squid + NDS (не вопрос, а просьба о помощи)

Обсуждение технических вопросов по продуктам Novell под Linux, а также *nix систем

Сообщение Андрей Тр. aka RH » 18 авг 2006, 08:51

В принципе, при определенных обстоятельствах - когда настроены политики паролей пользователей, требующие их уникальности и пр. - старые пароли хранятся в атрибуте used passwords ( такой, кажется ) - точнее, хранятся их хэши, конечно. Но сами атрибуты при этом зашифрованы ( в еДир поддерживаются шифрованные атрибуты ) - т.е. даже хэши оттуда прочитать нельзя.
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Vladimir » 18 авг 2006, 12:12

Ясно. Спасибо.
Придётся отказаться от идеи использования squid в кач-ве прокси-сервера.
Vladimir
 
Сообщения: 8
Зарегистрирован: 27 июл 2006, 17:44

Сообщение Андрей Тр. aka RH » 18 авг 2006, 15:36

Хоть у меня и маловато опыта в данной области, я бы все же ( пока что ) так категорично утверждать не стал. Например, судя по http://support.novell.com/docs/Tids/Sol ... 80726.html вполне реально настроить аутентификацию по ЛДАП используя DIGEST-MD5 ( ведь это и есть тот digest_ldap_auth ? или нет ? ) - другое дело, что придется повозиться с настройкой паролей собсно в Новелле.

В частности, как я понимаю ( из теории - на практике я лишь только настраивал Маки на работу с NDS как раз через simple, с предварительной их синхронизацией с NDS password ) нужно будет задать политики паролей и задействовать NMAS.
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Vladimir » 18 авг 2006, 18:38

Есть, конечно, в кузнице Novell ldapdigest, который, судя по исходнику, ничего не знает об ключе -A и, соответственно, не нуждается в хэша пароля.
Однако проект выглядит заброшенным. По крайней мере мой вопрос во всём листе единственный
http://forge.novell.com/pipermail/ldapd ... hread.html

ldapdigest использует родные линуксовые либы и под FreeBSD компилиться не хочет категорически, несмотря на то, что linux_base установлен и путь к либам прописан.
Возможно, какому-нибудь Linux-админу стоит взять на заметку этот helper.
Vladimir
 
Сообщения: 8
Зарегистрирован: 27 июл 2006, 17:44

Сообщение Михаил Григорьев » 19 авг 2006, 12:13

Vladimir писал(а):Возможно, какому-нибудь Linux-админу стоит взять на заметку этот helper.


Владимир, у меня собственно возник вот какой вопрос: Где вы собираетесь использовать данный вид авторизации? Ведь его мало кто поддерживает, IE, Мозила, Опера и возможно Firefox
А всякие там довнлоад-менеджеры такие вещи как дигест и NTLM не поддерживают, если мне память не изменяет, дак зачем же такое дело?

Может вам стоит посмотреть в сторону решения Ивана Левшина?
Аватара пользователя
Михаил Григорьев
 
Сообщения: 1462
Зарегистрирован: 04 июн 2002, 12:22
Откуда: Челябинск

Сообщение Aleksey(ishua) » 20 авг 2006, 15:25

Григорьев Михаил писал(а):... Ведь его мало кто поддерживает, IE, Мозила, Опера и возможно Firefox
А всякие там довнлоад-менеджеры такие вещи как дигест и NTLM не поддерживают, если мне память не изменяет, дак зачем же такое дело?

Может вам стоит посмотреть в сторону решения Ивана Левшина?



а мне если память не изменяеть NTLM вообще поддерживает тока IE ,опера точно не поддерживает, мозила скорее всего тоже. (про почты давнлоад менегеры и подобное друго, даже думтать безсмысленно)

ээээх, решение Ивана, ждемс, пока его никто не опробовал :)
Aleksey(ishua)
 
Сообщения: 70
Зарегистрирован: 03 сен 2004, 13:10

Сообщение Иван Левшин aka Ivan L. » 21 авг 2006, 00:56

Блин, парни... Мне уже стыдно - прям начинаю чувствовать себя БГ! Завтра дам пинка девелоперу. Еще раз (ежели не тяжко) - продублируйте письмом на ivan.cit.AT.nirhtu.ru свои пожелания. У меня в почте письма от Виктора Танина и Алексея. В течение недели, думаю, уже вышлем.
Иван Левшин aka Ivan L.
 
Сообщения: 2576
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

Сообщение Vladimir » 21 авг 2006, 13:27

Григорьев Михаил писал(а):Где вы собираетесь использовать данный вид авторизации? Ведь его мало кто поддерживает, IE, Мозила, Опера и возможно Firefox
А всякие там довнлоад-менеджеры такие вещи как дигест и NTLM не поддерживают, если мне память не изменяет, дак зачем же такое дело?

Ну, процент пользователей в нашей корпорации, которые используют менеджеры закачек, не столь велик(думаю, не более 20%).
Учитывая, что в новом flashgot включена поддержка digest аутентификации, пользователь, справившийся с установкой downlad managera, совладает и с установкой связки firefox+flashgot, если ему это действительно нужно.

Григорьев Михаил писал(а):Может вам стоит посмотреть в сторону решения Ивана Левшина?

Спасибо, смотрел :) Попробую, как только появится возможность протестить. В любом случае, два варианта - лучше чем один )

Aleksey(ishua) писал(а):а мне если память не изменяеть NTLM вообще поддерживает тока IE ,опера точно не поддерживает, мозила скорее всего тоже. (про почты давнлоад менегеры и подобное друго, даже думтать безсмысленно)

Firefox и Mozilla поддерживает NTLM аутентификацию,
К тому же, как я понял, есть и обходной путь.
Opera с 9-ой версии поддерживает NTLM. Хотя, пишут, оно там не всё гладко; но баги имеют тенденцию исправляться патчами и свежими билдами ==> Multiple improvements and bug fixes in NTLM support. NTLM now works through HTTP proxy..
Vladimir
 
Сообщения: 8
Зарегистрирован: 27 июл 2006, 17:44

Сообщение Vladimir » 22 авг 2006, 15:42

Григорьев Михаил писал(а):Ни в каком, пароль прочитать нельзя ни в каком его виде!


Сорри, я был невнимателен. После повторного чтения документации я обнаружил, что Your Universal Password should be enabled and the policy should allow admin users to extract passwords.
Получается, администратор всё-таки может извлекать пароль(или его хэш) после проведения соответствующих манипуляций с NMAS.

Добавление:
Чтобы включить universal password нужна NetWare 6.5. Ну их нафиг, этих мормонов.
Последний раз редактировалось Vladimir 22 авг 2006, 18:38, всего редактировалось 1 раз.
Vladimir
 
Сообщения: 8
Зарегистрирован: 27 июл 2006, 17:44

Сообщение Андрей Тр. aka RH » 22 авг 2006, 15:59

Андрей Тр. aka RH писал(а):придется повозиться с настройкой паролей собсно в Новелле .. нужно будет задать политики паролей и задействовать NMAS.

Vladimir писал(а):Получается, администратор всё-таки может извлекать пароль(или его хэш) после проведения соответствующих манипуляций с NMAS.
Ага ..
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Пред.

Вернуться в *nix

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 11

cron