увелечение ntlm сессии squid

А ntlm обязателен? Может, лучше попробовать прикрутить kerberos?

будет быстрее и надежнее? изначально стояла задача настроить с ntlm авторизацией.

http://bit.ly/1kNqW3o вторая ссылка. Неужто трудно? :)

Да, NTLM древний отстой, сейчас авторизация в вендах идёт по керберосу.

ну по моему немного не то, там идет речь о перемещенни пользователя из одной группы AD в другую, у меня же просто вопрос, длинну Ntlm сессии как можно увеличить.

сейчас начал смотреть мануалы по настройке керберос аунтефикации, не очень понятно один момент. у меня со сквидом, настроен так же сквидгард, которые основываясь на группы в AD дает доступ к тому или иному блоку контента. с керберос аунтефикацией, как я понимаю, сквид будет пускать всех пользователей домена в инет, а сквидгарда основываясь на группах в AD так же их фильтровать, правильно я понимаю?

Давненько я не тыкал палочкой эту тему, но, видимо, да. А что, с ntlm по-другому было? И то, и другое - аутентификация.

во всех мануалах по керберос аунтефикации, на этапе авторизации на сквиде уже режут доступ в инет по группам AD ,а мне нужно что бы доступ резался доступ сквидгардом. в целом можно сделать что то типа

acl proxy_authorized proxy_auth REQUIRED

kerberos это аутотентификация. Авторизацию ты уже можешь делать и на основе групп в AD. kerberos на мой взгляд хорош тем, что кросплатформенный. NTLM - мертво. И туда ему дорога. ИМХО.

Если есть хосты не с виндой - тонкие клиенты с браузером, например - то никуда ты от NTLM не денешься.

Если хосты не с виндой, то можно навелосипедить свой аналог SSO, я, кстати, именно на тонких клиентах так и делал (правда, только squid пускал). Так себе решение, конечно, но работало.

У меня в своё время до такого руки не дошли, а потом вообще та контора распалась. Да и не очень я в AD разбираюсь. Реально каждый раз грузящийся заново по сети тонкий клиент с ней скрестить? Кроме пользователя, нужна ещё запись компьютера, причём уникальная для каждого клиента? Кинь ссылку на решение, интересно посмотреть.