Эксперименты показали, что при использовании всех хелперов, кроме ntlm_auth из комплекта Samba 3.х и wb_ntlmauth из комплекта squid, пароль, передаваемый на проверку контроллеру домена, передается в открытом виде, и лицо, имеющее возможность перехвата сетевого трафика с данного компьютера, сможет узнать пароли. Программы ntlm_auth из комплекта Samba 3.х и wb_ntlmauth из комплекта squid используют для работы с контроллером домена протокол NTLM SSP, и пароль не передается по сети в открытом виде даже при указании --helper-protocol=squid-2.5-basic (этот параметр определяет не протокол работы хелпера с контроллером домена, а протокол работы хелпера со сквидом).

О преобразовании логинов из формата MYDOMAINmyusername

Хелпер wb_ntlmauth записывает в лог полученный от пользователя логин в виде MYDOMAINmyusername, в то время как хелпер wb_auth записывает его в формате myusername. Для того чтобы использовать полученные данные в какой-либо программе расчета статистики, необходимо унифицировать данные. Я делаю это удалением домена и приведением всех логинов к формату myusername. Для этого мной была разработана пара скриптов на языках shell и awk, которые делают следующее:

n  Удаляют из лога строки TCP_DENIED/407, которые генерируются браузером Internet Explorer.

n  Удаляют доменную часть имени пользователя, если оно представлено в формате MYDOMAINmyusername.

n  Если DNS-имя компьютера или его IP-адрес совпадает с DNS-именем или IP-адресом, указанным в файле доверенных адресов, то в поле имени пользователя вписывается имя, указанное в данном файле. (Если используется как авторизация по регистрационному имени, так и авторизация по IP-адресу, то для обработки статистики некоторым IP-адресам жестко сопоставляется определенное имя.) Формат файла доверенных адресов очень прост: по одной записи на строке DNS-имя или IP-адрес компьютера и через пробел – имя пользователя, которое будет подставляться. Например:

192.168.1.1    alice

192.168.1.2    bob

Ниже приведен основной скрипт. Вариант, демонстрируемый в данной статье, тестовый, практической ценности не имеет и приведен только для иллюстрации того, как обрабатывать данные файла регистрационного журнала.

#!/bin/sh

# This is a part of SquidCount package version 1.11.4

# Daily squid proxy statistic maintenance

# Written by CityCat 25.10.2001. Copyright Granch Ltd. (C)

# This is a public software, distributed with a BSD license.

# $Id: squidcount,v 1.11.4.6 2004/07/21 12:53:02 shelton Exp $

PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin

trustlist="/usr/local/etc/sarg2/sargtrusted"