forum.opennet.ru - "Смешанная авторизация (несколько хелперов)" (4)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Смешанная авторизация (несколько хелперов)"

Форум Настройка Squid и других прокси серверов (Аутентификация)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Смешанная авторизация (несколько хелперов)"	+1 +/–
Сообщение от degeron (ok) on 18-Дек-12, 15:49
Есть домен, настроена авторизация через ldap в пределах basic схемы. Есть ли возможность добавить авторизацию через ncsa в дополнение? То есть я хочу установить несколько хелперов командой auth_param program. Однако работает только первая из написанных в конфиге. Есть ли такая возможность у squid'а?
Ответить \| Правка \| Cообщить модератору

Оглавление

Смешанная авторизация (несколько хелперов), Аноним, 09:38 , 19-Дек-12, (1)

Смешанная авторизация (несколько хелперов), degeron, 14:18 , 20-Дек-12, (2)

Смешанная авторизация (несколько хелперов), SHRDLU, 08:33 , 21-Дек-12, (3)
Смешанная авторизация (несколько хелперов), MK, 05:36 , 04-Янв-13, (4)

Сообщения по теме [Сортировка по времени | RSS]

1. "Смешанная авторизация (несколько хелперов)" +/–

Сообщение от Аноним (??) on 19-Дек-12, 09:38

> Есть домен, настроена авторизация через ldap в пределах basic схемы. Есть ли
> возможность добавить авторизацию через ncsa в дополнение? То есть я хочу
> установить несколько хелперов командой auth_param program. Однако работает только первая
> из написанных в конфиге. Есть ли такая возможность у squid'а?
Есть, но всегда отрабатывает первая из поддерживаемых приложением схема в соответствии, если не ошибаюсь, с порядком их расположения в конфиге сквида.
Стало быть, все ваши приложения умеют проходить такой тип аутентификации, и проблем бы это вызывать не должно...Если теоретический интерес - то поставьте первой по порядку digest_auth, по этой схеме практически исключительно работают только браузеры, увидите тогда, что браузеры пойдут через digest, прочие приложения - через следующую...
Только что-то не пойму, кто у вас на ком стоял, извините... ldap в пределах basic, плюс хотите еще ncsa... ncsa, насколько я помню, это и есть basic, не? И каких практических результатов хотите от нескольких схем?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Смешанная авторизация (несколько хелперов)" +/–

Сообщение от degeron (ok) on 20-Дек-12, 14:18

>[оверквотинг удален]
> если не ошибаюсь, с порядком их расположения в конфиге сквида.
> Стало быть, все ваши приложения умеют проходить такой тип аутентификации, и проблем
> бы это вызывать не должно...Если теоретический интерес - то поставьте первой
> по порядку digest_auth, по этой схеме практически исключительно работают только браузеры,
> увидите тогда, что браузеры пойдут через digest, прочие приложения - через
> следующую...
> Только что-то не пойму, кто у вас на ком стоял, извините... ldap
> в пределах basic, плюс хотите еще ncsa... ncsa, насколько я помню,
> это и есть basic, не? И каких практических результатов хотите от
> нескольких схем?
Схема в понятиях кальмара есть алгоритм аутентификации. В случае basic - это передача логина и пароля в незашифрованном виде. Хелперы - программы, которые принимают логин и пароль и возвращают OK либо ERR. Алгоритм, по которому они определяют, верная ли эта пара, может быть разным. В случае ncsa, пара логин-пароль для проверки берется из текстового файла. В случае ldap - из домена.
В сети есть пользователи, сидящие в домене - манагеры, бухгалтеры и т.п. Ими рулят через AD и групповые политики. Есть также программисты, которых нет в домене. Задача - перевести всех их на прокси. Таким образом, требуется настроить конфиг сквида так, чтобы он, при получении пары логин-пароль, сперва проверял, в есть ли такая пара в домене, а при ошибке еще проверял на наличие этой пары в файле (для привилегированных программистов).
Проблема состоит в том, что если я прописываю 2 хелпера, проверка идет через один из них, объявленный первым. Мне же требуется поведение, описанное выше.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Смешанная авторизация (несколько хелперов)" +/–

Сообщение от SHRDLU (ok) on 21-Дек-12, 08:33

> Схема в понятиях кальмара есть алгоритм аутентификации. В случае basic - это
:))) Спасибо за исчерпывающее разъяснение :)))
> Проблема состоит в том, что если я прописываю 2 хелпера, проверка идет
> через один из них, объявленный первым. Мне же требуется поведение, описанное
> выше.
Понятно. Но сквидом этого не разрулить. Вариантов у вас два. Либо заводите дополнительные учётные записи программистов в домене исключительно для аутентификации на прокси, либо пишите свой хелпер, который будет поверять наличие учётки в соответствующей группе в домене, а в случае её отсутствия - заглядывать еще и в текстовичок для "приыилегированных"

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Смешанная авторизация (несколько хелперов)" +/–

Сообщение от MK (??) on 04-Янв-13, 05:36

> Проблема состоит в том, что если я прописываю 2 хелпера, проверка идет
> через один из них, объявленный первым. Мне же требуется поведение, описанное
> выше.
напишите свой хелпер - это несложно. И уже из него дергайте остальные в избранном вами порядке.
НО !
если в сети есть некие юзеры которых нет в AD - то теряется смысл AD. По хорошему либо заводите всех, либо делите сеть на управляемую и хаос :)

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Смешанная авторизация (несколько хелперов)"	+/–
Сообщение от Аноним (??) on 19-Дек-12, 09:38
> Есть домен, настроена авторизация через ldap в пределах basic схемы. Есть ли > возможность добавить авторизацию через ncsa в дополнение? То есть я хочу > установить несколько хелперов командой auth_param program. Однако работает только первая > из написанных в конфиге. Есть ли такая возможность у squid'а? Есть, но всегда отрабатывает первая из поддерживаемых приложением схема в соответствии, если не ошибаюсь, с порядком их расположения в конфиге сквида. Стало быть, все ваши приложения умеют проходить такой тип аутентификации, и проблем бы это вызывать не должно...Если теоретический интерес - то поставьте первой по порядку digest_auth, по этой схеме практически исключительно работают только браузеры, увидите тогда, что браузеры пойдут через digest, прочие приложения - через следующую... Только что-то не пойму, кто у вас на ком стоял, извините... ldap в пределах basic, плюс хотите еще ncsa... ncsa, насколько я помню, это и есть basic, не? И каких практических результатов хотите от нескольких схем?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Смешанная авторизация (несколько хелперов)"	+/–
	Сообщение от degeron (ok) on 20-Дек-12, 14:18
	>[оверквотинг удален] > если не ошибаюсь, с порядком их расположения в конфиге сквида. > Стало быть, все ваши приложения умеют проходить такой тип аутентификации, и проблем > бы это вызывать не должно...Если теоретический интерес - то поставьте первой > по порядку digest_auth, по этой схеме практически исключительно работают только браузеры, > увидите тогда, что браузеры пойдут через digest, прочие приложения - через > следующую... > Только что-то не пойму, кто у вас на ком стоял, извините... ldap > в пределах basic, плюс хотите еще ncsa... ncsa, насколько я помню, > это и есть basic, не? И каких практических результатов хотите от > нескольких схем? Схема в понятиях кальмара есть алгоритм аутентификации. В случае basic - это передача логина и пароля в незашифрованном виде. Хелперы - программы, которые принимают логин и пароль и возвращают OK либо ERR. Алгоритм, по которому они определяют, верная ли эта пара, может быть разным. В случае ncsa, пара логин-пароль для проверки берется из текстового файла. В случае ldap - из домена. В сети есть пользователи, сидящие в домене - манагеры, бухгалтеры и т.п. Ими рулят через AD и групповые политики. Есть также программисты, которых нет в домене. Задача - перевести всех их на прокси. Таким образом, требуется настроить конфиг сквида так, чтобы он, при получении пары логин-пароль, сперва проверял, в есть ли такая пара в домене, а при ошибке еще проверял на наличие этой пары в файле (для привилегированных программистов). Проблема состоит в том, что если я прописываю 2 хелпера, проверка идет через один из них, объявленный первым. Мне же требуется поведение, описанное выше.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Смешанная авторизация (несколько хелперов)"	+/–
	Сообщение от SHRDLU (ok) on 21-Дек-12, 08:33
	> Схема в понятиях кальмара есть алгоритм аутентификации. В случае basic - это :))) Спасибо за исчерпывающее разъяснение :))) > Проблема состоит в том, что если я прописываю 2 хелпера, проверка идет > через один из них, объявленный первым. Мне же требуется поведение, описанное > выше. Понятно. Но сквидом этого не разрулить. Вариантов у вас два. Либо заводите дополнительные учётные записи программистов в домене исключительно для аутентификации на прокси, либо пишите свой хелпер, который будет поверять наличие учётки в соответствующей группе в домене, а в случае её отсутствия - заглядывать еще и в текстовичок для "приыилегированных"
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Смешанная авторизация (несколько хелперов)"	+/–
	Сообщение от MK (??) on 04-Янв-13, 05:36
	> Проблема состоит в том, что если я прописываю 2 хелпера, проверка идет > через один из них, объявленный первым. Мне же требуется поведение, описанное > выше. напишите свой хелпер - это несложно. И уже из него дергайте остальные в избранном вами порядке. НО ! если в сети есть некие юзеры которых нет в AD - то теряется смысл AD. По хорошему либо заводите всех, либо делите сеть на управляемую и хаос :)
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору