[Comm] Проблемы с аутентификационными механизмами с squid`е

[Nick S. Grechukh]

On Thu, Mar 24, 2005 at 05:59:05PM +0300, Овечкин Влад wrote:
> >все правильно, afaiR ntlm для того и предназначен чтобы входить не 
> >спрашивая пароль. любое другое его поведение неоднократно обсуждалось в 
> >контексте "а почему не работает как надо" ;-)
> А как топик называется можно узнать? Поиском не нашёл:(
трудно сказать. но смысл в том что ntlm предназначен для того чтобы пароль не
запрашивался а useragent входил c ms netlogon credentialами. однако у
некоторых он не работает как должен. у вас наоборот ;-)
> >я бы ntlm выкинул. зато basic аутентификация - то что надо, только ей
> >нужно правильно объяснить источник паролей. для этого есть разные штуки, 
> >например msnt_auth. или wb_auth, я использовал его.
> С wb_auth я знаком, а вот что за зверь msnt_auth? В чём принципиальное 
> отличие?
как я понял, он не винбиндом работает, а в его конфиге указываются
ms-сервера авторизации. видимо, ему и самба не нужна.
поковыряйтесь в /usr/lib/squid/ и /usr/share/doc/squid-*/, там
есть пример msntauth.conf.
> И ещё маленький вопросик: если использовать микрософтский ISA-server, 
> который использует ntlm-аутентификацию, получается так: если не проходит 
> логин с паролем по ntlm,  пользователю выдаётся окошечко с просьбой ввести 
> другой логин и пароль. 
имхо это неправильно. низзя - значит низзя, и нефиг пароли перебирать.
с теми данными, которые получены по ntlm - юзер как минимум смог
залогиниться в систему. следовательно они корректны, просто доступ
запрещен. 
> Сквид действует примерно также, только одно НО: не 
> более чем на одном компе... А для ISA - без разницы. Как вы на эт осмотрите?
отрицательно смотрю. сквид можно настроить по всякому, окошко с паролем -
это схема basic, а какой *-auth для нее используется - вопрос отдельный.