Неплохо. Усложним задачу. А если надо не всех юзеров домена выпускать, а например только юзеров входящих в группу http_allow, например )) это решается с помощью ACL SQUID или нет?

Классно!.

Насколько я понял, это все справедливо только если домен win2k работает в смешанном режиме, а не в основном.

A prozrachnyi Proxy s autorisaziei mozhno Zdelat? U menja ne poluchilos. Ne hochet bedalaga tak rabotat, a zhal! Znaet kto reshenie etoi Problemy. Nado Prozrachnyi Proxy s autorisatiei, kotoryi potom eshe i mozmozhnyu autorisatiju s servera propuskat budet?

в конфиге сквида же сказано , правда англицким языком НО СКАЗАНО !!! : что "авторизация не работает при прозрачном кешировани , мол извените"

класс!
извините, но где почитать про:
все клиенты w2k, отдельный компьютер с Samba PDC, и отдельный прокси-сервер. Как мне настроить авториизацию в прокси пот авторизации в самбе?
с smb_auth непонятки как с физически разделёнными серверами поступать :(

Cпасибо, Besar

Действительно хорошая статья. У меня тоже схожая проблема с авторизацией прозрачной прокси. Сделал прогу для Интернет-клуба (наш клиент), которая нарезает трафик (forward + transparent proxy) по ip-адресу. Хочется приспособить ее к нуждам конторы, но нужно чтобы трафик считался (и соот-но нарезался) не на основе ip-адреса, а на основе доменной авторизации, поскольку у нас юзера не закреплены за конкретной машиной. Пока никаких мыслей нет, кроме того что надо писать доп. приблуду под Винды, а это как нежелательно.

Это все здорово, но у меня, к примеру, нет виндовс-домена. Все пользователи регистрирубтся на нетваревском сервере. Вот интересно было бы вытаскивать пароль из самой винды- ведь при входе он где-то хранится в памяти и подсовывать его когда сквид запрашивает авторизацию.... Можно так сделать или это бред?

Можно так сделать или это бред?

можно! поставь последний сквид и почитай проавторизацию через NTLM

to: anonymous (*) (2002-10-01 10:00:43.684)

Спасибо =) У меня как раз вчера назрела такая проблема- увеличили канал и пришлось думать как ужимать терминальных клиентов. Все очень кстати- бывает и на ЛОР не только флейм, но и полезные вещи =))

я нашел фак на русском про это самое дело, кому надо - http://squid.opennet.ru/FAQ/my/FAQrus-23.html

Все-таки без создания домена никак не провести аутентификацию =((( Вот у меня 98, 2000, 95, NT4 в сети... Как без построения домена аутентифицироваться на Сквиде не вводя пароль в окошечке, а использовать пароль входа в виндовс??????

Кто ковырялся в кишках, при этой аутентификации логин/пароль идут открытым текстом по сети, или все же нет? В варианте с basic - просто plain text, и делать в своей сети такую дырищу мне не охота.

А кто нить настроил squid_ldap_group из 2.5 ? Никак не могу нарисовать ей правильный фильтр ... Она либо пользователя видит, либо группу, а чтоб в пользовательской записи memberOf разбирала, это как ?

Класс!!! Интресно, возможно ли как нибудь авторизовывать только пользователей ринадлежащих к одной группе, httpusers например? И возможно ли осуществить при помощи сквида "горячий" обсчет траффика? (например, скачал юзер 500Мб (не больше, не меньше) а потом ему "акссес денай" вышел)

Автор похоже не отклиннулся, насскажу я.

1. Авторизация при прозрачном кэшировании НЕВОЗМОЖНА! Читайте FAQ. Не поймете - читайте еще раз. 2. Авторизация без домена и без ввода пароля в IE так же не возможна. Как squid будет проверять пароль юзверя? В случае наличия домена это происходит через сервер. А если домена нет то как? По запаху? 3. Это чё за группа юзверей такая http_allow ? А ну марш читать FAQ. По разделу ACL елозить носом раз 15. Не поймешь - значит не судьба... 4. Про безопасность: NTLM действительно является не безопасной штукой. По крайней мере версия 1.0 В WinNT 4.0 с SP3 и выше и Win2000 используется NTLM версии 2.0 В Самбе он так же используется по умолчанию (с версии 2.2.0 кажись). plain-text используется когда клиент (браузер) не умеет авторизоваться по NTLM. На сегодняшний день это умеет делать только IE 4.X и выше. Возможно еще Опера, но я в сумнении. Пароль при plain-text авторизации все же не передается в чистом виде. Применяется кодирование base64. Так что школьники-кулхацкеры вероятно отдохнут. :)

Лирическое отступление по поводу паролей. Более-менее надежной является аутентификация через Kerberos, но дядя Билл сделал в W2K свою реализацию Kerberos и таперича его низя использовать из других (отличных от Windows) систем. В связи с этим Самба доселе не может подружиться с W2K доменом в режиме native.

Еще отсебятины, т.к. автор не сказал великую вещь: Аутентификация NTLM не работает в случае если кэши работают в режиме "ёлки". Авторизацию NTLM over HTTP не работает через иерархию прокси. Это ФАКТ! Почему? У дяди Билла спросите.

За сим откланиваюсь.

and3008

and3008 вопрос : есть группа в NT WWW..если она есть у юзвера он ходит в инет , если нет то не ходит, ( аля MS PROXY ) возможна такая байда с samba.

чел спросил >Это чё за группа юзверей такая http_allow ? что тебе тут не понятно ? я сразу понял...объясняю это тоже самое что я выше написал только со стороны linux ))

creat

люди я бы тоже хотел уточнить - когда юзеру предложат ввести пароль (в (статье написано что пользователю нетшкафа предолжит ввести пароль) - дак вот этот пароль пойдет в открытом виде или как ?
спасибо.

http_allow - это не группа, а параметр, разрешающий прохождение трафика. Группа правил создаются через ACL. Те, кто сразу понимают что http_allow - это группа вероятно дальше http_allow all не ходили. Но начинают вопрошать как порезать трафик, да как ограничить юзверей по времени и/или объему трафика и т.п.

Давать доступ на уровне групп наверно возможно. Я не глядел в сырцы wb_auth. Наверняка там надо пару параметров поправить и все будет.

Нетшкаф отсылать пароль будет в открытом виде, слегка прикрыв его BASE64. Ну не умеет Нетшкаф работать c NTLM. Не умеет. Увы и ах.

2 anonymous (*) (2002-10-02 11:18:02.383)
пойдет как base64-закодированный
(почти тоже самое что и в открытом виде)

2 and3008: Самба 3.0 поддерживает работу с ADS и использует Kerberos, в том числе и расширения от MS (type 23 encoding, cat-kerb-chg-passwd). Единственная неподдерживаемая, но несущественная в данном случае вещь -- dnsext-gss-tsig.

Самба 3.0 замечательно работает в нативном режиме с W2K, естественно, как клиентская машина. Для реализации серверной части требуется серьезная дополнительная работа, которая на сегодня выполнена приблизительно процентов на 30%.

/AB

Да, MIT Kerberos при этом надо брать из CVS, поскольку type 23 encoding была добавлена летом, а с тех пор релиза еще не было.

Для авторизации групп - --enable-external-acl-helpers="wb_group" далее идем в $src/helpers/external_acl/winbind_group и до усрачки читаем readme. Когда начитаемся - пишем три строки в конфге и тащимся. ЗЫ.Есть еще wbinfo_group тамже - враппер на перле.

Сорри, не "wb_group" а "winbind_group"

Samba версии 3.0 находится в стадии альфа-тестирования. Так что ориентироваться на сырые (пока сырые) решения я бы не рекомендовал.

Я в курсе про титанические усилия Samba TEAM. Хлопцам надо море пива ставить за их работу. Но, по всем понятным причинам, работа идет медленно. Очень медленно. Сдается мне юзабельная Самба появится когда Билловы ребятки слепят Longhorn. Очень хочу ошибится в своих прогнозах, но пока статистика такая: как только Микрософт прекращает поддержку какой-либо системы, выходит весьма и весьма юзабельная версия Самбы, которая чудно работает с этими самыми позабытыми ОС. Может так и должно быть? Не хотелось бы...

Кстати, может кто знает альтернативные кросс-платформенные средства аутентификации при доступе в Инет? Не одним же NTLM живы юзвери. :)

and3008

Очень полезная статья!

Запустил у себя без каких-либо траблем. Free4.5 + Samba 2.2.5 + Squid 2.5 Stable

Дело в том что такое решение не совсем гибкое .

1. Я не могк ограничивать логины которые могут и которые не могут логиниться в домен. 2. В любом случае мне требовалось чтобы пароль вводился неважно в домене или нет пользователь при запуске IE или Netscape 3. Это механизм не работает в Opera/Netscape 4. Пароли фактически передаются в plain/text 5. Нужно устанавливать Samb-у - до статочно громоздкое решение 6. Надо авторизовать Samba в домене

Все это было уже пройдено и я остановился на msntauth ибо рещает вышеперчисленные проблемы и весит как модуль всего 25Kb

"Практически всегда для Web и FTP трафика используют кеширующий сервер SQUID, который также является стандартом"

что за чушь. Уж сколько лет занимаюсь интернет-серверами и как-то обходился без чудища по имени сквид. А тут говорят стандарт... Хотя если виндоус - "стандарт", то тогда да, наверное в этом есть смысл ;)
Полный набор калек - море виндов и сквид до кучи.

to: anonymous (*) (2002-10-04 14:04:22.08)

Если ты когда нибудь покупал карточи интернет провайдера, то наверное замечал там слово "proxy". Оно как, правило, и есть сквид =).

"то наверное замечал там слово "proxy""

Замечал только у занюханных и хитровы^&*ных провайдеров. Вот сейчас беру и смотрю на карточку MTU, Ну нету там тагого слова!
А к тому же речь шла не про провайдеров, а типа про (цитирую автора):
"сандарта предприятия для организации Интернет-сервисов" ;)

Млин, а на одном серваке можно все это замутить(PDC(samba)+Squid)? Что-то никак не хочет срастаться....