[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: ntlm-Anmeldung - war: Sicherheit von NFS-v3 im Netz

Hallo Hans, ich teile meine Antwort mal in 2 Abschnitte:

Hans-Dietrich Kirmse wrote on Tue, 21 Sep 2010 22:06:27 +0200:
> > Das ist übrigens ein Grundprinzip von Unix: alles ist modular
> > aufgebaut, jedes Modul nutzt genormte Schnittstellen (z.B. stdin,
> > stdout, Pipes, Umgebungsvariablen) und ist damit auch systemweit
> > nutzbar.
> 
> auch die Schnittstellen sind für mich nicht wirklich erkennbar.

Unter Unix gibt es in der Regel keine Programmdatei, in der alles
unter einem (verschlossenen) Dach vereint ist.

Die meisten Programmpakete bestehen aus kleinen Bausteinen (wie auch
das System selbst), die in der Regel Daten direkt von einem anderen
Baustein übernehmen können (stdin - Standard-Input-Kanal) und ebenso
auch wieder ausgeben/übergeben können (stdout -
Standard-Output-Kanal).

Und natürlich kann man dies auch noch erweitern.

Dieser modulare Aufbau ermöglicht es, sehr flexibel auch Bausteine
anderer Pakete mit zu nutzen - man muss nicht alles neu erfinden.

Vor vielen Jahren schrub ich mal: Linux ist wie ein großer
Legokasten, Windows wie eine Playmobil-Burg. ;)

> > Das bedeutet, dass man nicht alles neu erfinden muss,
> > sondern vorhandene und bewährte Module einfach mitnutzen kann.
> 
> die modernste Technik hilft nichts, wenn man das Teil nicht
> installieren oder bedienen kann, egal ob es an der (verständlichen)
> Doku mangelt oder an Leuten, die konkret helfen können.

OK, dokumentiert wird in der Regel auf Englisch - aber es gibt auch
viele Übersetzungen. Und gute Schulungen, auch für Linux. Aber die
beste Schule ist: selbst probieren und machen.

> > Man
> > muss nur noch ein kleines Tool schaffen, dass die entsprechenden
> > Daten an das Modul "mundgerecht" übergeben werden und die
> > Ergebnisse wieder übernommen werden ;)
> 
> welches Tool meinst du?

Prinzipiell - in deinem Fall wird die User-Prüfung für Squid dem
entsprechenden Modul des Samba-Clients übertragen, der wurde dafür
entwickelt.

> > Linux ist schon was Tolles :)
> 
> ja und nein. Es ist für den toll, der damit was anfangen kann.
> Momentan ist das bei mir hinsichtlich ntlm-auth (noch?) nicht der
> Fall. Da kann ich das einfach noch nicht toll finden. Ein Problem
> ist es auch nicht, weil mit der Digest-Authentifizierung mein
> Anliegen ja erfüllt ist. Aber wie es aussieht, wäre NTLM-Auth noch
> besser.

Wenn du eh einen Windows-Server (oder eben einen Samba-Server, also
einen Domänen-Controler) im Netz hast, auf dem die User eh verwaltet
werden, dann ist das auf jeden Fall die einfachste Variante.

Teil 2:

Ich entnehme deinen Worten, dass der Squid und dein PDC auf
Samba-Basis auf der gleichen Maschine laufen?

OK, dann sollte Samba eh schon komplett installiert sein, auch die
Client-Teile von Samba werden bei Samba mitinstalliert, denn es
könnte ja sein, dass dein PDC selber wieder an einer anderen Domäne
authentifizieren muss (rein theoretisch - bei dir konkret eher nicht).

Also dürfte der Rest kein Problem mehr sein, der Windows-Server, den
du angeben musst, ist in deinem Fall einfach localhost.

Du kannst es selbst testen, ob die Anmeldung am Windows-Server
funktioniert, indem du das Modul /usr/lib/squid/ntlm_auth direkt an
der Konsole mit den entsprechenden Parametern ausführst (so, wie er
dann in der squid.conf hinter auth_programm basic program stehen
wird). Die einzelnen Parameter sind in der Manpage gut beschrieben
(man ntlm_auth). Eine Übersetzung gibt es hier:

http://gertranssmb3.berlios.de/output/ntlm-auth.1.html

Ich kann es dir leider nicht konkreter machen, da ich weder Samba
noch Squid bei mir aktuell zu laufen habe. Habe also keine aktuelle
Testumgebung ;)

-- 
Maxx <linux@houdek.de>
Reply to: