LINUX.ORG.RU
ФорумAdmin

увелечение ntlm сессии squid

 


0

1

Добрый день. Вопрос в следующием, есть ли возможно увеличить продолжительность ntlm сессии в squid. Обьясню почему хочу сделать, при первой попытке коннекта к сквиду происходит авторазация через Ntlm путем передачи от клиента к сквиду 3х сообщений. Дальше сквид пропускает клиента в интернет. Но через какой то время это сессия рвется и заново начинается обмен сообщенями, что доставляет некий дискомфорт. Можно ли как нибудь увелить продолжительность сессии ntlm? сейчас авторизация выйглядит вот так:

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 20 startup=0 idle=1
auth_param ntlm keep_alive on

Ответ на: комментарий от Ninjatrasher

Да, NTLM древний отстой, сейчас авторизация в вендах идёт по керберосу.

blind_oracle ★★★★★ ()
Ответ на: комментарий от pztrn

ну по моему немного не то, там идет речь о перемещенни пользователя из одной группы AD в другую, у меня же просто вопрос, длинну Ntlm сессии как можно увеличить.

Ninjatrasher ()
Ответ на: комментарий от undertaker

сейчас начал смотреть мануалы по настройке керберос аунтефикации, не очень понятно один момент. у меня со сквидом, настроен так же сквидгард, которые основываясь на группы в AD дает доступ к тому или иному блоку контента. с керберос аунтефикацией, как я понимаю, сквид будет пускать всех пользователей домена в инет, а сквидгарда основываясь на группах в AD так же их фильтровать, правильно я понимаю?

Ninjatrasher ()
Ответ на: комментарий от Ninjatrasher

Давненько я не тыкал палочкой эту тему, но, видимо, да. А что, с ntlm по-другому было? И то, и другое - аутентификация.

undertaker ★★ ()
Ответ на: комментарий от undertaker

во всех мануалах по керберос аунтефикации, на этапе авторизации на сквиде уже режут доступ в инет по группам AD ,а мне нужно что бы доступ резался доступ сквидгардом. в целом можно сделать что то типа

acl proxy_authorized proxy_auth REQUIRED
и дальше этому acl дать доступ в инет и т.д и т.п, а сквидгард уже будет резать контент

Ninjatrasher ()
Ответ на: комментарий от Ninjatrasher

kerberos это аутотентификация. Авторизацию ты уже можешь делать и на основе групп в AD. kerberos на мой взгляд хорош тем, что кросплатформенный. NTLM - мертво. И туда ему дорога. ИМХО.

DALDON ★★★★★ ()
Последнее исправление: DALDON (всего исправлений: 1)
Ответ на: комментарий от selivan

Если хосты не с виндой, то можно навелосипедить свой аналог SSO, я, кстати, именно на тонких клиентах так и делал (правда, только squid пускал). Так себе решение, конечно, но работало.

undertaker ★★ ()
Ответ на: комментарий от undertaker

У меня в своё время до такого руки не дошли, а потом вообще та контора распалась. Да и не очень я в AD разбираюсь. Реально каждый раз грузящийся заново по сети тонкий клиент с ней скрестить? Кроме пользователя, нужна ещё запись компьютера, причём уникальная для каждого клиента? Кинь ссылку на решение, интересно посмотреть.

selivan ★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.