The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Релиз Samba 3.6.7"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Релиз Samba 3.6.7"  +/
Сообщение от opennews on 06-Авг-12, 23:05 
Представлен (http://permalink.gmane.org/gmane.network.samba.announce/258) корректирующий релиз Samba 3.6.7, в котором отмечено 18 исправлений (http://www.samba.org/samba/history/samba-3.6.7.html). Из наиболее важных изменений можно отметить поддержку сборки с CUPS 1.6, обеспечение миграции принтеров при обновлении с Samba 3.5.x, устранение проблемы с определением своих собственных групп "Domain Local".

URL: http://permalink.gmane.org/gmane.network.samba.announce/258
Новость: http://www.opennet.me/opennews/art.shtml?num=34502

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Релиз Samba 3.6.7"  +/
Сообщение от ананим on 06-Авг-12, 23:05 
кто-нибудь юзает 3.6.х в продакшене?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Релиз Samba 3.6.7"  –3 +/
Сообщение от pavlinux (ok) on 07-Авг-12, 04:35 
Опупел, оно ещё релиз кандидат 1 - http://kernel.org
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

9. "Релиз Samba 3.6.7"  +/
Сообщение от Аноним (??) on 07-Авг-12, 09:18 
Тема про самбу, вообще-то...
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Релиз Samba 3.6.7"  +/
Сообщение от pavlinux (ok) on 07-Авг-12, 18:38 
пилять :)
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

12. "Релиз Samba 3.6.7"  +/
Сообщение от ананим on 07-Авг-12, 19:49 
если про ядро, то 3.5 кстати тоже поуберал - cifs в кернелпаник загоняет.
юзаю почти повсеместно 3.4.7 - по моим впечатлениям один из самых стабильных релизов за историю.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

13. "Релиз Samba 3.6.7"  +/
Сообщение от ананим on 07-Авг-12, 19:50 
/за историю/за историю ветки 2.6.х-3.х.х/
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

2. "Релиз Samba 3.6.7"  +/
Сообщение от Аноним (??) on 06-Авг-12, 23:22 
Ага, для сквиды в универе юзаю, полет нормальный. Сначала юзал для ад 2003, сейчас на 2008 переехали, все ок.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Релиз Samba 3.6.7"  +/
Сообщение от x0r (??) on 07-Авг-12, 01:12 
getent passwd работает?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Релиз Samba 3.6.7"  +/
Сообщение от ананим on 07-Авг-12, 03:19 
а подробнее.
getent от нсс в первую очередь зависит. самба ему вообще-то параллельна.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

8. "Релиз Samba 3.6.7"  +/
Сообщение от filosofem (ok) on 07-Авг-12, 07:03 
Когда как. Но getent passwd username@domain или getent passwd 'domain+username' и id 'domain+username' работают исправно (с поправкой на winbind separator конечно).
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

4. "Релиз Samba 3.6.7"  +/
Сообщение от ананим on 07-Авг-12, 02:06 
> Ага, для сквиды в универе юзаю

для чего простите?
напуркуа сквиду гармонь?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

7. "Релиз Samba 3.6.7"  +2 +/
Сообщение от Аноним (??) on 07-Авг-12, 04:39 
для авторизации в Active Directory.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

11. "Релиз Samba 3.6.7"  +/
Сообщение от ананим on 07-Авг-12, 19:46 
для этого протокола ldap хватает. http://www.opennet.me/base/net/squid_ldap_ad.txt.html
а если его НЕ хватает, то для sso ещё цербер прикручивается.

речь же шла про самбу как к средству доступа к файлам, а не как костыль к чему-то, что к протоколам cifs/smb не имеет вообще никакого отношения.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

16. "Релиз Samba 3.6.7"  +/
Сообщение от iFRAME (ok) on 07-Авг-12, 21:11 
Kerberos-авторизация (она имеется ввиду?) в исполнении Squid довольно таки кривовата. Знаем, проходили. Ушли на виндовое проприетарное решение. И не жалеем.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

20. "Релиз Samba 3.6.7"  +/
Сообщение от filosofem (ok) on 08-Авг-12, 00:47 
УМВР и Керберос и NTLM c паролем через winbind для тех кто не в AD.  Кривоваты некоторые браузеры, но и для них имеется костыль. Всего то надо доки почитать.
Кстати Samba для Kerberos аутентификации не нужна, только для NTLM.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

22. "Релиз Samba 3.6.7"  +/
Сообщение от ананим on 08-Авг-12, 01:18 
для нтлм тоже (кстати спасибо сану, запилили и подарили)
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

25. "Релиз Samba 3.6.7"  +/
Сообщение от filosofem (ok) on 08-Авг-12, 02:19 
Нет, NTLM работает через winbind.
Кстати и после Kerberos аутентификации, если нужна авторизация по группам, Самба нужна.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

28. "Релиз Samba 3.6.7"  +/
Сообщение от ананим on 08-Авг-12, 09:52 
гуглите не тему kerberos sspnego squid
вот официальная вики
http://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerb...
> Pre-requisites for Active Directory integration
> Install msktutil package from http://fuhm.net/software/msktutil/ or https://code.google.com/p/msktutil/.
>or
>Install Samba

так что гон это всё. вот у лисяры http://www.lissyara.su/?id=2101 :
>В ближайшее время предстоит переход с 2003 windows server'a на 2008R2 и переход клиентов на windows 7. Я решил посмотреть как будет работать в этой ситуации старый софт. Установил под virtualbox'ом win2008,win7 и freebsd8.0. Настроил АД, ввёл в него клиента win7, на фряху поставил сквид, самбу. И тут грабли - internet explorer 8, который штатно идёт в вин7, не захотел работать со сквидом по ntlm. Гугл дал решение в правке то ли реестра, то ли политик безоспасности, но тут же была найдена рекомендация отказа от ntlm в пользу kerberos. Решил работать в этом направлении. Гугление дало решение в виде хелпера squid_kerb_ldap.........
> осталось лишь прикрутить авторизацию, для неё я остановился на squid_ldap_group. Как оказалось теперь можно не ставить тяжёлую самбу, но провалив попытки сгенерировать кейтаб другими способами пришлось делать это с помощью самбы.

зыж
и да, sspnego - реализация от санок.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

32. "Релиз Samba 3.6.7"  +/
Сообщение от ананим on 08-Авг-12, 10:32 
сори,  просто spnego
вот про него подробнее - http://www.opennet.me/openforum/vsluhforumID3/85901.html#28
(русской странички нет, видимо поэтому мало кто знает :D)
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

34. "Релиз Samba 3.6.7"  +/
Сообщение от ананим on 08-Авг-12, 10:39 
> SPNEGO's most visible use is in Microsoft's "HTTP Negotiate" authentication extension. It was first implemented in Internet Explorer 5.01 and IIS 5.0 and provided single sign-on capability later marketed as Integrated Windows Authentication. The negotiable sub-mechanisms included NTLM and Kerberos, both used in Active Directory.
>The HTTP Negotiate extension was later implemented with similar support in:
>Mozilla 1.7 beta [1]
>Mozilla Firefox 0.9 Konqueror 3.3.1 [2]
>Google Chrome 6.0.472

думаю достаточно?
так что и для нтлм самба тоже не нужна.
а для групп юзайте лдап

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

42. "Релиз Samba 3.6.7"  +/
Сообщение от filosofem (ok) on 08-Авг-12, 13:05 
Ниочем ваше гугление. Negotiate в Сквиде все равно работает через хелперы, а ntlm_auth хелпер все равно использует winbind.
А через LDAP настройте мне авторизацию по группам из нескольких доменов в трасте, причем группы включают юзеров из чужих доменов. Но даже и с одним доменом костыльно это если авторизация в АД и есть Самба.
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

45. "Релиз Samba 3.6.7"  +/
Сообщение от ананим on 08-Авг-12, 13:16 
для отстающих повторяю
> http://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerb...
>Pre-requisites for Active Directory integration
> Install msktutil package from http://fuhm.net/software/msktutil/ or https://code.google.com/p/msktutil/

и никаой самбы.

зыж
> А через LDAP натройте мне авторизацию по группам из нескольких доменов в трасте,

вам примеры фильтров ldapsearch привести?!!! :D

ззыж
> Negotiate в Сквиде все равно работает через хелперы

угу. там любое решение через хелперы.
другими словами - признайте уже, что авторизацию в сквиде можно и без самбы и разойдёмся. :D
(а параллельно к этому появляется ещё и бонус в виде ссо не только для сквида, а и для почты (включая оутглюк), и для ресурсов самбы(!!! вот она родимая где! :D), и ещё кучи всего и на разных серверах)

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

49. "Релиз Samba 3.6.7"  +/
Сообщение от filosofem (ok) on 08-Авг-12, 13:36 
Гы msktutil это кейтабы для AD Кербероса генерить и к NTLM ну никак не относится. Вы вообще очень смутно понимаете о чем пишете. Читать забавно.

>вам примеры фильтров ldapsearch привести?!!! :D

Пример конфига авторизации LDAP групп для Сквида для нескольких AD лесов со смешанными группами. Выкладывай. Даже если получится, сравним это с моей одной строчкой с winbind.

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

51. "Релиз Samba 3.6.7"  +/
Сообщение от ананим on 08-Авг-12, 13:53 
именно! только кейтабы.
а spnego уже есть в мит керберос! раньше был только gssapi, теперь с версии 1.5 и spnego

зыж
шож ты такой тормоз то.
> SPNEGO Поскольку Microsoft использует NTLM для SSO, они изобрели механизм, аналогичный GSSAPI механизм для согласования протокола аутентификации. К счастью MIT Kerberos поддерживает SPNEGO с версии 1.5 благодаря реализации, пожертвованной SUN. Поэтому можно использовать библиотеку GSSAPI на стороне сервера (касается только Linux).

http://www.opennet.me/docs/RUS/fds/

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

54. "Релиз Samba 3.6.7"  +/
Сообщение от filosofem (ok) on 08-Авг-12, 14:20 
>а spnego уже есть в мит керберос! раньше был только gssapi,

Даже не представляешь какой бред тут написан.

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

56. "Релиз Samba 3.6.7"  +/
Сообщение от ананим on 08-Авг-12, 14:30 
это тебе толи знаний не хватает, толи зашоренности мозгов, толи ослиное упрямство, толи всё вместе.

настраивал когда-нибудь клиента керберос для работы в АД?
подозреваю что нет.
http://www.windowsnetworking.com/articles_tutorials/authenti...
> There are 2 alternatives to authenticate against Active Directory:
>1. Using the kerberos client (requires Active Directory)
>2. Using Winbind & sambaclient

ты уперся во второй вариант. и нифига не хочешь понимать первый.

зыж
сама настройка клиента тривиальна - http://docs.oracle.com/cd/E19082-01/819-3321/ggtwg/index.html

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

52. "Релиз Samba 3.6.7"  +/
Сообщение от ананим on 08-Авг-12, 13:57 
зыж
> Пример конфига авторизации LDAP групп для Сквида для нескольких AD лесов со смешанными группами. Выкладывай.

оборзел совсем.
мало того что тормоз, так ему ещё и лдапом научить пользоваться за_бесплано и в хамских вопросах.

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

55. "Релиз Samba 3.6.7"  +/
Сообщение от filosofem (ok) on 08-Авг-12, 14:21 
> зыж
>> Пример конфига авторизации LDAP групп для Сквида для нескольких AD лесов со смешанными группами. Выкладывай.
> оборзел совсем.
> мало того что тормоз, так ему ещё и лдапом научить пользоваться за_бесплано
> и в хамских вопросах.

Ну раз не можешь, засчитыватся слив автоматом.

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

58. "Релиз Samba 3.6.7"  +/
Сообщение от ананим on 08-Авг-12, 14:33 
да похеру что ты там считаешь.
сквид может работать с авторизацией в ад без самбы - и вот тут ты слился.
Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

61. "Релиз Samba 3.6.7"  +/
Сообщение от filosofem (ok) on 08-Авг-12, 15:07 
Где именно? Ты писал, что для NTLM авторизации самба не нужна. Вот отсюда поподробнее. Авторизацию в Сквид по NTLM протоколу без использования winbind в студию! Желательно чтобы она была эффективнее winbind, чтобы Самба стала не нужна, как утверждает аноним.
Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

63. "Релиз Samba 3.6.7"  +/
Сообщение от ананим on 08-Авг-12, 15:19 
угу. а также я писал и это:
http://en.wikipedia.org/wiki/SPNEGO
> The negotiable sub-mechanisms included NTLM and Kerberos, both used in Active Directory.

и то что клиент цербера это умеет.
и ссылки как это можно использовать в сквиде.

но тебе хоть кол на голове теши.

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

65. "Релиз Samba 3.6.7"  +/
Сообщение от filosofem (ok) on 08-Авг-12, 15:32 
Ты глуп. Нагуглить мало, надо понять. Где там написано, что "клиент цербера" (использую твой сельпошный слэнг для понятности), умеет NTLM?
Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

66. "Релиз Samba 3.6.7"  +/
Сообщение от ананим on 08-Авг-12, 20:01 
для дворников и уборщиц -  работает по нтлм.
в частности у меня.
Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

73. "Релиз Samba 3.6.7"  +/
Сообщение от filosofem (ok) on 09-Авг-12, 00:33 
модераст такой же безграмотный клоун. Нашел что удалять. Но ему в силу юного возраста простительно. Еще может чему-то научиться.  
Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

33. "Релиз Samba 3.6.7"  +/
Сообщение от iFRAME (ok) on 08-Авг-12, 10:33 
> УМВР и Керберос и NTLM c паролем через winbind для тех кто
> не в AD.  Кривоваты некоторые браузеры, но и для них
> имеется костыль. Всего то надо доки почитать.
> Кстати Samba для Kerberos аутентификации не нужна, только для NTLM.

У меня тоже ВР. И KRB и NTLM. Но были 3 проблемы, решения которых я не нашел.

1. POST - запросы от сайтов, где используется флеш для аплоада файлов (такие как: facebook, vk, mail и некоторые другие)
2. не работающие через прокси ICQ-клиенты, приходилось натом пускать.
3. забыл. Вспомню - допишу :)

Про костыль можно поподробнее?

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

38. "Релиз Samba 3.6.7"  +/
Сообщение от iFRAME (ok) on 08-Авг-12, 12:07 
>[оверквотинг удален]
>> не в AD.  Кривоваты некоторые браузеры, но и для них
>> имеется костыль. Всего то надо доки почитать.
>> Кстати Samba для Kerberos аутентификации не нужна, только для NTLM.
> У меня тоже ВР. И KRB и NTLM. Но были 3 проблемы,
> решения которых я не нашел.
> 1. POST - запросы от сайтов, где используется флеш для аплоада файлов
> (такие как: facebook, vk, mail и некоторые другие)
> 2. не работающие через прокси ICQ-клиенты, приходилось натом пускать.
> 3. забыл. Вспомню - допишу :)
> Про костыль можно поподробнее?

2. Дополнение: ICQ клиенты не работали даже через Basic(LDAP)-авторизацию.
3. В логах появлялись записи с именем пользователя $COMPUTERNAME вместо username@domain. Проблема была локализована - виноват был Chrome, точнее, скорее всего, его апдейтер. Решить не удалось. Проблема не критична, на работоспособности не сказывалась, но в отчетах появлялись "лишние" строки. Неприятно.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

48. "Релиз Samba 3.6.7"  +1 +/
Сообщение от filosofem (ok) on 08-Авг-12, 13:32 
Костыль ― второй NTLM для IE браузеров из других доменов или ноутов не в домене. FF наоборот умеет использовать NTLM через Negotiate и не смотрит на отдельный NTLM. То есть NTLM настроен дважды: один раз в negotiate_wrapper для FF и второй сам по себе для IE.
Здесь почти как у меня http://wiki.bitbinary.com/index.php/Active_Directory_Integra...
Только я не использую BASIC по соображениям безопасности и группы проверяю через winbind так как сложная топология доменов и быстрее.

Аськи у хомячков на Миранде принудительно, она умеет HTTPS прокси с NTLM авторизцией. За другие клиенты на 100% не скажу, но нормальные должны уметь. Скайп тоже умеет.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

35. "Релиз Samba 3.6.7"  +/
Сообщение от Аноним (??) on 08-Авг-12, 10:59 
Лично мне проще было работать с керберосом используя net ads <команды>, а не керберовские утили.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

36. "Релиз Samba 3.6.7"  +/
Сообщение от ананим on 08-Авг-12, 11:45 
а вот с этим я и не спорил. :D
в линухе всё можно настроить 1001 способом и каждый выбирает удобный для себя сам.
вот только это не ответ на вопрос "кто юзает сабж". т.к. юзанием по прямому назначению это не назовёшь.
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

14. "Релиз Samba 3.6.7"  +/
Сообщение от Алексей (??) on 07-Авг-12, 20:17 
прозрачное проксирование, ничего особенного
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

15. "Релиз Samba 3.6.7"  +/
Сообщение от ананим on 07-Авг-12, 20:59 
прозрачный прокси не умеет аутентификацию.
но и тут такой мегаинвалидка не нужена.

http://www.mikealeonetti.com/wiki/index.php/Squid_LDAP_trans...
Squid LDAP transparent proxy authentication script

As we all know you can't use proxy auth with transparent proxies (now also called interception proxies). So, an alternate method needs to be used to authenticate. Luckily, Squid allows you to use custom authentication programs.......................

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

17. "Релиз Samba 3.6.7"  +/
Сообщение от iFRAME (ok) on 07-Авг-12, 21:12 
> прозрачный прокси не умеет аутентификацию.
> но и тут такой мегаинвалидка не нужена.
> http://www.mikealeonetti.com/wiki/index.php/Squid_LDAP_trans...
> Squid LDAP transparent proxy authentication script
> As we all know you can't use proxy auth with transparent proxies
> (now also called interception proxies). So, an alternate method needs to
> be used to authenticate. Luckily, Squid allows you to use custom
> authentication programs.......................

Он имеет ввиду прозрачную аутентификацию.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

19. "Релиз Samba 3.6.7"  +/
Сообщение от ананим on 08-Авг-12, 00:17 
аб чём и речь.
и та через опу с самбой, хотя избыточна.

а я просил - см. пост #1.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

27. "Релиз Samba 3.6.7"  +/
Сообщение от filosofem (ok) on 08-Авг-12, 02:22 
Хорош отмазываться. Ну не знал зачем нужно. Это нормально. Спросил. Ответили. Все довольны. К чему теперь права качать и защищать ошибочную т.зр.?
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

29. "Релиз Samba 3.6.7"  +/
Сообщение от ананим on 08-Авг-12, 10:02 
кто не знал?
тебе выше ответил и ссылок накидал.
самба для авторизации в АД не нужна!
сколько тебе это повторять?

и ещё, если кто-то (по-старинке) использует вынбинд для авторизации в сквиде, то это не значит, что он пользуется самба-сервером вообще.
это как бы логично.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

21. "Релиз Samba 3.6.7"  +/
Сообщение от filosofem (ok) on 08-Авг-12, 00:54 
А если теперь почитать по ссылке, внезапно окажется, что там в Сквиде авторизация по IP.  
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

23. "Релиз Samba 3.6.7"  +/
Сообщение от ананим on 08-Авг-12, 01:21 
а что есть транспарент прокси? внизапно?
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

24. "Релиз Samba 3.6.7"  +/
Сообщение от ананим on 08-Авг-12, 01:25 
в плане аутентификации по...? чём?
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

26. "Релиз Samba 3.6.7"  +/
Сообщение от filosofem (ok) on 08-Авг-12, 02:19 
Еще раз и внятно.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

30. "Релиз Samba 3.6.7"  +/
Сообщение от ананим on 08-Авг-12, 10:09 
вот тут разжёвано для тех кто не умеет пользоваться вики сквида
http://www.opennet.me/openforum/vsluhforumID3/85901.html#28


зыж
и не путай транспарент-прокси с синглсигнон (sso).
это разные вещи, хоть и там, и там пароли вводятся один раз и выглядит одинаково, но транспарент-прокси всегда по ip. т.к. его принцип - перехватывать пакеты и перебрасывать их на 3180 прокси.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

31. "Релиз Samba 3.6.7"  +/
Сообщение от ананим on 08-Авг-12, 10:19 
сори - 3128 конечно же
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

39. "Релиз Samba 3.6.7"  +/
Сообщение от ALex_hha (ok) on 08-Авг-12, 12:13 
>хоть и там, и там пароли вводятся один раз и выглядит одинаково

с какого перепуга? Transparent на то и прозрачный, что пользователь ничего не вводит, для него аутентификация проходит прозрачно (проводник сам отправляет логин/пароль залогиненого пользователя)

> http://www.mikealeonetti.com/wiki/index.php/Squid_LDAP_trans...
> Squid LDAP transparent proxy authentication script

полный бред, а таблицу с соответствием ip - пользователь при 2k пользователей кто будет заполнять? А в системе еще и dhcp, кто потом будет ее обновлять?

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

40. "Релиз Samba 3.6.7"  +/
Сообщение от ананим on 08-Авг-12, 12:40 
> с какого перепуга? Transparent на то и прозрачный, что пользователь ничего не вводит

логично.
просто у меня требуется авторизация для доступа вообще к сетевым ресурсам.
поэтому так и написал.
сори если ввёл в заблуждение.
> полный бред, а таблицу с соответствием ip - пользователь при 2k пользователей кто будет заполнять? А в системе еще и dhcp, кто потом будет ее обновлять?

а дхцп тоже держит базу в лдапе.
дальше продолжать?
про этот скрипт - я лично им не пользуюсь. привёл только для тех, кто упомянул прозрачный прокси (видимо при этом путая его с ссо)

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

43. "Релиз Samba 3.6.7"  +/
Сообщение от filosofem (ok) on 08-Авг-12, 13:07 
>привёл только для тех, кто упомянул прозрачный прокси (видимо при этом путая его с ссо)

Для себя то есть =)

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

46. "Релиз Samba 3.6.7"  +/
Сообщение от ананим on 08-Авг-12, 13:20 
не батенька, для тебя.
а ты так удивился появлению ip в вопросе прозрачного проксирования, что даже мне за тебя стыдно стало! :D
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

41. "Релиз Samba 3.6.7"  +/
Сообщение от ананим on 08-Авг-12, 13:01 
зыж
> > http://www.mikealeonetti.com/wiki/index.php/Squid_LDAP_trans... > Squid LDAP transparent proxy authentication script
>полный бред, а таблицу с соответствием ip - пользователь при 2k пользователей кто будет заполнять? А в системе еще и dhcp, кто потом будет ее обновлять?

и кстати просмотрел скрипты.
нифига не бред.
они получают ip от броузера при логине пользователя, так что какой именно там ip им похрену. как похрену статический он или динамический.
судя по всему при смене ip выведет опять страничку с авторизацией. (это ж не ссо, а прозрачное прокирование с прикрученной аутентификацией).
так что интересное решение. для мелких контор (где цербер наф ни нужен) очень даже подойдёт.
ззыж
а ведь сюда и билеты с кинит прикрутить можно... во как.
надо попробовать, прозрачный прокси с ссо - мне бы такое пригодилось точно.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

44. "Релиз Samba 3.6.7"  +/
Сообщение от filosofem (ok) on 08-Авг-12, 13:13 
гогно, а не решение. Полурешение для публичных точек доступа. Чтобы нормально работало там еще с костылей придется добавить для DHCP, биллингов и пр. В конторах это не нужно.
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

47. "Релиз Samba 3.6.7"  +/
Сообщение от ананим on 08-Авг-12, 13:30 
тебе (так и хочется написать - тормоз) написали, что пох на дхцп.
ip берётся из броузера.
(man http.
смотреть хиадер и что браузер отдаёт веб-серверу/прокси.)
далее юзер вводит в форму (html-форму) логин и пароль (если в базе его ещё нет, то эта форма ему выводится), всё это (включая ip, броузер и тд) заносится в субд, он авторизуется и получает доступ в инет.

если на этапе помещения в базу (а может этот этап убрать вообще или помещать это всё в лдап) прикрутить ещё и авторизацию через цербер, то вот он ссо.

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

50. "Релиз Samba 3.6.7"  +/
Сообщение от filosofem (ok) on 08-Авг-12, 13:41 
Теоретик ватаке =))
Откуда оно ни берется, Сквид авторизирует по IP, а не через LDAP.
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

53. "Релиз Samba 3.6.7"  +/
Сообщение от ананим on 08-Авг-12, 14:00 
сквид авторизует через хелпер, чудик.
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

57. "Релиз Samba 3.6.7"  +/
Сообщение от filosofem (ok) on 08-Авг-12, 14:30 
А в хелпере... тадамммм: $query = qq/SELECT * FROM addresses WHERE `ip`="$ip_address";/;
решил хамством прикрыть свое невежество, гражданин сельпошник? =)
Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

59. "Релиз Samba 3.6.7"  +/
Сообщение от ананим on 08-Авг-12, 14:40 
угу, селект периписать слабо?
или заменить на ldapsearch? или на цербер-клиент?
специалист!!!

>> решил хамством прикрыть свое невежество, гражданин сельпошник? =)
> сквид авторизует через хелпер, чудик.

и где же тут хамство, гражданин механизатор? :D

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

60. "Релиз Samba 3.6.7"  +/
Сообщение от filosofem (ok) on 08-Авг-12, 15:00 
>угу, селект периписать слабо?
>или заменить на ldapsearch? или на цербер-клиент?

Писать и искать IP в базе LDAP вместо мускуля конечно можно(хоть и чудаковато), но от этого авторизация по IP  не перестанет быт авторизацией по IP.

>на цербер-клиент?

Шито???...

Ага, теперь ясно, что вам не ясно. Вот эту строчку читай:
external_acl_type time_squid_auth ttl=5 %SRC /usr/local/bin/squidauth
И скорее гугли что же она означает. =)

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

62. "Релиз Samba 3.6.7"  +/
Сообщение от ананим on 08-Авг-12, 15:14 

нука скорее отвечай как клиент цербера работает?


зыж
> Писать и искать IP в базе LDAP вместо мускуля конечно можно(хоть и чудаковато), но от этого авторизация по IP не перестанет быт авторизацией по IP.

ты так и не въехал в прозрачный прокси, о котором эта ветка.
пичалька :/
повторяю - прозрачный прокси ВСЕГДА по ip.
вопрос только в том как часто браузер будет тебе выдавать приглашение ввести логин/пароль.
а если ты уже вошёл по ссо (как любой клиент домена), то вообще не будет выдавать, а сразу пускать.

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

64. "Релиз Samba 3.6.7"  +/
Сообщение от filosofem (ok) on 08-Авг-12, 15:25 
Ты изначально спутал прозрачный прокси с прозрачной аутентификацией, а так же авторизацию с аутентификацией и пытаешься исправиться, изображая как будто не ты, а другие этого не понимают.

>повторяю - прозрачный прокси ВСЕГДА по ip.

Да, теперь объясняй как же ты собирался для авторизации по IP использовать некий "цербер-клиент" в хелпере сквида. Кстати при том, что "цербер" вообще в принципе по природе своей _авторизацией_ не занимается.

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

67. "Релиз Samba 3.6.7"  +/
Сообщение от ананим on 08-Авг-12, 21:12 
врун и лжец.
вот начало ветки - http://www.opennet.me/openforum/vsluhforumID3/85901.html#15
а вот твой слив - http://www.opennet.me/openforum/vsluhforumID3/85901.html#21
> А если теперь почитать по ссылке, внезапно окажется, что там в Сквиде авторизация по IP.

вау!!! дебилу понятно что по ip. это же транспарент прокси!. :D
правда ещё и хелпер есть и cgi-скрипт для авторизации по логину. :D
> Да, теперь объясняй как же ты собирался для авторизации по IP использовать некий "цербер-клиент" в хелпере сквида.

кредентшионал берутся из веб-формы (см. cgi-скрипт выше), либо из куки с сессионайди при повторном запросе (который произойдёт в случае если браузер закрыли и потом открыли).
далее по ним сопоставляю принципала.
клиент, вызванный из сквид-хелпера, использует их для проверки (клист. там же и даты валидности). если всё верно и тикеты есть, то повторной авторизации не будет. (если нет, то кинит с паролем).
элементарно ватсон. выглядеть будет примерно так:

$ klist /tmp/tupjy_filosof_ip.keytab
klist: No credentials cache found (ticket cache FILE:/tmp/tupjy_filosof_ip.keytab)

$ kinit -t /tmp/tupjy_filosof_ip.keytab
tupjy_filosof Password for tupjy_filosof@durdom:<tupjy_passwd_4_tupjy_filosof>

$ klist /tmp/tupjy_filosof_ip.keytab
Ticket cache: FILE:/tmp/tupjy_filosof_ip.keytab Default principal: tupjy_filosof@DURDOM

Valid starting Expires Service principal 08/08/12 20:57:55 08/09/12 20:57:55 krbtgt/DURDOM@DURDOM

зыж
для перца с твоими амбициями ты ну слишком тупой.

Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

68. "Релиз Samba 3.6.7"  +/
Сообщение от filosofem (ok) on 08-Авг-12, 22:19 
Ты так ничего и не понял и продолжаешь меня радовать своим свирепым гуглением и фантазированием. Ну и на том спасибо. =)

>вот начало ветки

Просто все кроме тебя поняли из контекста, что речь не про прозрачный прокси, а про авторизацию, а ты решил блеснуть своими несуществующими познаниями и приплел прозрачное проксирование, потому что про прозрачный прокси что-то где-то читал, а про прозрачную авторизацию (оно же SSO) услышал впервые.

>клиент, вызванный из сквид-хелпера, использует их для проверки (клист. там же и даты валидности). если всё верно и тикеты есть

Как занимательно. Строчку
external_acl_type time_squid_auth ttl=5 %SRC /usr/local/bin/squidauth
Ты так и не понял. Поясняю: хелпер знает о клиенте только IP. То что в базе соответствует IP ничего не говорит о конкретно подключившемся клиенте.
Очевидный пример: 50 пользователей работают на терминальном сервере, один из них залогинился через вэб форму и в базе теперь есть его креденшлы и IP. Сразу после этого клиент с IP терминального сервера лезет в инет через проксю. Запущенный проксей хелпер получает в качестве параметра этот IP. Задача написать хелпер, который аутентифицирует клиента. Гыыыы. Удачного гуглния!


>kinit -t /tmp/tupjy_filosof_ip.keytab

Бугога. Эта команда не сработает. Сказать почему? =)))
Потому что кто-то нагуглил не тот ман. =)
Продолжай же. Жду новых лулзов.

Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

71. "Релиз Samba 3.6.7"  +/
Сообщение от ананим on 08-Авг-12, 23:49 
ты безнадёжен.
любое желание делится своими наработками отпадает встретившись с таким воинсвующим невежеством.
Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

72. "Релиз Samba 3.6.7"  +/
Сообщение от filosofem (ok) on 09-Авг-12, 00:31 
>любое желание делится своими наработками отпадает встретившись с таким воинсвующим невежеством.

желание делится наработками и отпадает. =))) Гыыы, держите меня семеро.

Q.E.D.
Сельпошник с Инетом и гуглем остается тем же безграмотным сельпошником.

Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

74. "Релиз Samba 3.6.7"  +/
Сообщение от ананим on 09-Авг-12, 05:21 
ну чё сказать то такому ган дону...
топой как пробка. не знает ничего про ссо. трансперент прокси только от меня узнал как работает. и ещё что-то вякает.
козёл короче.
Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

75. "Релиз Samba 3.6.7"  +/
Сообщение от filosofem (ok) on 09-Авг-12, 08:26 
=)
Не люблю умственно отсталых и поэтому приятно вызывать у них такую попоболь =)
Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру