Вопрос по прокси-серверу

Для любителей просто поболтать

Вопрос по прокси-серверу

Сообщение Юрий Беляков » 21 окт 2008, 10:26

Коллеги, возникла тут задача.

Нужен прокси-сервер с авторизацией по пользователям.

Учетные записи пользователей в дереве каталога (например, eDir), доступ по LDAP через SSL.

Нужно:
1. чтобы прокси-сервер мог общаться с этим каталогом по LDAP через SSL
2. чтобы пользователи авторизовались "защищенно"

Т.е. шифровались данные не только между деревом каталога и прокси, но и между клиентской рабочей станцией и прокси. Иными словами - нет паролям в открытом виде :)

Есть готовые решения (не важно, коммерческие или нет)? Платформа желательно *nix.

MS ISA не подходит по причине отсутствия AD, BorderManager - не устраивает Заказчика.
Пробовали SUN Proxy, но не получилось заставить его работать по LDAP через SSL.
Аватара пользователя
Юрий Беляков
 
Сообщения: 628
Зарегистрирован: 31 май 2002, 11:46
Откуда: Екатеринбург

Сообщение Иван Левшин aka Ivan L. » 21 окт 2008, 10:48

Могу подкинуть давешнюю поделку - помнишь я писал?
Иван Левшин aka Ivan L.
 
Сообщения: 2576
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

Re: Вопрос по прокси-серверу

Сообщение Андрей Тр. aka RH » 21 окт 2008, 14:44

Юрий Беляков писал(а):MS ISA не подходит по причине отсутствия AD.

Ну, MAD можно и поставить :) пароли синхронизировать с eDir
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Timur Kazimirov » 22 окт 2008, 02:02

У нас ClearSwift MIMEsweeper for Web используется. Там авторизация через LDAP есть. Минус - не кэширующий и только под винду.
Timur Kazimirov
 
Сообщения: 1153
Зарегистрирован: 10 фев 2004, 09:56
Откуда: Южно-Сахалинск

Сообщение Юрий Беляков » 22 окт 2008, 05:42

Timur Kazimirov писал(а):У нас ClearSwift MIMEsweeper for Web используется. Там авторизация через LDAP есть. Минус - не кэширующий и только под винду.


Нет, не подойдет.

Расширим вопрос: А кто какими прокси-серверами пользуется?
Пользователей > 500
Аватара пользователя
Юрий Беляков
 
Сообщения: 628
Зарегистрирован: 31 май 2002, 11:46
Откуда: Екатеринбург

Сообщение Михаил Григорьев » 22 окт 2008, 06:28

Юрий Беляков писал(а):
Timur Kazimirov писал(а):У нас ClearSwift MIMEsweeper for Web используется. Там авторизация через LDAP есть. Минус - не кэширующий и только под винду.


Нет, не подойдет.

Расширим вопрос: А кто какими прокси-серверами пользуется?
Пользователей > 500


Squid/2.6.STABLE5 (с NTLM аутентификацией) - пользователей > 1500
Последний раз редактировалось Михаил Григорьев 24 окт 2008, 07:02, всего редактировалось 1 раз.
Аватара пользователя
Михаил Григорьев
 
Сообщения: 1462
Зарегистрирован: 04 июн 2002, 12:22
Откуда: Челябинск

Сообщение Timur Kazimirov » 22 окт 2008, 07:20

Юрий Беляков писал(а):Расширим вопрос: А кто какими прокси-серверами пользуется?
Пользователей > 500

Да с удовольствием бы на сквиде сидел, если бы не "единообразие внутрикорпоративных решений"... Около 1300.
Timur Kazimirov
 
Сообщения: 1153
Зарегистрирован: 10 фев 2004, 09:56
Откуда: Южно-Сахалинск

Сообщение Константин Ошмян » 22 окт 2008, 10:47

Григорьев Михаил писал(а):
Юрий Беляков писал(а):Расширим вопрос: А кто какими прокси-серверами пользуется?
Пользователей > 500
Squid/2.6.STABLE5 (с NTLM авторизацией) - пользователей > 1500
Аналогично: Squid (всё ещё 2.5.STABLE13) c NTLM-аутентификацией (авторизация - через членство в группах AD, которое проверяется по LDAP). Порядка 700 пользователей.
Аватара пользователя
Константин Ошмян
 
Сообщения: 991
Зарегистрирован: 13 авг 2002, 21:36
Откуда: Рига

Сообщение skoltogyan » 22 окт 2008, 21:11

squid-2.5.STABLE12-18.12
по LDAP берет из edir какой пользователь с этого IP-ка работает, потом смотрит - в какую группу входит этот юзер. по групам разбит доступ.
добавлениеe пользователя чеерз eDir
skoltogyan
 
Сообщения: 2037
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Re: Вопрос по прокси-серверу

Сообщение v13 » 22 окт 2008, 21:56

Юрий Беляков писал(а):Нужно:
1. чтобы прокси-сервер мог общаться с этим каталогом по LDAP через SSL
2. чтобы пользователи авторизовались "защищенно"

Первое исключает второе, поскольку при basic авторизации пароли между пользователем и прокси легко перехватываются.
Нужен как минимум ntlm.
Аватара пользователя
v13
 
Сообщения: 660
Зарегистрирован: 31 авг 2007, 09:07

Re: Вопрос по прокси-серверу

Сообщение Юрий Беляков » 23 окт 2008, 07:06

v13 писал(а):
Юрий Беляков писал(а):Нужно:
1. чтобы прокси-сервер мог общаться с этим каталогом по LDAP через SSL
2. чтобы пользователи авторизовались "защищенно"

Первое исключает второе, поскольку при basic авторизации пароли между пользователем и прокси легко перехватываются.
Нужен как минимум ntlm.


Это если говорить про Squid
Аватара пользователя
Юрий Беляков
 
Сообщения: 628
Зарегистрирован: 31 май 2002, 11:46
Откуда: Екатеринбург

Re: Вопрос по прокси-серверу

Сообщение v13 » 23 окт 2008, 21:37

Юрий Беляков писал(а):Это если говорить про Squid

Приведите пример. У меня есть огромные сомнения что связка едиректория(через лдап) с любым прокси позволяет не basic аутентификацию.

ps:
Подумав ещё раз, рискну предположить, что заработает ntlm с чем-то типа openldap, где позволяется считывать пароль из директории.
Хотя таких реализаций сам не видел.
Аватара пользователя
v13
 
Сообщения: 660
Зарегистрирован: 31 авг 2007, 09:07

Re: Вопрос по прокси-серверу

Сообщение Юрий Беляков » 24 окт 2008, 10:31

v13 писал(а):Приведите пример. У меня есть огромные сомнения что связка едиректория(через лдап) с любым прокси позволяет не basic аутентификацию.


Простой пример: Sun Java System Web Proxy Server
В теории позволяет авторизовывать пользователей по сертификатам. В реальности быстро настроить не получилось. Индусы как всегда пишут криво документацию, а детально разбираться не было времени.

Видел в свое время коммерческие дистрибутивы, внутри которых был Squid. При первом входе пользователь перенаправлялся на какую-то страничку, где нужно было ввести имя/пароль. Прошел регистрацию - дальше может пользоваться. Как это делается в деталях - где бы почитать...
Аватара пользователя
Юрий Беляков
 
Сообщения: 628
Зарегистрирован: 31 май 2002, 11:46
Откуда: Екатеринбург

Re: Вопрос по прокси-серверу

Сообщение Константин Ошмян » 24 окт 2008, 11:18

v13 писал(а):
Юрий Беляков писал(а):Нужно:
1. чтобы прокси-сервер мог общаться с этим каталогом по LDAP через SSL
2. чтобы пользователи авторизовались "защищенно"
Первое исключает второе, поскольку при basic авторизации пароли между пользователем и прокси легко перехватываются.
Нужен как минимум ntlm.
[...]
Приведите пример. У меня есть огромные сомнения что связка едиректория(через лдап) с любым прокси позволяет не basic аутентификацию.
Я приводил пример выше.
Повторю мысль: аутентификация и авторизация - вещи хоть и связанные между собой, но разные. NTLM - это именно аутентификация (т.е. механизм, позволяющий с достаточной степенью достоверности узнать, что за пользователь обращается). Зная имя пользователя, решать разрешить ему доступ или нет - это уже авторизация; это следующий шаг, и выполняться он может, используя совершенно другие механизмы. В частности, у нас, как я уже говорил, это решение принимается Сквидом на основе анализа того, в какие группы входит каждый пользователь, а проверяется это членство в группах путём обращений по LDAP. Да, в нашем случае эти обращения идут к той же службе Active Directory (через которую пользователи и аутентифицируются через NTLM), но с таким же успехом можно эти запросы перенаправить и к eDirectory, и к любому другому LDAP-каталогу, т.к. всё, что на этом этапе выясняется - это входит ли пользователь с таким-то именем (которое выяснено на первом шаге) в такую-то группу (имя которой прописано в конфиге Сквида).

Можно ли делать и первый шаг (NTLM-аутентификацию), имея только eDirectory и не используя Windows-домена? Не знаю, не пробовал. Наверное, можно, если поднять CIFS или Samba.
Аватара пользователя
Константин Ошмян
 
Сообщения: 991
Зарегистрирован: 13 авг 2002, 21:36
Откуда: Рига

Re: Вопрос по прокси-серверу

Сообщение v13 » 24 окт 2008, 14:26

Константин Ошмян писал(а):
v13 писал(а):
Юрий Беляков писал(а):Нужно:
1. чтобы прокси-сервер мог общаться с этим каталогом по LDAP через SSL
2. чтобы пользователи авторизовались "защищенно"
Первое исключает второе, поскольку при basic авторизации пароли между пользователем и прокси легко перехватываются.
Нужен как минимум ntlm.
[...]
Приведите пример. У меня есть огромные сомнения что связка едиректория(через лдап) с любым прокси позволяет не basic аутентификацию.
Я приводил пример выше.

Ваш пример из другой оперы - посмотрите техзадание.
Аватара пользователя
v13
 
Сообщения: 660
Зарегистрирован: 31 авг 2007, 09:07

След.

Вернуться в Флейм

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 4

cron