Re: "single sign on" mit NTLM - Runde 2

To: Debian Mailingliste <debian-user-german@lists.debian.org>
Subject: Re: "single sign on" mit NTLM - Runde 2
From: Hans-Dietrich Kirmse <hd.kirmse@gmx.de>
Date: Fri, 27 Jan 2012 16:50:15 +0100
Message-id: <[🔎] 4F22C7B7.9080404@gmx.de>
In-reply-to: <[🔎] zarafa.4f22853e.064d.767399cb4aca42e1@zarafa.cubewerk.int>
References: <[🔎] 4F1A761B.5020206@gmx.de> <[🔎] zarafa.4f22853e.064d.767399cb4aca42e1@zarafa.cubewerk.int>

Hallo Stefan,

Am 27.01.2012 12:06, schrieb Stefan Bauer:

Hallo Hans-Dietrich,

ich möchte hier nochmal einige Infos einwerfen, die dir hoffentlich
etwas Klarheit bringen:

Wenn du von Single-Sign-On sprichst heißt das, der Benutzer meldet
sich einmalig an und hat dann eine Möglichkeit seine Anmeldedaten für
verschiedene Dienste zu nutzen.

ja, das heißt es. In meinen Fall könnte es aber weniger heißen, denn eswürde mir reichen, wenn es speziell um die Anmeldung an Samba (PDC) gehtund diese Anmeldung wird (erstmal nur) für Squid genutzt.

Das hat m.E. die Konsequenz, dass ich mich nicht um eine andereNutzerverwaltung (also einen kerberosserver auf dem PDC) kümmern muss,sondern die vorhandene Nutzerverwaltung auf plix nutzen kann. Mur fürSquid deshalb, weil das nach der Doku für Winbind als einzigesvorgesehen ist.

Bei Kerberos läuft das mit Tickets, bei NTLM macht das bei
Windows-Clients der Credentials-Manager mit
Benutzer+Kennwort-Kombinationen. (Windows XP: rundll32
keymgr.dll,KRShowKeyMg)

bzgl. NTLM war mir das noch nicht bekannt, passt aber zu dem Modell, wasich im Hinterkopf habe.

In deinem Fall mit NTLM heißt das, einmal am System / der Domain
angemeldet, liegen die Anmeldeinformationen lokal (auf dem Client)
vor. Will nun dein Client einen weiteren Dienst im Netzwerk nutzen
(Proxy - Squid) können hier auch automatisch die bereits vorhandenen
Credentials genutzt werden.


genauso will ich das.

Bei Squid sind nun zwei Punkte zu beachten.

1. Der Transport der Anmeldedaten des Clients an Squid
2. Die Kontrolle der Anmeldedaten des Clients


Für 1. reicht es in Squid ... zu definieren - auth_param ntlm ist das
Schlagwort, heißt, dem Client gegenüber zu melden, dass NTLM
verwendet werden kann

auth_param ntlm program /usr/bin/ntlm_auth
--helper-protocol=squid-2.5-ntlmssp
(http://wiki.squid-cache.org/ConfigExamples/Authenticate/Ntlm)


ja, so steht es auch auf der von mir angegebenen Seite (ganz unten):
http://gertranssmb3.berlios.de/output/ntlm-auth.1.html

Für 2. ist es nötig, dass dein Samba korrekt die Benutzer
verifiziert. Hierzu schickt Squid die erhaltenen NTML-Credentials
über den Helper ntlm_auth an Samba.

weil diese Anmeldeinformationen ja auf dem Client vorliegen (siehe oben)würde das bedeuten, dass dann Squid diese NTML-Credentials vom Clientholt, nur eben kein Anmeldefenster aufmacht, sondern diesenCredentials-Manager befragt (so ungefähr zumindest). eigentlich logisch ;)

Samba liefert dann ein OK im
Idealfall zurück, was Squid auch wieder interpretiert.


ja, habe ich verstanden - denke ich zumindest. Danke!

Zum Debuggen kannst du dich mit wbinfo spielen.

Wichtig ist für die auth_param-Zeile, so stehts auch im Squid-Wiki,
dass du nicht den ntlm_auth von Squid nimmst, sondern den von
Samba(winbind) - das sollte eben auch das Problem
(https://bugzilla.samba.org/show_bug.cgi?id=7481) umschiffen.


ist vorgemerkt - soweit bin ja noch lange nicht.


Danke nochmal für die Erklärung.

VG Hans-Dietrich

Reply to:

Follow-Ups:
- AW: "single sign on" mit NTLM - Runde 2
  - From: Stefan Bauer <stefan.bauer@cubewerk.de>

References:
- "single sign on" mit NTLM - Runde 2
  - From: Hans-Dietrich Kirmse <hd.kirmse@gmx.de>
- AW: "single sign on" mit NTLM - Runde 2
  - From: Stefan Bauer <stefan.bauer@cubewerk.de>

Prev by Date: Re: "single sign on" mit NTLM - Runde 2
Next by Date: Re: "single sign on" mit NTLM - Runde 2
Previous by thread: AW: "single sign on" mit NTLM - Runde 2
Next by thread: AW: "single sign on" mit NTLM - Runde 2
Index(es):
- Date
- Thread