Hello, On Mon, Nov 06, 2017 at 10:19:05PM +0100, Norbert Vastagh wrote: > Sziasztok! > > Megkerestek egy megoldandó feladattal, de mielőtt beleölnék sok > időt a megoldás felkutatásába, gondoltam megkérdezem, hogy > megoldható-e egyáltalán a dolog? ;-) > > Amit szeretne az ügyfél: a domain-be bejelentkezett felhasználóinak > a felhasználói nevük alapján különböző szűréseket beállítani a linux > proxy szerveren. > > Ez volt a nagyon rövid felvázolása a dolognak ;-) > > Egyelőre domain sincs, és még az is képlékeny, hogy Windows, vagy > linux lesz, mint ahogy az is, hogy kell-e AD, vagy csak egy sima NT4 > DC, ha jól mondom (keverem néha a fogalmakat) Szóval annyiban > talán egyszerűbb a helyzet, hogy lehet a proxy masinán a samba is, > ha az úgy előnyösebb! > A munkaállomásokon egyelőre Win7 van, és szerintem még maradi is > egy ideig. > > Ennél konkrétabbat még nem tudom, hogy mennyire bonyolult szabályokat > akart a tulaj, de annyi biztosan nem lesz elég, hogy aki bejelentkezett, annak > mehet az internet, aki nem, annak meg nem...
a szabályok bonyolúltsága ráér később, a kérdés első körben inkább az, hogy lesz kötelező domain, vagy nem, ill milyen más policy ötlet van még, pl böngésző használat, ... > Merre induljak el? És érdemes-e egyáltalán, vagy felejtse el a dolgot? Nem kell elfelejteni, megoldható. Ha van Windows domain, akkor használhatsz ntlm_auth-ot, ez része a Squid forrásnak és csomagnak is. Ehhez a Squid-et futtató gépet domainbe kell léptetni (windbind). Előnye, hogy Windows kliensek használata esetén ha MS böngészőt használnak, akkor nem kell külön auth. Más esetben (nem domain tag a kliens, nem Edge/Explorer fut) vagy emulálni kell az NTLM-et (böngésző extension), vagy a Squid-nek kell egy Basic Auth metódust is beállítani, ami lehet valamilyen digest alapú (ekkor a jelszó titkosítva lesz a hálón, de plaintext-ben kell tárolnod), vagy plaintext auth (ekkor SSL-t is használhatsz), és a jelszavak hash-elve lesznek. Ha nem akarsz domainbe léptetést meg egyéb szép mókát, és az AD ad LDAP-ot is (találkoztam olyannal, ahol nem volt elérhető az AD LDAP-on policy miatt), akkor Basic Ldap Auth, és mindenkinek egységes lesz az authentikáció, ami a domain user/jelsző lesz. A nem domain tagok/nem Edge/Explorer kérdés nem ennyire egyszerű, mert lehet olyan eszköz, ami soha nem lesz domain tag, pl mobiltelefon, tablet, stb... Ezeket a számokat ismerni kell, és felmérni, hogy megéri-e az NTLM-el próbálkozni csak azért, hogy ne legyen bejelentkező ablak :). a. _________________________________________________ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
