[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: "single sign on" mit NTLM - Runde 2

Hallo Björn,

Am 21.01.2012 14:41, schrieb Bjoern Meier:


ich behaupte von mir mich ganz gut mit Samba auszukennen. Allerdings
ist mir gerade deine Umgebung noch schleierhaft. Habe ich das richtig
verstanden, dass du eine lokale NT4 (was anderes wird ja von Samba 3
nicht geboten) domäne mit samba 3 hast und du nun eine lokale
authenzifizierung möchtest?
genauer: letztendlich will ich für einen Server, auf dem Samba, LDAP, Squid, Apache etc. läuft, dass der User sich an der Domäne (an Samba) anmeldet und dabei soll/muss er ja sein Login und Passwort eingeben. Wenn er sich am Squid anmeldet (derzeit über ldap_auth umgesetzt) muss er wieder sein Passwort eingeben. Und genau diese zweite Eingabe möchte ich vermeiden!
Ich möchte das Squid den Samba befragt, ob eine Anmeldung vorliegt und wenn dem so ist, dass Squid diese Anmeldung nutzt. D.h. ich will, dass für Squid ntlm_auth genutzt wird und nicht mehr ldap_auth. 


Falls ich mich irre, erklär es mir bitte
in einer privaten Mail. Für mich jedenfalls erscheint das jedenfalls
logisch, da Winbind ja generell nur dafür gedacht war von Windows PDC
Tickets anzufordern.
nein, es geht mir eigentlich nicht darum, dass das Ticket von einem 2. Server kommt. Mir geht es darum, dass ich an Squid eine Authentifizierung bekomme, ohne das man die Anmeldedaten nochmal eingeben muss, eben SSO für Squid. Und das ist für mich (erstmal) gleichbedeutend, die Authentifizierung auf ntlm_auth umzustellen. 

Was hat das mit Winbind zu tun? auf der Seite
  http://gertranssmb3.berlios.de/output/ntlm-auth.1.html
steht:
"ntlm_auth verwendet winbind für den Zugriff auf die Benutzer- und Authentifikationsdaten für eine Domain. Dieses Werkzeug ist nur dafür gedacht, dass es von anderen Programmen benutzt wird (im Moment Squid)."
Deswegen: ich brauche Winbind wegen ntlm_auth. Es ist jetzt erstmal mein Ziel, eine Umgebung aufzubauen, wo Winbind funktioniert. Und das bedeutet für mich wegen Samba in Squeeze erstmal 2 Server mit Samba. (siehe die Aussage von Volker Lendecke in meiner letzten Mail). 

meine Gedankenkette:


        SSO   =>   ntlm_auth  =>   winbind   =>   2 Server
              1.              2.             3.

zu 1.  ntlm_auth ist ein MS-Protokoll, was auch auf Samba zurückgreift

zu 2.  die helper-Programme sind Teil von Winbind

zu 3.  da Samba von Squeeze Version 3.5.6  => 2 Server



Ich glaube dein Weg scheint vernünftig zu sein. Einen Samba PDC mit
LDAP Backend aufzubauen und Squid dann mit LDAP zu authentifizieren.


nein, wir haben schon einen Squid, der sich gegen LDAP authentifiziert.

 :


Mh, ich überlege gerade ich würde es komplett anders machen. Ich würde
den Samba PDC lassen wie er ist und den Proxy auf einen zweiten Server
setzen und so tun als sei der Samba PDC ein WIndows PDC (was er nach
aussen hin auch sein sollte.
ja, genau so soll das Szenario (erstmal) sein, weil Winbind die Grundlage ist und weil um 2 Server zumindest bei Squeeze kein Weg daran vorbei führt. 


Da mich das Thema interessiert biete ich dir meine Hilfe an.


Dafür schon an dieser Stelle meinen Dank.


Wir
können uns ja über meine private EMail-Adresse darüber austauschen.


ich komme gegebenenfalls darauf zurück.
Ich hatte noch ein paar (wenige) weitere PMs, wo deutlich gemacht wurde, das sie ebenfalls an der Lösung interessiert sind. Deswegen werde ich versuchen, solange wie es Sinn macht, mögliche Fortschritte hier in der Liste anzugeben. 

Ich denke, dass ich morgen die Testumgebung habe. Ich melde mich dann.

viele Grüße
Hans-Dietrich
Reply to: