Вход на хостинг
IT-новости
20.04.2016 iPhone 2017 года поместят в водонепроницаемый корпус из стекла
Линейка iPhone в новом году серьезно поменяется. В этом уверен аналитический исследователь Мин Чи Ку......
30.07.2015 Ищем уникальный контент для сайта
Ищем уникальный контент для сайта Без уникального контента Ваш сайт обречен на то, что его страницы......
Вторая строка разрешает доступ к прокси только в том случае, если проверка правила NTLMauth, описанного в первой строке, завершилась успешно.
Проверяем.
Запустив любой браузер, кроме Internet Explorer, пытаемся посетить какой-нибудь сайт. Получаем запрос на ввод имени и пароля. Вводим (для того чтобы не вводить его постоянно в Mozilla/Konqueror, например, есть режим хранения паролей, при котором во все последующие разы достаточно нажать «OK»). Получаем доступ к сайту. Смотрим файл регистрационного журнала access.log прокси-сервера и видим в конце строки, там где всегда было пусто, введенное нами имя пользователя.
Запускаем Internet Explorer. Пароль вводить не надо – Internet Explorer обладает «неестественным» интеллектом и передаст его сам. Получаем доступ к сайту. Смотрим файл регистрационного журнала access.log прокси-сервера и видим...
Здесь мы сталкиваемся с двумя вполне безобидными, но способными поначалу озадачить особенностями Internet Explorer – во-первых, автоматическая передача регистрационного имени и пароля пользователя происходит только на третий запрос бразуера, после того как он дважды получает в ответ: TCP_DENIED/407, а во-вторых, регистрационное имя передается в форме MYDOMAINmyusername, что потребует потом его дальнейшей обработки, потому что регистрационное имя, передаваемое прочими браузерами, не содержит Windows-домена.
Squid 2.5 и Samba 3.x
Несколько усовершенствуем нашу систему. Все бы в ней ничего, но есть как минимум один момент, который может потребовать доработок. Он связан с тем, что Samba Team официально прекращает поддержку ветки 2.2.х с 1 октября 2004 г. для того, чтобы сосредоточить все усилия на ветке 3.х и перспективной 4.х. Это означает то, что обнаруженные ошибки исправляться не будут, вне зависимости от их степени опасности. Поэтому мы заблаговременно отказываемся в нашей системе от Samba 2.2.11 и переходим на Samba 3.х.
Samba 3.x – это новый продукт Samba team, который содержит огромное количество изменений (и примерно такое же количество ошибок) по сравнению с Samba 2.2.x. Squid еще не умеет работать с winbindd-демоном от Samba 3.x, поэтому Samba Team поставляет собственную версию хелпера аутентификации для использования его в Squid – ntlm_auth. Поэтому при сборке Squid безразлично, что будет задано в качестве параметров --enable-basic-auth-helpers и --enable-ntlm-auth-helpers. Для сборки Samba как обычно следует указать:
make WITH_WINBIND=yes
при сборке через порты либо:
./configure --with-winbind ... <прочие параметры, если надо>
После сборки порта в каталоге /usr/local/bin должен появиться файл ntlm_auth. Для него существует руководство (мануал) в отличие от тех хелперов, что поставляются вместе со Squid, можете посмотреть, набрав man ntlm_auth.
Как обычно, сначала убеждаемся, что winbindd запущен и Samba сконфигурирована нормально, запустив wbinfo -p и wbinfo -t (пример вывода программ и рекомендации, что делать, если вывод не совпадает, приведен выше).
Можно переходить к изменению конфигурационного файла squid.conf. Находим строку, которую редактировали в прошлый раз, и изменяем вот так:
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes