URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 85901
[ Назад ]

Исходное сообщение
"Релиз Samba 3.6.7"

Отправлено opennews , 06-Авг-12 23:05 
Представлен (http://permalink.gmane.org/gmane.network.samba.announce/258) корректирующий релиз Samba 3.6.7, в котором отмечено 18 исправлений (http://www.samba.org/samba/history/samba-3.6.7.html). Из наиболее важных изменений можно отметить поддержку сборки с CUPS 1.6, обеспечение миграции принтеров при обновлении с Samba 3.5.x, устранение проблемы с определением своих собственных групп "Domain Local".

URL: http://permalink.gmane.org/gmane.network.samba.announce/258
Новость: http://www.opennet.me/opennews/art.shtml?num=34502


Содержание

Сообщения в этом обсуждении
"Релиз Samba 3.6.7"
Отправлено ананим , 06-Авг-12 23:05 
кто-нибудь юзает 3.6.х в продакшене?

"Релиз Samba 3.6.7"
Отправлено pavlinux , 07-Авг-12 04:35 
Опупел, оно ещё релиз кандидат 1 - http://kernel.org

"Релиз Samba 3.6.7"
Отправлено Аноним , 07-Авг-12 09:18 
Тема про самбу, вообще-то...

"Релиз Samba 3.6.7"
Отправлено pavlinux , 07-Авг-12 18:38 
пилять :)

"Релиз Samba 3.6.7"
Отправлено ананим , 07-Авг-12 19:49 
если про ядро, то 3.5 кстати тоже поуберал - cifs в кернелпаник загоняет.
юзаю почти повсеместно 3.4.7 - по моим впечатлениям один из самых стабильных релизов за историю.

"Релиз Samba 3.6.7"
Отправлено ананим , 07-Авг-12 19:50 
/за историю/за историю ветки 2.6.х-3.х.х/

"Релиз Samba 3.6.7"
Отправлено Аноним , 06-Авг-12 23:22 
Ага, для сквиды в универе юзаю, полет нормальный. Сначала юзал для ад 2003, сейчас на 2008 переехали, все ок.

"Релиз Samba 3.6.7"
Отправлено x0r , 07-Авг-12 01:12 
getent passwd работает?

"Релиз Samba 3.6.7"
Отправлено ананим , 07-Авг-12 03:19 
а подробнее.
getent от нсс в первую очередь зависит. самба ему вообще-то параллельна.

"Релиз Samba 3.6.7"
Отправлено filosofem , 07-Авг-12 07:03 
Когда как. Но getent passwd username@domain или getent passwd 'domain+username' и id 'domain+username' работают исправно (с поправкой на winbind separator конечно).

"Релиз Samba 3.6.7"
Отправлено ананим , 07-Авг-12 02:06 
> Ага, для сквиды в универе юзаю

для чего простите?
напуркуа сквиду гармонь?


"Релиз Samba 3.6.7"
Отправлено Аноним , 07-Авг-12 04:39 
для авторизации в Active Directory.

"Релиз Samba 3.6.7"
Отправлено ананим , 07-Авг-12 19:46 
для этого протокола ldap хватает. http://www.opennet.me/base/net/squid_ldap_ad.txt.html
а если его НЕ хватает, то для sso ещё цербер прикручивается.

речь же шла про самбу как к средству доступа к файлам, а не как костыль к чему-то, что к протоколам cifs/smb не имеет вообще никакого отношения.


"Релиз Samba 3.6.7"
Отправлено iFRAME , 07-Авг-12 21:11 
Kerberos-авторизация (она имеется ввиду?) в исполнении Squid довольно таки кривовата. Знаем, проходили. Ушли на виндовое проприетарное решение. И не жалеем.

"Релиз Samba 3.6.7"
Отправлено filosofem , 08-Авг-12 00:47 
УМВР и Керберос и NTLM c паролем через winbind для тех кто не в AD.  Кривоваты некоторые браузеры, но и для них имеется костыль. Всего то надо доки почитать.
Кстати Samba для Kerberos аутентификации не нужна, только для NTLM.

"Релиз Samba 3.6.7"
Отправлено ананим , 08-Авг-12 01:18 
для нтлм тоже (кстати спасибо сану, запилили и подарили)

"Релиз Samba 3.6.7"
Отправлено filosofem , 08-Авг-12 02:19 
Нет, NTLM работает через winbind.
Кстати и после Kerberos аутентификации, если нужна авторизация по группам, Самба нужна.

"Релиз Samba 3.6.7"
Отправлено ананим , 08-Авг-12 09:52 
гуглите не тему kerberos sspnego squid
вот официальная вики
http://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerb...
> Pre-requisites for Active Directory integration
> Install msktutil package from http://fuhm.net/software/msktutil/ or https://code.google.com/p/msktutil/.
>or
>Install Samba

так что гон это всё. вот у лисяры http://www.lissyara.su/?id=2101 :
>В ближайшее время предстоит переход с 2003 windows server'a на 2008R2 и переход клиентов на windows 7. Я решил посмотреть как будет работать в этой ситуации старый софт. Установил под virtualbox'ом win2008,win7 и freebsd8.0. Настроил АД, ввёл в него клиента win7, на фряху поставил сквид, самбу. И тут грабли - internet explorer 8, который штатно идёт в вин7, не захотел работать со сквидом по ntlm. Гугл дал решение в правке то ли реестра, то ли политик безоспасности, но тут же была найдена рекомендация отказа от ntlm в пользу kerberos. Решил работать в этом направлении. Гугление дало решение в виде хелпера squid_kerb_ldap.........
> осталось лишь прикрутить авторизацию, для неё я остановился на squid_ldap_group. Как оказалось теперь можно не ставить тяжёлую самбу, но провалив попытки сгенерировать кейтаб другими способами пришлось делать это с помощью самбы.

зыж
и да, sspnego - реализация от санок.


"Релиз Samba 3.6.7"
Отправлено ананим , 08-Авг-12 10:32 
сори,  просто spnego
вот про него подробнее - http://www.opennet.me/openforum/vsluhforumID3/85901.html#28
(русской странички нет, видимо поэтому мало кто знает :D)

"Релиз Samba 3.6.7"
Отправлено ананим , 08-Авг-12 10:39 
> SPNEGO's most visible use is in Microsoft's "HTTP Negotiate" authentication extension. It was first implemented in Internet Explorer 5.01 and IIS 5.0 and provided single sign-on capability later marketed as Integrated Windows Authentication. The negotiable sub-mechanisms included NTLM and Kerberos, both used in Active Directory.
>The HTTP Negotiate extension was later implemented with similar support in:
>Mozilla 1.7 beta [1]
>Mozilla Firefox 0.9 Konqueror 3.3.1 [2]
>Google Chrome 6.0.472

думаю достаточно?
так что и для нтлм самба тоже не нужна.
а для групп юзайте лдап


"Релиз Samba 3.6.7"
Отправлено filosofem , 08-Авг-12 13:05 
Ниочем ваше гугление. Negotiate в Сквиде все равно работает через хелперы, а ntlm_auth хелпер все равно использует winbind.
А через LDAP настройте мне авторизацию по группам из нескольких доменов в трасте, причем группы включают юзеров из чужих доменов. Но даже и с одним доменом костыльно это если авторизация в АД и есть Самба.

"Релиз Samba 3.6.7"
Отправлено ананим , 08-Авг-12 13:16 
для отстающих повторяю
> http://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerb...
>Pre-requisites for Active Directory integration
> Install msktutil package from http://fuhm.net/software/msktutil/ or https://code.google.com/p/msktutil/

и никаой самбы.

зыж
> А через LDAP натройте мне авторизацию по группам из нескольких доменов в трасте,

вам примеры фильтров ldapsearch привести?!!! :D

ззыж
> Negotiate в Сквиде все равно работает через хелперы

угу. там любое решение через хелперы.
другими словами - признайте уже, что авторизацию в сквиде можно и без самбы и разойдёмся. :D
(а параллельно к этому появляется ещё и бонус в виде ссо не только для сквида, а и для почты (включая оутглюк), и для ресурсов самбы(!!! вот она родимая где! :D), и ещё кучи всего и на разных серверах)


"Релиз Samba 3.6.7"
Отправлено filosofem , 08-Авг-12 13:36 
Гы msktutil это кейтабы для AD Кербероса генерить и к NTLM ну никак не относится. Вы вообще очень смутно понимаете о чем пишете. Читать забавно.

>вам примеры фильтров ldapsearch привести?!!! :D

Пример конфига авторизации LDAP групп для Сквида для нескольких AD лесов со смешанными группами. Выкладывай. Даже если получится, сравним это с моей одной строчкой с winbind.


"Релиз Samba 3.6.7"
Отправлено ананим , 08-Авг-12 13:53 
именно! только кейтабы.
а spnego уже есть в мит керберос! раньше был только gssapi, теперь с версии 1.5 и spnego

зыж
шож ты такой тормоз то.
> SPNEGO Поскольку Microsoft использует NTLM для SSO, они изобрели механизм, аналогичный GSSAPI механизм для согласования протокола аутентификации. К счастью MIT Kerberos поддерживает SPNEGO с версии 1.5 благодаря реализации, пожертвованной SUN. Поэтому можно использовать библиотеку GSSAPI на стороне сервера (касается только Linux).

http://www.opennet.me/docs/RUS/fds/


"Релиз Samba 3.6.7"
Отправлено filosofem , 08-Авг-12 14:20 
>а spnego уже есть в мит керберос! раньше был только gssapi,

Даже не представляешь какой бред тут написан.


"Релиз Samba 3.6.7"
Отправлено ананим , 08-Авг-12 14:30 
это тебе толи знаний не хватает, толи зашоренности мозгов, толи ослиное упрямство, толи всё вместе.

настраивал когда-нибудь клиента керберос для работы в АД?
подозреваю что нет.
http://www.windowsnetworking.com/articles_tutorials/authenti...
> There are 2 alternatives to authenticate against Active Directory:
>1. Using the kerberos client (requires Active Directory)
>2. Using Winbind & sambaclient

ты уперся во второй вариант. и нифига не хочешь понимать первый.

зыж
сама настройка клиента тривиальна - http://docs.oracle.com/cd/E19082-01/819-3321/ggtwg/index.html


"Релиз Samba 3.6.7"
Отправлено ананим , 08-Авг-12 13:57 
зыж
> Пример конфига авторизации LDAP групп для Сквида для нескольких AD лесов со смешанными группами. Выкладывай.

оборзел совсем.
мало того что тормоз, так ему ещё и лдапом научить пользоваться за_бесплано и в хамских вопросах.


"Релиз Samba 3.6.7"
Отправлено filosofem , 08-Авг-12 14:21 
> зыж
>> Пример конфига авторизации LDAP групп для Сквида для нескольких AD лесов со смешанными группами. Выкладывай.
> оборзел совсем.
> мало того что тормоз, так ему ещё и лдапом научить пользоваться за_бесплано
> и в хамских вопросах.

Ну раз не можешь, засчитыватся слив автоматом.


"Релиз Samba 3.6.7"
Отправлено ананим , 08-Авг-12 14:33 
да похеру что ты там считаешь.
сквид может работать с авторизацией в ад без самбы - и вот тут ты слился.

"Релиз Samba 3.6.7"
Отправлено filosofem , 08-Авг-12 15:07 
Где именно? Ты писал, что для NTLM авторизации самба не нужна. Вот отсюда поподробнее. Авторизацию в Сквид по NTLM протоколу без использования winbind в студию! Желательно чтобы она была эффективнее winbind, чтобы Самба стала не нужна, как утверждает аноним.

"Релиз Samba 3.6.7"
Отправлено ананим , 08-Авг-12 15:19 
угу. а также я писал и это:
http://en.wikipedia.org/wiki/SPNEGO
> The negotiable sub-mechanisms included NTLM and Kerberos, both used in Active Directory.

и то что клиент цербера это умеет.
и ссылки как это можно использовать в сквиде.

но тебе хоть кол на голове теши.


"Релиз Samba 3.6.7"
Отправлено filosofem , 08-Авг-12 15:32 
Ты глуп. Нагуглить мало, надо понять. Где там написано, что "клиент цербера" (использую твой сельпошный слэнг для понятности), умеет NTLM?

"Релиз Samba 3.6.7"
Отправлено ананим , 08-Авг-12 20:01 
для дворников и уборщиц -  работает по нтлм.
в частности у меня.

"Релиз Samba 3.6.7"
Отправлено filosofem , 09-Авг-12 00:33 
модераст такой же безграмотный клоун. Нашел что удалять. Но ему в силу юного возраста простительно. Еще может чему-то научиться.  

"Релиз Samba 3.6.7"
Отправлено iFRAME , 08-Авг-12 10:33 
> УМВР и Керберос и NTLM c паролем через winbind для тех кто
> не в AD.  Кривоваты некоторые браузеры, но и для них
> имеется костыль. Всего то надо доки почитать.
> Кстати Samba для Kerberos аутентификации не нужна, только для NTLM.

У меня тоже ВР. И KRB и NTLM. Но были 3 проблемы, решения которых я не нашел.

1. POST - запросы от сайтов, где используется флеш для аплоада файлов (такие как: facebook, vk, mail и некоторые другие)
2. не работающие через прокси ICQ-клиенты, приходилось натом пускать.
3. забыл. Вспомню - допишу :)

Про костыль можно поподробнее?


"Релиз Samba 3.6.7"
Отправлено iFRAME , 08-Авг-12 12:07 
>[оверквотинг удален]
>> не в AD.  Кривоваты некоторые браузеры, но и для них
>> имеется костыль. Всего то надо доки почитать.
>> Кстати Samba для Kerberos аутентификации не нужна, только для NTLM.
> У меня тоже ВР. И KRB и NTLM. Но были 3 проблемы,
> решения которых я не нашел.
> 1. POST - запросы от сайтов, где используется флеш для аплоада файлов
> (такие как: facebook, vk, mail и некоторые другие)
> 2. не работающие через прокси ICQ-клиенты, приходилось натом пускать.
> 3. забыл. Вспомню - допишу :)
> Про костыль можно поподробнее?

2. Дополнение: ICQ клиенты не работали даже через Basic(LDAP)-авторизацию.
3. В логах появлялись записи с именем пользователя $COMPUTERNAME вместо username@domain. Проблема была локализована - виноват был Chrome, точнее, скорее всего, его апдейтер. Решить не удалось. Проблема не критична, на работоспособности не сказывалась, но в отчетах появлялись "лишние" строки. Неприятно.


"Релиз Samba 3.6.7"
Отправлено filosofem , 08-Авг-12 13:32 
Костыль ― второй NTLM для IE браузеров из других доменов или ноутов не в домене. FF наоборот умеет использовать NTLM через Negotiate и не смотрит на отдельный NTLM. То есть NTLM настроен дважды: один раз в negotiate_wrapper для FF и второй сам по себе для IE.
Здесь почти как у меня http://wiki.bitbinary.com/index.php/Active_Directory_Integra...
Только я не использую BASIC по соображениям безопасности и группы проверяю через winbind так как сложная топология доменов и быстрее.

Аськи у хомячков на Миранде принудительно, она умеет HTTPS прокси с NTLM авторизцией. За другие клиенты на 100% не скажу, но нормальные должны уметь. Скайп тоже умеет.


"Релиз Samba 3.6.7"
Отправлено Аноним , 08-Авг-12 10:59 
Лично мне проще было работать с керберосом используя net ads <команды>, а не керберовские утили.

"Релиз Samba 3.6.7"
Отправлено ананим , 08-Авг-12 11:45 
а вот с этим я и не спорил. :D
в линухе всё можно настроить 1001 способом и каждый выбирает удобный для себя сам.
вот только это не ответ на вопрос "кто юзает сабж". т.к. юзанием по прямому назначению это не назовёшь.

"Релиз Samba 3.6.7"
Отправлено Алексей , 07-Авг-12 20:17 
прозрачное проксирование, ничего особенного

"Релиз Samba 3.6.7"
Отправлено ананим , 07-Авг-12 20:59 
прозрачный прокси не умеет аутентификацию.
но и тут такой мегаинвалидка не нужена.

http://www.mikealeonetti.com/wiki/index.php/Squid_LDAP_trans...
Squid LDAP transparent proxy authentication script

As we all know you can't use proxy auth with transparent proxies (now also called interception proxies). So, an alternate method needs to be used to authenticate. Luckily, Squid allows you to use custom authentication programs.......................


"Релиз Samba 3.6.7"
Отправлено iFRAME , 07-Авг-12 21:12 
> прозрачный прокси не умеет аутентификацию.
> но и тут такой мегаинвалидка не нужена.
> http://www.mikealeonetti.com/wiki/index.php/Squid_LDAP_trans...
> Squid LDAP transparent proxy authentication script
> As we all know you can't use proxy auth with transparent proxies
> (now also called interception proxies). So, an alternate method needs to
> be used to authenticate. Luckily, Squid allows you to use custom
> authentication programs.......................

Он имеет ввиду прозрачную аутентификацию.


"Релиз Samba 3.6.7"
Отправлено ананим , 08-Авг-12 00:17 
аб чём и речь.
и та через опу с самбой, хотя избыточна.

а я просил - см. пост #1.


"Релиз Samba 3.6.7"
Отправлено filosofem , 08-Авг-12 02:22 
Хорош отмазываться. Ну не знал зачем нужно. Это нормально. Спросил. Ответили. Все довольны. К чему теперь права качать и защищать ошибочную т.зр.?

"Релиз Samba 3.6.7"
Отправлено ананим , 08-Авг-12 10:02 
кто не знал?
тебе выше ответил и ссылок накидал.
самба для авторизации в АД не нужна!
сколько тебе это повторять?

и ещё, если кто-то (по-старинке) использует вынбинд для авторизации в сквиде, то это не значит, что он пользуется самба-сервером вообще.
это как бы логично.


"Релиз Samba 3.6.7"
Отправлено filosofem , 08-Авг-12 00:54 
А если теперь почитать по ссылке, внезапно окажется, что там в Сквиде авторизация по IP.  

"Релиз Samba 3.6.7"
Отправлено ананим , 08-Авг-12 01:21 
а что есть транспарент прокси? внизапно?

"Релиз Samba 3.6.7"
Отправлено ананим , 08-Авг-12 01:25 
в плане аутентификации по...? чём?

"Релиз Samba 3.6.7"
Отправлено filosofem , 08-Авг-12 02:19 
Еще раз и внятно.

"Релиз Samba 3.6.7"
Отправлено ананим , 08-Авг-12 10:09 
вот тут разжёвано для тех кто не умеет пользоваться вики сквида
http://www.opennet.me/openforum/vsluhforumID3/85901.html#28


зыж
и не путай транспарент-прокси с синглсигнон (sso).
это разные вещи, хоть и там, и там пароли вводятся один раз и выглядит одинаково, но транспарент-прокси всегда по ip. т.к. его принцип - перехватывать пакеты и перебрасывать их на 3180 прокси.


"Релиз Samba 3.6.7"
Отправлено ананим , 08-Авг-12 10:19 
сори - 3128 конечно же

"Релиз Samba 3.6.7"
Отправлено ALex_hha , 08-Авг-12 12:13 
>хоть и там, и там пароли вводятся один раз и выглядит одинаково

с какого перепуга? Transparent на то и прозрачный, что пользователь ничего не вводит, для него аутентификация проходит прозрачно (проводник сам отправляет логин/пароль залогиненого пользователя)

> http://www.mikealeonetti.com/wiki/index.php/Squid_LDAP_trans...
> Squid LDAP transparent proxy authentication script

полный бред, а таблицу с соответствием ip - пользователь при 2k пользователей кто будет заполнять? А в системе еще и dhcp, кто потом будет ее обновлять?


"Релиз Samba 3.6.7"
Отправлено ананим , 08-Авг-12 12:40 
> с какого перепуга? Transparent на то и прозрачный, что пользователь ничего не вводит

логично.
просто у меня требуется авторизация для доступа вообще к сетевым ресурсам.
поэтому так и написал.
сори если ввёл в заблуждение.
> полный бред, а таблицу с соответствием ip - пользователь при 2k пользователей кто будет заполнять? А в системе еще и dhcp, кто потом будет ее обновлять?

а дхцп тоже держит базу в лдапе.
дальше продолжать?
про этот скрипт - я лично им не пользуюсь. привёл только для тех, кто упомянул прозрачный прокси (видимо при этом путая его с ссо)


"Релиз Samba 3.6.7"
Отправлено filosofem , 08-Авг-12 13:07 
>привёл только для тех, кто упомянул прозрачный прокси (видимо при этом путая его с ссо)

Для себя то есть =)


"Релиз Samba 3.6.7"
Отправлено ананим , 08-Авг-12 13:20 
не батенька, для тебя.
а ты так удивился появлению ip в вопросе прозрачного проксирования, что даже мне за тебя стыдно стало! :D

"Релиз Samba 3.6.7"
Отправлено ананим , 08-Авг-12 13:01 
зыж
> > http://www.mikealeonetti.com/wiki/index.php/Squid_LDAP_trans... > Squid LDAP transparent proxy authentication script
>полный бред, а таблицу с соответствием ip - пользователь при 2k пользователей кто будет заполнять? А в системе еще и dhcp, кто потом будет ее обновлять?

и кстати просмотрел скрипты.
нифига не бред.
они получают ip от броузера при логине пользователя, так что какой именно там ip им похрену. как похрену статический он или динамический.
судя по всему при смене ip выведет опять страничку с авторизацией. (это ж не ссо, а прозрачное прокирование с прикрученной аутентификацией).
так что интересное решение. для мелких контор (где цербер наф ни нужен) очень даже подойдёт.
ззыж
а ведь сюда и билеты с кинит прикрутить можно... во как.
надо попробовать, прозрачный прокси с ссо - мне бы такое пригодилось точно.


"Релиз Samba 3.6.7"
Отправлено filosofem , 08-Авг-12 13:13 
гогно, а не решение. Полурешение для публичных точек доступа. Чтобы нормально работало там еще с костылей придется добавить для DHCP, биллингов и пр. В конторах это не нужно.

"Релиз Samba 3.6.7"
Отправлено ананим , 08-Авг-12 13:30 
тебе (так и хочется написать - тормоз) написали, что пох на дхцп.
ip берётся из броузера.
(man http.
смотреть хиадер и что браузер отдаёт веб-серверу/прокси.)
далее юзер вводит в форму (html-форму) логин и пароль (если в базе его ещё нет, то эта форма ему выводится), всё это (включая ip, броузер и тд) заносится в субд, он авторизуется и получает доступ в инет.

если на этапе помещения в базу (а может этот этап убрать вообще или помещать это всё в лдап) прикрутить ещё и авторизацию через цербер, то вот он ссо.


"Релиз Samba 3.6.7"
Отправлено filosofem , 08-Авг-12 13:41 
Теоретик ватаке =))
Откуда оно ни берется, Сквид авторизирует по IP, а не через LDAP.

"Релиз Samba 3.6.7"
Отправлено ананим , 08-Авг-12 14:00 
сквид авторизует через хелпер, чудик.

"Релиз Samba 3.6.7"
Отправлено filosofem , 08-Авг-12 14:30 
А в хелпере... тадамммм: $query = qq/SELECT * FROM addresses WHERE `ip`="$ip_address";/;
решил хамством прикрыть свое невежество, гражданин сельпошник? =)

"Релиз Samba 3.6.7"
Отправлено ананим , 08-Авг-12 14:40 
угу, селект периписать слабо?
или заменить на ldapsearch? или на цербер-клиент?
специалист!!!

>> решил хамством прикрыть свое невежество, гражданин сельпошник? =)
> сквид авторизует через хелпер, чудик.

и где же тут хамство, гражданин механизатор? :D


"Релиз Samba 3.6.7"
Отправлено filosofem , 08-Авг-12 15:00 
>угу, селект периписать слабо?
>или заменить на ldapsearch? или на цербер-клиент?

Писать и искать IP в базе LDAP вместо мускуля конечно можно(хоть и чудаковато), но от этого авторизация по IP  не перестанет быт авторизацией по IP.

>на цербер-клиент?

Шито???...

Ага, теперь ясно, что вам не ясно. Вот эту строчку читай:
external_acl_type time_squid_auth ttl=5 %SRC /usr/local/bin/squidauth
И скорее гугли что же она означает. =)


"Релиз Samba 3.6.7"
Отправлено ананим , 08-Авг-12 15:14 

нука скорее отвечай как клиент цербера работает?


зыж
> Писать и искать IP в базе LDAP вместо мускуля конечно можно(хоть и чудаковато), но от этого авторизация по IP не перестанет быт авторизацией по IP.

ты так и не въехал в прозрачный прокси, о котором эта ветка.
пичалька :/
повторяю - прозрачный прокси ВСЕГДА по ip.
вопрос только в том как часто браузер будет тебе выдавать приглашение ввести логин/пароль.
а если ты уже вошёл по ссо (как любой клиент домена), то вообще не будет выдавать, а сразу пускать.


"Релиз Samba 3.6.7"
Отправлено filosofem , 08-Авг-12 15:25 
Ты изначально спутал прозрачный прокси с прозрачной аутентификацией, а так же авторизацию с аутентификацией и пытаешься исправиться, изображая как будто не ты, а другие этого не понимают.

>повторяю - прозрачный прокси ВСЕГДА по ip.

Да, теперь объясняй как же ты собирался для авторизации по IP использовать некий "цербер-клиент" в хелпере сквида. Кстати при том, что "цербер" вообще в принципе по природе своей _авторизацией_ не занимается.


"Релиз Samba 3.6.7"
Отправлено ананим , 08-Авг-12 21:12 
врун и лжец.
вот начало ветки - http://www.opennet.me/openforum/vsluhforumID3/85901.html#15
а вот твой слив - http://www.opennet.me/openforum/vsluhforumID3/85901.html#21
> А если теперь почитать по ссылке, внезапно окажется, что там в Сквиде авторизация по IP.

вау!!! дебилу понятно что по ip. это же транспарент прокси!. :D
правда ещё и хелпер есть и cgi-скрипт для авторизации по логину. :D
> Да, теперь объясняй как же ты собирался для авторизации по IP использовать некий "цербер-клиент" в хелпере сквида.

кредентшионал берутся из веб-формы (см. cgi-скрипт выше), либо из куки с сессионайди при повторном запросе (который произойдёт в случае если браузер закрыли и потом открыли).
далее по ним сопоставляю принципала.
клиент, вызванный из сквид-хелпера, использует их для проверки (клист. там же и даты валидности). если всё верно и тикеты есть, то повторной авторизации не будет. (если нет, то кинит с паролем).
элементарно ватсон. выглядеть будет примерно так:

$ klist /tmp/tupjy_filosof_ip.keytab
klist: No credentials cache found (ticket cache FILE:/tmp/tupjy_filosof_ip.keytab)

$ kinit -t /tmp/tupjy_filosof_ip.keytab
tupjy_filosof Password for tupjy_filosof@durdom:<tupjy_passwd_4_tupjy_filosof>

$ klist /tmp/tupjy_filosof_ip.keytab
Ticket cache: FILE:/tmp/tupjy_filosof_ip.keytab Default principal: tupjy_filosof@DURDOM

Valid starting Expires Service principal 08/08/12 20:57:55 08/09/12 20:57:55 krbtgt/DURDOM@DURDOM

зыж
для перца с твоими амбициями ты ну слишком тупой.


"Релиз Samba 3.6.7"
Отправлено filosofem , 08-Авг-12 22:19 
Ты так ничего и не понял и продолжаешь меня радовать своим свирепым гуглением и фантазированием. Ну и на том спасибо. =)

>вот начало ветки

Просто все кроме тебя поняли из контекста, что речь не про прозрачный прокси, а про авторизацию, а ты решил блеснуть своими несуществующими познаниями и приплел прозрачное проксирование, потому что про прозрачный прокси что-то где-то читал, а про прозрачную авторизацию (оно же SSO) услышал впервые.

>клиент, вызванный из сквид-хелпера, использует их для проверки (клист. там же и даты валидности). если всё верно и тикеты есть

Как занимательно. Строчку
external_acl_type time_squid_auth ttl=5 %SRC /usr/local/bin/squidauth
Ты так и не понял. Поясняю: хелпер знает о клиенте только IP. То что в базе соответствует IP ничего не говорит о конкретно подключившемся клиенте.
Очевидный пример: 50 пользователей работают на терминальном сервере, один из них залогинился через вэб форму и в базе теперь есть его креденшлы и IP. Сразу после этого клиент с IP терминального сервера лезет в инет через проксю. Запущенный проксей хелпер получает в качестве параметра этот IP. Задача написать хелпер, который аутентифицирует клиента. Гыыыы. Удачного гуглния!


>kinit -t /tmp/tupjy_filosof_ip.keytab

Бугога. Эта команда не сработает. Сказать почему? =)))
Потому что кто-то нагуглил не тот ман. =)
Продолжай же. Жду новых лулзов.


"Релиз Samba 3.6.7"
Отправлено ананим , 08-Авг-12 23:49 
ты безнадёжен.
любое желание делится своими наработками отпадает встретившись с таким воинсвующим невежеством.

"Релиз Samba 3.6.7"
Отправлено filosofem , 09-Авг-12 00:31 
>любое желание делится своими наработками отпадает встретившись с таким воинсвующим невежеством.

желание делится наработками и отпадает. =))) Гыыы, держите меня семеро.

Q.E.D.
Сельпошник с Инетом и гуглем остается тем же безграмотным сельпошником.


"Релиз Samba 3.6.7"
Отправлено ананим , 09-Авг-12 05:21 
ну чё сказать то такому ган дону...
топой как пробка. не знает ничего про ссо. трансперент прокси только от меня узнал как работает. и ещё что-то вякает.
козёл короче.

"Релиз Samba 3.6.7"
Отправлено filosofem , 09-Авг-12 08:26 
=)
Не люблю умственно отсталых и поэтому приятно вызывать у них такую попоболь =)