[Comm] Проблемы с аутентификационными механизмами с squid`е
Nick S. Grechukh
=?iso-8859-1?q?ngrechukh_=CE=C1_ua=2Efm?=
Пт Мар 25 09:30:11 MSK 2005
On Fri, Mar 25, 2005 at 10:20:14AM +0300, Овечкин Влад wrote:
> >имхо это неправильно. низзя - значит низзя, и нефиг пароли перебирать.
> >с теми данными, которые получены по ntlm - юзер как минимум смог
> >залогиниться в систему. следовательно они корректны, просто доступ
> >запрещен.
^^^^^^^^^^^^^^
> >отрицательно смотрю. сквид можно настроить по всякому, окошко с паролем -
> >это схема basic, а какой *-auth для нее используется - вопрос отдельный.
> Не спорю, окошко - это basic, но: если не прошла ntlm-аутентификация,
аутентификация - прошла. т.е. логин и пароль проверены сервером (то бишь
PDC) и получен положительный ответ. proxy_auth отработал. так случилось,
что был использован механизм ntlm.
теперь имя пользователя уже известно, и в игру вступают acl, которые
говорят что deny. все.
(btw, запрет где стоит, в http_acess или proxy_auth?)
> почему не выдаётся окно на другую - basic аутентификацию???
попробуйте оставить только basic и убедитесь, что вручную войдя как
rabotniki с правильным паролем человек получит access denied. окошко не
появится второй раз.
а Вы хотите, чтобы найдя http_access deny сквид любезно переспрашивал имя
пользователя :-). несмотря на то что deny может быть по разным причинам,
например
http_access allow some_porno_site boss
http_access deny some_porno_site
http_access allow authenticated_users
должен ли здесь сквид предложить войти под логином босса?
Подробная информация о списке рассылки community