ntlm-Anmeldung - war: Sicherheit von NFS-v3 im Netz
Hallo Maxx,
der Link http://gertranssmb3.berlios.de/output/ntlm-auth.1.html
und der ein paar Zeilen weiter unten angegebene Link haben mir wirklich
beim Verständnis (zumindest etwas) weitergeholfen. Ebenfalls gab es eine
m.E. sehr präzise Antwort auf die Frage des (möglichen) Vorteils der
NTLM-Authentifikation (konkret: bei Nutzung des IE keine erneute Eingabe
von Login/Passwort nötig). - Danke.
Am 20.09.2010 20:53, schrieb Maxx:
Hallo Hans,
sehr gut beschrieben ist die Authentifizierung von Squid an einem
Windows-Domain-Controller (AD ist nicht nötig) auch hier:
http://www.selflinux.org/selflinux/html/squid07.html
naja, ob man mit der Anleitung eine funktionierende Lösung erstellen
kann, kann ich nicht einschätzen. Auf meine Situation passt sie nicht
wirklich. Und so verständlich ist die Anleitung zumindest für mich auch
nicht, dass ich den Vorgang in den Grundzügen wirklich verstehe,
geschweige denn anpassen kann. Aber sie hilft zumindest weiter - siehe oben.
Aber mein konkretes Problem: der Punkt 8.2.2 Konfiguration von
Samba/winbind endet mit dem Satz: "Nun kann der Samba-Rechner in die
Windows-NT-Domäne aufgenommen werden mit: ..." und das wird im nächsten
Punkt getestet. - ich verstehe einfach nicht, wie ich das auf meine
Situation übertragen könnte. Ich habe nur einen Server, auf dem läuft
Samba und der ist der PDC. Alles andere sind Windows-Clients, auf denen
ich ganz bestimmt kein Samba zum laufen bekomme. Wie soll ich da einen
Samba an den einzigen Samba ankoppeln (mit winbind). auch wenn hier
deutlich steht, das winbind gebraucht wird, den Sinn verstehe ich auch
nicht, weil doch der winbind (normalerweise?) für die Bereitstellung von
UIDs und der Zuordnung zu den SIDs gebraucht wird, aber die ist ja schon
vorhanden. Irgendwie verstehe ich das nicht, nur zur Erklärung, dass ich
den Text nicht so sonderlich verständlich finde.
Wichtig: Die Dateipfade in den Konfigurationsdateien sind anzupassen
an Debian.
Und ja, natürlich muss der Samba-Client auf dem Rechner auch laufen,
welcher Samba-Client?
denn der führt letztlich die Authentifizierung durch. ntlm_auth von
Squid leitet die Authentifizierung nur weiter an Samba und teilt das
Ergebnis durch den Rückgabewert (0 für alles OK) an Squid mit.
das habe ich verstanden und auch, das irgendwie auch winbind gebraucht
wird, siehe den Link von gertrans... . Aber ein warum? Ich raff's
einfach nicht.
Das ist übrigens ein Grundprinzip von Unix: alles ist modular
aufgebaut, jedes Modul nutzt genormte Schnittstellen (z.B. stdin,
stdout, Pipes, Umgebungsvariablen) und ist damit auch systemweit
nutzbar.
auch die Schnittstellen sind für mich nicht wirklich erkennbar.
Das bedeutet, dass man nicht alles neu erfinden muss,
sondern vorhandene und bewährte Module einfach mitnutzen kann.
die modernste Technik hilft nichts, wenn man das Teil nicht installieren
oder bedienen kann, egal ob es an der (verständlichen) Doku mangelt oder
an Leuten, die konkret helfen können.
Man
muss nur noch ein kleines Tool schaffen, dass die entsprechenden
Daten an das Modul "mundgerecht" übergeben werden und die Ergebnisse
wieder übernommen werden ;)
welches Tool meinst du?
Linux ist schon was Tolles :)
ja und nein. Es ist für den toll, der damit was anfangen kann. Momentan
ist das bei mir hinsichtlich ntlm-auth (noch?) nicht der Fall. Da kann
ich das einfach noch nicht toll finden. Ein Problem ist es auch nicht,
weil mit der Digest-Authentifizierung mein Anliegen ja erfüllt ist. Aber
wie es aussieht, wäre NTLM-Auth noch besser.
Aber vielleicht ergibt sich ja noch etwas.
Viele Grüße
Hans-Dietrich
Reply to: