* [Sysadmins] squid : аналог ntlm для linux-клиентов
@ 2007-05-22 4:54 Eugene Prokopiev
2007-05-22 7:50 ` Serge
2007-05-29 7:53 ` Alex Gorbachenko
0 siblings, 2 replies; 15+ messages in thread
From: Eugene Prokopiev @ 2007-05-22 4:54 UTC (permalink / raw)
To: Sysadmins
Здравствуйте!
Есть куча описаний того, как авторизовать пользователей в squid,
используя учетную запись из AD, чтобы не заставлять пользователей
вводить пароль дважды. А можно ли сделать что-то аналогичное для
linux-пользователей? Чувствую, что копать нужно в сторону Kerberos, но
гугл помогает плохо. Каков вообще должен быть механизм идентификации уже
залогинившихся linux-пользователей?
--
С уважением, Прокопьев Евгений
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] squid : аналог ntlm для linux-клиентов
2007-05-22 4:54 [Sysadmins] squid : аналог ntlm для linux-клиентов Eugene Prokopiev
@ 2007-05-22 7:50 ` Serge
2007-05-22 8:02 ` Eugene Prokopiev
2007-05-29 7:53 ` Alex Gorbachenko
1 sibling, 1 reply; 15+ messages in thread
From: Serge @ 2007-05-22 7:50 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
В сообщении от Tuesday 22 May 2007 07:54:48 Eugene Prokopiev написал(а):
> Здравствуйте!
>
> Есть куча описаний того, как авторизовать пользователей в squid,
> используя учетную запись из AD, чтобы не заставлять пользователей
> вводить пароль дважды. А можно ли сделать что-то аналогичное для
> linux-пользователей? Чувствую, что копать нужно в сторону Kerberos, но
> гугл помогает плохо. Каков вообще должен быть механизм идентификации уже
> залогинившихся linux-пользователей?
может быть нужно смотреть в сторону openldap?
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] squid : аналог ntlm для linux-клиентов
2007-05-22 7:50 ` Serge
@ 2007-05-22 8:02 ` Eugene Prokopiev
2007-05-22 8:20 ` Dmitriy L. Kruglikov
0 siblings, 1 reply; 15+ messages in thread
From: Eugene Prokopiev @ 2007-05-22 8:02 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Serge пишет:
> В сообщении от Tuesday 22 May 2007 07:54:48 Eugene Prokopiev написал(а):
>
>>Здравствуйте!
>>
>>Есть куча описаний того, как авторизовать пользователей в squid,
>>используя учетную запись из AD, чтобы не заставлять пользователей
>>вводить пароль дважды. А можно ли сделать что-то аналогичное для
>>linux-пользователей? Чувствую, что копать нужно в сторону Kerberos, но
>>гугл помогает плохо. Каков вообще должен быть механизм идентификации уже
>>залогинившихся linux-пользователей?
>
> может быть нужно смотреть в сторону openldap?
LDAP - всего лишь одно из хранилищ учетных записей. Меня интересует не
столько оно (их много вообще-то), сколько механизм, посредством которого
сквиду не потребуется спрашивать у пользователя пароль еще раз, ну
примерно так, как используются ключи в ssh.
Хотя сейчас мне пришло в голову, что в таком случае этот механизм должен
поддерживать браузер ... тогда дело выглядит безнадежным
--
С уважением, Прокопьев Евгений
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] squid : аналог ntlm для linux-клиентов
2007-05-22 8:02 ` Eugene Prokopiev
@ 2007-05-22 8:20 ` Dmitriy L. Kruglikov
2007-05-23 4:16 ` Eugene Prokopiev
0 siblings, 1 reply; 15+ messages in thread
From: Dmitriy L. Kruglikov @ 2007-05-22 8:20 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
На календаре было: Вторник, 22 Май 2007 года,
Eugene Prokopiev писал(а) в сообщении:
EP == Eugene Prokopiev
EP> Хотя сейчас мне пришло в голову, что в таком случае этот механизм должен
EP> поддерживать браузер ... тогда дело выглядит безнадежным
В следствие максимально плотной интеграции браузера в ОСь (сами_знаете_какую),
браузер получает от ОСи имя и все, что нужно сказать Сквиду ...
У нас такое затруднительно, хотя, наверное, можно извращаться через сторонние
примочки, например, имя входа получая примерно таким образом:
getXuser() {
user=`finger| grep -m1 ":$displaynum " | awk '{print $1}'`
if [ x"$user" = x"" ]; then
user=`finger| grep -m1 ":$displaynum" | awk '{print $1}'`
fi
if [ x"$user" != x"" ]; then
userhome=`getent passwd $user | cut -d: -f6`
export XAUTHORITY=$userhome/.Xauthority
else
export XAUTHORITY=""
fi
}
Пример взят из Убунты...
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov_at_gmail_dot_com |@_@ |
DKR6-RIPE |!_/ |
XMPP:dkr6@jabber.ru // \ \
(| | )
/'\_ _/`\
Powered by Linux \___)=(___/
-- Мысль --
Дуршлаг шумовке говорит:"У тебя самой девять дыр".
-- Персидская пословица
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] squid : аналог ntlm для linux-клиентов
2007-05-22 8:20 ` Dmitriy L. Kruglikov
@ 2007-05-23 4:16 ` Eugene Prokopiev
0 siblings, 1 reply; 15+ messages in thread
From: Eugene Prokopiev @ 2007-05-23 4:16 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Dmitriy L. Kruglikov пишет:
> На календаре было: Вторник, 22 Май 2007 года,
> Eugene Prokopiev писал(а) в сообщении:
>
> EP == Eugene Prokopiev
>
> EP> Хотя сейчас мне пришло в голову, что в таком случае этот механизм должен
> EP> поддерживать браузер ... тогда дело выглядит безнадежным
> В следствие максимально плотной интеграции браузера в ОСь (сами_знаете_какую),
> браузер получает от ОСи имя и все, что нужно сказать Сквиду ...
> У нас такое затруднительно, хотя, наверное, можно извращаться через сторонние
> примочки, например, имя входа получая примерно таким образом:
>
> getXuser() {
> user=`finger| grep -m1 ":$displaynum " | awk '{print $1}'`
> if [ x"$user" = x"" ]; then
> user=`finger| grep -m1 ":$displaynum" | awk '{print $1}'`
> fi
> if [ x"$user" != x"" ]; then
> userhome=`getent passwd $user | cut -d: -f6`
> export XAUTHORITY=$userhome/.Xauthority
> else
> export XAUTHORITY=""
> fi
> }
>
> Пример взят из Убунты...
это такой зверский способ получения имени пользователя? ;)
да получить его не проблема, а вот как получить некий тикет,
удостоверяющий, что это действительно тот пользователь, как отдать имя
пользователя и тикет сквиду и как сказать ему, что теперь запросы пойдут
от имени этого пользователя?
кстати, я правильно понимаю, что никаким другим способом, кроме прокси,
учитывать входящий трафик отдельно по разным пользователям на
терминальном сервере нельзя?
--
С уважением, Прокопьев Евгений
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] squid : аналог ntlm для linux-клиентов
@ 2007-05-23 15:44 ` Ivan Fedorov
2007-05-25 11:43 ` Nick Gavrikov
0 siblings, 1 reply; 15+ messages in thread
From: Ivan Fedorov @ 2007-05-23 15:44 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Alexey Shabalin пишет:
> кстати, я правильно понимаю, что никаким другим способом, кроме прокси,
> учитывать входящий трафик отдельно по разным пользователям на
> терминальном сервере нельзя?
Ну еще можно залезть в ядро вашей ОС и набором хаков как в системах
виртуализации сделать каждому юзеру по личному IP. Я так давно делал на
Linux. Решение ОЧЕНЬ грязное, но в принципе работает.
> если это терминал сервер(на линуксе), то может получится использовать
> iptables (он вроде умеет uid различать)
Не получится... эта поддержка нифига не пашет как надо!
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] squid : аналог ntlm для linux-клиентов
2007-05-23 15:44 ` Ivan Fedorov
@ 2007-05-25 11:43 ` Nick Gavrikov
2007-05-25 22:29 ` Alexey Shabalin
0 siblings, 1 reply; 15+ messages in thread
From: Nick Gavrikov @ 2007-05-25 11:43 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
23.05.07, Ivan Fedorov написал(а):
> > кстати, я правильно понимаю, что никаким другим способом, кроме прокси,
> > учитывать входящий трафик отдельно по разным пользователям на
> > терминальном сервере нельзя?
> Ну еще можно залезть в ядро вашей ОС и набором хаков как в системах
> виртуализации сделать каждому юзеру по личному IP. Я так давно делал на
> Linux. Решение ОЧЕНЬ грязное, но в принципе работает.
>
>
> > если это терминал сервер(на линуксе), то может получится использовать
> > iptables (он вроде умеет uid различать)
>
> Не получится... эта поддержка нифига не пашет как надо!
Кстати, я когда делал аналогичную штуку, обратил внимание что iptables
умеет различать uid только для исходящего трафика. Для входящего не
умеет. Но в таком случае, можно действительно каждому пользователю
выдать его личный Ip-шник и делать так:
-A OUTPUT -s 192.168.100.1 --uid-owner user1 -j ACCEPT
-A OUTPUT -s 192.168.100.2 --uid-owner user2 -j ACCEPT
-A OUTPUT -s 192.168.100.3 --uid-owner user3 -j ACCEPT
-A OUTPUT -s 192.168.100.0/24 -j REJECT
Тогда входящий трафик можно будет посчитать по этому ip-шнику. Только
вот я не уверен, с нужного ли Ip-шника уйдет первый исходящий пакет,
или, скажем, user2 попробует послать пакет с 192.168.100.1, получит
отлуп и больше ничего посылать не станет.
--
С уважением,
Nick Gavrikov
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] squid : аналог ntlm для linux-клиентов
2007-05-25 11:43 ` Nick Gavrikov
@ 2007-05-25 22:29 ` Alexey Shabalin
2007-05-26 6:42 ` Olvin
0 siblings, 1 reply; 15+ messages in thread
From: Alexey Shabalin @ 2007-05-25 22:29 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
> > > кстати, я правильно понимаю, что никаким другим способом, кроме прокси,
> > > учитывать входящий трафик отдельно по разным пользователям на
> > > терминальном сервере нельзя?
> > Ну еще можно залезть в ядро вашей ОС и набором хаков как в системах
> > виртуализации сделать каждому юзеру по личному IP. Я так давно делал на
> > Linux. Решение ОЧЕНЬ грязное, но в принципе работает.
> >
> >
> > > если это терминал сервер(на линуксе), то может получится использовать
> > > iptables (он вроде умеет uid различать)
> >
> > Не получится... эта поддержка нифига не пашет как надо!
>
> Кстати, я когда делал аналогичную штуку, обратил внимание что iptables
> умеет различать uid только для исходящего трафика. Для входящего не
> умеет. Но в таком случае, можно действительно каждому пользователю
> выдать его личный Ip-шник и делать так:
>
> -A OUTPUT -s 192.168.100.1 --uid-owner user1 -j ACCEPT
> -A OUTPUT -s 192.168.100.2 --uid-owner user2 -j ACCEPT
> -A OUTPUT -s 192.168.100.3 --uid-owner user3 -j ACCEPT
> -A OUTPUT -s 192.168.100.0/24 -j REJECT
>
интересно как тогда выглядит таблица маршрутизации :) ?
возможно получится через iproute сделать маршрутизацию.
> Тогда входящий трафик можно будет посчитать по этому ip-шнику. Только
> вот я не уверен, с нужного ли Ip-шника уйдет первый исходящий пакет,
> или, скажем, user2 попробует послать пакет с 192.168.100.1, получит
> отлуп и больше ничего посылать не станет.
>
--
Alexey Shabalin
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] squid : аналог ntlm для linux-клиентов
2007-05-25 22:29 ` Alexey Shabalin
@ 2007-05-26 6:42 ` Olvin
2007-05-27 7:53 ` Eugene Prokopiev
0 siblings, 1 reply; 15+ messages in thread
From: Olvin @ 2007-05-26 6:42 UTC (permalink / raw)
To: shaba, ALT Linux sysadmin discuss
Alexey Shabalin пишет:
>>>>если это терминал сервер(на линуксе), то может получится использовать
>>>>iptables (он вроде умеет uid различать)
>>>Не получится... эта поддержка нифига не пашет как надо!
Пашет. Только для исходящего трафика.
>>Кстати, я когда делал аналогичную штуку, обратил внимание что iptables
>>умеет различать uid только для исходящего трафика. Для входящего не
>>умеет. Но в таком случае, можно действительно каждому пользователю
>>выдать его личный Ip-шник и делать так:
>>-A OUTPUT -s 192.168.100.1 --uid-owner user1 -j ACCEPT
>>-A OUTPUT -s 192.168.100.2 --uid-owner user2 -j ACCEPT
>>-A OUTPUT -s 192.168.100.3 --uid-owner user3 -j ACCEPT
>>-A OUTPUT -s 192.168.100.0/24 -j REJECT
> интересно как тогда выглядит таблица маршрутизации :) ?
> возможно получится через iproute сделать маршрутизацию.
Основной затык как раз в маршрутах. Они отрабатывают ещё до этих правил.
А так можно было бы сделать алиасы и действительно по адресам
разруливать и считать...
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] squid : аналог ntlm для linux-клиентов
2007-05-27 7:53 ` Eugene Prokopiev
@ 2007-05-26 15:10 ` Olvin
2007-05-26 18:39 ` Eugene Prokopiev
0 siblings, 1 reply; 15+ messages in thread
From: Olvin @ 2007-05-26 15:10 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Eugene Prokopiev пишет:
>>>>>>если это терминал сервер(на линуксе), то может получится использовать
>>>>>>iptables (он вроде умеет uid различать)
>>>>>Не получится... эта поддержка нифига не пашет как надо!
>>Пашет. Только для исходящего трафика.
> Говорили вроде, что не работает на smp. Вы проверяли, все нормально?
Про SMP не знаю.
>>>>Кстати, я когда делал аналогичную штуку, обратил внимание что iptables
>>>>умеет различать uid только для исходящего трафика. Для входящего не
>>>>умеет. Но в таком случае, можно действительно каждому пользователю
>>>>выдать его личный Ip-шник и делать так:
>>>>-A OUTPUT -s 192.168.100.1 --uid-owner user1 -j ACCEPT
>>>>-A OUTPUT -s 192.168.100.2 --uid-owner user2 -j ACCEPT
>>>>-A OUTPUT -s 192.168.100.3 --uid-owner user3 -j ACCEPT
>>>>-A OUTPUT -s 192.168.100.0/24 -j REJECT
>>>интересно как тогда выглядит таблица маршрутизации :) ?
>>>возможно получится через iproute сделать маршрутизацию.
>>Основной затык как раз в маршрутах. Они отрабатывают ещё до этих правил.
>>А так можно было бы сделать алиасы и действительно по адресам
>>разруливать и считать...
> А причем тут, собственно, маршруты, и как они могут помочь? Требуется,
> чтобы пакеты с --uid-owner user1 уходили с определенного адреса, и
> едиственный способ, который приходит мне в голову - это SNAT
SNAT работает уже после того, как принято решение о маршруте.
> Можно сформулировать задачу более общим образом, не привязываясь к
> первоначальной постановке с разделением трафика по пользователям.
> Допустим, наша нашина имеет интерфейс eth0 с адресами 10.0.0.101
> 10.0.0.102 10.0.0.103, шлюз - 10.0.0.1, на машине запущено приложение,
> привязанное к адресу 0.0.0.0. С какого адреса уйдут пакеты этого
> приложения
Т.е. какой адрес источника будет у исходящих пакетов? Это можно с
помощью SNAT.
> и можно ли как-то влиять на этот процесс?
Можно. SNAT.
Но в случае с интернет-выходом так просто не получится. Что бы работала
предложенная вами схема, нужно, чтобы провайдер выделил IP-адреса в
количестве, равном предполагаемому количеству интернет-пользователей.
Причём сразу. Это по деньгам не все могут себе позволить.
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] squid : аналог ntlm для linux-клиентов
2007-05-26 15:10 ` Olvin
@ 2007-05-26 18:39 ` Eugene Prokopiev
2007-05-27 4:51 ` Olvin
0 siblings, 1 reply; 15+ messages in thread
From: Eugene Prokopiev @ 2007-05-26 18:39 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Olvin пишет:
> Eugene Prokopiev пишет:
>
>>>>>>>если это терминал сервер(на линуксе), то может получится использовать
>>>>>>>iptables (он вроде умеет uid различать)
>>>>>>
>>>>>>Не получится... эта поддержка нифига не пашет как надо!
>>>
>>>Пашет. Только для исходящего трафика.
>>
>>Говорили вроде, что не работает на smp. Вы проверяли, все нормально?
>
>
> Про SMP не знаю.
>
>
>>>>>Кстати, я когда делал аналогичную штуку, обратил внимание что iptables
>>>>>умеет различать uid только для исходящего трафика. Для входящего не
>>>>>умеет. Но в таком случае, можно действительно каждому пользователю
>>>>>выдать его личный Ip-шник и делать так:
>>>>>-A OUTPUT -s 192.168.100.1 --uid-owner user1 -j ACCEPT
>>>>>-A OUTPUT -s 192.168.100.2 --uid-owner user2 -j ACCEPT
>>>>>-A OUTPUT -s 192.168.100.3 --uid-owner user3 -j ACCEPT
>>>>>-A OUTPUT -s 192.168.100.0/24 -j REJECT
>>>>
>>>>интересно как тогда выглядит таблица маршрутизации :) ?
>>>>возможно получится через iproute сделать маршрутизацию.
>>>
>>>Основной затык как раз в маршрутах. Они отрабатывают ещё до этих правил.
>>>А так можно было бы сделать алиасы и действительно по адресам
>>>разруливать и считать...
>>
>>А причем тут, собственно, маршруты, и как они могут помочь? Требуется,
>>чтобы пакеты с --uid-owner user1 уходили с определенного адреса, и
>>едиственный способ, который приходит мне в голову - это SNAT
>
>
> SNAT работает уже после того, как принято решение о маршруте.
>
>
>>Можно сформулировать задачу более общим образом, не привязываясь к
>>первоначальной постановке с разделением трафика по пользователям.
>>Допустим, наша нашина имеет интерфейс eth0 с адресами 10.0.0.101
>>10.0.0.102 10.0.0.103, шлюз - 10.0.0.1, на машине запущено приложение,
>>привязанное к адресу 0.0.0.0. С какого адреса уйдут пакеты этого
>>приложения
>
>
> Т.е. какой адрес источника будет у исходящих пакетов? Это можно с
> помощью SNAT.
>
>
>>и можно ли как-то влиять на этот процесс?
>
>
> Можно. SNAT.
> Но в случае с интернет-выходом так просто не получится. Что бы работала
> предложенная вами схема, нужно, чтобы провайдер выделил IP-адреса в
> количестве, равном предполагаемому количеству интернет-пользователей.
> Причём сразу. Это по деньгам не все могут себе позволить.
ну зачем же столько реальных адресов? ;)
они могут быть серыми, а в интернет попадать через один шлюз (возможно в
соседнем VE с терминальным сервером) тоже с SNAT :)
--
С уважением, Прокопьев Евгений
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] squid : аналог ntlm для linux-клиентов
2007-05-26 18:39 ` Eugene Prokopiev
@ 2007-05-27 4:51 ` Olvin
2007-05-27 6:35 ` Eugene Prokopiev
0 siblings, 1 reply; 15+ messages in thread
From: Olvin @ 2007-05-27 4:51 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Eugene Prokopiev пишет:
>>Можно. SNAT.
>>Но в случае с интернет-выходом так просто не получится. Что бы работала
>>предложенная вами схема, нужно, чтобы провайдер выделил IP-адреса в
>>количестве, равном предполагаемому количеству интернет-пользователей.
>>Причём сразу. Это по деньгам не все могут себе позволить.
> ну зачем же столько реальных адресов? ;)
> они могут быть серыми, а в интернет попадать через один шлюз (возможно в
> соседнем VE с терминальным сервером) тоже с SNAT :)
Конфиги в студию :)
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] squid : аналог ntlm для linux-клиентов
2007-05-27 4:51 ` Olvin
@ 2007-05-27 6:35 ` Eugene Prokopiev
0 siblings, 0 replies; 15+ messages in thread
From: Eugene Prokopiev @ 2007-05-27 6:35 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Olvin пишет:
> Eugene Prokopiev пишет:
>
>>>Можно. SNAT.
>>>Но в случае с интернет-выходом так просто не получится. Что бы работала
>>>предложенная вами схема, нужно, чтобы провайдер выделил IP-адреса в
>>>количестве, равном предполагаемому количеству интернет-пользователей.
>>>Причём сразу. Это по деньгам не все могут себе позволить.
>>
>>ну зачем же столько реальных адресов? ;)
>>они могут быть серыми, а в интернет попадать через один шлюз (возможно в
>>соседнем VE с терминальным сервером) тоже с SNAT :)
>
>
> Конфиги в студию :)
ну вот сразу конфиги ...
я пока всего лишь думаю как сделать то, что мне, возможно, придется
делать через пару месяцев ;) дискуссия показала, что, похоже,
теоретически это возможно, как (если) сделаю, отпишу.
--
С уважением, Прокопьев Евгений
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] squid : аналог ntlm для linux-клиентов
2007-05-26 6:42 ` Olvin
@ 2007-05-27 7:53 ` Eugene Prokopiev
2007-05-26 15:10 ` Olvin
0 siblings, 1 reply; 15+ messages in thread
From: Eugene Prokopiev @ 2007-05-27 7:53 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Olvin пишет:
> Alexey Shabalin пишет:
>>>>> если это терминал сервер(на линуксе), то может получится использовать
>>>>> iptables (он вроде умеет uid различать)
>>>> Не получится... эта поддержка нифига не пашет как надо!
>
> Пашет. Только для исходящего трафика.
Говорили вроде, что не работает на smp. Вы проверяли, все нормально?
>>> Кстати, я когда делал аналогичную штуку, обратил внимание что iptables
>>> умеет различать uid только для исходящего трафика. Для входящего не
>>> умеет. Но в таком случае, можно действительно каждому пользователю
>>> выдать его личный Ip-шник и делать так:
>>> -A OUTPUT -s 192.168.100.1 --uid-owner user1 -j ACCEPT
>>> -A OUTPUT -s 192.168.100.2 --uid-owner user2 -j ACCEPT
>>> -A OUTPUT -s 192.168.100.3 --uid-owner user3 -j ACCEPT
>>> -A OUTPUT -s 192.168.100.0/24 -j REJECT
>> интересно как тогда выглядит таблица маршрутизации :) ?
>> возможно получится через iproute сделать маршрутизацию.
>
> Основной затык как раз в маршрутах. Они отрабатывают ещё до этих правил.
> А так можно было бы сделать алиасы и действительно по адресам
> разруливать и считать...
А причем тут, собственно, маршруты, и как они могут помочь? Требуется,
чтобы пакеты с --uid-owner user1 уходили с определенного адреса, и
едиственный способ, который приходит мне в голову - это SNAT
Можно сформулировать задачу более общим образом, не привязываясь к
первоначальной постановке с разделением трафика по пользователям.
Допустим, наша нашина имеет интерфейс eth0 с адресами 10.0.0.101
10.0.0.102 10.0.0.103, шлюз - 10.0.0.1, на машине запущено приложение,
привязанное к адресу 0.0.0.0. С какого адреса уйдут пакеты этого
приложения и можно ли как-то влиять на этот процесс?
--
С уважением,
Прокопьев Евгений
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] squid : аналог ntlm для linux-клиентов
2007-05-22 4:54 [Sysadmins] squid : аналог ntlm для linux-клиентов Eugene Prokopiev
2007-05-22 7:50 ` Serge
@ 2007-05-29 7:53 ` Alex Gorbachenko
1 sibling, 0 replies; 15+ messages in thread
From: Alex Gorbachenko @ 2007-05-29 7:53 UTC (permalink / raw)
To: sysadmins
[-- Attachment #1: Type: text/plain, Size: 357 bytes --]
On Tue, 22 May 2007 08:54:48 +0400
Eugene wrote:
> А можно ли сделать что-то аналогичное для
>linux-пользователей?
можно.
http://www.geocities.com/rozmanov/ntlm/
правда, возникает вопрос с автоматизацией настройки этого хозяйства. но,
тем не менее, оно работает. только что проверил связку APS+squid+NTLM.
--
np: Joe Satriani - Strange
[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 15+ messages in thread
end of thread, other threads:[~2007-05-29 7:53 UTC | newest]
Thread overview: 15+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2007-05-22 4:54 [Sysadmins] squid : аналог ntlm для linux-клиентов Eugene Prokopiev
2007-05-22 7:50 ` Serge
2007-05-22 8:02 ` Eugene Prokopiev
2007-05-22 8:20 ` Dmitriy L. Kruglikov
2007-05-23 4:16 ` Eugene Prokopiev
2007-05-23 15:44 ` Ivan Fedorov
2007-05-25 11:43 ` Nick Gavrikov
2007-05-25 22:29 ` Alexey Shabalin
2007-05-26 6:42 ` Olvin
2007-05-27 7:53 ` Eugene Prokopiev
2007-05-26 15:10 ` Olvin
2007-05-26 18:39 ` Eugene Prokopiev
2007-05-27 4:51 ` Olvin
2007-05-27 6:35 ` Eugene Prokopiev
2007-05-29 7:53 ` Alex Gorbachenko
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git