Re: Re: Squid Ldap

От: Vladimir A. Butenko <CGatePro_at_mx_ru>
Дата: Sat 29 May 2004 - 15:28:57 MSD

On Fri, 28 May 2004 18:38:12 +0400 (MSD)   <CGatePro@mx.ru> (Alexander V Alekseev) wrote:

> > Однако:
> > а) Вы можете указать BINDDN не как uid=user,cn=domain.com, а как
> > mail=user@domain.com (см. описание LDAP модуля). При этом будет

> >проверяться 

> > не userPassword из записи, а пароль account-а user@domain.com, и там

> >будут 

> > работать те же методы (CRAM-MD5, Digest-MD5, NTLM), что и для

> >"нормальных" 

> > протоколов. Даже Керберос со следующей версии должен по идее работать.
> >
> > б) Вы можете оставить BINNDN в стандартном виде uid=user,cn=domain.com,

> >но 

> > включить опцию LDAP provisioning. Тогда все обращения (создать запись,
> > удалить, обновить, переименовать, проверить пароль (BIND)) - к "хорошим"

> >DN 

> > будет превращены в запросы к аккаунту, и опять же все будет работать как

> >в 


> > других протоколах (СRAM_MD5 тоже будет работать)


> 	Стоп. Я наверное что-то не понимаю. Аутентифицируем абонента
> перед внешней (относительно CGP) системой (тот же squid). В протоколах 
> типа
> CRAM-MD5, CHAP и пр., пароль не передается. Поэтому внешняя система 
> (squid) его
> не знает, и, при всем желании, не может сделать BIND с паролем. Как здесь 
> обойтись без
> поиска?

Во-первых, при чем тут поиск? Если Вы хотите сказать, что это клиент ходит к этому squid при помощи SASL протоколов (таких как CRAM_MD5), то тогда Вам МОЖЕТ быть нужен "чистый" clear text пароль юзера, чтобы реализовать CRAM_MD5 в самом этом squid. Даже в этом случае поиск Вам не нужен, потому что Вы знаете имя пользователя, и, значит, пожете построить его DN. Сразу.

Далее, Вы можете:
а) подсоединиться к CGatePro (BIND) как администратор и вытянуть значение поля userPassword для этого DN. И релизовывать SASL самостоятельно.

б) проксировать SASL протокол с внешнего клиента в SASL протокол LDAP, используя сообщенное в начале SASL протокола имя в качестве BIND DN. (б) много красивее, но тут появляются трудности, связанные с прелестью LDAP -Вы не все SASL протоколы можете проксировать. Во-вторых, squid - это, как я понимаю, программа, работающая с HTTP. А HTTP не поддерживает SASL, это транзакционный, а не сессионный протокол. Там есть ПОХОЖИЕ на SASL вещи, но это не SASL, поэтому каждый метод надо будет проксировать по-своему. Я не знаю, почему Вы говорите о CRAM-MD5, ни один известный мне браузер его не поддерживает. А вот DIGEST-MD5 - поддерживают. Только в HTTP это DIGEST-MD5, а в SASL- это другой DIGEST-MD5, и там надо аккуратно разбираться, как проксировать. А вот NTLM (который понимает по крайней мере Explorer) можно проксировать прямо.   

> Bye. Alex.

Sincerely,
Vladimir Получено Sat May 29 11:29:01 2004