- Смешанная авторизация (несколько хелперов), Аноним, 09:38 , 19-Дек-12 (1)
> Есть домен, настроена авторизация через ldap в пределах basic схемы. Есть ли > возможность добавить авторизацию через ncsa в дополнение? То есть я хочу > установить несколько хелперов командой auth_param program. Однако работает только первая > из написанных в конфиге. Есть ли такая возможность у squid'а?Есть, но всегда отрабатывает первая из поддерживаемых приложением схема в соответствии, если не ошибаюсь, с порядком их расположения в конфиге сквида. Стало быть, все ваши приложения умеют проходить такой тип аутентификации, и проблем бы это вызывать не должно...Если теоретический интерес - то поставьте первой по порядку digest_auth, по этой схеме практически исключительно работают только браузеры, увидите тогда, что браузеры пойдут через digest, прочие приложения - через следующую... Только что-то не пойму, кто у вас на ком стоял, извините... ldap в пределах basic, плюс хотите еще ncsa... ncsa, насколько я помню, это и есть basic, не? И каких практических результатов хотите от нескольких схем?
- Смешанная авторизация (несколько хелперов), degeron, 14:18 , 20-Дек-12 (2)
>[оверквотинг удален] > если не ошибаюсь, с порядком их расположения в конфиге сквида. > Стало быть, все ваши приложения умеют проходить такой тип аутентификации, и проблем > бы это вызывать не должно...Если теоретический интерес - то поставьте первой > по порядку digest_auth, по этой схеме практически исключительно работают только браузеры, > увидите тогда, что браузеры пойдут через digest, прочие приложения - через > следующую... > Только что-то не пойму, кто у вас на ком стоял, извините... ldap > в пределах basic, плюс хотите еще ncsa... ncsa, насколько я помню, > это и есть basic, не? И каких практических результатов хотите от > нескольких схем?Схема в понятиях кальмара есть алгоритм аутентификации. В случае basic - это передача логина и пароля в незашифрованном виде. Хелперы - программы, которые принимают логин и пароль и возвращают OK либо ERR. Алгоритм, по которому они определяют, верная ли эта пара, может быть разным. В случае ncsa, пара логин-пароль для проверки берется из текстового файла. В случае ldap - из домена. В сети есть пользователи, сидящие в домене - манагеры, бухгалтеры и т.п. Ими рулят через AD и групповые политики. Есть также программисты, которых нет в домене. Задача - перевести всех их на прокси. Таким образом, требуется настроить конфиг сквида так, чтобы он, при получении пары логин-пароль, сперва проверял, в есть ли такая пара в домене, а при ошибке еще проверял на наличие этой пары в файле (для привилегированных программистов). Проблема состоит в том, что если я прописываю 2 хелпера, проверка идет через один из них, объявленный первым. Мне же требуется поведение, описанное выше.
- Смешанная авторизация (несколько хелперов), SHRDLU, 08:33 , 21-Дек-12 (3)
> Схема в понятиях кальмара есть алгоритм аутентификации. В случае basic - это :))) Спасибо за исчерпывающее разъяснение :))) > Проблема состоит в том, что если я прописываю 2 хелпера, проверка идет > через один из них, объявленный первым. Мне же требуется поведение, описанное > выше. Понятно. Но сквидом этого не разрулить. Вариантов у вас два. Либо заводите дополнительные учётные записи программистов в домене исключительно для аутентификации на прокси, либо пишите свой хелпер, который будет поверять наличие учётки в соответствующей группе в домене, а в случае её отсутствия - заглядывать еще и в текстовичок для "приыилегированных"
- Смешанная авторизация (несколько хелперов), MK, 05:36 , 04-Янв-13 (4)
> Проблема состоит в том, что если я прописываю 2 хелпера, проверка идет > через один из них, объявленный первым. Мне же требуется поведение, описанное > выше.напишите свой хелпер - это несложно. И уже из него дергайте остальные в избранном вами порядке. НО ! если в сети есть некие юзеры которых нет в AD - то теряется смысл AD. По хорошему либо заводите всех, либо делите сеть на управляемую и хаос :)
|