Hi, "Norbert Vastagh" <[email protected]> írta 2017-11-06 22:19-kor: > Merre induljak el? És érdemes-e egyáltalán, vagy felejtse el a dolgot?
Ami nekem kissé nem világos, hogy hogyan is jutna el a bejelentkezési infó a munkaállomástól a proxyig? Maga a feladat nem lehetetlen! Volt részem hasonló "építményben". Ott a windowsos hálózat (domain és munkaállomások) már adottak voltak. Emlékeim szerint a http protokollban proxy-auth -ra nincs külön megoldás. Ha meg a http auth-ot ellövöd erre, akkor hogyan tud esetleg egy üf. / munkaállomás olyan weboldalt megnézni, aminek ténylegesen kellene http auth? Ennek a feloldására a mi esetünkben (pénzügyi intézmény külsős linux-os tanácsadója voltam ebben a történetben) egy másik 3rd party-t vontunk be. Ők konfiguráltak egy Zorp-ot a squid meg a munkaállomások közé. A satyr (ejtsd: "Szatír" ;-) ) mint agent fut a munkaállomásokon. A zorp így tudja a domain credential-okat. És ezt egy picit mágiával egy saját magunk által választott custom http headerbe (X-Proxy-User, X-Proxy-Groups, vagy fene emlékszik már. Ha jól rémlik, ebben viszont rugalmas volt a http, hogy X-* -al bármit beletehetsz a fejlécbe szabadon) ezeket az infókat betette a zorp. A squid oldalán meg faragtunk egy rakás szabályt, hogy ha X csoport tagja, akkor pl. csak ebédidőben és munkaidőn kívül tud FB-t nézni, kivéve ha amúgy Y csoport tagja, akiknek munkakörük, hogy hozzáférjenek bármikor. Meg ehhez hasonlók. Pl. Z csoport tagjainak meg eleve szinte semmi net, mert nem kell a munkájukhoz, csak intranet elérés. Ez / ezek most félig-meddig fiktív példák voltak, de a miket és hogyanra adhat kiindulási támpontot. A kulcsprobléma, amit írtam: A felhasználó adatait (usernév, csoporttagságok) beletenni a http-be, hogy aztán ezek mentén a squid tudjon döntést hozni az engedélyezésről vagy annak megtagadásáról. A satyr-t illetően nem tudom fejlesztik-e még. A Zorp-osokat kell megkérdezni. Magyar csapat. Profik. Jók. Privát véleményem szerint, a piacot tekintve olcsók is! Volt már aki ezt a meglátásomat vitatta. Aztán vett szart. Drágán. Ahogy egy volt kollégám szokta volt mondani, mikor hifi témákról beszéltünk: A jót egyszer kell csak megvenni, a szart sokszor. Üdv, Gyu _________________________________________________ linux lista - [email protected] http://mlf.linux.rulez.org/mailman/listinfo/linux
