Есть домен, настроена авторизация через ldap в пределах basic схемы. Есть ли возможность добавить авторизацию через ncsa в дополнение? То есть я хочу установить несколько хелперов командой auth_param program. Однако работает только первая из написанных в конфиге. Есть ли такая возможность у squid'а?
> Есть домен, настроена авторизация через ldap в пределах basic схемы. Есть ли
> возможность добавить авторизацию через ncsa в дополнение? То есть я хочу
> установить несколько хелперов командой auth_param program. Однако работает только первая
> из написанных в конфиге. Есть ли такая возможность у squid'а?Есть, но всегда отрабатывает первая из поддерживаемых приложением схема в соответствии, если не ошибаюсь, с порядком их расположения в конфиге сквида.
Стало быть, все ваши приложения умеют проходить такой тип аутентификации, и проблем бы это вызывать не должно...Если теоретический интерес - то поставьте первой по порядку digest_auth, по этой схеме практически исключительно работают только браузеры, увидите тогда, что браузеры пойдут через digest, прочие приложения - через следующую...Только что-то не пойму, кто у вас на ком стоял, извините... ldap в пределах basic, плюс хотите еще ncsa... ncsa, насколько я помню, это и есть basic, не? И каких практических результатов хотите от нескольких схем?
>[оверквотинг удален]
> если не ошибаюсь, с порядком их расположения в конфиге сквида.
> Стало быть, все ваши приложения умеют проходить такой тип аутентификации, и проблем
> бы это вызывать не должно...Если теоретический интерес - то поставьте первой
> по порядку digest_auth, по этой схеме практически исключительно работают только браузеры,
> увидите тогда, что браузеры пойдут через digest, прочие приложения - через
> следующую...
> Только что-то не пойму, кто у вас на ком стоял, извините... ldap
> в пределах basic, плюс хотите еще ncsa... ncsa, насколько я помню,
> это и есть basic, не? И каких практических результатов хотите от
> нескольких схем?Схема в понятиях кальмара есть алгоритм аутентификации. В случае basic - это передача логина и пароля в незашифрованном виде. Хелперы - программы, которые принимают логин и пароль и возвращают OK либо ERR. Алгоритм, по которому они определяют, верная ли эта пара, может быть разным. В случае ncsa, пара логин-пароль для проверки берется из текстового файла. В случае ldap - из домена.
В сети есть пользователи, сидящие в домене - манагеры, бухгалтеры и т.п. Ими рулят через AD и групповые политики. Есть также программисты, которых нет в домене. Задача - перевести всех их на прокси. Таким образом, требуется настроить конфиг сквида так, чтобы он, при получении пары логин-пароль, сперва проверял, в есть ли такая пара в домене, а при ошибке еще проверял на наличие этой пары в файле (для привилегированных программистов).
Проблема состоит в том, что если я прописываю 2 хелпера, проверка идет через один из них, объявленный первым. Мне же требуется поведение, описанное выше.
> Схема в понятиях кальмара есть алгоритм аутентификации. В случае basic - это:))) Спасибо за исчерпывающее разъяснение :)))
> Проблема состоит в том, что если я прописываю 2 хелпера, проверка идет
> через один из них, объявленный первым. Мне же требуется поведение, описанное
> выше.Понятно. Но сквидом этого не разрулить. Вариантов у вас два. Либо заводите дополнительные учётные записи программистов в домене исключительно для аутентификации на прокси, либо пишите свой хелпер, который будет поверять наличие учётки в соответствующей группе в домене, а в случае её отсутствия - заглядывать еще и в текстовичок для "приыилегированных"
> Проблема состоит в том, что если я прописываю 2 хелпера, проверка идет
> через один из них, объявленный первым. Мне же требуется поведение, описанное
> выше.напишите свой хелпер - это несложно. И уже из него дергайте остальные в избранном вами порядке.
НО !
если в сети есть некие юзеры которых нет в AD - то теряется смысл AD. По хорошему либо заводите всех, либо делите сеть на управляемую и хаос :)