[Tech] NTLM auth
jomme@cyberbeat.it
jomme@cyberbeat.it
Gio 24 Lug 2003 17:19:24 CEST
E Marco Ermini proferi' parole cosi' argute che citar vi devo:
> jomme@cyberbeat.it disse:
> [...]
>> Spero che qs 2 righe ti siano utili come spunto :D Squid, per fare l'autenticazione ntlm,
>> dovrebbe ricorrere ad un trucchetto, tentare di leggere un file sul server pdc con le
>> autorizzazioni che il client gli passa. quindi alla fine l'ntlm supportato dovrebbe
>> corrispondere a quello della versione di smbclient installata sul sistema.
>
> No, esiste un modulo squid-ntlm (sviluppato anche da un italiano, tra l'altro, in uso in
> Unicredit) che va installato.
>
> Basterebbe leggere le FAQ per scoprirlo...
>
> http://www.squid-cache.org/Doc/FAQ/FAQ-23.html#ss23.5
>
>
>>> 2) E' possibile configurare samba per fare da bdc con win2000 e AD?
>>
>> ma non era un concetto di NT domain il pdc e bdc?
>
> E che c'entra? samba puo' farlo benissimo. Anche qui, leggere le FAQ!!!!
>
> http://de.samba.org/samba/ftp/docs/htmldocs/Samba-HOWTO-Collection.html#AEN1807
>
>
>> con l'active directory mi sa che cambia
>> parecchio.
>
> Cambia /qualcosa/ ma dal lato amministrativo (cambia il meccanismo di promozione dei server,
> per esempio). Questo pero' non significa che non si possa fare con Samba!
>
>
>> Credo che la soluzione migliore sarebbe includere l'active
>> directory winbased in un ldap generico.
>
> Credo che questo non c'entri nulla! il BDC e' tenuto unicamente ad avere una cache degli
> utenti, che pero' sono tenuti sul PDC. E chi dice che gli utenti debbano stare su LDAP?
>
beh... a questo punto mi sono documentato. Bisogna innanzi tutto distinguere fra Active
Directory in mixed mode e in native mode. Il native mode e' un'implementazione (sembra poco
standard) dell'ldap, che si basa su trust fra i domain controllers (autenticazione tramite
kerberos) e dove NON esistono ne' PDC ne' BDC. Il database degli utenti (presupponendo il
supporto degli universal groups, nested groups e transitive trust relationships fra macchine)
deve essere per forza di cose distribuito sui vari dc della rete. Il mixed mode, invece,
prevede che un DC della rete faccia da Primary Domain Controller (NT) in emulazione: una
specie di gateway fra il vecchio sistema ntlm di autenticazione (che girava sulla 139 o
simili) e l'active directory che sta sopra. Un AD in mixed mode accetta anche BDC (volendo
samba).
L'NTLMv2 e' invece una pezza microsoftiana alla superbacata ntlm, semplicemente ha allungato i
byte delle chiavi da 8 a (forse) 14, e qualche altro enhancement.
Il problema e' che i client 9x supportano SOLO l'autenticazione ntlm semplice (a meno di sw di
terze parti).
Tornando al nostro SQUID, se hai un AD mixed ti serve il modulino ntlm per squid, il quale si
appoggia a samba (di conseguenza l'autenticazione supportata E' quella dell'smbclient).
Se hai un AD nativa ti serve un moduletto ldap per lo squid.
ciao,
jomme
*****************************
Gabriele De Benedittis
Java Developer
Linux System Administrator
*****************************
Maggiori informazioni sulla lista
flug-tech