forum.opennet.ru

Составление сообщения

Исходное сообщение

"Авторизация squid в домене Windows 2003 Server (squid freebsd auth win windows domain)"
Отправлено freddy, 06-Дек-07 11:25

Про ntlm аутентификацию через группы:
1.Пользователи, которых надо пускать в и-нет прописаны в текстовом файле name_userov. Настройки имеют вид:
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
acl squidusers proxy_auth "/путь/name_userov"
Плюс такого подхода: если пользователя нет в файле name_userov, то при доступе к сквиду ему даётся отлуп в виде "Доступ запрещён".
Минус: после добавления пользователя в файл name_userov, необходимо перезапускать сквид.
2. Пользователи, которых надо пускать в и-нет, прописаны в группе ActiveDirectory, которая называется internet_users.
Настройки имеют вид:
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="DOMAIN\\internet_users"
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="DOMAIN\\internet_users"
acl squidusers proxy_auth REQUIRED
Плюс такого подхода: при добавлении пользователя в доменную группу internet_users, пользователю не надо перезаходить в домен (как это бывает необходимо при доступе к Win-ресурсам), нет необходимости перезапускать сквид.
Минус: если пользователя не допускают к и-нету,т.е. его имени нет в доменной группе internet_users, то при доступе к сквиду ему выдаётся окошко аутентификации. У пользователя возникает соблазн узнать чужие имя-пароль, набрать их в окошке, поставить галочку "запомнить", и ходить всегда, даже после перезагрузки ПК, в и-нет за счёт чужого трафика.

Исходное сообщение
"Авторизация squid в домене Windows 2003 Server (squid freebsd auth win windows domain)" Отправлено freddy, 06-Дек-07 11:25
Про ntlm аутентификацию через группы: 1.Пользователи, которых надо пускать в и-нет прописаны в текстовом файле name_userov. Настройки имеют вид: auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic acl squidusers proxy_auth "/путь/name_userov" Плюс такого подхода: если пользователя нет в файле name_userov, то при доступе к сквиду ему даётся отлуп в виде "Доступ запрещён". Минус: после добавления пользователя в файл name_userov, необходимо перезапускать сквид. 2. Пользователи, которых надо пускать в и-нет, прописаны в группе ActiveDirectory, которая называется internet_users. Настройки имеют вид: auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="DOMAIN\\internet_users" auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="DOMAIN\\internet_users" acl squidusers proxy_auth REQUIRED Плюс такого подхода: при добавлении пользователя в доменную группу internet_users, пользователю не надо перезаходить в домен (как это бывает необходимо при доступе к Win-ресурсам), нет необходимости перезапускать сквид. Минус: если пользователя не допускают к и-нету,т.е. его имени нет в доменной группе internet_users, то при доступе к сквиду ему выдаётся окошко аутентификации. У пользователя возникает соблазн узнать чужие имя-пароль, набрать их в окошке, поставить галочку "запомнить", и ходить всегда, даже после перезагрузки ПК, в и-нет за счёт чужого трафика.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> Про ntlm аутентификацию через группы: > 1.Пользователи, которых надо пускать в и-нет прописаны в текстовом файле name_userov. Настройки > имеют вид: > auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp > auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic > acl squidusers proxy_auth "/путь/name_userov" > Плюс такого подхода: если пользователя нет в файле name_userov, то при доступе > к сквиду ему даётся отлуп в виде "Доступ запрещён". > Минус: после добавления пользователя в файл name_userov, необходимо перезапускать сквид. > 2. Пользователи, которых надо пускать в и-нет, прописаны в группе ActiveDirectory, которая > называется internet_users. > Настройки имеют вид: > auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp > --require-membership-of="DOMAIN\\internet_users" > auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic > --require-membership-of="DOMAIN\\internet_users" > acl squidusers proxy_auth REQUIRED > Плюс такого подхода: при добавлении пользователя в доменную группу internet_users, пользователю > не надо перезаходить в домен (как это бывает необходимо при доступе > к Win-ресурсам), нет необходимости перезапускать сквид. > Минус: если пользователя не допускают к и-нету,т.е. его имени нет в доменной > группе internet_users, то при доступе к сквиду ему выдаётся окошко аутентификации. > У пользователя возникает соблазн узнать чужие имя-пароль, набрать их в окошке, > поставить галочку "запомнить", и ходить всегда, даже после перезагрузки ПК, в > и-нет за счёт чужого трафика.
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру