Squid и авторизация через NTLM

Обсуждение технических вопросов по продуктам Novell под Linux, а также *nix систем

Squid и авторизация через NTLM

Сообщение Игорь Вершинин » 20 янв 2005, 14:07

Сразу несколько вопросов.
Разумеется, хочется сделать как это было в Border Manager - прозрачную авторизацию. Почитал статьи разные, man'ы и начал пробовать.

1. Нигде не нашел толкового описания как запустить следующую конфигурацию. Два сервера. Первый основной - на нем стоит Samba и LDAP. Это все работает в связке. Работает нормально. Тут же запускаю winbind. Проверка работы через wbinfo -p и wbinfo -t проходит. Второй сервер - прокси. На нем нет ничего кроме Squid, что в принципе логично. Почта и веб-сервер прокинуты через DNAT внутрь сети. Сделано это с целью минимизации последствий взлома пограничного сервера. Хочется автоматически авторизовать пользователей на сервере после их авторизации в Samba. Поднимать BDC на прокси нет никакого желания.
Возможно такое запустить?

2. Попробовал следующее. На основном сервере (PDC) запускаю еще один Squid, который должен лишь авторизовать пользователей и все запросы не кэшируя их перенаправлять на пограничный сервер, где стоит уже "нормальный" Squid. Пока не включаю авторизацию по NTLM (модуль ntlm_auth из поставки Samba) конфиг Сквида нормально проходит тест и запускается сам прокси. Как только дописываю запуск этого модуля для проверки авторизации Squid перестает запускаться. В лог пишет об ошибке "Доступ запрещен" и указывает на файл /usr/bin/ntlm_auth. У файла атрибуты по умолчанию - 0755, т.е. каждый может его увидеть и запустить. После длительного изучения разнообразных форумов (в доке про это ничего нет) сделал вывод, что данный модуль на первичном контроллере домена не запускается ни от кого, кроме root'а. Короче, этот способ тоже не получился. А как на самом деле? кто-нибудь пробовал вышеописанную схему запускать?

3. Использование ntlm_auth не помогает при авторизации веб-клиентов, отличных от Explorer (т.е. FireFox не может, просит ввести пароль). Что также несерьезно.

4. Не слышал ли кто про запускаемые на клиентских машинах модулях, наподобии Client Trust от BM, говорящих о том, кто пытается работать в Инете. И автоматически авторизовывать пользователя, если доступ ему разрешен.
Аватара пользователя
Игорь Вершинин
 
Сообщения: 387
Зарегистрирован: 05 июн 2002, 20:34
Откуда: Волгоград

Сообщение Михаил Григорьев » 20 янв 2005, 16:29

Игорь читаем моё повествование здесь
Аватара пользователя
Михаил Григорьев
 
Сообщения: 1462
Зарегистрирован: 04 июн 2002, 12:22
Откуда: Челябинск

Сообщение Игорь Вершинин » 21 янв 2005, 19:52

Ок. Спасибо. Вот про Радиус я и не подумал.... :-(
Аватара пользователя
Игорь Вершинин
 
Сообщения: 387
Зарегистрирован: 05 июн 2002, 20:34
Откуда: Волгоград


Вернуться в *nix

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 21