From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-ID: <019601c5346e$87871130$2101a8c0@main.radio> From: =?koi8-r?B?79fF3svJziD3zMHE?= To: References: <20050325094943.GA8729@hplc133.office.tdo.com.ua><001e01c531f8$61391af0$2101a8c0@main.radio> <20050328095220.GB13729@hplc133.office.tdo.com.ua> Subject: =?koi8-r?B?UmU6IFtDb21tXSDw0s/CzMXN2SDTIMHV1MXO1MnGycvBw8nPzs7ZzQ==?= =?koi8-r?B?ySDNxcjBzsnazcHNySDTIHNxdWlkYMU=?= Date: Tue, 29 Mar 2005 18:49:36 +0400 MIME-Version: 1.0 Content-Type: text/plain; format=flowed; charset="koi8-r"; reply-type=original Content-Transfer-Encoding: 8bit X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2900.2180 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180 X-OriginalArrivalTime: 29 Mar 2005 14:49:37.0243 (UTC) FILETIME=[8763AAB0:01C5346E] X-Virus-Scanned: ClamAV 0.80/670/Mon Jan 17 02:47:22 2005 clamav-milter version 0.80j on vh1.rrnn.ru X-Virus-Status: Clean X-BeenThere: community@altlinux.ru X-Mailman-Version: 2.1.5 Precedence: list Reply-To: community@altlinux.ru List-Id: Mailing list for ALT Linux users List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Tue, 29 Mar 2005 14:49:38 -0000 Archived-At: List-Archive: List-Post: ----- Original Message ----- From: "Nick S. Grechukh" To: Sent: Monday, March 28, 2005 1:52 PM Subject: Re: [Comm] Проблемы с аутентификационными механизмами с squid`е > правильно, для boss (опознанного либо через ntlm, либо basic) покажет > сайт. > я имел в виду для любого другого пользователя. > НЕ предложит ввести новое имя и пароль, потому что пользователь уже > опознан, просто ему запрещено. > что-то мне подсказывает что у Вас примерно то же самое происходит. > чтобы переспрашивало логин - отклонять rabotniki должен сам модуль > аутентификации. почему я и предлагаю решение, возможно кривое - сделать > для этого скрипт и сообщать сквиду что аутентификация не прошла, всегда, > кроме отдельных случаев. После внимательного перечитывания месаг и многодневного напряжения извилин, до меня вроде кое-что дошло. 1. Если я хочу, чтобы пароль запрашивался у всех и каждый раз(галочку сохранить пароль в расчёт не берём), то использую basic-ntlm или же basic-ncsa и только. 2. Если я хочу, чтобы пароль не запрашивался вовсе (для пользователей IE, Mozilla FireFox и Miranda), то использую обычный ntlm и только. 3. Если я хочу, чтобы и поклонники Opera могли путешествовать по инету вместе с пользователями IE и Mozilla FireFox, а поклонники SIM общаться сдрузьями, вместе с пользователями Miranda, то использую связку "обычный ntlm(для IE, Mozilla FireFox и Miranda) + basic-ntlm или -ncsa(для Opera и SIM)". Далее самое интересное. 4. Если я хочу, чтобы 5 человек входили на 5 компов в домене под одним логином, а в инет мог вылезти только самый главный бугор из них со своим персональным логином и паролем для прокси (причём с любого компа из этих пяти), то мне надо сносить впаянный в каждую масдайку IE, ставить Opera, которая не работает с ntlm-аутентификацией, и потратить некоторое время на переубеждение пользователей, что замена их любимого броузера IE на Opera никак не связано с тем, что я перенёс проксю с масдайного ISA-Server`a (который без проблем запрашивал другой логин с паролем, если ему не подходил тот, который по-умолчанию выдавал ему IE, т.е. логин и пароль учётной записи пользователя в домене) на линуховый squid (котрый отказывается это делать). И самое главное - это придумать грамотный отмаз, по-поводу того, почему на одном компе из пяти squid таки переспрашивает логин с паролем при идентичных настройках браузеров на всех пяти компах. Ну здесь же явно что-то не сходится!!! Конечно, теоретически, на линуховой проксе всё происходит вроде бы правильно. Пользователь проходит аутентификацию посредством ntlm или ncsa, а прокся уже решает - пускать ли этого пользователя или нет - может у него, к примеру, кончился лимит или, вообще, в доступе к проксе отказано. Вот тут то и возникают снова 1,5 вопроса: 1) почему при использовании ISA-server`a переспрос логина и пароля имеет место быть, а при использовании линухового squid`a теоретически! нет такой возможности? 0,5) практически!!!, при использовании линухового squid`a на одном компе из пяти переспрос пароля таки идёт!!! Какие есть мысли по этому поводу? С уважением, Овечкин Влад.