Re: Conf Squid para não pedir senha no browse r - outra duvida
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On 10-10-2007 10:47, Pedro Debian wrote: Banca o material de autenticação com o samba. Fiz algumas pesquisas sobre o tema, mas não achei material mais afundo se existe alguma maneira de fazer SSO diretamente entre o squid e o Ldap. Não confunda as coisas, SSO é um conceito, não um produto. Vc saberia me dizer se existe esta possibilidade? Se existir vc tem alguma material ou indica algum para eu poder analisar? Sim, você pode fazer o Squid autenticar diretamente no LDAP usando o ldap_auth, há diversos documentos na lista e no FAQ do Squid que detalham isso. Abraço, - -- Felipe Augusto van de Wiel (faw) Debian. Freedom to code. Code to freedom! -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFHDinfCjAO0JDlykYRAnTuAJ9yGfEMvElQH6AsLFR3jJpehM2LjQCg1BGs 898Yiju/z4gkgqA7pyKtU8w= =8W/e -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Conf Squid para não pedir senha no browse r - outra duvida
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On 10-10-2007 11:40, Edson Marquezani Filho wrote: Uma dúvida que sempre tive: tem como fazer o squid autenticar num kerberos ? Não, o Squid _ainda_ não tem um autenticador que fale direto com o Kerberos, embora seja possível usá-lo indiretamente para autenticação via NTLM ou Negotiate (especialmente no Squid3). Eu gostaria de implementar um esquema SSO desses, pra depois usar com outros serviços, mas receio que a integração de outros softwares com Kerberos seja limitada. Sim, nem todos usam Kerberos, clientes de e-mail também costumam ser um problema, mas é possível cobrir boa parte dos serviços. Por exemplo, num esquema de PDC com LDAP, e outros serviços na rede, primeiro teria que fazer a integração Kerberos+LDAP e depois Samba+Kerberos, e Squid+Kerberos, e por aí vai. Seria isso ? Há mais de uma abordagem, mas a idéia central é essa. Isso é praticável ? Sim. Disseram-me já que o melhor seria usar SASL com Kerberos, porque SASL é muito mais aceito pelas aplicações em geral. Como ficaria nesse caso ? Sim, SASL tem sido a grande paixão em termos de autenticação, há quem não goste e nem sempre ela é necessária, há quem a ame e use até SASL até para fazer café. Abraço, - -- Felipe Augusto van de Wiel (faw) Debian. Freedom to code. Code to freedom! -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFHDisDCjAO0JDlykYRAmdjAKCInpkUxDmpMy/M8DlEXiU/x2jEsgCgu32T sURpWo03u10WG8zeUyU/JLY= =6dfz -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Conf Squid para não pedir senha no browse r - outra duvida
Felipe Augusto van de Wiel (faw) escreveu: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On 10-10-2007 10:47, Pedro Debian wrote: Banca o material de autenticação com o samba. Fiz algumas pesquisas sobre o tema, mas não achei material mais afundo se existe alguma maneira de fazer SSO diretamente entre o squid e o Ldap. Não confunda as coisas, SSO é um conceito, não um produto. Vc saberia me dizer se existe esta possibilidade? Se existir vc tem alguma material ou indica algum para eu poder analisar? Sim, você pode fazer o Squid autenticar diretamente no LDAP usando o ldap_auth, há diversos documentos na lista e no FAQ do Squid que detalham isso. Eu já consegui fazer o squid autenticar usando o LDAP, no entanto ao abrir o browser é solicitada a senha do usuário. Vc tem algum material que já tenha usado para que eu passo passar por esta autenticação de forma automática sem precisar digitar a senha novamente, usando preferencialmente o LDAP? Me indicaram usar NTLM, mas para isso tenho que instalar o samba e configurar-lo para autenticar no meu PDC que usa o LDAP. Então... se houver uma maneira de autenticar o usuário diretamente nele, eu evito os intermediários. Desde já muito obrigado Pedro Abraço, - -- Felipe Augusto van de Wiel (faw) Debian. Freedom to code. Code to freedom! -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFHDinfCjAO0JDlykYRAnTuAJ9yGfEMvElQH6AsLFR3jJpehM2LjQCg1BGs 898Yiju/z4gkgqA7pyKtU8w= =8W/e -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Conf Squid para não pedir senha no browse r - outra duvida
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On 11-10-2007 11:12, Pedro Debian wrote: Eu já consegui fazer o squid autenticar usando o LDAP, no entanto ao abrir o browser é solicitada a senha do usuário. Vc tem algum material que já tenha usado para que eu passo passar por esta autenticação de forma automática sem precisar digitar a senha novamente, usando preferencialmente o LDAP? Ok, vamos tentar de novo. SSO é um conceito e para tanto há diversos passos que precisam ser seguidos para atingí-lo, o LDAP é um repositório de informações, para fazer o que você quer com Squid e LDAP você precisa de um tipo de cache de senhas ou sistema de persistência que permita dizer: fulano de tal já está autenticado, _não_ o LDAP _não_ faz isso, quem faz isso são ferramentas como o Kerberos ou um sistema como Samba Authenticated HOWTO. O LDAP é o backend, o cara nos bastidores compartilhando informações de forma consistente entre vários serviços, no primeiro e-mail que mandei nesta thread eu mandei o link sobre como fazer para o seu navegador não pedir senha. Me indicaram usar NTLM, mas para isso tenho que instalar o samba e configurar-lo para autenticar no meu PDC que usa o LDAP. Então... se houver uma maneira de autenticar o usuário diretamente nele, eu evito os intermediários. Se você não tem Samba, então você precisa de algo como Kerberos para fazer uso dos tickets compartilhados e permitir a persistência das informações, só que a autenticação NTLM ou Negotiate são melhores no Squid3. Não há um Tutorial e/ou HOWTO para fazer isso em 10 passos simples, é preciso saber como você usa sua base LDAP, quais serviços estão em produção, quais objetos são usados, qual o perfil dos clientes, como você quer que o SSO opere e assim por diante. Há scripts shell que fazem o truque de adicionar um IP mais nome de usuário há um arquivo texto, usando a limitação de uma autenticação por usuário-máquina, você pode mudar o autenticador e escrever um script shell para alcançar o SSO, mas até hoje eu vi isso dar vários problemas em situações que seus usuários vivem criando. Parece que há plugins para navegadores suportarem outros tipos de autenticação (e você pode salvar a senha nesse sentido de não ter que digitá-la novamente). O pessoal fala bastante do pGina, que pode ser outra alternativa a ser considerada. Mas essa é a hora de abaixar suas expectativa, esta é a parte difícil, Kerberos, LDAP, SASL, Squid, navegadores ainda não estão 100% integrados e ainda compõem o desafio do dia-a-dia de manter o balanço dos recursos e serviços funcionando. Em outras palavras, vai dar algum trabalho montar todas as peças do seu quebra-cabeças pois não há uma receita de bolo. Abraço, - -- Felipe Augusto van de Wiel (faw) Debian. Freedom to code. Code to freedom! -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFHDjixCjAO0JDlykYRAnBZAJ90a1xqbxsuNbhmTSJeh3GcuLFzmwCeLdEg 0k3xF0MFy9fpCj+R9cUI9T0= =uTwE -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Conf Squid para não pedir senha no browse r - outra duvida
Felipe Augusto van de Wiel (faw) escreveu: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On 11-10-2007 11:12, Pedro Debian wrote: Eu já consegui fazer o squid autenticar usando o LDAP, no entanto ao abrir o browser é solicitada a senha do usuário. Vc tem algum material que já tenha usado para que eu passo passar por esta autenticação de forma automática sem precisar digitar a senha novamente, usando preferencialmente o LDAP? Ok, vamos tentar de novo. SSO é um conceito e para tanto há diversos passos que precisam ser seguidos para atingí-lo, o LDAP é um repositório de informações, para fazer o que você quer com Squid e LDAP você precisa de um tipo de cache de senhas ou sistema de persistência que permita dizer: fulano de tal já está autenticado, _não_ o LDAP _não_ faz isso, quem faz isso são ferramentas como o Kerberos ou um sistema como Samba Authenticated HOWTO. O LDAP é o backend, o cara nos bastidores compartilhando informações de forma consistente entre vários serviços, no primeiro e-mail que mandei nesta thread eu mandei o link sobre como fazer para o seu navegador não pedir senha. Me indicaram usar NTLM, mas para isso tenho que instalar o samba e configurar-lo para autenticar no meu PDC que usa o LDAP. Então... se houver uma maneira de autenticar o usuário diretamente nele, eu evito os intermediários. Se você não tem Samba, então você precisa de algo como Kerberos para fazer uso dos tickets compartilhados e permitir a persistência das informações, só que a autenticação NTLM ou Negotiate são melhores no Squid3. Não há um Tutorial e/ou HOWTO para fazer isso em 10 passos simples, é preciso saber como você usa sua base LDAP, quais serviços estão em produção, quais objetos são usados, qual o perfil dos clientes, como você quer que o SSO opere e assim por diante. Há scripts shell que fazem o truque de adicionar um IP mais nome de usuário há um arquivo texto, usando a limitação de uma autenticação por usuário-máquina, você pode mudar o autenticador e escrever um script shell para alcançar o SSO, mas até hoje eu vi isso dar vários problemas em situações que seus usuários vivem criando. Parece que há plugins para navegadores suportarem outros tipos de autenticação (e você pode salvar a senha nesse sentido de não ter que digitá-la novamente). O pessoal fala bastante do pGina, que pode ser outra alternativa a ser considerada. Mas essa é a hora de abaixar suas expectativa, esta é a parte difícil, Kerberos, LDAP, SASL, Squid, navegadores ainda não estão 100% integrados e ainda compõem o desafio do dia-a-dia de manter o balanço dos recursos e serviços funcionando. Em outras palavras, vai dar algum trabalho montar todas as peças do seu quebra-cabeças pois não há uma receita de bolo. Abraço, - -- Felipe Augusto van de Wiel (faw) Debian. Freedom to code. Code to freedom! -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFHDjixCjAO0JDlykYRAnBZAJ90a1xqbxsuNbhmTSJeh3GcuLFzmwCeLdEg 0k3xF0MFy9fpCj+R9cUI9T0= =uTwE -END PGP SIGNATURE- Olá Felipe, Obrigado pelas explicações. No material que peguei sobre o uso do LDAP no qual me baseei para implantar o ambiente de teste sobre o qual estou trabalhando, não tinham informações a reste respeito, mas agora pelo menos sei qual o caminho deverei seguir para equacionar este problema. Obrigado pelas dicas, Abraço Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Conf Squid para não pedir senha no browse r - outra duvida
Felipe Augusto van de Wiel (faw) escreveu: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On 09-10-2007 17:15, Pedro Debian wrote: Olá pessoal, Estou trabalhando com o Squid 2.6 autenticando os usuários com minha base LDAP. Está tudo funcionando legal, mas gostaria de saber se já que o squid usa a mesma base que os usuários utilizam para fazer logon na rede para acessar a internet, existe alguma maneira de fazer com o que o sistema se autentique sem precisar pedir usuário se senha toda vez que o usuário abre o browser Se alguém puder dar uma força desde já eu agradeço. Sim, se chama Single-Sign-On (SSO), você vai encontrar diversos artigos e referência sobre como implementá-lo de diferentes formas. Uma delas é usar Kerberos, a outra, mais especificamente ligada ao Samba, é utilizar o Samba Authenticated HOWTO: http://www.tldp.org/HOWTO/Samba-Authenticated-Gateway-HOWTO.html Abraço, - -- Felipe Augusto van de Wiel (faw) Debian. Freedom to code. Code to freedom! -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFHC+8vCjAO0JDlykYRAgW+AJ9SfwfjWVq1VI9wqLSsE2SQUzh+3ACghuBg gMvZcsRgnYorWsmh4YnK4DU= =yuMR -END PGP SIGNATURE- Olá Felipe, Banca o material de autenticação com o samba. Fiz algumas pesquisas sobre o tema, mas não achei material mais afundo se existe alguma maneira de fazer SSO diretamente entre o squid e o Ldap. Vc saberia me dizer se existe esta possibilidade? Se existir vc tem alguma material ou indica algum para eu poder analisar? Desde já muito obrigado. Abraço, Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]