The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Аутентификация пользователей squid через доменные аккаунты Windows

27.02.2005 22:23

Misha Volodko описал как можно аутентифицировать пользователей в squid на основе доменных аккаунтов.

  1. Главная ссылка к новости (http://www.opennet.ru/base/net...)
Лицензия: CC-BY
Тип: яз. русский / Практикум
Короткая ссылка: https://opennet.ru/5122-freebsd
Ключевые слова: freebsd, squid, auth, samba, kerberos
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (18) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, fc (??), 00:49, 28/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да сколько же можно???
     
  • 1.2, asciiz (??), 00:52, 28/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не нравится, не читай
     
  • 1.3, tadmin (??), 02:13, 28/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    если домен на самбе поднят?
    Корректно работающая связка samba 3 + ldap backend не хочет отдавать имена через winbindd
     
  • 1.4, Vlad (??), 08:46, 28/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Домен выбран неудачный :( Как это пива нет? А в целом нормальная статья.
     
  • 1.5, ds_shadof (?), 09:27, 28/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    tadmin, ну и что? У меня тоже winbindd в такой связке ничего не показывает. На суть описанного это не влияет.
     
     
  • 2.9, tadmin (??), 14:50, 28/02/2005 [^] [^^] [^^^] [ответить]  
  • +/
    ntlm_auth не может брать учетные записи прямо из ldap, ему нужен работающий winbindd, которому, в свою очередь, нужно установленные trust relationship с контроллером домена.

    Если у тебя работает в локальной связке, то не мог бы ты показать:
    содержимое /etc/nsswithc.conf
    #wbinfo -t
    #wbinfo -u

     
     
  • 3.16, ds_shadof (?), 15:10, 02/03/2005 [^] [^^] [^^^] [ответить]  
  • +/
    [root@forlan bin]# ./wbinfo -t                  
    checking the trust secret via RPC calls succeeded
    [root@forlan bin]# ./wbinfo -u                  
    Error looking up domain users
    Но падла авторизирует :)
    [root@forlan bin]# ./wbinfo -a ds_shadof%pass_here
    plaintext password authentication succeeded        
    challenge/response password authentication succeeded                    
    Кусочек который тебя интересует от nsswitch.conf
    passwd:     files ldap
    shadow:     files ldap
    group:      files ldap
    Так же предвижу вопроc о содержимом  ldap.conf
    host 127.0.0.1                              
    base dc=liin,dc=org                        
    binddn cn=Manager,dc=liin,dc=org            
    bindpw parol'_tut                            
    #rootbinddn cn=Manager,dc=liin,dc=org      
                                                
    pam_password exop                          
                                                
    nss_base_passwd ou=people,dc=liin,dc=org?one
    nss_base_shadow ou=people,dc=liin,dc=org?one
    nss_base_group ou=groups,dc=liin,dc=org?one
     

  • 1.6, toor99 (ok), 09:53, 28/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хорошая статья, спасибо!
    А домен действительно выбран неудачный :)  Тем более, что домен действительно существует - это вполне такой себе серьёзный хостинг-провайдер. См. http://www.piva.net/ :)
     
  • 1.7, Nikola (??), 09:56, 28/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ># Да сколько же можно???
    Да столько сколько нужно, тебе парень написАли о том как использовать авторизацию Windows и Active Directory. Т.е. фактически показано как увязать FreeBSD и AD.
     
  • 1.8, Аноним (8), 11:40, 28/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А может проще перетащить всех доменных пользователей в NIS и забить на весь этот бардак.
    Что ни прога - тут же учим ее авторизоваться в АД. Самостоятельно.
     
  • 1.10, GR (??), 22:56, 28/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    NIS - хуже. Через роутеры без бубна не бегает, секурити - грустно молчу, итд.итп ...
    Хотя и предложенное - не мед :(
     
     
  • 2.11, Аноним (8), 10:28, 01/03/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Как это через роутеры не бегает???? Оно же 111/tcp 111/udp.
    Какая секурити??? Та что хэши паролей по сети скачут? Если да, то я ведь не говорил, что и авторизоваться тоже через NIS. Авторизоваться можно как угодно.
    Собираем к примеру, файл паролей /var/yp/passwd_NIS из сточек вида:
    user1:x:1001:2001:user1:/no_home:/no_shell
    Аналогично /var/yp/group_NIS

    Настраиваем pam куда угодно (winbind, smb_auth, kerberos, etc...)
    И все. Пользователи - доменные, группы и членство в них - доменные, авторизация - доменная.

    Что полохого?

     
     
  • 3.12, Аноним (8), 10:35, 01/03/2005 [^] [^^] [^^^] [ответить]  
  • +/
    PS. при этом все это добро можно сколь угодно раздавать на другие юниксы, uid-ы и gid-ы то одинаковые.
     
  • 3.14, demimurych (?), 13:15, 01/03/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Внимательно гугляем на тему NIS и секьюрити и понимаем что NIS это не просто дыра а отрытые двери с плакатом добро пожаловать.
     
     
  • 4.15, Аноним (8), 14:31, 01/03/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Может быть почтеннейший не сочтет за труд ткнуть носом в конкретные проблемы?
     

  • 1.13, arruah (??), 12:55, 01/03/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А возможно ли это внедрить сразу через опенлдап?
    К примеру у меня учетки хранятся в openldap. Самба привязана к лдап. Так вот если делать  Аутентификация пользователей squid через доменные аккаунты Windows ;) то получает не нужный посредник Samba. Или без Самбы все таки не обойтись ?
     
  • 1.17, Finch (??), 11:36, 09/03/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Доброе время суток, делал как написано Всё нормально работало, IE не спрашивал,... большой текст свёрнут, показать
     
     
  • 2.19, STranger_ (?), 16:58, 24/05/2005 [^] [^^] [^^^] [ответить]  
  • +/
    В настройках зоны в DNS поставь b check-names ignore b с ним нормально обраб... большой текст свёрнут, показать
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру