BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 16 ] 
Автор Сообщение
СообщениеДобавлено: Пт 28 май, 2021 10:43 am 
Не в сети

Зарегистрирован: Пт 09 окт, 2020 11:46 am
Сообщения: 106
В SQUID-е можно настроить авторизацию через АД- т.е., я так понимаю, сквид пр попытке подключения "спрашивает" у браузера- под каким юзером(и паролем?) он пытается подключиться, потом делает запрос к контроллеру домена- есть ли у него такой юзер- и на основании этого уже разрешает/запрещает доступ.
Интересно, а можно сделать, чтобы авторизация шла по имени пользователя и паролю, под которым юзер входит в ту же винду, например?


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пт 28 май, 2021 11:28 am 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 26 мар, 2007 6:04 pm
Сообщения: 1211
Откуда: Kyiv
Вы неверно понимаете принцип работы. squid настроен на работу с разными методами аутентификации: NTLM, basic, kerberos. А дальше, браузер, уже в зависимости от того, какой он из этих методов поддерживает, поступает соответствующим образом. К примеру, FF не умеет работать нормально с NTLM, поэтому, он работает только с basic, а basic как раз и заставляет показать "окошко" с вводом login/pass. Но FF умеет запоминать введённый login/pass и больше его не запрашивает. Opera (старая, которая на родном движке), например, немного криво работает с NTLM/kerberos, она показывает окошко авторизации, но сама заполняет login/pass, то есть юзеру нужно будет при каждом открытии браузера просто кликать ОК. Chrome,IE,Edge - нормально работают с NTLM/kerberos.
Если браузер поддерживает NTML/kerberos и squid тоже настроен на работу с ними, то вся аутентификация+авторизация происходит прозрачно для пользователя (ничего не нужно вводить, оно автоматически передаётся на squid).

_________________
"Винда съела дрова и резет здесь не фурычит"
"Все говорят, что у меня /dev/hands кривой и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!"


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пт 28 май, 2021 11:45 am 
Не в сети

Зарегистрирован: Пт 09 окт, 2020 11:46 am
Сообщения: 106
Ну, а вот при NTML/kerberos можно сделать, чтобы сквид брал логин/пароль, который пользователь ввел при входе в винду и сравнивал их с АД(или радиусом, или mysql, или еще с чем-то)? И на основе этих данных уже пускал/не пускал?
Basic-авторизация удобна, когда пользуются одним браузером- один раз забил данные- и только Ок жми. Но обычно браузеров- 2-3, плюс всякие проги типа касперского, которые не могут взять данные для авторизации у IE и им их тоже надо их вводить.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пт 28 май, 2021 11:56 am 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 26 мар, 2007 6:04 pm
Сообщения: 1211
Откуда: Kyiv
Можно. Как быть с кучей браузеров, которые понимают не все типы аутентификации - решать вам.
Нормальные проги умеют брать настройки прокси и поддерживают NTML, kerberos. А для всяких экзотических приходится делать исключения в файерволе.

_________________
"Винда съела дрова и резет здесь не фурычит"
"Все говорят, что у меня /dev/hands кривой и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!"


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пт 28 май, 2021 12:02 pm 
Не в сети

Зарегистрирован: Пт 09 окт, 2020 11:46 am
Сообщения: 106
"Как быть с кучей браузеров, которые понимают не все типы аутентификации - решать вам"- выкину их, да и дело с концом :)
А есть пример реализации? Или примерный кусок конфига? Список юзеров- в конфиге, или файле, или базе, или АД- все-равно.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пт 28 май, 2021 12:12 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 26 мар, 2007 6:04 pm
Сообщения: 1211
Откуда: Kyiv
Погуглите на тему squid+kerberos на основе групп AD. Я настраивал очень давно и по какому конкретно - не вспомню уже. Основная идея в том, что бы сделать несколько AD-групп, типа vip, user, restricted и по ним уже делать правила доступа в инет (кому можно всё, кому-то часть, а кому-то вообще 1-2 сайта). И юзера добавляете в соответствующую группу и он тут же получает соответствующий доступ. Если это не нужно - то можно без групп.

PS. NTLM - старый метод и имеет косяки в реализации, его лучше не использовать.

_________________
"Винда съела дрова и резет здесь не фурычит"
"Все говорят, что у меня /dev/hands кривой и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!"


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пт 28 май, 2021 12:19 pm 
Не в сети

Зарегистрирован: Пт 09 окт, 2020 11:46 am
Сообщения: 106
Но в этом случае вроде как комп должен быть обязательно в домене. Т.е. вариант, когда в АД есть юзер USER с паролем 123 и в комп мы заходим под USER с паролем 123(но не в домен)- не прокатывает.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пт 28 май, 2021 12:24 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 26 мар, 2007 6:04 pm
Сообщения: 1211
Откуда: Kyiv
Когда комп в домене - всё прозрачно, когда нет - тогда выдаётся окно для ввода login/pass.

_________________
"Винда съела дрова и резет здесь не фурычит"
"Все говорят, что у меня /dev/hands кривой и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!"


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пт 28 май, 2021 12:42 pm 
Не в сети

Зарегистрирован: Пт 09 окт, 2020 11:46 am
Сообщения: 106
Вернулись к тому, с чего начали. Вопрос был: можно ли использовать при авторизации на сквиде логин/пароль, который используется при входе в винду, при этом комп- не в домене?


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пт 28 май, 2021 1:56 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 26 мар, 2007 6:04 pm
Сообщения: 1211
Откуда: Kyiv
В изначальном вопросе не было указания на то, что комп не в домене.
Когда комп не в домене, то ни NTML, ни kerberos не будут работать прозрачно, поэтому всегда будет выдаваться окошко login/pass. А вы туда можете вводить что-угодно.

_________________
"Винда съела дрова и резет здесь не фурычит"
"Все говорят, что у меня /dev/hands кривой и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!"


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пт 28 май, 2021 2:00 pm 
Не в сети

Зарегистрирован: Пт 09 окт, 2020 11:46 am
Сообщения: 106
Значит, нельзя. Жаль..


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пт 28 май, 2021 2:09 pm 
Не в сети

Зарегистрирован: Ср 14 окт, 2009 2:26 pm
Сообщения: 608
Вроде бы очевидно, что браузер на клиенте ничего не знает про пароль, "который используется при входе в винду" хоть локально, хоть в домен.
Заведите в сквиде группу nonautorized для недоменных пришельцев, и даже окошко логин/пасс не будет вылезать. Делал подобное лет дцать тому по примеру в манах сквида. Сейчас, увы, остались только склерозные воспоминания.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пт 28 май, 2021 2:40 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 26 мар, 2007 6:04 pm
Сообщения: 1211
Откуда: Kyiv
xemul тут вы не правы: при доменной аутентификации, используется NTLM/kerberos для доступа к ресурсам, который делает аутентификацию прозрачной. Яркий пример shared-папки и доступ юзеров. Попробуйте этот трюк в домене и без него и увидите разницу. Аналогично, если squid тоже в домене (если это NTLM) или имеет kerberos ticket (тут без разницы, в домене или нет) аутентификация происходит прозрачно.

_________________
"Винда съела дрова и резет здесь не фурычит"
"Все говорят, что у меня /dev/hands кривой и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!"


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пт 28 май, 2021 3:14 pm 
Не в сети

Зарегистрирован: Ср 14 окт, 2009 2:26 pm
Сообщения: 608
Я имел в виду, что общение браузер-сквид-АД через окошко логин/пасс - крайний случай для неавторизованного в домене юзера/компа, до которого можно и не доводить при желании. При этом в окошко, как Вы справедливо указали, можно вводить что угодно (в том числе и локальный/доменный логин/пароль пользователя, если ССЗБ).
Но браузер про локальный/доменный пароль пользователя, введённый при логоне, всё равно ничего не знает, и не должен, и это правильно.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Вс 30 май, 2021 1:30 pm 
Не в сети

Зарегистрирован: Пт 09 окт, 2020 11:46 am
Сообщения: 106
"Но браузер про локальный/доменный пароль пользователя, введённый при логоне, всё равно ничего не знает" - про пароль, допустим, не знает. А про логин? Мне непонятно- как вообще тут происходит авторизация? Сквид запрашивает в АД инфу о юзере, который пытается авторизоваться, а как он узнаёт- кто именно пытается авторизоваться? Значит, браузер передает какую-то инфу о юзере?


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Вс 30 май, 2021 3:35 pm 
Не в сети

Зарегистрирован: Ср 14 окт, 2009 2:26 pm
Сообщения: 608
Заглянул на squid-cache.org - ну не знаю, что ещё нужно для полного щастя.
Squid and Kerberos.
Я начинал с конфига типа Logging usernames when using passthrough authentication и добавлял подробности для доменных юзеров/компов.
Но я не настоящий сварщик, просто когда-то потребовалось по-быстрому прикрыть конторскую сетку, т.к. приглашённый специалист устроил из почтового сервера open relay, а из сетки - проходной двор.


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 16 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Bing [Bot], Majestic-12 [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика