Squid a bezpecna autentikace klienta
Petr Simek
psimek na jcu.cz
Úterý Březen 18 12:07:28 CET 2008
On Tue, 18 Mar 2008, Michal Dobes wrote:
> Squid vyjma BASIC metody (kdy se to jméno/heslo přenáší jako text)
> i NTLM, DIGEST a NEGOTIATE (GSSAPI). Ty další už přenáší v nečitelné
> formě, ale nicméně minimálně jde NTLM třeba rozbít. IE i FireFox
> minimálně NTLM umí. Pokud na tom stroji máte třeba sambu nebo někde
> nějaký windows server, který drží seznam lidí, tak pomocí ntlm se dá
> na to odkazovat a squid to bude ověřovat pomocí něj.
> Digest jsem nezkoušel, ale většina prohlížečů by ho měla také umět.
> Negotiate Firefox umí, IE až od verze 7, takže záleží na struktuře
> klientů, jeho podpora ve squidu je trošku experimentální.
> Doporučuji mrknout sem:
> http://wiki.squid-cache.org/SquidFaq/ProxyAuthentication
Diky za odkaz. Dival jsme se na to - popisuji tam pouziti NTLM_AUTH
proti winbindd demonu . Pisou tam ze je treba pouzit v smb.conf
"security = domain". Ja ted mam "security = user" a predpokladam ze
kdyz to prepnu na domain tak to po mne bude chtit nejaky NT server
kde se ty hesla budou overovat. Ted je mam v /etc/samba/passdb.tdb .
Neni to mozne nejak udelat i proti lokalni user password databazi ?
Myslim ze bych akceptoval i extra soubor s ucty a hesly pro squida
jen aby se ty auth udaje prenasely sifrovane..
> M.
*------------------------------------------------------------------------*
| Petr Simek APS JU |
| psimek na jcu.cz |
*------------------------------------------------------------------------*
Další informace o konferenci Linux