Re: Re: Squid Ldap

От: Alexander V Alekseev <CGatePro_at_mx_ru>
Дата: Mon 31 May 2004 - 10:36:38 MSD

                Hello!

On Sat, 29 May 2004 CGatePro@mx.ru wrote:

> Почему SEARCH-то? К Вам приходят и говорят "Я Вася, у меня то-то и то-то".
> Вы что, действительно будете искать Васю по всем сусекам, или просто
> подойдете к шкафу с надписью "Васи", откроете его, и вытащите карточку с
> надписью "Вася"?
>
> Откуда тут берется какой-то SEARCH?!

        Вот только что посмотрел RFC-2251 . Нашел там операции BIND, UNBIND, SEARCH, Modify, Add, Delete, Compare, Abandon и ExtendedRequest. Если SEARCH пользоваться нельзя, то как получить данные? (Что DN однозначно определяет одну запись - это понятно.)

> Давайте конкретный пример. Если речь идет, скажем, о DIGEST-MD5, то там
> происходит следующее:
> а) клиент дает запрос.
> б) его посылают на, передавая в качестве параметра тип поддерживаемой
> аутентификации (DIGEST, например) и реалм.
> б) клиент перепосылает запрос с хедером "Authorize" или каким другим (от
> протокола зависит) и с параметрами типа
> realm="www.mydomain",username=zzzz,algorithm=xxxx,....

        Понятно. Идея интересная. Я об этом как-то не подумал.

> На что Ваш прокси суетсся в LDAP, с командой BIND, с параметром 3 (SASL) и
> типом аутентикации DIGEST-MD5. Cервер ему отвечает с неким challenge.
> Который надо разобрать, и ответить клиенту с кодом 401, и с хедером,
> содержащим разобранные параметры. На что браузер еще раз перепошлет запрос,
> с еше большим набором параметров хедера Authenticate. Их надо разобрать, и
> переупаковать в формат, требуемый LDAP и ответить серверу на его challenge с
> этими параметрами. На что сервер ответит LDAP response с да/нет, и еще,
> кстати, добавит дополнитеьно один ответ - его тоже надо получить, сделав
> одну client-server transaction.
>
> Для того, чтобы это все представить наглядно, возьмите нормальный IMAP
> клиент, который поддерживает DIGEST-MD5, и попробуйте залогиниться.
> Посмотрите, что так кто передает.
>
> Потом попробуйте залогиниться на сервер через HTTP (WebAdmin, например),
> когда включено "Advertise Digest" в OBSUCURE settings. Посмотрите, как
> рабоет это.
>
> Потом попробуйте написать прокси из HTTP в IMAP для аутнентификации,
> используя DIGEST-MD5. Когда получится, попробуйте переписать, используя LDAP
> вместо IMAP.
        Спасибо, попробую.

        Bye. Alex. 

--
Получено Mon May 31 06:37:28 2004

Этот архив был сгенерирован hypermail 2.1.8 : Fri 24 Apr 2015 - 16:13:06 MSK