From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <test@rrnn.ru>
Message-ID: <019601c5346e$87871130$2101a8c0@main.radio>
From: =?koi8-r?B?79fF3svJziD3zMHE?= <test@rrnn.ru>
To: <community@altlinux.ru>
References: <20050325094943.GA8729@hplc133.office.tdo.com.ua><001e01c531f8$61391af0$2101a8c0@main.radio>
	<20050328095220.GB13729@hplc133.office.tdo.com.ua>
Subject: =?koi8-r?B?UmU6IFtDb21tXSDw0s/CzMXN2SDTIMHV1MXO1MnGycvBw8nPzs7ZzQ==?=
	=?koi8-r?B?ySDNxcjBzsnazcHNySDTIHNxdWlkYMU=?=
Date: Tue, 29 Mar 2005 18:49:36 +0400
MIME-Version: 1.0
Content-Type: text/plain; format=flowed; charset="koi8-r"; reply-type=original
Content-Transfer-Encoding: 8bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
X-OriginalArrivalTime: 29 Mar 2005 14:49:37.0243 (UTC)
	FILETIME=[8763AAB0:01C5346E]
X-Virus-Scanned: ClamAV 0.80/670/Mon Jan 17 02:47:22 2005
	clamav-milter version 0.80j on vh1.rrnn.ru
X-Virus-Status: Clean
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.1.5
Precedence: list
Reply-To: community@altlinux.ru
List-Id: Mailing list for ALT Linux users <community.altlinux.ru>
List-Unsubscribe: <https://lists.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://lists.altlinux.ru/pipermail/community>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <https://lists.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
X-List-Received-Date: Tue, 29 Mar 2005 14:49:38 -0000
Archived-At: <http://lore.altlinux.org/community/019601c5346e$87871130$2101a8c0@main.radio/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

----- Original Message ----- 
From: "Nick S. Grechukh" <ngrechukh@ua.fm>
To: <community@altlinux.ru>
Sent: Monday, March 28, 2005 1:52 PM
Subject: Re: [Comm] Проблемы с аутентификационными механизмами с squid`е

> правильно, для boss (опознанного либо через ntlm, либо basic) покажет
> сайт.
> я имел в виду для любого другого пользователя.
> НЕ предложит ввести новое имя и пароль, потому что пользователь уже
> опознан, просто ему запрещено.
> что-то мне подсказывает что у Вас примерно то же самое происходит.
> чтобы переспрашивало логин - отклонять rabotniki должен сам модуль
> аутентификации. почему я и предлагаю решение, возможно кривое - сделать
> для этого скрипт и сообщать сквиду что аутентификация не прошла, всегда,
> кроме отдельных случаев.


После внимательного перечитывания месаг и многодневного напряжения извилин,
до меня вроде кое-что дошло.
1. Если я хочу, чтобы пароль запрашивался у всех и каждый раз(галочку
сохранить пароль в расчёт не берём), то использую basic-ntlm или же
basic-ncsa и только.
2. Если я хочу, чтобы пароль не запрашивался вовсе (для пользователей IE,
Mozilla FireFox и Miranda), то использую обычный ntlm и только.
3. Если я хочу, чтобы и поклонники Opera могли путешествовать по инету
вместе с пользователями IE и Mozilla FireFox, а поклонники SIM общаться
сдрузьями, вместе с пользователями Miranda, то использую связку "обычный
ntlm(для IE, Mozilla FireFox и Miranda) + basic-ntlm или -ncsa(для Opera и
SIM)".

Далее самое интересное.

4. Если я хочу, чтобы 5 человек входили на 5 компов в домене под одним
логином, а в инет мог вылезти только самый главный бугор из них со своим
персональным логином и паролем для прокси (причём с любого компа из этих
пяти), то мне надо сносить впаянный в каждую масдайку IE, ставить Opera,
которая не работает с ntlm-аутентификацией, и потратить некоторое время на
переубеждение пользователей, что замена их любимого броузера IE на Opera
никак не связано с тем, что я перенёс проксю с масдайного ISA-Server`a
(который без проблем запрашивал другой логин с паролем, если ему не подходил
тот, который по-умолчанию выдавал ему IE, т.е. логин и пароль учётной записи
пользователя в домене) на линуховый squid (котрый отказывается это делать).
И самое главное - это придумать грамотный отмаз, по-поводу того, почему на
одном компе из пяти squid таки переспрашивает логин с паролем при идентичных
настройках браузеров на всех пяти компах.

Ну здесь же явно что-то не сходится!!! Конечно, теоретически, на линуховой
проксе всё происходит вроде бы правильно. Пользователь проходит
аутентификацию посредством ntlm или ncsa, а прокся уже решает - пускать ли
этого пользователя или нет - может у него, к примеру, кончился лимит или,
вообще, в доступе к проксе отказано. Вот тут то и возникают снова 1,5
вопроса:
1) почему при использовании ISA-server`a переспрос логина и пароля имеет
место быть, а при использовании линухового squid`a теоретически! нет такой
возможности?
0,5) практически!!!, при использовании линухового squid`a на одном компе из
пяти переспрос пароля таки идёт!!!

Какие есть мысли по этому поводу?
С уважением,
Овечкин Влад.