[linux] autentifikacia uzivatelov v squid
Dezider Góra
gora na wittmann.sk
Úterý Leden 22 00:43:33 CET 2002
Nedavno som cital clanok _asi_ v PC Revue na podobnu temu. Islo o
problem ako autentikovat linuxoveho klienta voci M# Proxy servru, ktoru
vyzaduje NTLM autentikaciu. A tu naozaj zvlada _nativne_ iba IE. Bol tam
popis programceka, ktory fungoval ako brana a balil pakety tak, aby sa
M$ proxy z toho vysomaril a autentikoval klienta. Takze NTLM
autentikacia na strane klienta sa da.
Na strane servra, squid ma NTLM plugin, ale iba v devel verzii, stable
je bez neho. Skusal som, nepodarilo sa. Mozno bol problem v tom, ze
nemam M$ server, ale sambu....??? Kazdopadne je to doable.
Co sa tyka orezavania opravneni na browsovanie, mam overeneho
SquidGuarda, je celkom dobry, a rychly.V poslednej verzii 1.2 vie
obmedzovat aj podla "prebrowsovaneho" casu. Jedna chybicka krasy - ked
zbabres config, tichucko sa odplizi do hajan a vsetky obmedzenia su v
.... A to sa potom browsuje jedna radost....
hth,
gore.
Julius Loman wrote:
>Ahojte
>
>co by ste odporucali ako riesenie autentifikacie na nasledujuci problem.
>
>Siet - klienti - vsetko windows, NT domena, vsetci sa prihlasuju do
>domeny. Manazment si vymyslel, ze chcu obmedenia na cas pristupu pre
>niektorych uzivatelov (staci http proxy obmedzit).
>
>Momentalne to bezi cez proxy Wingate, ktory dokaze autentifikaciu cez
>WinNT domenu, takze bezi kvazi "transparentne", akurat treba
>nainstalovat klienta, ktory vlastne zistuje, kto je na tom ktorom stroji
>nainstalovany a podla toho mu povoli pristup alebo nie. Problem je, ze
>ten klient a celkovo WIngate sa ukazal ako dost nespolhliva vec (klient
>blbne, neautentifuje sa a cele to ide do paze). Useri, ktori maju plny
>pristup na internet su v specialnej User Group na NT domene, a podla
>toho, ci tam uzivatel patri, alebo nie sa teda rozhoduje.
>
>Chcel by som vyskusat zmenu na squid, ale neviem ako to pojde dobre s
>autentifikaciou voci tej NT domene. Cital som tam cosi okolo NTLM
>autentifikacie, ale ak som to spravne pochopil, funguje to iba s
>IExplorer-om, co je dost nevyhovujuce.
>
>Riesenie, co ma napadlo je, ze do logon scriptu pre uzivatelov sa da
>program, co by zistil, kto je prihlaseny a ci ma prava a posle info na
>proxy (tam by napr bezal jednoduchy server, ktory by priradovat
>(updatoval) akurat do konfiguracie squida do acl listu IPcku ako allowed
>alebo deny).
>
>Je toto jedine "jednoduche" riesenie ? Urcite ste mali niekto podobny
>problem, tak plz. poradte, co pouzivate alebo by bolo vhodne pouzit.
>
Další informace o konferenci linux