[Comm] Проблемы с аутентификационными механизмами с squid`е
Nick S. Grechukh
=?iso-8859-1?q?ngrechukh_=CE=C1_ua=2Efm?=
Чт Мар 24 16:41:17 MSK 2005
On Thu, Mar 24, 2005 at 05:59:05PM +0300, Овечкин Влад wrote:
> >все правильно, afaiR ntlm для того и предназначен чтобы входить не
> >спрашивая пароль. любое другое его поведение неоднократно обсуждалось в
> >контексте "а почему не работает как надо" ;-)
> А как топик называется можно узнать? Поиском не нашёл:(
трудно сказать. но смысл в том что ntlm предназначен для того чтобы пароль не
запрашивался а useragent входил c ms netlogon credentialами. однако у
некоторых он не работает как должен. у вас наоборот ;-)
> >я бы ntlm выкинул. зато basic аутентификация - то что надо, только ей
> >нужно правильно объяснить источник паролей. для этого есть разные штуки,
> >например msnt_auth. или wb_auth, я использовал его.
> С wb_auth я знаком, а вот что за зверь msnt_auth? В чём принципиальное
> отличие?
как я понял, он не винбиндом работает, а в его конфиге указываются
ms-сервера авторизации. видимо, ему и самба не нужна.
поковыряйтесь в /usr/lib/squid/ и /usr/share/doc/squid-*/, там
есть пример msntauth.conf.
> И ещё маленький вопросик: если использовать микрософтский ISA-server,
> который использует ntlm-аутентификацию, получается так: если не проходит
> логин с паролем по ntlm, пользователю выдаётся окошечко с просьбой ввести
> другой логин и пароль.
имхо это неправильно. низзя - значит низзя, и нефиг пароли перебирать.
с теми данными, которые получены по ntlm - юзер как минимум смог
залогиниться в систему. следовательно они корректны, просто доступ
запрещен.
> Сквид действует примерно также, только одно НО: не
> более чем на одном компе... А для ISA - без разницы. Как вы на эт осмотрите?
отрицательно смотрю. сквид можно настроить по всякому, окошко с паролем -
это схема basic, а какой *-auth для нее используется - вопрос отдельный.
Подробная информация о списке рассылки community