[samba] ntlm_auth = ntlmssp и basic

Alexander Bokovoy =?iso-8859-1?q?a=2Ebokovoy_=CE=C1_sam-solutions=2Enet?=
Вт Дек 16 13:04:19 MSK 2003 

On Tue, Dec 16, 2003 at 01:42:18PM +0400, Mike Lykov wrote:
> Здравствуйте. 
> 
> Использую сейчас ntlm_auth для NTLM-авторизации, а для немощных - nsca_auth.
> 
> выглядит так:
> 
> auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp                          
> auth_param ntlm children 10                                                                             
> auth_param ntlm max_challenge_reuses 0                                                                  
> auth_param ntlm max_challenge_lifetime 5 minutes                                                        
> auth_param basic program /usr/lib/squid/ncsa_auth /usr/etc/passwd                                       
> auth_param basic children 5                                                                             
> auth_param basic realm Squid proxy-caching web server                                                   
> auth_param basic credentialsttl 2 hours                                                                 
>                                          
> вроде работает, за исключением случаев, когда клиенты, не умеющие ntlm, не 
> могут перейти на basic (типичный пример - IE for Mac).
> (вопрос, кто додумался поставить ie/mac и какую версию, оставим на потом ;)
> 
> Но вот ntlm_auth умеет и сам basic-авторизацию, такого вида:
> --helper-protocol=PROTO
>  Operate as a stdio-based helper. Valid helper protocols are: 
> squid-2.5-basic
>  Server-side helper for use with Squid 2.5's basic (plaintext) authentication. 
> 
> вот вопрос - что даст переход на такую схему:
> 
> auth_param ntlm program ntlm_auth --helper-protocol=squid-2.5-ntlmssp
> auth_param basic program ntlm_auth --helper-protocol=squid-2.5-basic
> auth_param basic children 5
> auth_param basic realm Squid proxy-caching web server
> auth_param basic credentialsttl 2 hours
> 
> будет ли это работать?
Будет.

> что это даст?
Проверку переданных имени пользователя и пароля относительно домена.

>  и откуда он возьмет список логинов/паролей, с которыми сравнивать? (у 
> ncsa_auth файл с паролями указывается как параметр)
С PDC, на то он и ntlm_auth.
Имеющиеся helper protocols отличаются только способом доставки нужной
информации от клиента к ntlm_auth и далее.
-- 
/ Alexander Bokovoy
Samba Team                      http://www.samba.org/
ALT Linux Team                  http://www.altlinux.org/
Midgard Project Ry              http://www.midgard-project.org/

Подробная информация о списке рассылки Samba