AW: "single sign on" mit NTLM - Runde 2

To: debian-user-german@lists.debian.org <debian-user-german@lists.debian.org>
Subject: AW: "single sign on" mit NTLM - Runde 2
From: Stefan Bauer <stefan.bauer@cubewerk.de>
Date: Fri, 27 Jan 2012 12:06:38 +0100
Message-id: <[🔎] zarafa.4f22853e.064d.767399cb4aca42e1@zarafa.cubewerk.int>
In-reply-to: <[🔎] 4F1A761B.5020206@gmx.de>
References: <[🔎] 4F1A761B.5020206@gmx.de>

-----Ursprüngliche Nachricht-----
Von:	Hans-Dietrich Kirmse <hd.kirmse@gmx.de>
Gesendet:	Sa 21.01.2012 09:26
Betreff:	"single sign on" mit NTLM - Runde 2
An:	Debian Mailingliste <debian-user-german@lists.debian.org>; 
> Guten Morgen,
> 
> wie angekündigt, wiedermal das alte Thema. Das Problem habe ich in der 
> anderen Mail ja versucht zu verdeutlichen. Das Ziel ist erstmal nur SSO 
> für Squid. Will sagen, der User meldet sich an Samba an und diese 
> Anmeldung soll dann von Squid genutzt werden ohne dass die Anmeldedaten 
> nochmals abgefragt werden.

Hallo Hans-Dietrich,

ich möchte hier nochmal einige Infos einwerfen, die dir hoffentlich etwas Klarheit bringen:

Wenn du von Single-Sign-On sprichst heißt das, der Benutzer meldet sich einmalig an und hat dann eine Möglichkeit seine Anmeldedaten für verschiedene Dienste zu nutzen.

Bei Kerberos läuft das mit Tickets, bei NTLM macht das bei Windows-Clients der Credentials-Manager mit Benutzer+Kennwort-Kombinationen.
(Windows XP: rundll32 keymgr.dll,KRShowKeyMg)

In deinem Fall mit NTLM heißt das, einmal am System / der Domain angemeldet, liegen die Anmeldeinformationen lokal (auf dem Client) vor. Will nun dein Client einen weiteren Dienst im Netzwerk nutzen (Proxy - Squid) können hier auch automatisch die bereits vorhandenen Credentials genutzt werden.

Bei Squid sind nun zwei Punkte zu beachten.

1. Der Transport der Anmeldedaten des Clients an Squid
2. Die Kontrolle der Anmeldedaten des Clients


Für 1. reicht es in Squid ... zu definieren - auth_param ntlm ist das Schlagwort, heißt, dem Client gegenüber zu melden, dass NTLM verwendet werden kann

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
(http://wiki.squid-cache.org/ConfigExamples/Authenticate/Ntlm)


Für 2. ist es nötig, dass dein Samba korrekt die Benutzer verifiziert.
Hierzu schickt Squid die erhaltenen NTML-Credentials über den Helper ntlm_auth an Samba.
Samba liefert dann ein OK im Idealfall zurück, was Squid auch wieder interpretiert.

Zum Debuggen kannst du dich mit wbinfo spielen. 

Wichtig ist für die auth_param-Zeile, so stehts auch im Squid-Wiki, dass du nicht den ntlm_auth von Squid nimmst, sondern den von Samba(winbind) - das sollte eben auch das Problem (https://bugzilla.samba.org/show_bug.cgi?id=7481) umschiffen.


Stefan

Reply to:

Follow-Ups:
- Re: "single sign on" mit NTLM - Runde 2
  - From: Hans-Dietrich Kirmse <hd.kirmse@gmx.de>

References:
- "single sign on" mit NTLM - Runde 2
  - From: Hans-Dietrich Kirmse <hd.kirmse@gmx.de>

Prev by Date: Re: geloest ! : Fwd: lpisim will ein app ?
Next by Date: Re: geloest ! : Fwd: lpisim will ein app ?
Previous by thread: AW: "single sign on" mit NTLM - Runde 2
Next by thread: Re: "single sign on" mit NTLM - Runde 2
Index(es):
- Date
- Thread