Re: Conf Squid para não pedir senha no browser - outra duvida
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
On 11-10-2007 11:12, Pedro Debian wrote:
> Eu já consegui fazer o squid autenticar usando o LDAP, no entanto ao
> abrir o browser é solicitada a senha do usuário. Vc tem algum material
> que já tenha usado para que eu passo passar por esta autenticação de
> forma automática sem precisar digitar a senha novamente, usando
> preferencialmente o LDAP?
Ok, vamos tentar de novo. SSO é um conceito e para tanto
há diversos passos que precisam ser seguidos para atingí-lo, o
LDAP é um repositório de informações, para fazer o que você quer
com Squid e LDAP você precisa de um tipo de "cache" de senhas ou
sistema de persistência que permita dizer: "fulano de tal já está
autenticado", _não_ o LDAP _não_ faz isso, quem faz isso são
ferramentas como o Kerberos ou um sistema como Samba Authenticated
HOWTO.
O LDAP é o backend, o "cara nos bastidores" compartilhando
informações de forma consistente entre vários serviços, no primeiro
e-mail que mandei nesta thread eu mandei o link sobre como fazer
para o seu navegador não pedir senha.
> Me indicaram usar NTLM, mas para isso tenho que instalar o samba e
> configurar-lo para autenticar no meu PDC que usa o LDAP. Então... se
> houver uma maneira de autenticar o usuário diretamente nele, eu evito os
> intermediários.
Se você não tem Samba, então você precisa de algo como
Kerberos para fazer uso dos tickets compartilhados e permitir a
persistência das informações, só que a autenticação NTLM ou
Negotiate são melhores no Squid3.
Não há um Tutorial e/ou HOWTO para fazer isso em 10
passos simples, é preciso saber como você usa sua base LDAP,
quais serviços estão em produção, quais objetos são usados, qual
o perfil dos clientes, como você quer que o SSO opere e assim
por diante.
Há scripts shell que fazem o truque de adicionar um IP
mais nome de usuário há um arquivo texto, usando a limitação de
uma autenticação por usuário-máquina, você pode mudar o
autenticador e escrever um script shell para alcançar o SSO, mas
até hoje eu vi isso dar vários problemas em situações que seus
usuários vivem criando.
Parece que há plugins para navegadores suportarem outros
tipos de autenticação (e você pode salvar a senha nesse sentido
de não ter que digitá-la novamente). O pessoal fala bastante do
pGina, que pode ser outra alternativa a ser considerada.
Mas essa é a hora de abaixar suas expectativa, esta é a
parte difícil, Kerberos, LDAP, SASL, Squid, navegadores ainda
não estão 100% integrados e ainda compõem o desafio do dia-a-dia
de manter o balanço dos recursos e serviços funcionando. Em outras
palavras, vai dar algum trabalho montar todas as peças do seu
quebra-cabeças pois não há uma "receita de bolo".
Abraço,
- --
Felipe Augusto van de Wiel (faw)
"Debian. Freedom to code. Code to freedom!"
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
iD8DBQFHDjixCjAO0JDlykYRAnBZAJ90a1xqbxsuNbhmTSJeh3GcuLFzmwCeLdEg
0k3xF0MFy9fpCj+R9cUI9T0=
=uTwE
-----END PGP SIGNATURE-----
Reply to: