Вики IT-KB

Пошаговые руководства, шпаргалки, полезные ссылки...

Инструменты пользователя

Инструменты сайта


squid:squid-auth-helper-basic_pam_auth-for-active-directory-domain-users-authentication-via-pam-service-with-sssd

Различия

Показаны различия между двумя версиями страницы.

Ссылка на это сравнение

Предыдущая версия справа и слеваПредыдущая версия
Следующая версия
Предыдущая версия
squid:squid-auth-helper-basic_pam_auth-for-active-directory-domain-users-authentication-via-pam-service-with-sssd [19.03.2017 11:42] Алексей Максимовsquid:squid-auth-helper-basic_pam_auth-for-active-directory-domain-users-authentication-via-pam-service-with-sssd [05.06.2020 11:10] (текущий) Алексей Максимов
Строка 1: Строка 1:
 ===== Xелпер basic_pam_auth для аутентификации пользователей Active Directory через связку PAM с SSSD ===== ===== Xелпер basic_pam_auth для аутентификации пользователей Active Directory через связку PAM с SSSD =====
  
-У прокси-сервера **Squid** имеется целый ряд программ "хелперов", обеспечивающих разные механизмы аутентификации. +{{:squid:pasted:20170319-115959.png }} У прокси-сервера **Squid** имеется целый ряд программ "хелперов", обеспечивающих разные механизмы аутентификации. 
 В большинстве случаев используются хелперы, обеспечивающие безопасные способы аутентификации, например **ntlm_auth** или **negotiate_kerberos_auth**, так как эти хелперы позволяют защитить передаваемые по сети учётные данные аутентифицируемых на прокси пользователей. Однако в любой ИТ инфраструктуре найдутся какие-то приложения, которые вынуждают администраторов дополнительно включать на Squid поддержку **Basic**-аутентификации. Мало того, что Basic-аутентификация сама по себе является небезопасным способом аутентификации, так как учётные данные аутентифицируемого на прокси пользователя передаются по сети в открытом виде, так ещё и большинство хелперов Basic-аутентификации, имеющихся в Squid, для подключения к удалённым системам хранения учётных данных используют незащищённые протоколы. В большинстве случаев используются хелперы, обеспечивающие безопасные способы аутентификации, например **ntlm_auth** или **negotiate_kerberos_auth**, так как эти хелперы позволяют защитить передаваемые по сети учётные данные аутентифицируемых на прокси пользователей. Однако в любой ИТ инфраструктуре найдутся какие-то приложения, которые вынуждают администраторов дополнительно включать на Squid поддержку **Basic**-аутентификации. Мало того, что Basic-аутентификация сама по себе является небезопасным способом аутентификации, так как учётные данные аутентифицируемого на прокси пользователя передаются по сети в открытом виде, так ещё и большинство хелперов Basic-аутентификации, имеющихся в Squid, для подключения к удалённым системам хранения учётных данных используют незащищённые протоколы.
      
Строка 40: Строка 40:
 Тестируем работу хелпера, вызвав его с параметром отсечения доменной части (**-r**) и указав ему имя созданной PAM-политики (**-n**) Тестируем работу хелпера, вызвав его с параметром отсечения доменной части (**-r**) и указав ему имя созданной PAM-политики (**-n**)
  
-<code># /usr/lib/squid/basic_pam_auth -r -n "squid-sss"</code>+<code># /usr/lib/squid/basic_pam_auth -r -n "squid-sss" -o</code>
  
 После выполнения команды отправляем работающему хелперу связку имя пользователя и пароль (через пробел). При этом проверяем реакцию хелпера на разные форматы предоставления имени пользователя. После выполнения команды отправляем работающему хелперу связку имя пользователя и пароль (через пробел). При этом проверяем реакцию хелпера на разные форматы предоставления имени пользователя.
Строка 66: Строка 66:
 ### Basic authentication via PAM ### Basic authentication via PAM
 # #
-auth_param basic program /usr/lib/squid/basic_pam_auth -n squid-sss -r+auth_param basic program /usr/lib/squid/basic_pam_auth -n squid-sss -r -o
 auth_param basic children 20 auth_param basic children 20
 auth_param basic realm "Non-secure Basic authentication for Proxy Server" auth_param basic realm "Non-secure Basic authentication for Proxy Server"
squid/squid-auth-helper-basic_pam_auth-for-active-directory-domain-users-authentication-via-pam-service-with-sssd.1489912940.txt.gz · Последнее изменение: 19.03.2017 11:42 — Алексей Максимов

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki