Re: [Comm]Проблемы с аутентификационными механизмами с squid`е

Овечкин Влад =?iso-8859-1?q?test_=CE=C1_rrnn=2Eru?=
Ср Мар 30 10:53:43 MSD 2005 

----- Original Message ----- 
From: "Nick S. Grechukh" <ngrechukh на ua.fm>
To: <community на altlinux.ru>
Sent: Tuesday, March 29, 2005 7:14 PM
Subject: Re: [Comm]Проблемы с аутентификационными механизмами с squid`е

>> 4. Если я хочу, чтобы 5 человек входили на 5 компов аутентификацию 
>> посредством ntlm
>>или ncsa, а прокся уже решает - пускать лив домене под одним
>> логином, а в инет мог вылезти только самый главный бугор из них со своим
>> персональным логином и паролем для прокси (причём с любого компа из этих
>> пяти), то мне надо сносить впаянный в каждую масдайку IE, ставить Opera,
>> которая не работает с ntlm-аутентификацией, и потратить некоторое время 
>> на

>зачем? все в Ваших руках, Вы же сами сквидом рулите. уберите ntlm и 
>делов-то.
>оставьте только basic-ntlm.
Возможно я ошибаюсь, но: при использовании только basic-ntlm будет всегда 
запрашиваться имя пользователя с паролем при попытке выхода в инет, 
используя IE (галочку сохранить пароль опять таки в расчёт не берём). Я 
прав?
У меня просто сейчас такая ситуациия, когда я совершенно незаметно подменил 
виндовую проксю на линуховую. При виндовой проксе всё работало через ntlm и 
пользователю не надо было вводить логин с паролем в большинстве случаев. Это 
требовалось только в случае, если у пользователя на доступ в домен и на 
проксю были разные логины и пароли. У 95% пользователей эти данные (логин с 
паролем) совпадают - соответственно и проблем нет. У тех же, у кого нет - 
тем 5% приходилось вводить его вручную. Но все были довольны. Теперь, 
довольны только те, у которых логин с паролем совпадают. То есть 95% 
пользователей. У тех, у кого не совпадает довольны не совсем, так как запрос 
логина с паролем происходит только на одном компе из пяти. То есть 5% 
поьзователей. Если же, используя basic-ntlm, придётся вводить логин с 
паролем аждый раз всем, то недовольными останутся 95%. Что ещё хуже...
В связи с этим, я озадачился вопросом. Можно ли заставить squid 
переспрашивать пароль при отказе в доступе, если использовать определённые 
хелперы для чистой ntlm- аутентификации или же применять другие параметры.

>> переубеждение пользователей, что замена их любимого броузера IE на Opera
>> никак не связано с тем, что я перенёс проксю с масдайного ISA-Server`a
>> (который без проблем запрашивал другой логин с паролем, если ему не
>> подходил тот, который по-умолчанию выдавал ему IE, т.е. логин и пароль

>я еще раз говорю, "пароль подходит" и "доступ разрешен" это вещи 
>существенно
>ортогональные.

Спасибо, это я уже понял. :)

>> 1) почему при использовании ISA-server`a переспрос логина и пароля имеет
>> место быть, а при использовании линухового squid`a теоретически! нет 
>> такой
>> возможности?

>Вы мой пример с боссом и порносайтом разобрали? должен ли сквид 
>переспросить у
>пользователя (если он не босс) пароль только потому (!) что этому 
>пользователю не
>разрешено ходить на определенный сайт?

Да. разобрал. Изначально не должен, но заставить его, наверное, как то 
можно?

>если ISA так делает, это его личные проблемы.
Согласен, но делает он это, по крайней мере в моей ситуации, очень удобно.


>> 0,5) практически!!!, при использовании линухового squid`a на одном компе 
>> из
>> пяти переспрос пароля таки идёт!!!
>это бага. запроса не должно быть.

Спорный вопрос.
Кстати, вот как выглядит лог сквида при попытке получить инет с компа где 
запрос на логин с паролем в IE выдаётся:
1112165079.847      4 192.168.1.63 TCP_DENIED/407 1744 GET 
http://www.rrnn.ru/ - NONE/- text/html
1112165079.860     12 192.168.1.63 TCP_MISS/200 613 GET http://www.rrnn.ru/ 
main\kukina DIRECT/213.177.117.210 text/html

А вот как выглядит лог сквида при попытке получить инет с компа где запрос 
на логин с паролем в IE НЕ выдаётся:
1112165121.629      1 192.168.1.100 TCP_DENIED/407 1756 GET 
http://www.gismeteo.ru/ - NONE/- text/html
1112165121.804      4 192.168.1.100 TCP_DENIED/407 1756 GET 
http://www.gismeteo.ru/ - NONE/- text/html
1112165121.811      6 192.168.1.100 TCP_DENIED/403 1398 GET 
http://www.gismeteo.ru/ main\radio7 NONE/- text/html

Вроде бы ничего странного?
С уважением,
Овечкин Влад.

Подробная информация о списке рассылки community