Re: [Comm]Проблемы с аутентификационными механизмами с squid`е
Овечкин Влад
=?iso-8859-1?q?test_=CE=C1_rrnn=2Eru?=
Ср Мар 30 10:53:43 MSD 2005
----- Original Message -----
From: "Nick S. Grechukh" <ngrechukh на ua.fm>
To: <community на altlinux.ru>
Sent: Tuesday, March 29, 2005 7:14 PM
Subject: Re: [Comm]Проблемы с аутентификационными механизмами с squid`е
>> 4. Если я хочу, чтобы 5 человек входили на 5 компов аутентификацию
>> посредством ntlm
>>или ncsa, а прокся уже решает - пускать лив домене под одним
>> логином, а в инет мог вылезти только самый главный бугор из них со своим
>> персональным логином и паролем для прокси (причём с любого компа из этих
>> пяти), то мне надо сносить впаянный в каждую масдайку IE, ставить Opera,
>> которая не работает с ntlm-аутентификацией, и потратить некоторое время
>> на
>зачем? все в Ваших руках, Вы же сами сквидом рулите. уберите ntlm и
>делов-то.
>оставьте только basic-ntlm.
Возможно я ошибаюсь, но: при использовании только basic-ntlm будет всегда
запрашиваться имя пользователя с паролем при попытке выхода в инет,
используя IE (галочку сохранить пароль опять таки в расчёт не берём). Я
прав?
У меня просто сейчас такая ситуациия, когда я совершенно незаметно подменил
виндовую проксю на линуховую. При виндовой проксе всё работало через ntlm и
пользователю не надо было вводить логин с паролем в большинстве случаев. Это
требовалось только в случае, если у пользователя на доступ в домен и на
проксю были разные логины и пароли. У 95% пользователей эти данные (логин с
паролем) совпадают - соответственно и проблем нет. У тех же, у кого нет -
тем 5% приходилось вводить его вручную. Но все были довольны. Теперь,
довольны только те, у которых логин с паролем совпадают. То есть 95%
пользователей. У тех, у кого не совпадает довольны не совсем, так как запрос
логина с паролем происходит только на одном компе из пяти. То есть 5%
поьзователей. Если же, используя basic-ntlm, придётся вводить логин с
паролем аждый раз всем, то недовольными останутся 95%. Что ещё хуже...
В связи с этим, я озадачился вопросом. Можно ли заставить squid
переспрашивать пароль при отказе в доступе, если использовать определённые
хелперы для чистой ntlm- аутентификации или же применять другие параметры.
>> переубеждение пользователей, что замена их любимого броузера IE на Opera
>> никак не связано с тем, что я перенёс проксю с масдайного ISA-Server`a
>> (который без проблем запрашивал другой логин с паролем, если ему не
>> подходил тот, который по-умолчанию выдавал ему IE, т.е. логин и пароль
>я еще раз говорю, "пароль подходит" и "доступ разрешен" это вещи
>существенно
>ортогональные.
Спасибо, это я уже понял. :)
>> 1) почему при использовании ISA-server`a переспрос логина и пароля имеет
>> место быть, а при использовании линухового squid`a теоретически! нет
>> такой
>> возможности?
>Вы мой пример с боссом и порносайтом разобрали? должен ли сквид
>переспросить у
>пользователя (если он не босс) пароль только потому (!) что этому
>пользователю не
>разрешено ходить на определенный сайт?
Да. разобрал. Изначально не должен, но заставить его, наверное, как то
можно?
>если ISA так делает, это его личные проблемы.
Согласен, но делает он это, по крайней мере в моей ситуации, очень удобно.
>> 0,5) практически!!!, при использовании линухового squid`a на одном компе
>> из
>> пяти переспрос пароля таки идёт!!!
>это бага. запроса не должно быть.
Спорный вопрос.
Кстати, вот как выглядит лог сквида при попытке получить инет с компа где
запрос на логин с паролем в IE выдаётся:
1112165079.847 4 192.168.1.63 TCP_DENIED/407 1744 GET
http://www.rrnn.ru/ - NONE/- text/html
1112165079.860 12 192.168.1.63 TCP_MISS/200 613 GET http://www.rrnn.ru/
main\kukina DIRECT/213.177.117.210 text/html
А вот как выглядит лог сквида при попытке получить инет с компа где запрос
на логин с паролем в IE НЕ выдаётся:
1112165121.629 1 192.168.1.100 TCP_DENIED/407 1756 GET
http://www.gismeteo.ru/ - NONE/- text/html
1112165121.804 4 192.168.1.100 TCP_DENIED/407 1756 GET
http://www.gismeteo.ru/ - NONE/- text/html
1112165121.811 6 192.168.1.100 TCP_DENIED/403 1398 GET
http://www.gismeteo.ru/ main\radio7 NONE/- text/html
Вроде бы ничего странного?
С уважением,
Овечкин Влад.
Подробная информация о списке рассылки community