The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Смешанная авторизация (несколько хелперов)"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Настройка Squid и других прокси серверов (Аутентификация)
Изначальное сообщение [ Отслеживать ]

"Смешанная авторизация (несколько хелперов)"  +1 +/
Сообщение от degeron (ok) on 18-Дек-12, 15:49 
Есть домен, настроена авторизация через ldap в пределах basic схемы. Есть ли возможность добавить авторизацию через ncsa в дополнение? То есть я хочу установить несколько хелперов командой auth_param program. Однако работает только первая из написанных в конфиге. Есть ли такая возможность у squid'а?
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Смешанная авторизация (несколько хелперов)"  +/
Сообщение от Аноним (??) on 19-Дек-12, 09:38 
> Есть домен, настроена авторизация через ldap в пределах basic схемы. Есть ли
> возможность добавить авторизацию через ncsa в дополнение? То есть я хочу
> установить несколько хелперов командой auth_param program. Однако работает только первая
> из написанных в конфиге. Есть ли такая возможность у squid'а?

Есть, но всегда отрабатывает первая из поддерживаемых приложением схема в соответствии, если не ошибаюсь, с порядком их расположения в конфиге сквида.
Стало быть, все ваши приложения умеют проходить такой тип аутентификации, и проблем бы это вызывать не должно...Если теоретический интерес - то поставьте первой по порядку digest_auth, по этой схеме практически исключительно работают только браузеры, увидите тогда, что браузеры пойдут через digest, прочие приложения - через следующую...

Только что-то не пойму, кто у вас на ком стоял, извините... ldap в пределах basic, плюс хотите еще ncsa... ncsa, насколько я помню, это и есть basic, не? И каких практических результатов хотите от нескольких схем?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Смешанная авторизация (несколько хелперов)"  +/
Сообщение от degeron (ok) on 20-Дек-12, 14:18 
>[оверквотинг удален]
> если не ошибаюсь, с порядком их расположения в конфиге сквида.
> Стало быть, все ваши приложения умеют проходить такой тип аутентификации, и проблем
> бы это вызывать не должно...Если теоретический интерес - то поставьте первой
> по порядку digest_auth, по этой схеме практически исключительно работают только браузеры,
> увидите тогда, что браузеры пойдут через digest, прочие приложения - через
> следующую...
> Только что-то не пойму, кто у вас на ком стоял, извините... ldap
> в пределах basic, плюс хотите еще ncsa... ncsa, насколько я помню,
> это и есть basic, не? И каких практических результатов хотите от
> нескольких схем?

Схема в понятиях кальмара есть алгоритм аутентификации. В случае basic - это передача логина и пароля в незашифрованном виде. Хелперы - программы, которые принимают логин и пароль и возвращают OK либо ERR. Алгоритм, по которому они определяют, верная ли эта пара, может быть разным. В случае ncsa, пара логин-пароль для проверки берется из текстового файла. В случае ldap - из домена.
В сети есть пользователи, сидящие в домене - манагеры, бухгалтеры и т.п. Ими рулят через AD и групповые политики. Есть также программисты, которых нет в домене. Задача - перевести всех их на прокси. Таким образом, требуется настроить конфиг сквида так, чтобы он, при получении пары логин-пароль, сперва проверял, в есть ли такая пара в домене, а при ошибке еще проверял на наличие этой пары в файле (для привилегированных программистов).
Проблема состоит в том, что если я прописываю 2 хелпера, проверка идет через один из них, объявленный первым. Мне же требуется поведение, описанное выше.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Смешанная авторизация (несколько хелперов)"  +/
Сообщение от SHRDLU (ok) on 21-Дек-12, 08:33 
> Схема в понятиях кальмара есть алгоритм аутентификации. В случае basic - это

:))) Спасибо за исчерпывающее разъяснение :)))

> Проблема состоит в том, что если я прописываю 2 хелпера, проверка идет
> через один из них, объявленный первым. Мне же требуется поведение, описанное
> выше.

Понятно. Но сквидом этого не разрулить. Вариантов у вас два. Либо заводите дополнительные учётные записи программистов в домене исключительно для аутентификации на прокси, либо пишите свой хелпер, который будет поверять наличие учётки в соответствующей группе в домене, а в случае её отсутствия - заглядывать еще и в текстовичок для "приыилегированных"

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Смешанная авторизация (несколько хелперов)"  +/
Сообщение от MK (??) on 04-Янв-13, 05:36 
> Проблема состоит в том, что если я прописываю 2 хелпера, проверка идет
> через один из них, объявленный первым. Мне же требуется поведение, описанное
> выше.

напишите свой хелпер - это несложно. И уже из него дергайте остальные в избранном вами порядке.

НО !

если в сети есть некие юзеры которых нет в AD - то теряется смысл AD. По хорошему либо заводите всех, либо делите сеть на управляемую и хаос :)

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру