URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 4000
[ Назад ]

Исходное сообщение
"NCSA без пароля - проблемы"
Отправлено Коматозник , 14-Апр-06 13:45

Стоит SQUID, работает по NTLM и NCSA. Встала задача программеров, чтобы софтина(не понимающая доменной авторизации-NTLM) с компа через прокси лезла на определенный сайт в инетрнете. При этом, главное условие, чтобы логин был без пароля. Я все настроил, но пускает только с паролем, без пароля NCSA не пускает. Можно ли как-то решить данную проблему? Если нет, киньте в меня плиз доком, где написано что NCSA этого(пускать без пароля) сделать не может.
Спасибо.

Содержание

NCSA без пароля - проблемы,Junior, 23:43 , 15-Апр-06
- NCSA без пароля - проблемы,Коматозник, 12:15 , 19-Апр-06
  - NCSA без пароля - проблемы,Junior, 07:22 , 20-Апр-06
    - NCSA без пароля - проблемы,Коматозник, 14:38 , 21-Апр-06
      - NCSA без пароля - проблемы,Junior, 16:01 , 21-Апр-06
  - NCSA без пароля - проблемы,Sloboda, 15:13 , 20-Апр-06
    - NCSA без пароля - проблемы,Коматозник, 14:41 , 21-Апр-06

Сообщения в этом обсуждении

"NCSA без пароля - проблемы"
Отправлено Junior , 15-Апр-06 23:43

>Стоит SQUID, работает по NTLM и NCSA. Встала задача программеров, чтобы софтина(не
>понимающая доменной авторизации-NTLM) с компа через прокси лезла на определенный сайт
>в инетрнете. При этом, главное условие, чтобы логин был без пароля.
>Я все настроил, но пускает только с паролем, без пароля NCSA
>не пускает. Можно ли как-то решить данную проблему? Если нет, киньте
>в меня плиз доком, где написано что NCSA этого(пускать без пароля)
>сделать не может.
>Спасибо.
Не очень понятна задача. Авторизация без пароля? Можно. Логин без пароля? Смысл?
Может просто на определённый сайт пускать без всякой авторизации, а на остальный по логину-паролю?
Например так (скажем, что параметры авторизации уже заданы)
acl user1_pass proxy_auth programmer
acl user1 src 192.168.1.1/255.255.255.255
acl all src 0.0.0.0/0.0.0.0
acl access_site dstdomain site.ru
http_access allow user1 access_site
http_acces allow all user1 user1_pass
http_access deny all
Если я правильно понял задачу, то это именно так и делается. На сайт в домене site.ru будет не спрашивать пароль, а на остальные будет.

"NCSA без пароля - проблемы"
Отправлено Коматозник , 19-Апр-06 12:15

>Не очень понятна задача. Авторизация без пароля? Можно. Логин без пароля? Смысл?
>
Уточняю.
Имеется сетка 192.168.100.0 255.255.255.0 в домене DOMAINORG. В ней стоит прокси-сервер на SQUID - 192.168.100.5
Пользователи выходят в инетрнет в связке SQUID+SAMBA по NTLM. Есть еще хелперы для базовой авторизации. Привожу конфиг:
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 50
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 hours
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 50
auth_param basic realm DOMAINORG
auth_param basic credentialsttl 2 hours
Т.е. авторизации на прокси как таковой нет.
Теперь задача! Не заводить пользователя в домене, а завести логин с пустым паролем на прокси-сервере. Я использовал NCSA, т.е. добавил:
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd
Перед этим естественно сгенерировав файл passwd и добавив туда пользователя.
Но вот в чем беда. Когда я пользователя создаю вообще без пароля, его SQUID не пускает НИКУДА. А вот хоть какой-нибудь пароль ему даю, то пользователь выходит на ура. Следовательно вопрос - я что-то не так и не там сделал или NCSA так и сделана, что без пароля не позволяет выйти через SQUID?
Это необходимо смоделировать для нужд наших программистов. Т.е. вопрос ДЛЯ ЧЕГО ЭТО ВСЕ не принимается!
Да, и еще. Если я NCSA ставлю последней из всех трех авторизаций, то HTTPS (ICQ и все такое) не работает. Если я ставлю в самом начале, то у всех в сети вылетает окно авторизации (между NTLM и Basic не вставлял, не пробовал). Это победить можно?

"NCSA без пароля - проблемы"
Отправлено Junior , 20-Апр-06 07:22

>>Не очень понятна задача. Авторизация без пароля? Можно. Логин без пароля? Смысл?
>>
>Уточняю.
>Имеется сетка 192.168.100.0 255.255.255.0 в домене DOMAINORG. В ней стоит прокси-сервер на
>SQUID - 192.168.100.5
>Пользователи выходят в инетрнет в связке SQUID+SAMBA по NTLM. Есть еще хелперы
>для базовой авторизации. Привожу конфиг:
>auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
>auth_param ntlm children 50
>auth_param ntlm max_challenge_reuses 0
>auth_param ntlm max_challenge_lifetime 2 hours
>auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
>auth_param basic children 50
>auth_param basic realm DOMAINORG
>auth_param basic credentialsttl 2 hours
>Т.е. авторизации на прокси как таковой нет.
>Теперь задача! Не заводить пользователя в домене, а завести логин с пустым
>паролем на прокси-сервере. Я использовал NCSA, т.е. добавил:
>auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd
>Перед этим естественно сгенерировав файл passwd и добавив туда пользователя.
>Но вот в чем беда. Когда я пользователя создаю вообще без пароля,
>его SQUID не пускает НИКУДА. А вот хоть какой-нибудь пароль ему
>даю, то пользователь выходит на ура. Следовательно вопрос - я что-то
>не так и не там сделал или NCSA так и сделана,
>что без пароля не позволяет выйти через SQUID?
>Это необходимо смоделировать для нужд наших программистов. Т.е. вопрос ДЛЯ ЧЕГО ЭТО
>ВСЕ не принимается!
>Да, и еще. Если я NCSA ставлю последней из всех трех авторизаций,
>то HTTPS (ICQ и все такое) не работает. Если я ставлю
>в самом начале, то у всех в сети вылетает окно авторизации
>(между NTLM и Basic не вставлял, не пробовал). Это победить можно?
>
"Нет таких проблем, которые мы не могли бы для себя создать... чтобы потом их героически решать".
"вопрос ДЛЯ ЧЕГО ЭТО ВСЕ не принимается!" - Это ключевой момент. Не обрисованная задача влечёт за собой кучу головной боли. Прежде всего для тебя. Посмотри исходный код ncsa_auth и ты увидишь, что на запрос логина должен прийти ответ о пароле из заявленных источников. Даже пустой, но пароль.
Твоя связка "авторизации" больше на шаманства похожа, жест отчаяния :) Попробуй sasl-авторизацию, не уверен, но может получится. Хотя всё-таки моё убеждение - в твоей ситуации больше подойдёт связка ip+mac+data(time) всё без пароля и логина, но с другой машинки не зайти, только явно поменяв на другой адрес+аппаратный адрес (о чём тут же радостно сообщит arpwatch)

"NCSA без пароля - проблемы"
Отправлено Коматозник , 21-Апр-06 14:38

>"вопрос ДЛЯ ЧЕГО ЭТО ВСЕ не принимается!" - Это ключевой момент. Не
>обрисованная задача влечёт за собой кучу головной боли. Прежде всего для
>тебя. Посмотри исходный код ncsa_auth и ты увидишь, что на запрос
>логина должен прийти ответ о пароле из заявленных источников. Даже пустой,
>но пароль.
>Твоя связка "авторизации" больше на шаманства похожа, жест отчаяния :) Попробуй sasl-авторизацию,
>не уверен, но может получится. Хотя всё-таки моё убеждение - в
>твоей ситуации больше подойдёт связка ip+mac+data(time) всё без пароля и логина,
>но с другой машинки не зайти, только явно поменяв на другой
>адрес+аппаратный адрес (о чём тут же радостно сообщит arpwatch)
Вот как по другому еще объяснить, не понимаю!!!!!!!!
Рассказал, разжевал же - это эксперементальный момент для программеров, здесь ключевой момент не на самой проксе, а как именно отреагирует их программное обеспечение без какой-либо авторизации по пути, на удаленном хосте в интернете! Софт должен сквозняком пройти через прокси, но с обязательным условием аторизации на прокси БЕЗ ПАРОЛЯ!!!

"NCSA без пароля - проблемы"
Отправлено Junior , 21-Апр-06 16:01

>
>>"вопрос ДЛЯ ЧЕГО ЭТО ВСЕ не принимается!" - Это ключевой момент. Не
>>обрисованная задача влечёт за собой кучу головной боли. Прежде всего для
>>тебя. Посмотри исходный код ncsa_auth и ты увидишь, что на запрос
>>логина должен прийти ответ о пароле из заявленных источников. Даже пустой,
>>но пароль.
>>Твоя связка "авторизации" больше на шаманства похожа, жест отчаяния :) Попробуй sasl-авторизацию,
>>не уверен, но может получится. Хотя всё-таки моё убеждение - в
>>твоей ситуации больше подойдёт связка ip+mac+data(time) всё без пароля и логина,
>>но с другой машинки не зайти, только явно поменяв на другой
>>адрес+аппаратный адрес (о чём тут же радостно сообщит arpwatch)
>Вот как по другому еще объяснить, не понимаю!!!!!!!!
>Рассказал, разжевал же - это эксперементальный момент для программеров, здесь ключевой момент
>не на самой проксе, а как именно отреагирует их программное обеспечение
>без какой-либо авторизации по пути, на удаленном хосте в интернете! Софт
>должен сквозняком пройти через прокси, но с обязательным условием аторизации на
>прокси БЕЗ ПАРОЛЯ!!!
Без нервов, юноша. Говорил же, попробуй sasl-авторизацию, там есть возможность использовать pam-авторизацию, в ней можно отключить пароль, насколько я помню.

"NCSA без пароля - проблемы"
Отправлено Sloboda , 20-Апр-06 15:13

>паролем на прокси-сервере. Я использовал NCSA, т.е. добавил:
>auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd
>Перед этим естественно сгенерировав файл passwd и добавив туда пользователя.
>Но вот в чем беда. Когда я пользователя создаю вообще без пароля,
Без пароля создаешь всё-равно через htpasswd? Или вытирараешь после двоеточия в файле?
Всё-таки предложи программистам вместе с логином ещё и пароль не пустой использовать.

"NCSA без пароля - проблемы"
Отправлено Коматозник , 21-Апр-06 14:41

>>паролем на прокси-сервере. Я использовал NCSA, т.е. добавил:
>>auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd
>>Перед этим естественно сгенерировав файл passwd и добавив туда пользователя.
>>Но вот в чем беда. Когда я пользователя создаю вообще без пароля,
>
>Без пароля создаешь всё-равно через htpasswd? Или вытирараешь после двоеточия в файле?
>
>Всё-таки предложи программистам вместе с логином ещё и пароль не пустой использовать.
Конечно без пароля, через htpasswd (просто два раза интер и все).
Файл ковырять нельзя, потому как даже с пустыми паролями htpasswd генерит набор символов.