[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: "single sign on" mit NTLM - Runde 2



Hallo Stefan,

Am 27.01.2012 12:06, schrieb Stefan Bauer:
Hallo Hans-Dietrich,

ich möchte hier nochmal einige Infos einwerfen, die dir hoffentlich
etwas Klarheit bringen:

Wenn du von Single-Sign-On sprichst heißt das, der Benutzer meldet
sich einmalig an und hat dann eine Möglichkeit seine Anmeldedaten für
verschiedene Dienste zu nutzen.

ja, das heißt es. In meinen Fall könnte es aber weniger heißen, denn es würde mir reichen, wenn es speziell um die Anmeldung an Samba (PDC) geht und diese Anmeldung wird (erstmal nur) für Squid genutzt.

Das hat m.E. die Konsequenz, dass ich mich nicht um eine andere Nutzerverwaltung (also einen kerberosserver auf dem PDC) kümmern muss, sondern die vorhandene Nutzerverwaltung auf plix nutzen kann. Mur für Squid deshalb, weil das nach der Doku für Winbind als einziges vorgesehen ist.

Bei Kerberos läuft das mit Tickets, bei NTLM macht das bei
Windows-Clients der Credentials-Manager mit
Benutzer+Kennwort-Kombinationen. (Windows XP: rundll32
keymgr.dll,KRShowKeyMg)

bzgl. NTLM war mir das noch nicht bekannt, passt aber zu dem Modell, was ich im Hinterkopf habe.

In deinem Fall mit NTLM heißt das, einmal am System / der Domain
angemeldet, liegen die Anmeldeinformationen lokal (auf dem Client)
vor. Will nun dein Client einen weiteren Dienst im Netzwerk nutzen
(Proxy - Squid) können hier auch automatisch die bereits vorhandenen
Credentials genutzt werden.

genauso will ich das.

Bei Squid sind nun zwei Punkte zu beachten.

1. Der Transport der Anmeldedaten des Clients an Squid
2. Die Kontrolle der Anmeldedaten des Clients


Für 1. reicht es in Squid ... zu definieren - auth_param ntlm ist das
Schlagwort, heißt, dem Client gegenüber zu melden, dass NTLM
verwendet werden kann

auth_param ntlm program /usr/bin/ntlm_auth
--helper-protocol=squid-2.5-ntlmssp
(http://wiki.squid-cache.org/ConfigExamples/Authenticate/Ntlm)

ja, so steht es auch auf der von mir angegebenen Seite (ganz unten):
http://gertranssmb3.berlios.de/output/ntlm-auth.1.html

Für 2. ist es nötig, dass dein Samba korrekt die Benutzer
verifiziert. Hierzu schickt Squid die erhaltenen NTML-Credentials
über den Helper ntlm_auth an Samba.

weil diese Anmeldeinformationen ja auf dem Client vorliegen (siehe oben) würde das bedeuten, dass dann Squid diese NTML-Credentials vom Client holt, nur eben kein Anmeldefenster aufmacht, sondern diesen Credentials-Manager befragt (so ungefähr zumindest). eigentlich logisch ;)

Samba liefert dann ein OK im
Idealfall zurück, was Squid auch wieder interpretiert.

ja, habe ich verstanden - denke ich zumindest. Danke!

Zum Debuggen kannst du dich mit wbinfo spielen.

Wichtig ist für die auth_param-Zeile, so stehts auch im Squid-Wiki,
dass du nicht den ntlm_auth von Squid nimmst, sondern den von
Samba(winbind) - das sollte eben auch das Problem
(https://bugzilla.samba.org/show_bug.cgi?id=7481) umschiffen.

ist vorgemerkt - soweit bin ja noch lange nicht.


Danke nochmal für die Erklärung.

VG Hans-Dietrich


Reply to: