Мой студент роет в направлении полноценного прикручивания SQUID-а к eDir и у него в процессе изучения возникли некоторые вопросы, которые он попросил меня задать знатокам Border Manager-а. Итак, речь идёт о безопасной аутентификации при использовании SQUID-а в качестве прокси-сервера. На сегодня в каждом запросе гоняется открытым текстом пароль (base64), что не есть хорошо. Способов решить эту проблему есть несколько:
1) Написать аналог clntrust. Нынешний общается с BM по одному ему известному протоколу (т.е., привязан к BM only), работает только под виндами и НЕ работает на терминальных серверах. Некоторые идеи на эту тему пробуются (н-р, как вариант - модификация identd + модуль для squid-а, и хотя портированный под винды identd также не поддерживает терминальные сервера, но это дело техники, я думаю, исходники в наличии).
2) SSL аутентификация. Вот в этой части есть несколько конкретных вопросов, я их просто процитирую:
Вопрос 1: Каким образом ВМ определяет кому принадлежит каждый http-запрос? Как говорится, ну и что, что клиент ввел правильное имя и пароль через https на какой-то страничке. Как определить, что дальнейшие запросы поступают именно от него же? Наиболее полное описание ssl аутентификации нашел здесь:
http://support.novell.com/cgi-bin/searc ... 023518.htm
Но ответ на вопрос не получил. Звучали там слова, что после аутентификации клиента, ВМ создает у себя unlicensed connection, но как это ему помогает, не понял.
Вопрос 2: 2)Верно ли утверждение: ssl аутентификация ВМ не работает с терминальными серверами? Иначе зачем городить огород:
http://www.novell.com/coolsolutions/bor ... th_bm.html
Вопрос 3: По поводу Z-2: http://www.jetinfosoft.ru/download/dox.html
Скачал я там руководство администратора, почитал. Схема их решения очень похожа на нашу: есть клиент, есть firewall, есть внешние модули аутентификации. Цитата (с. 76): "http - протокол без поддержки сессий, т.о. авторизация и проверка пароля происходит на каждый запрос." Возникает вопрос, неужели пользователи Z-2 тоже гоняют пароли в base64 при http аутентификации? Все таки ведь коммерческое решение, странно бы было, если это действительно так. Накатал я им мыло в службу поддержки Z-2-support@jet.msk.su - без результатно, молчат . Наверное надо сначало денежки за продукт заплатить, а уж потом начнут отвечать .
Комментарии к последнему вопросу - если кто помнит, на BS2002 выступал Борис Тоботрас и рассказывал про их собственный firewall (Z-2), а, точнее, про написанные ими модули аутентификации - под LDAP (понятно и неудивительно) и под eDir (вот это уже очень интересно). Хотелось бы понять, как и что они сделали, чтобы не изобретать велосипедов. Понятно, что под сквид писать нечто всё равно придётся, хочется понять, как у Z-2 реализована ssl-аутентификация с клиентской стороны.