https://www.opennet.ru/openforum/vsluhforumID3/38917.html Aleksey Keda привел пример (http://www.lissyara.su/?id=1375) настройки прокси сервера squid под FreeBSD, с управлением доступом пользователей через Active Directory.<br><br>URL: http://www.lissyara.su/?id=1375<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=12691<br> https://www.opennet.ru/openforum/vsluhforumID3/38917.html#31 Mon, 11 Oct 2010 12:53:37 GMT Люди, подскажите мне плиз...не могу никак понять что в конфиге squid отвечает за авторизацию пользователей в AD.<br><br>У меня FreeBSD 8.1, введена в домен, wbinfo работает.<br><br>Мне нужно что бы пользователь ходил в инет через squid без ввода логина и пароля, чтобы squid цеплял пользователей и группы из AD и сам знал кому можно в инет, кому нет...<br><br>Я уже совсем запутался...может какой-нить самый простой примерчик...<br> https://www.opennet.ru/openforum/vsluhforumID3/38917.html#30 Wed, 14 Nov 2007 11:10:44 GMT &gt;Про сквид не знаю. Я пытался разобраться в их помойке модулей авторизации, <br>&gt;но безрезультатно. В качестве простого кэширующего прокси с single-sign-on могу порекоммендовать <br>&gt;apache. <br><br>Посмотрите на последние релизы squid - там уже все есть.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/38917.html#29 Sat, 10 Nov 2007 10:05:12 GMT &gt;Ахинея редкостная. Кэш должен лежать на ram-диске. И загрузки заоблачной не будет, <br>&gt;и RAID не нужен. <br><br>Ну а если очень хорошо подумать, то даже в такой конфигурации для памяти можно найти лучшее применение, чем ram-диск :)<br> https://www.opennet.ru/openforum/vsluhforumID3/38917.html#28 Thu, 08 Nov 2007 19:11:02 GMT 150 человек, кеш на 7Гб, вполне хватает. 10Мбит канал.<br> https://www.opennet.ru/openforum/vsluhforumID3/38917.html#27 Thu, 08 Nov 2007 15:35:28 GMT &gt;[оверквотинг удален]<br>&gt;&gt;Так что про Kerberos там можно забыть. <br>&gt;&gt;<br>&gt;&gt;Firefox настраивается правкой about:config и добавлением туда : <br>&gt;&gt;network.negotiate-auth.trusted-uris http://,https:// <br>&gt;&gt;network.negotiate-auth.delegation-uris http://,https:// <br>&gt;&gt;Под Вендами это скорее всего вряд ли будет работать (у мозилловцев напряги <br>&gt;&gt;с вендовым sspi), но можно попробовать подсунуть туда gssapi либу от <br>&gt;&gt;KerberosForWindows от MIT. <br>&gt;<br>&gt;а как это организовать со стороны сквида? <br><br>Про сквид не знаю. Я пытался разобраться в их помойке модулей авторизации, но безрезультатно. В качестве простого кэширующего прокси с single-sign-on могу порекоммендовать apache.<br> https://www.opennet.ru/openforum/vsluhforumID3/38917.html#26 Thu, 08 Nov 2007 15:02:40 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;Адресная книга в Thunderbird не поддерживает SASL-аутентификацию, только простую как в LDAPv2. <br>&gt;Так что про Kerberos там можно забыть. <br>&gt;<br>&gt;Firefox настраивается правкой about:config и добавлением туда : <br>&gt;network.negotiate-auth.trusted-uris http://,https:// <br>&gt;network.negotiate-auth.delegation-uris http://,https:// <br>&gt;Под Вендами это скорее всего вряд ли будет работать (у мозилловцев напряги <br>&gt;с вендовым sspi), но можно попробовать подсунуть туда gssapi либу от <br>&gt;KerberosForWindows от MIT. <br><br>УРА!!!<br>https://bugzilla.mozilla.org/show_bug.cgi?id=325396<br>https://bugzilla.mozilla.org/show_bug.cgi?id=308118<br>процесс пошел...<br> https://www.opennet.ru/openforum/vsluhforumID3/38917.html#25 Thu, 08 Nov 2007 14:54:15 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;У джаббера проблемы с клиентами. К примеру tkabber интерпретирует доменное имя в <br>&gt;JID как имя сервера. Т.е. имя сервера на котором крутится джаббер <br>&gt;должно быть просто именем домена. Но в результате возникают проблемы с <br>&gt;именами принципалов. Вот как это выглядит: <br>&gt;<br>&gt;http://www.opennet.ru/openforum/vsluhforumID1/75093.html <br>&gt;<br>&gt;Если вам удалось это решить, то хотелось бы узнать каким образом? <br>&gt;<br><br>да, оказывается в последний раз когда копался в ejabberd, делал все через ЛДАП<br>ну, по этой известной статейке<br>http://realloc.spb.ru/share/ejabberd112ad.html<br>так и не поборол глюк последний, когда мог авторизоваться только один единственный юзер<br>остальные получали отлуп...<br><br>&gt;[оверквотинг удален]<br>&gt;<br>&gt;Адресная книга в Thunderbird не поддерживает SASL-аутентификацию, только простую как в LDAPv2. <br>&gt;Так что про Kerberos там можно забыть. <br>&gt;<br>&gt;Firefox настраивается правкой about:config и добавлением туда : <br>&gt;network.negotiate-auth.trusted-uris http://,https:// <br>&gt;network.n https://www.opennet.ru/openforum/vsluhforumID3/38917.html#24 Thu, 08 Nov 2007 13:06:51 GMT &gt;&gt;&gt;Может быть ssp все таки лучше чем ldap? Вопрос в общем стремный <br>&gt;&gt;&gt;- настраиваю керберос аутентификацию везде, где это воможно : ) <br>&gt;&gt;<br>&gt;&gt;Может вам и jabber удалось победить? <br>&gt;<br>&gt;а с этим какие-то проблемы? <br><br>У джаббера проблемы с клиентами. К примеру tkabber интерпретирует доменное имя в JID как имя сервера. Т.е. имя сервера на котором крутится джаббер должно быть просто именем домена. Но в результате возникают проблемы с именами принципалов. Вот как это выглядит:<br><br>http://www.opennet.ru/openforum/vsluhforumID1/75093.html<br><br>Если вам удалось это решить, то хотелось бы узнать каким образом?<br><br>&gt;<br>&gt;гораздо интереснее было бы прикрутить керберос к thunderbird & firefox <br>&gt;чтобы, например, не вводить пароли для адресной книги в LDAP и для <br>&gt;доступа в инет через сабж <br><br>Адресная книга в Thunderbird не поддерживает SASL-аутентификацию, только простую как в LDAPv2. Так что про Kerberos там можно забыть.<br><br>Firefox настраивается правкой about:config и добавлением туда :<br>network.negotiate-auth.trusted-uri https://www.opennet.ru/openforum/vsluhforumID3/38917.html#23 Thu, 08 Nov 2007 12:46:36 GMT &gt;&gt;Может быть ssp все таки лучше чем ldap? Вопрос в общем стремный <br>&gt;&gt;- настраиваю керберос аутентификацию везде, где это воможно : ) <br>&gt;<br>&gt;Может вам и jabber удалось победить? <br><br>а с этим какие-то проблемы?<br><br>гораздо интереснее было бы прикрутить керберос к thunderbird & firefox<br>чтобы, например, не вводить пароли для адресной книги в LDAP и для доступа в инет через сабж<br>