From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-ID: <002201c534f5$36db70f0$2101a8c0@main.radio> From: =?koi8-r?B?79fF3svJziD3zMHE?= To: References: <20050325094943.GA8729@hplc133.office.tdo.com.ua><20050328095220.GB13729@hplc133.office.tdo.com.ua><019601c5346e$87871130$2101a8c0@main.radio> <200503291814.13542.ngrechukh@ua.fm> Subject: =?koi8-r?B?UmU6IFtDb21tXfDSz8LMxc3ZINMgwdXUxc7UycbJy8HDyc/OztnNyQ==?= =?koi8-r?B?IM3FyMHOydrNwc3JINMgc3F1aWRgxQ==?= Date: Wed, 30 Mar 2005 10:53:43 +0400 MIME-Version: 1.0 Content-Type: text/plain; format=flowed; charset="koi8-r"; reply-type=original Content-Transfer-Encoding: 8bit X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2900.2180 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180 X-OriginalArrivalTime: 30 Mar 2005 06:53:44.0205 (UTC) FILETIME=[36DD93D0:01C534F5] X-Virus-Scanned: ClamAV 0.80/670/Mon Jan 17 02:47:22 2005 clamav-milter version 0.80j on vh1.rrnn.ru X-Virus-Status: Clean X-BeenThere: community@altlinux.ru X-Mailman-Version: 2.1.5 Precedence: list Reply-To: community@altlinux.ru List-Id: Mailing list for ALT Linux users List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 30 Mar 2005 06:53:46 -0000 Archived-At: List-Archive: List-Post: ----- Original Message ----- From: "Nick S. Grechukh" To: Sent: Tuesday, March 29, 2005 7:14 PM Subject: Re: [Comm]Проблемы с аутентификационными механизмами с squid`е >> 4. Если я хочу, чтобы 5 человек входили на 5 компов аутентификацию >> посредством ntlm >>или ncsa, а прокся уже решает - пускать лив домене под одним >> логином, а в инет мог вылезти только самый главный бугор из них со своим >> персональным логином и паролем для прокси (причём с любого компа из этих >> пяти), то мне надо сносить впаянный в каждую масдайку IE, ставить Opera, >> которая не работает с ntlm-аутентификацией, и потратить некоторое время >> на >зачем? все в Ваших руках, Вы же сами сквидом рулите. уберите ntlm и >делов-то. >оставьте только basic-ntlm. Возможно я ошибаюсь, но: при использовании только basic-ntlm будет всегда запрашиваться имя пользователя с паролем при попытке выхода в инет, используя IE (галочку сохранить пароль опять таки в расчёт не берём). Я прав? У меня просто сейчас такая ситуациия, когда я совершенно незаметно подменил виндовую проксю на линуховую. При виндовой проксе всё работало через ntlm и пользователю не надо было вводить логин с паролем в большинстве случаев. Это требовалось только в случае, если у пользователя на доступ в домен и на проксю были разные логины и пароли. У 95% пользователей эти данные (логин с паролем) совпадают - соответственно и проблем нет. У тех же, у кого нет - тем 5% приходилось вводить его вручную. Но все были довольны. Теперь, довольны только те, у которых логин с паролем совпадают. То есть 95% пользователей. У тех, у кого не совпадает довольны не совсем, так как запрос логина с паролем происходит только на одном компе из пяти. То есть 5% поьзователей. Если же, используя basic-ntlm, придётся вводить логин с паролем аждый раз всем, то недовольными останутся 95%. Что ещё хуже... В связи с этим, я озадачился вопросом. Можно ли заставить squid переспрашивать пароль при отказе в доступе, если использовать определённые хелперы для чистой ntlm- аутентификации или же применять другие параметры. >> переубеждение пользователей, что замена их любимого броузера IE на Opera >> никак не связано с тем, что я перенёс проксю с масдайного ISA-Server`a >> (который без проблем запрашивал другой логин с паролем, если ему не >> подходил тот, который по-умолчанию выдавал ему IE, т.е. логин и пароль >я еще раз говорю, "пароль подходит" и "доступ разрешен" это вещи >существенно >ортогональные. Спасибо, это я уже понял. :) >> 1) почему при использовании ISA-server`a переспрос логина и пароля имеет >> место быть, а при использовании линухового squid`a теоретически! нет >> такой >> возможности? >Вы мой пример с боссом и порносайтом разобрали? должен ли сквид >переспросить у >пользователя (если он не босс) пароль только потому (!) что этому >пользователю не >разрешено ходить на определенный сайт? Да. разобрал. Изначально не должен, но заставить его, наверное, как то можно? >если ISA так делает, это его личные проблемы. Согласен, но делает он это, по крайней мере в моей ситуации, очень удобно. >> 0,5) практически!!!, при использовании линухового squid`a на одном компе >> из >> пяти переспрос пароля таки идёт!!! >это бага. запроса не должно быть. Спорный вопрос. Кстати, вот как выглядит лог сквида при попытке получить инет с компа где запрос на логин с паролем в IE выдаётся: 1112165079.847 4 192.168.1.63 TCP_DENIED/407 1744 GET http://www.rrnn.ru/ - NONE/- text/html 1112165079.860 12 192.168.1.63 TCP_MISS/200 613 GET http://www.rrnn.ru/ main\kukina DIRECT/213.177.117.210 text/html А вот как выглядит лог сквида при попытке получить инет с компа где запрос на логин с паролем в IE НЕ выдаётся: 1112165121.629 1 192.168.1.100 TCP_DENIED/407 1756 GET http://www.gismeteo.ru/ - NONE/- text/html 1112165121.804 4 192.168.1.100 TCP_DENIED/407 1756 GET http://www.gismeteo.ru/ - NONE/- text/html 1112165121.811 6 192.168.1.100 TCP_DENIED/403 1398 GET http://www.gismeteo.ru/ main\radio7 NONE/- text/html Вроде бы ничего странного? С уважением, Овечкин Влад.