c'era una volta una bella giungla virtuale calda in sud america e un server di calamari viveva lì. ecco un'immagine percettiva della rete:
<the Internet>
|
|
A | B
Users <---------> [squid-Server] <---> [LDAP-Server]
Quando la Users
richiesta di accesso a Internet, squid
chiedi il loro nome e passaporto, li autentica LDAP
e se ldap li ha approvati, li ha concessi.
Tutti erano felici fino a quando alcuni sniffer non hanno rubato il passaporto nel percorso tra utenti e calamari [percorso A]. Questo disastro è avvenuto perché il calamaro ha usato il Basic-Authentication
metodo.
Le persone della giungla si sono radunate per risolvere il problema. Alcuni coniglietti hanno offerto l'uso NTLM
del metodo. I serpenti preferito Digest-Authentication
mentre Kerberos
consigliato da alberi.
Dopotutto, molte soluzioni offerte dalle persone della giungla e tutto era confuso! Il leone ha deciso di porre fine alla situazione. Ha gridato le regole per le soluzioni:
- La soluzione sarà sicura!
- La soluzione funzionerà per la maggior parte dei browser e dei software (ad es. Download di software)
- La soluzione sarà semplice e non avrà bisogno di altri enormi sottosistemi (come il server Samba)
- Il metodo non dipenderà dal dominio speciale. (ad es. Active Directory)
Quindi, una soluzione molto comprensibile, completa e intelligente offerta da una scimmia, che lo rende il nuovo re della giungla!
puoi indovinare qual era la soluzione?
Suggerimento:
il percorso tra squid
e LDAP
è protetto dal leone, quindi la soluzione non deve fissarlo.
Nota: scusate se la storia è noiosa e disordinata, ma la maggior parte è reale! =)
/~\/~\/~\ /\~/~\/~\/~\/~\ ((/~\/~\/~\/~\/~\)) (/~\/~\/~\/~\/~\/~\/~\) (//// ~ ~ \\\\) (\\\\( (0) (0) )////) (\\\\( __\-/__ )////) (\\\( /-\ )///) (\\\( (""""") )///) (\\\( \^^^/ )///) (\\\( )///) (\/~\/~\/~\/) ** (\/~\/~\/) *####* | | **** /| | | |\ \\ _/ | | | | \_ _________// Thanks! (,,)(,,)_(,,)(,,)--------'
Aggiornare:
Massimo ha spiegato che il metodo di autenticazione tra Users
- squid
e squid
- LDAP
non deve essere lo stesso. possiamo usare il metodo arbitrario per ottenere informazioni di autenticazione dagli utenti e il metodo arbitrario per i dati raccolti autenticati.
Ma c'è un problema: l'input / output di tutti i tipi di autenticatori non è lo stesso. Per esempio:
- un
Basic
autenticatore dovrebbe leggere una coppia di "nome utente password" in una riga e rispondere aOK
se il pass utente è corretto oERR
- un
Digest
autenticatore dovrebbe leggere ausername:realm
e rispondere a un codice esadecimale diHA(A1)
o aERR
.
Sebbene non vi sia alcuna relazione diretta tra il metodo client-squid e il metodo squid-ldap, i dati raccolti dal client devono essere compatibili con il metodo utilizzato nella parte squid-ldap. Pertanto, se cambiamo il metodo di autenticazione dal lato degli utenti, dovremmo forse cambiare anche il nostro autenticatore.
Quindi il problema si semplifica per:
Nel primo livello, io (la scimmia!) Sto cercando un buon metodo di autenticazione sul lato utente. Quale metodo consigliate quale è sicuro e supportato dalla maggior parte dei browser ? sono confuso tra
NTLM
,Kerberos
eDigest
.Dove posso trovare un autenticatore che supporta le informazioni sulle credenziali del metodo selezionato e esegue l'autenticazione tramite LDAP.