[Comm] Проблемы с аутентификационными механизмами с squid`е

[Nick S. Grechukh]

On Tuesday 29 March 2005 17:49, Овечкин Влад wrote:
> 1. Если я хочу, чтобы пароль запрашивался у всех и каждый раз(галочку
> сохранить пароль в расчёт не берём), то использую basic-ntlm или же
> basic-ncsa и только.
> 2. Если я хочу, чтобы пароль не запрашивался вовсе (для пользователей IE,
> Mozilla FireFox и Miranda), то использую обычный ntlm и только.
> 3. Если я хочу, чтобы и поклонники Opera могли путешествовать по инету
> вместе с пользователями IE и Mozilla FireFox, а поклонники SIM общаться
> сдрузьями, вместе с пользователями Miranda, то использую связку "обычный
> ntlm(для IE, Mozilla FireFox и Miranda) + basic-ntlm или -ncsa(для Opera и
> SIM)".
вроде так.

> 4. Если я хочу, чтобы 5 человек входили на 5 компов аутентификацию 
посредством ntlm или ncsa, а прокся уже решает - пускать лив домене под одним
> логином, а в инет мог вылезти только самый главный бугор из них со своим
> персональным логином и паролем для прокси (причём с любого компа из этих
> пяти), то мне надо сносить впаянный в каждую масдайку IE, ставить Opera,
> которая не работает с ntlm-аутентификацией, и потратить некоторое время на
зачем? все в Ваших руках, Вы же сами сквидом рулите. уберите ntlm и делов-то. 
оставьте только basic-ntlm.

> переубеждение пользователей, что замена их любимого броузера IE на Opera
> никак не связано с тем, что я перенёс проксю с масдайного ISA-Server`a
> (который без проблем запрашивал другой логин с паролем, если ему не
> подходил тот, который по-умолчанию выдавал ему IE, т.е. логин и пароль
я еще раз говорю, "пароль подходит" и "доступ разрешен" это вещи существенно  
ортогональные.
> Ну здесь же явно что-то не сходится!!! Конечно, теоретически, на линуховой
> проксе всё происходит вроде бы правильно. Пользователь проходит
> аутентификацию посредством ntlm или ncsa, а прокся уже решает - пускать ли
> этого пользователя или нет - может у него, к примеру, кончился лимит или,
> вообще, в доступе к проксе отказано. Вот тут то и возникают снова 1,5
> вопроса:
> 1) почему при использовании ISA-server`a переспрос логина и пароля имеет
> место быть, а при использовании линухового squid`a теоретически! нет такой
> возможности?
Вы мой пример с боссом и порносайтом разобрали? должен ли сквид переспросить у 
пользователя (если он не босс) пароль только потому (!) что этому 
пользователю не разрешено ходить на определенный сайт? если ISA так делает, 
это его личные проблемы.

> 0,5) практически!!!, при использовании линухового squid`a на одном компе из
> пяти переспрос пароля таки идёт!!!
это бага. запроса не должно быть.
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 190 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/community/attachments/20050329/528577f5/attachment-0003.bin>