squid ntlm прозрачная авторизация - решение.

Обсуждение технических вопросов по продуктам Novell под Linux, а также *nix систем

squid ntlm прозрачная авторизация - решение.

Сообщение v13 » 31 авг 2007, 09:49

Вижу этот вопрос поднимается часто, помощи сдесь не нашёл, разобрался сам, вот решение.

используется схема ntlm/basic авторизация + группы из ldap

freebsd + squid 2.6 (/usr/ports/squid)

Едиректория с сервером nw 6.5 с настроенным cifs (пользователи без novell client должны нормально заходить на шары cifs)

Работает также через самбу, прикрученную к e-directory через ldap но это отдельный разговор.

Настроенный ldap с разрешенным cleartext password
можно и не cleartext, но это уже нюансы, для простоты настройки их опускаю.

на squid добавляем:

#ntlm авторизация
auth_param ntlm program /usr/local/libexec/squid/ntlm_auth workgroup/nwserver (workgroup - рабочая группа cifs)
auth_param ntlm children 5

#basic авторизация (браузеры не поддерживающие ntlm к примеру)
auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -f "(&(objectclass=perso
n)(cn=%s))" -b "o=mycompany" nwserver
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server

authenticate_ttl 2 hour
acl password proxy_auth REQUIRED

#настройка хелпера для поиска групп в ldap
#опция -S убирает домен авторизации перед поиском в ldap
external_acl_type LDAP_group %LOGIN /usr/local/libexec/squid/squid_ldap_group -S -P -v 3 -
b "o=mycompany" -f "(&(cn=%g)(uniquemember=%u))" -F "(&(cn=%s)(objectclass=person))" nwserver

#описание самих групп (группы с такими названиями должны присутствовать в e-directory)
acl users_full external LDAP_group inet_users_full
acl users_normal external LDAP_group inet_users_normal
acl users_limited external LDAP_group inet_users_limited

#собственно сами разрешения.
http_access allow password users_full
http_access allow password users_normal
http_access allow password users_limited

нюансы по вкусу (delay pools и.т.п.)

У меня работает :-)
Аватара пользователя
v13
 
Сообщения: 660
Зарегистрирован: 31 авг 2007, 09:07

вопрос

Сообщение skoltogyan » 12 сен 2007, 21:16

когда пользователь через броузер обращается к проксе, например за
http://www.novell.com
прокся спрашивает у пользователя Имя и Пароль ?
skoltogyan
 
Сообщения: 2037
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Сообщение v13 » 13 сен 2007, 16:49

Естесственно нет. Почитайте где-нибудь в инете что такое ntlm.
Аватара пользователя
v13
 
Сообщения: 660
Зарегистрирован: 31 авг 2007, 09:07

а коротко рассказать можете - что этотакое ?

Сообщение skoltogyan » 14 сен 2007, 10:14

а коротко рассказать можете - что этотакое ?
skoltogyan
 
Сообщения: 2037
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Сообщение Dmitry aka DrHoo » 14 сен 2007, 10:49

v13 писал(а):Естесственно нет. Почитайте где-нибудь в инете что такое ntlm.


Это только для IE?...
Аватара пользователя
Dmitry aka DrHoo
 
Сообщения: 73
Зарегистрирован: 05 июн 2002, 07:48

Сообщение Иван Левшин aka Ivan L. » 14 сен 2007, 12:03

Для IE это встроенная хрень, для оперы недавно видел какой-то костыль.
Иван Левшин aka Ivan L.
 
Сообщения: 2576
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

Сообщение Андрей Тр. aka RH » 24 окт 2007, 11:05

Dmitry aka DrHoo писал(а):
v13 писал(а):Естесственно нет. Почитайте где-нибудь в инете что такое ntlm.


Это только для IE?...

Для ФФ NTLM включается для списка доменов, который прописывается в about:config | filter : ntlm, далее в automatic-ntlm-auth.trusted-uris указывается доменное имя, для которого поддерживать NTLM-аутентификацию.
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Karpion » 08 фев 2008, 17:47

А удалось ли кому-нибудь авторизовать русскоимённых юзеров? Squid'2.5 кодирует русские буквы в процент и 16-ричный код буквы; кодировка имён, похоже, KOI8-r. При этом winbind и ntlm_auth (оба - из Самбы) опознают русские имена юзеров нормально
Всё вышенаписанное - моё личное мнение.
Karpion
 
Сообщения: 1
Зарегистрирован: 08 фев 2008, 17:09
Откуда: Россия, Москва

Сообщение Мещеряков Андрей » 08 фев 2008, 18:34

НЕт. У Бордюра только анлоязычные.
Аватара пользователя
Мещеряков Андрей
 
Сообщения: 1999
Зарегистрирован: 19 сен 2002, 14:55
Откуда: lipetsk

Сообщение Андрей Тр. aka RH » 09 фев 2008, 09:31

А при чём тут, извините, Бордюр ?
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Мещеряков Андрей » 09 фев 2008, 17:18

Андрей Тр. aka RH писал(а):А при чём тут, извините, Бордюр ?

Так спрашивали-то - русскоименных, а сайт - мормонов :)
Аватара пользователя
Мещеряков Андрей
 
Сообщения: 1999
Зарегистрирован: 19 сен 2002, 14:55
Откуда: lipetsk

Сообщение Андрей Тр. aka RH » 10 фев 2008, 14:58

Э-э .. я так понял, что вопрос про авторизацию "русскоимённых юзеров" в некоем своём Сквиде ( 2.5 ) по LDAP ( к своему жн еДиру ? ). См. сабж ( "squid ntlm прозрачная авторизация" ).
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение v13 » 11 фев 2008, 15:52

Теоретически должно работать, так как в этой схеме используются хэши, а им без разницы русское имя или нет.
Но лично я не практикую русские имена в е-директори хотя бы по той причине чтоб держать одинаковые имена для е-мыла(groupwise).
Опять же не все продукты корректно работают с русскими именами, и через лдап замучаешься чтонибудь делать.
Аватара пользователя
v13
 
Сообщения: 660
Зарегистрирован: 31 авг 2007, 09:07

Re: squid ntlm прозрачная авторизация - решение.

Сообщение Андрей Тр. aka RH » 16 фев 2008, 07:00

v13 писал(а):используется схема ntlm/basic авторизация + группы из ldap

freebsd + squid 2.6 (/usr/ports/squid)

Едиректория с сервером nw 6.5 с настроенным cifs (пользователи без novell client должны нормально заходить на шары cifs)

Один мой клиент пытается настроить прозрачную авторизацию по приведенной схеме - имеется сервер OES2 SLES10 и на нем Squid2.6 плюс еДир на NW6.5SP6. Кстати, в 2.6 теперь вроде есть отдельный хелпер для еДира, пока не знаю, есть ли у него какое-то преимущество. Поручил там одному разобраться .. пока без результата :) Похоже, проще сделать самому :twisted:

По ходу возникла пара вопросов. Каким образом компилять сквид, чтобы включить этот хелпер - ntlm_auth, там вроде есть 4 (?) варианта ? Типа smb, mswin и еще какие-то.

И еще возникла небольшая проблема с CIFS. Завел шару на сервере, и юзеров из одного контейнера пускает, а из другого - нет. То есть у вторых не получается даже аутентифицироваться, а снова вылезает запрос имени/пароля. Когда-то давно ( когда еще CIFS рулился из С1 в свойствах сервера ) мне казалось, что где-то там имелся список OU с доступом к шаре. Но теперь в иМанагере я ничего подобного не нашел. :?
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

а почему

Сообщение skoltogyan » 16 фев 2008, 14:01

а почему не настроить, что-бы сквид смотрел так:
с какого IP-ка идет запрос, псоле этого чреез LDAP в дереве смотрел какой юзверь с этого ip-ка, и далее в какую группу входит этот юзверь и далее - куда этой группе можно..
тогда между станцией и сквидом не будет передаваться ни имя и ни пароль
skoltogyan
 
Сообщения: 2037
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

След.

Вернуться в *nix

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 10

cron