левшин aka Ivan L.
 
Сообщения: 2378
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

Сообщение Андрей Тр. aka RH » 18 фев 2008, 03:39

Иван Левшин aka Ivan L. писал(а):Андрей, я не понимаю - почему используются выражения навроде "позорно"? Предположения относительно генерации ошибок в ДС - это просто пять :D ИМХО повисший сервис проще и быстрее передернуть, чем потеть над исправлением ошибок в ДС - это раз. Два - если у тебя в инструкции к автомобилю написано "лить неэтилированный 95 бензин" - это считать позором автопроизводителя или как? Действительно - что за фигня?! Почему он не едет на солярке или, еще круче, на сырой нефти?

И - я же отметил, что эта информация в настоящее время не более, чем драфт. Несмотря на уверения товарища - я пока не нашел прямого подтверждения данного факта.

Иван, ну ты же сам, наверное, видел цифирки в dstrace - типа -604, 604, 628 и т.п. Это и есть ошибки, они как раз и возникают в ситуациях, когда ds оказалась на что-то неспособна ( найти атрибут, например ). Если ты считаешь, что "проще передернуть сервис" ds на новельном сервере, то мне просто нечего добавить. И насколько часто ты собираешься это делать ? Это, конечно, метод, но желательно чтобы сервер все таки посреди рабочего дня не вставал колом - пусть даже и на полчаса.

Насчет бензина - буду благодарен, если ты мне укажешь, где именно "новель категорически не рекомендует индексировать и устраивать по нему массированные поиски." Такое где-то написано в доке по их ЛДАП серверу ? Если DS на сервере ( или даже сам сервер ?? ) можно завалить потоком ЛДАП-запросов ( "сервер, который лдап-запросы обрабатывает, подвисает)" ), то как тут еще выражаться ?

----------------------------------

По сабжу - я чего еще подумал : а если скрестить в одном флаконе вариант от v13 с NTLM и тот, который валит сервер :? и использовать второй метод только как запасной, и только после него уже - basic auth. Таким образом закрываем браузеры и платформы, не использующие NTLM, и заметно снижаем нагрузку на LDAP с поиском IP.
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Иван Левшин aka Ivan L. » 18 фев 2008, 10:05

Андрей Тр. aka RH - давай так... Я сейчас занимаюсь именно этим вопросом - правда, он не на первой очереди :) Ежели что - пинай. Информация пока противоречива, четкого видения вопроса нет.
Иван Левшин aka Ivan L.
 
Сообщения: 2378
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

Re: squid ntlm прозрачная авторизация - решение.

Сообщение v13 » 18 фев 2008, 12:59

Один мой клиент пытается настроить прозрачную авторизацию по приведенной схеме - имеется сервер OES2 SLES10 и на нем Squid2.6 плюс еДир на NW6.5SP6.

По ходу возникла пара вопросов. Каким образом компилять сквид, чтобы включить этот хелпер - ntlm_auth, там вроде есть 4 (?) варианта ? Типа smb, mswin и еще какие-то.

Я не пробовал такую комбинацию, но думаю, должно работать без проблем.
поставил сейчас из yast squid, /usr/sbin/ntlm-auth присутствует.
такчто компилировать чтото необходимости нет

И еще возникла небольшая проблема с CIFS. Завел шару на сервере, и юзеров из одного контейнера пускает, а из другого - нет. То есть у вторых не получается даже аутентифицироваться, а снова вылезает запрос имени/пароля. Когда-то давно ( когда еще CIFS рулился из С1 в свойствах сервера ) мне казалось, что где-то там имелся список OU с доступом к шаре. Но теперь в иМанагере я ничего подобного не нашел. :?

подредактируй
\\nwserver\sys\ETC\cifsctxs.cfg
и перезапусти cifs (cifsstop,cifsstrt)
Аватара пользователя
v13
 
Сообщения: 660
Зарегистрирован: 31 авг 2007, 09:07

Сообщение v13 » 18 фев 2008, 22:15

Иван Левшин aka Ivan L. писал(а):
Андрей Тр. aka RH писал(а):Такой метод ( проверять IP у пользователя ) вполне реален, и даже описан здесь : Seamless Authentication with the Squid Proxy.

Прекрасный метод - однако есть вести с полей, которые неутешительны. Под большой нагрузкой выносит к чертовой матери едыр (сервер, который лдап-запросы обрабатывает, подвисает). НСМ использует именно такую авторизацию - на нем, собственно, и выяснилось.

"Нежнее нада... еще нежнее"


Что прекрасного в методе который даже на терминальном сервере использовать нельзя.
Да есть ещё куча нюансов с атрибутом networkAddress.
Я этот метод отбросил ещё на начальном этапе ввиду кривости.

И что это за сервер который от LDAP запросов валится ? :shock:
Аватара пользователя
v13
 
Сообщения: 660
Зарегистрирован: 31 авг 2007, 09:07

Сообщение Иван Левшин aka Ivan L. » 19 фев 2008, 00:33

v13 писал(а):И что это за сервер который от LDAP запросов валится ? :shock:

Предлог начать холивар? Любителям позадавать риторические вопросы - рекомендация отправиться в developer.novell.com и пошукать там - что такое атрибут networkAddress ;)

И, коли уж мы настолько круты - может, имеется пример абсолютно надежного LDAP-сервера? Который ну ни от каких запросов не валится?
Иван Левшин aka Ivan L.
 
Сообщения: 2378
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

Сообщение v13 » 19 фев 2008, 07:57

Акститесь батенька. всего лишь ответы по теме.
У меня не валится. nw65sp6.
По поводу отправляния меня читать документацию - перестанте уже ради бога. Ведёте себя как ребёнок.
Аватара пользователя
v13
 
Сообщения: 660
Зарегистрирован: 31 авг 2007, 09:07

Сообщение Иван Левшин aka Ivan L. » 20 фев 2008, 11:30

v13 писал(а):Акститесь батенька. всего лишь ответы по теме.
У меня не валится. nw65sp6.
По поводу отправляния меня читать документацию - перестанте уже ради бога. Ведёте себя как ребёнок.

Ага, батенька - и у нас "в квартире газ". То, что двух одинаковых систем не бывает - это для Вас открытие, правда? :) У Вас - не валится, у меня на старой работе - тоже. У большинства клиентов - тоже не валится. Однако вот у одного клиента - валилось. Да так, что вставала вся система (запросами долбили основной сервер дерева). И еще были ситуации, когда - валилось. Не надо свой мегаопыт экстраполировать на весь остальной мир - только и всего. Плюс надо внимательнее читать - я в этом же треде писал уже, что моя рекомендация - во-первых, не более, чем рекомендация, во-вторых - данные до сих пор не подтверждены.

Документацию читать - вообще полезно. "Ребенки", правда, этого зачастую не делают - а жаль. Взрослые дяди - они как раз этим и занимаются.

P.S. "Окститесь", батенька :D И вообще учите русский язык - пригодится ;)
Иван Левшин aka Ivan L.
 
Сообщения: 2378
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

Сообщение Владимир Горяев » 20 фев 2008, 12:06

Я не модератор, но ей-богу! Иван и v13 (кстати у нас считается хорошим тоном ники повразумительнее иметь) хватит уже междусобойчики устраивать почти в каждой теме. Все мы спецы.. и кто не без греха... мож у меня тоже что-то... где-то болшЕе... Хорош!
Бардак автоматизировать невозможно!!!
_________________
Аватара пользователя
Владимир Горяев
 
Сообщения: 3473
Зарегистрирован: 05 июн 2002, 13:37
Откуда: Смоленск

Сообщение v13 » 20 фев 2008, 16:31

У меня складывается впечатление что Иван очень сильно комплексует по поводу того что ктото пришёл в ЕГО песочницу и начал чтото говорить.
других объяснений я не вижу.
За орфографию вон начал цепляться. :-)
А по делу даже уже ничего не говорит, только брызг слюны.
УСПОКОЙТЕСЬ уже, Иван.
Аватара пользователя
v13
 
Сообщения: 660
Зарегистрирован: 31 авг 2007, 09:07

Пред.След.

Вернуться в *nix

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1