Вики IT-KB

Пошаговые руководства, шпаргалки, полезные ссылки...

Инструменты пользователя

Инструменты сайта


squid:squid-auth-helper-basic_pam_auth-for-active-directory-domain-users-authentication-via-pam-service-with-sssd

Различия

Здесь показаны различия между двумя версиями данной страницы.

Ссылка на это сравнение

Предыдущая версия справа и слева Предыдущая версия
Следующая версия
Предыдущая версия
squid:squid-auth-helper-basic_pam_auth-for-active-directory-domain-users-authentication-via-pam-service-with-sssd [19.03.2017 11:42]
Алексей Максимов
squid:squid-auth-helper-basic_pam_auth-for-active-directory-domain-users-authentication-via-pam-service-with-sssd [05.06.2020 11:10] (текущий)
Алексей Максимов
Строка 1: Строка 1:
 ===== Xелпер basic_pam_auth для аутентификации пользователей Active Directory через связку PAM с SSSD ===== ===== Xелпер basic_pam_auth для аутентификации пользователей Active Directory через связку PAM с SSSD =====
  
-У прокси-сервера **Squid** имеется целый ряд программ "​хелперов",​ обеспечивающих разные механизмы аутентификации. ​+{{:​squid:​pasted:​20170319-115959.png }} У прокси-сервера **Squid** имеется целый ряд программ "​хелперов",​ обеспечивающих разные механизмы аутентификации. ​
 В большинстве случаев используются хелперы,​ обеспечивающие безопасные способы аутентификации,​ например **ntlm_auth** или **negotiate_kerberos_auth**,​ так как эти хелперы позволяют защитить передаваемые по сети учётные данные аутентифицируемых на прокси пользователей. Однако в любой ИТ инфраструктуре найдутся какие-то приложения,​ которые вынуждают администраторов дополнительно включать на Squid поддержку **Basic**-аутентификации. Мало того, что Basic-аутентификация сама по себе является небезопасным способом аутентификации,​ так как учётные данные аутентифицируемого на прокси пользователя передаются по сети в открытом виде, так ещё и большинство хелперов Basic-аутентификации,​ имеющихся в Squid, для подключения к удалённым системам хранения учётных данных используют незащищённые протоколы. В большинстве случаев используются хелперы,​ обеспечивающие безопасные способы аутентификации,​ например **ntlm_auth** или **negotiate_kerberos_auth**,​ так как эти хелперы позволяют защитить передаваемые по сети учётные данные аутентифицируемых на прокси пользователей. Однако в любой ИТ инфраструктуре найдутся какие-то приложения,​ которые вынуждают администраторов дополнительно включать на Squid поддержку **Basic**-аутентификации. Мало того, что Basic-аутентификация сама по себе является небезопасным способом аутентификации,​ так как учётные данные аутентифицируемого на прокси пользователя передаются по сети в открытом виде, так ещё и большинство хелперов Basic-аутентификации,​ имеющихся в Squid, для подключения к удалённым системам хранения учётных данных используют незащищённые протоколы.
   ​   ​
Строка 40: Строка 40:
 Тестируем работу хелпера,​ вызвав его с параметром отсечения доменной части (**-r**) и указав ему имя созданной PAM-политики (**-n**) Тестируем работу хелпера,​ вызвав его с параметром отсечения доменной части (**-r**) и указав ему имя созданной PAM-политики (**-n**)
  
-<​code>#​ /​usr/​lib/​squid/​basic_pam_auth -r -n "​squid-sss"</​code>​+<​code>#​ /​usr/​lib/​squid/​basic_pam_auth -r -n "​squid-sss" ​-o</​code>​
  
 После выполнения команды отправляем работающему хелперу связку имя пользователя и пароль (через пробел). При этом проверяем реакцию хелпера на разные форматы предоставления имени пользователя. После выполнения команды отправляем работающему хелперу связку имя пользователя и пароль (через пробел). При этом проверяем реакцию хелпера на разные форматы предоставления имени пользователя.
Строка 66: Строка 66:
 ### Basic authentication via PAM ### Basic authentication via PAM
 # #
-auth_param basic program /​usr/​lib/​squid/​basic_pam_auth -n squid-sss -r+auth_param basic program /​usr/​lib/​squid/​basic_pam_auth -n squid-sss -r -o
 auth_param basic children 20 auth_param basic children 20
 auth_param basic realm "​Non-secure Basic authentication for Proxy Server"​ auth_param basic realm "​Non-secure Basic authentication for Proxy Server"​

squid/squid-auth-helper-basic_pam_auth-for-active-directory-domain-users-authentication-via-pam-service-with-sssd.1489912940.txt.gz · Последние изменения: 19.03.2017 11:42 — Алексей Максимов