Re: [Comm] Проблемы с аутентификационными механизмами с squid`е

[Овечкин Влад]

----- Original Message ----- 
From: "Nick S. Grechukh" <ngrechukh на ua.fm>
To: <community на altlinux.ru>
Sent: Monday, March 28, 2005 1:52 PM
Subject: Re: [Comm] Проблемы с аутентификационными механизмами с squid`е

> правильно, для boss (опознанного либо через ntlm, либо basic) покажет
> сайт.
> я имел в виду для любого другого пользователя.
> НЕ предложит ввести новое имя и пароль, потому что пользователь уже
> опознан, просто ему запрещено.
> что-то мне подсказывает что у Вас примерно то же самое происходит.
> чтобы переспрашивало логин - отклонять rabotniki должен сам модуль
> аутентификации. почему я и предлагаю решение, возможно кривое - сделать
> для этого скрипт и сообщать сквиду что аутентификация не прошла, всегда,
> кроме отдельных случаев.


После внимательного перечитывания месаг и многодневного напряжения извилин,
до меня вроде кое-что дошло.
1. Если я хочу, чтобы пароль запрашивался у всех и каждый раз(галочку
сохранить пароль в расчёт не берём), то использую basic-ntlm или же
basic-ncsa и только.
2. Если я хочу, чтобы пароль не запрашивался вовсе (для пользователей IE,
Mozilla FireFox и Miranda), то использую обычный ntlm и только.
3. Если я хочу, чтобы и поклонники Opera могли путешествовать по инету
вместе с пользователями IE и Mozilla FireFox, а поклонники SIM общаться
сдрузьями, вместе с пользователями Miranda, то использую связку "обычный
ntlm(для IE, Mozilla FireFox и Miranda) + basic-ntlm или -ncsa(для Opera и
SIM)".

Далее самое интересное.

4. Если я хочу, чтобы 5 человек входили на 5 компов в домене под одним
логином, а в инет мог вылезти только самый главный бугор из них со своим
персональным логином и паролем для прокси (причём с любого компа из этих
пяти), то мне надо сносить впаянный в каждую масдайку IE, ставить Opera,
которая не работает с ntlm-аутентификацией, и потратить некоторое время на
переубеждение пользователей, что замена их любимого броузера IE на Opera
никак не связано с тем, что я перенёс проксю с масдайного ISA-Server`a
(который без проблем запрашивал другой логин с паролем, если ему не подходил
тот, который по-умолчанию выдавал ему IE, т.е. логин и пароль учётной записи
пользователя в домене) на линуховый squid (котрый отказывается это делать).
И самое главное - это придумать грамотный отмаз, по-поводу того, почему на
одном компе из пяти squid таки переспрашивает логин с паролем при идентичных
настройках браузеров на всех пяти компах.

Ну здесь же явно что-то не сходится!!! Конечно, теоретически, на линуховой
проксе всё происходит вроде бы правильно. Пользователь проходит
аутентификацию посредством ntlm или ncsa, а прокся уже решает - пускать ли
этого пользователя или нет - может у него, к примеру, кончился лимит или,
вообще, в доступе к проксе отказано. Вот тут то и возникают снова 1,5
вопроса:
1) почему при использовании ISA-server`a переспрос логина и пароля имеет
место быть, а при использовании линухового squid`a теоретически! нет такой
возможности?
0,5) практически!!!, при использовании линухового squid`a на одном компе из
пяти переспрос пароля таки идёт!!!

Какие есть мысли по этому поводу?
С уважением,
Овечкин Влад.