Squid a bezpecna autentikace klienta

[Michal Dobes]

Petr Simek napsal(a):
> Diky za odkaz. Dival jsme se na to - popisuji tam pouziti NTLM_AUTH
> proti winbindd demonu . Pisou tam ze je treba pouzit v smb.conf
> "security = domain". Ja ted mam "security = user" a predpokladam ze
> kdyz to prepnu na domain tak to po mne bude chtit nejaky NT server
> kde se ty hesla budou overovat. Ted je mam v /etc/samba/passdb.tdb .
> 
> Neni to mozne nejak udelat i proti lokalni user password databazi ?
> Myslim ze bych akceptoval i extra soubor s ucty a hesly pro squida
> jen aby se ty auth udaje prenasely sifrovane..

Před časem jsem potřeboval něco podobného, kdy jsem potřeboval
pomocí ntml_auth jít proti lokální sambě místo nějakému vzdálenému
stroji. Řešil jsem to pro radius, ale pro squid by to mohlo být snad
stejně použitelné.
V klidu nechat v té sambě:
    security = user
drze přidat něco:
    idmap uid = 16777216-33554431
    idmap gid = 16777216-33554431
    template shell = /bin/false
    winbind use default domain = no
    password server = <jmeno sebe sama>

pustit winbind démon, připojit ho k doméně sám na sebe (net join),
otestovat, že "wbinfo -t" je spokojen (wbinfo -u, -g, ... vrací
nesmysly) a pak i testnout, že projde "ntlm_auth --username=clovek"
a pokud jo, tak spokojeně postupovat dle toho squidího návodu dál.

Nějaké vedlejší efekty toho puštěného winbindu a připojeného sám na
sebe jsem nepozoroval.

Pokud bych chtěl oddělenou databázi jmen a hesel pro squid, pak použít
třeba toho digestu. Použití třeba popsáno zde:
http://patchlog.com/security/squid-digest-authentication/

Stejně, pokud zavedu NTLM, budu muset pro některé aplikace řešit
vyjímky, protože se s NTLM nesnáší nebo jej nedělají dobře (z hlavy
napadá java, avg update, microsoft update, nasa world wind). Viz třeba:
http://usenet.jyxo.cz/cz.comp.linux/0512/squid-s-ntlm-kontra-sun-jvm-a-mojebanka-cz.html

M.