Re: "single sign on" mit NTLM - Runde 2
Hallo Stefan,
Am 27.01.2012 12:06, schrieb Stefan Bauer:
Hallo Hans-Dietrich,
ich möchte hier nochmal einige Infos einwerfen, die dir hoffentlich
etwas Klarheit bringen:
Wenn du von Single-Sign-On sprichst heißt das, der Benutzer meldet
sich einmalig an und hat dann eine Möglichkeit seine Anmeldedaten für
verschiedene Dienste zu nutzen.
ja, das heißt es. In meinen Fall könnte es aber weniger heißen, denn es
würde mir reichen, wenn es speziell um die Anmeldung an Samba (PDC) geht
und diese Anmeldung wird (erstmal nur) für Squid genutzt.
Das hat m.E. die Konsequenz, dass ich mich nicht um eine andere
Nutzerverwaltung (also einen kerberosserver auf dem PDC) kümmern muss,
sondern die vorhandene Nutzerverwaltung auf plix nutzen kann. Mur für
Squid deshalb, weil das nach der Doku für Winbind als einziges
vorgesehen ist.
Bei Kerberos läuft das mit Tickets, bei NTLM macht das bei
Windows-Clients der Credentials-Manager mit
Benutzer+Kennwort-Kombinationen. (Windows XP: rundll32
keymgr.dll,KRShowKeyMg)
bzgl. NTLM war mir das noch nicht bekannt, passt aber zu dem Modell, was
ich im Hinterkopf habe.
In deinem Fall mit NTLM heißt das, einmal am System / der Domain
angemeldet, liegen die Anmeldeinformationen lokal (auf dem Client)
vor. Will nun dein Client einen weiteren Dienst im Netzwerk nutzen
(Proxy - Squid) können hier auch automatisch die bereits vorhandenen
Credentials genutzt werden.
genauso will ich das.
Bei Squid sind nun zwei Punkte zu beachten.
1. Der Transport der Anmeldedaten des Clients an Squid
2. Die Kontrolle der Anmeldedaten des Clients
Für 1. reicht es in Squid ... zu definieren - auth_param ntlm ist das
Schlagwort, heißt, dem Client gegenüber zu melden, dass NTLM
verwendet werden kann
auth_param ntlm program /usr/bin/ntlm_auth
--helper-protocol=squid-2.5-ntlmssp
(http://wiki.squid-cache.org/ConfigExamples/Authenticate/Ntlm)
ja, so steht es auch auf der von mir angegebenen Seite (ganz unten):
http://gertranssmb3.berlios.de/output/ntlm-auth.1.html
Für 2. ist es nötig, dass dein Samba korrekt die Benutzer
verifiziert. Hierzu schickt Squid die erhaltenen NTML-Credentials
über den Helper ntlm_auth an Samba.
weil diese Anmeldeinformationen ja auf dem Client vorliegen (siehe oben)
würde das bedeuten, dass dann Squid diese NTML-Credentials vom Client
holt, nur eben kein Anmeldefenster aufmacht, sondern diesen
Credentials-Manager befragt (so ungefähr zumindest). eigentlich logisch ;)
Samba liefert dann ein OK im
Idealfall zurück, was Squid auch wieder interpretiert.
ja, habe ich verstanden - denke ich zumindest. Danke!
Zum Debuggen kannst du dich mit wbinfo spielen.
Wichtig ist für die auth_param-Zeile, so stehts auch im Squid-Wiki,
dass du nicht den ntlm_auth von Squid nimmst, sondern den von
Samba(winbind) - das sollte eben auch das Problem
(https://bugzilla.samba.org/show_bug.cgi?id=7481) umschiffen.
ist vorgemerkt - soweit bin ja noch lange nicht.
Danke nochmal für die Erklärung.
VG Hans-Dietrich
Reply to: