Squid a bezpecna autentikace klienta

Michal Dobes dobes na tes.eu
Úterý Březen 18 10:13:28 CET 2008


Petr Simek napsal(a):
> Lze to v soucasne dobe udelat nejak bezpecne aby to jmeno a heslo 
> nechodilo v otevrenem tvaru a zaroven aby to nevyzadovalo nejake zvlastni
> upravy na klientu ? Klient klasicky Firefox nebo MSIE. Chtel bych
> aby tam uzivatele davali svoje jmeno a heslo co maji na serveru kde
> ten squid pobezi.

Squid vyjma BASIC metody (kdy se to jméno/heslo přenáší jako text)
i NTLM, DIGEST a NEGOTIATE (GSSAPI). Ty další už přenáší v nečitelné
formě, ale nicméně minimálně jde NTLM třeba rozbít. IE i FireFox
minimálně NTLM umí. Pokud na tom stroji máte třeba sambu nebo někde
nějaký windows server, který drží seznam lidí, tak pomocí ntlm se dá
na to odkazovat a squid to bude ověřovat pomocí něj.
Digest jsem nezkoušel, ale většina prohlížečů by ho měla také umět.
Negotiate Firefox umí, IE až od verze 7, takže záleží na struktuře
klientů, jeho podpora ve squidu je trošku experimentální.
Doporučuji mrknout sem:
http://wiki.squid-cache.org/SquidFaq/ProxyAuthentication

M.



Další informace o konferenci Linux