v13 писал(а):Юрий Беляков писал(а):Нужно:
1. чтобы прокси-сервер мог общаться с этим каталогом по LDAP через SSL
2. чтобы пользователи авторизовались "защищенно"
Первое исключает второе, поскольку при basic авторизации пароли между пользователем и прокси легко перехватываются.
Нужен как минимум ntlm.
[...]
Приведите пример. У меня есть огромные сомнения что связка едиректория(через лдап) с любым прокси позволяет не basic аутентификацию.
Я приводил пример выше.
Повторю мысль: аутентификация и авторизация - вещи хоть и связанные между собой, но разные. NTLM - это именно
аутентификация (т.е. механизм, позволяющий с достаточной степенью достоверности узнать, что за пользователь обращается). Зная имя пользователя, решать разрешить ему доступ или нет - это уже
авторизация; это следующий шаг, и выполняться он может, используя совершенно другие механизмы. В частности, у нас, как я уже говорил, это решение принимается Сквидом на основе анализа того, в какие группы входит каждый пользователь, а проверяется это членство в группах путём обращений по LDAP. Да, в нашем случае эти обращения идут к той же службе Active Directory (через которую пользователи и аутентифицируются через NTLM), но с таким же успехом можно эти запросы перенаправить и к eDirectory, и к любому другому LDAP-каталогу, т.к. всё, что на
этом этапе выясняется - это входит ли пользователь с таким-то именем (которое выяснено на первом шаге) в такую-то группу (имя которой прописано в конфиге Сквида).
Можно ли делать и первый шаг (NTLM-аутентификацию), имея только eDirectory и не используя Windows-домена? Не знаю, не пробовал. Наверное, можно, если поднять CIFS или Samba.