Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
grf
Зарегистрирован: 05.04.2005 Сообщения: 1242 Откуда: Москва
|
Добавлено: Ср Окт 25 2006 15:13 Заголовок сообщения: сквид и AD как подружить! |
|
|
в общем есть домен на основе Винды 2003, со всеми прибамбасами.
В инет смотрит через шлюз, на фри. На фри стоит сквид и хотелось сделать авторизацию на основе виндовых логинов паролей. В общем типичная задачка, поднимлась уже даже на этом форуме
http://forum.citforum.ru/viewtopic.php?t=45091&highlight=squid
, описанная, например здесь
http://www.opennet.ru/base/net/win_squid.txt.html
Но тем не менее есть вопросы, которые хотелось разъяснить.
1. Обязательно ли поднимать самбу? Сквид поддерживает протокол LDAP, возможно ли напрямую обращаться к контроллеру домена за инфой?
2. Как сквид проверяет логины-пароли. Ему надо запросить логин-пароль с виндовс машины клиента, передать их контоллеру домена и получить от него ответ - свой казачок, или засланный, при этом вести лог по имени пользователя? Как это все происходит?
Собственно сильно не пинайте, ламер пока. особенно в никсах, разбираюсь.
 _________________ Errare humanum est |
|
Вернуться к началу |
|
 |
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Ср Окт 25 2006 16:51 Заголовок сообщения: |
|
|
1. Обязательно. Только LDAP не прокатит. К нему еще и Kerberos надобен.
2. Используется NTLM-авторизация. Доки в Интернете найти можно. |
|
Вернуться к началу |
|
 |
grf
Зарегистрирован: 05.04.2005 Сообщения: 1242 Откуда: Москва
|
Добавлено: Чт Окт 26 2006 14:07 Заголовок сообщения: |
|
|
Спасибо, но в книге, которую я читаю Microsoft Windows server 2000
Андреев А. Г. и др.
Под общей редакцией А. Чекморева и Д. Вишнякова
С.-Питербург, БХВ-Питербург, 2002г. 960 стр.
есть такие строки
Цитата: |
Применение Kerberos в сетях Windows 2000
Аутентификация Kerberos используется многими службами домену Windows 2000. SSPI применяется для аутентификации в большинстве системных служб, поэтому их перевод с аутентификации NTLM на Кеrberos требует минимальных усилий. Более сложные изменения необходимы на сервере SMB, который не использовал SSPI до версии Windows 2000. Многие новые распределенные службы Windows 2000 уже используют аутентификацию Kerberos....
...
Взаимодействие Windows 2000 KDC и UNIX
Часто возникает вопрос: как Windows 2000 будет работать с существующими серверами Kerberos, функционирующими в ОС UNIX? Windows 2000 взаимодействует с KDC, работающими на MIT Kerberos, двумя способами:
1 Компьютер с Windows 2000 может быть настроен на применение UNIX KDC. Пользователи могут входить в систему с помощью учетной записи, определенной в UNIX KDC, точно так же, как это делают станции UNIX. Любое приложение Windows 2000 или UNIX, требующее только аутентификации, основанной на имени, может использовать UNIX KDC в качестве сервера Kerberos. Например, сервер баз данных, имеющий собственную таблицу авторизации на доступ к базе, может аутентифицировать клиента Windows 2000 с помощью билетов Kerberos, полученных у UNIX KDC. По¬скольку сервер баз данных не использует средства управления доступом Windows 2000, он может работать в среде Windows 2000 без применения имперсонализации. Для приема билетов сеанса, выдаваемых UNIX KDC, и запроса контекста безопасности для определенного имени клиента сервер вызывает поставщика безопасности Kerberos. Билеты, выданные UNIX KDC, могут быть использованы при взаимной аутентификации и защите сообщений. Однако без данных авторизации контекст безопасности не может быть использован для имперсонализации.
2. Windows 2000 может взаимодействовать с MIT Kerberos посредством доверия, установленного между владением UNIX и доменом Windows 2000. Это наилучший способ поддержки служб Windows 2000, использующих имперсонализацию и средства управления доступом. Доверие, установ¬ленное между владениями, очень похоже на широко применяемую мо¬дель нескольких доменов Windows NT 4.0, которые делятся на домены учетных записей и домены ресурсов. В этом случае KDC выполняет роль домена учетных записей, а службы, работающие в среде Windows 2000, находятся в домене ресурсов. Windows 2000 KDC — это сервер авторизации для служб Windows 2000. Данные авторизации Windows 2000 добавляются в KDC к билетам сеанса, предназначенным для серверов домена Windows 2000. Данные авторизации хранят соответствие между именами партнеров по обмену данными владения UNIX и теневыми (proxy) учетными записями; при этом учитывается принадлежность учетных записей к группам, информация о которых хранится в Active Directory. Эти учет¬ные записи могут быть синхронизированы с помощью LDAP.
...
|
Может я конечно не разобрался, но мне кажется здесь говорится, о возможности подружить Kerberos винды и никса.
 _________________ Errare humanum est |
|
Вернуться к началу |
|
 |
ANDronis
Зарегистрирован: 16.02.2005 Сообщения: 158
|
|
Вернуться к началу |
|
 |
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Пт Окт 27 2006 19:59 Заголовок сообщения: |
|
|
Несколько порно-ньюансов:
1. Однако без данных авторизации контекст безопасности не может быть использован для имперсонализации.
2. Эти учет¬ные записи могут быть синхронизированы с помощью LDAP.
То, что надо читать между строк:
1. Чтобы правильно задействовать авторизацию для работы в AD надо использовать микрософтовские функции API. Реализованы они только в ОС Windows. Так что про кроссплатформенность забудьте. На ОС "не Windows" это не работает, т.к. нет API, а в ОС Windows использовать что-то отличное от Active Directory просто глупо.
2. Реализация LDAP в Active Directory разительно отличается от реализации LDAP от других вендоров. Если бы все было так просто, то многие давно бы уже кричали на всех углах, мол наш супер-пупер LDAP круче чем LDAP от Microsoft. По крайней мере бы заявляли о совместимости своих LDAP-решений с Active Directory. Вы видите толпу таких вендоров? Вот и я не вижу... |
|
Вернуться к началу |
|
 |
scazi1
Зарегистрирован: 28.09.2006 Сообщения: 2
|
Добавлено: Пн Окт 30 2006 09:53 Заголовок сообщения: |
|
|
Посмтрите здесь, в разделе статьи http://sams.irc.perm.ru/, особенно под номером 4, единственное что я делал не так, это сквид - configure options: '--prefix=/usr/local/squid' '--enable-auth=ntlm,basic' '--enable-basic-auth-helper=winbind' '--enable-ntlm-auth-helper=winbind', basic можно не добавлять, использовалось для собственных нужд, ldap не ставился |
|
Вернуться к началу |
|
 |
grf
Зарегистрирован: 05.04.2005 Сообщения: 1242 Откуда: Москва
|
Добавлено: Пн Окт 30 2006 13:52 Заголовок сообщения: |
|
|
Спасибо, and3008, раскрыл глаза
Спасибо, всем.
 _________________ Errare humanum est |
|
Вернуться к началу |
|
 |
Caravelli
Зарегистрирован: 22.01.2007 Сообщения: 22
|
Добавлено: Пн Янв 22 2007 18:35 Заголовок сообщения: В догонку |
|
|
Сам недавно работал над этим вопросом.
Реализовал через winbindd
Samba поднимать не надо, но smb.conf настраивать нужно.
Подправить файл nsswitch.conf
Подправить файл krb5.conf
ввести машину в домен с помощью net ads
Настройка squid.conf
а именно
auth_param ntlm program
acl типа proxy_auth
Неплохо описано в статье Рашида Ачилова на samag.ru и пр. (см.Google по автору - найдешь быстро)
Говорят можно pam обойтись - не пробовал.
Если заинтересует как именно сделано - пиши расскажу. |
|
Вернуться к началу |
|
 |
|