From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <nick.grechukh@bigmir.net>
Date: Fri, 25 Mar 2005 08:30:11 +0200
From: "Nick S. Grechukh" <ngrechukh@ua.fm>
To: community@altlinux.ru
Subject: Re: [Comm] =?koi8-r?B?8NLPwszFzdkg0yDB1dTF?=
	=?koi8-r?B?ztTJxsnLwcPJz87O2c3JIM3FyMHOydrNwc3JINMgc3F1aWRgxQ==?=
Message-ID: <20050325063011.GA7692@hplc133.office.tdo.com.ua>
References: <20050324134117.GB1064@hplc133.office.tdo.com.ua>
	<002301c5310b$16a6ab30$2101a8c0@main.radio>
Mime-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <002301c5310b$16a6ab30$2101a8c0@main.radio>
Sender: "Nick S. Grechukh" <nick.grechukh@bigmir.net>
X-Virus-Scanned: ClamAV version 0.82,
	clamav-milter version 0.82 on flash.zp.ukrtel.net
X-Virus-Status: Clean
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.1.5
Precedence: list
Reply-To: community@altlinux.ru
List-Id: Mailing list for ALT Linux users <community.altlinux.ru>
List-Unsubscribe: <https://lists.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://lists.altlinux.ru/pipermail/community>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <https://lists.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
X-List-Received-Date: Fri, 25 Mar 2005 08:21:27 -0000
X-List-Received-Date: Fri, 25 Mar 2005 08:21:27 -0000
Archived-At: <http://lore.altlinux.org/community/20050325063011.GA7692@hplc133.office.tdo.com.ua/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

On Fri, Mar 25, 2005 at 10:20:14AM +0300, Овечкин Влад wrote:
> >имхо это неправильно. низзя - значит низзя, и нефиг пароли перебирать.
> >с теми данными, которые получены по ntlm - юзер как минимум смог
> >залогиниться в систему. следовательно они корректны, просто доступ
> >запрещен.
    ^^^^^^^^^^^^^^ 
> >отрицательно смотрю. сквид можно настроить по всякому, окошко с паролем -
> >это схема basic, а какой *-auth для нее используется - вопрос отдельный.
> Не спорю, окошко - это basic, но: если не прошла ntlm-аутентификация, 

аутентификация - прошла. т.е. логин и пароль проверены сервером (то бишь
PDC) и получен положительный ответ. proxy_auth отработал. так случилось,
что был использован механизм ntlm.
теперь имя пользователя уже известно, и в игру вступают acl, которые
говорят что deny. все.
(btw, запрет где стоит, в http_acess или proxy_auth?)

> почему не выдаётся окно на другую - basic аутентификацию???

попробуйте оставить только basic и убедитесь, что вручную войдя как
rabotniki  с правильным паролем человек получит access denied. окошко не
появится второй раз.
а Вы хотите, чтобы найдя http_access deny сквид любезно переспрашивал имя
пользователя :-). несмотря на то что deny может быть по разным причинам,
например 
http_access allow some_porno_site boss
http_access deny some_porno_site 
http_access allow authenticated_users
должен ли здесь сквид предложить войти под логином босса?