Il était une fois, une belle jungle virtuelle chaude en Amérique du Sud, et un serveur de calmars y vivait. voici une image perceptuelle du réseau:
<the Internet>
|
|
A | B
Users <---------> [squid-Server] <---> [LDAP-Server]
Lorsque la Users
demande d'accès à Internet, squid
demandez leur nom et passeport, authentifiez-les par LDAP
et si LDAP les a approuvés, alors il les a accordés.
Tout le monde était content jusqu'à ce que des renifleurs volent un passeport entre les utilisateurs et le calmar [chemin A]. Cette catastrophe s'est produite parce que le calmar a utilisé la Basic-Authentication
méthode.
Les gens de la jungle se sont réunis pour résoudre le problème. Certains lapins ont proposé d'utiliser la NTLM
méthode. Les serpents sont préférés Digest-Authentication
tandis qu'ils sont Kerberos
recommandés par les arbres.
Après tout, de nombreuses solutions proposées par des gens de la jungle et tout était confus! Le Lion a décidé de mettre fin à la situation. Il a crié les règles des solutions:
- La solution doit-elle être sécurisée!
- La solution doit-elle fonctionner pour la plupart des navigateurs et logiciels (par exemple, télécharger des logiciels)
- La solution doit-elle être simple et ne nécessite pas d'autre énorme sous-système (comme le serveur Samba)
- La méthode ne dépendra-t-elle pas d'un domaine spécial. (par exemple, Active Directory)
Ensuite, une solution très résonnable, complète et intelligente offerte par un singe, faisant de lui le nouveau roi de la jungle!
pouvez-vous deviner quelle était la solution?
Astuce:
Le chemin entre squid
et LDAP
est protégé par le lion, donc la solution n'a pas à le sécuriser.
Remarque: désolé si l'histoire est ennuyeuse et désordonnée, mais la plupart sont réelles! =)
/~\/~\/~\ /\~/~\/~\/~\/~\ ((/~\/~\/~\/~\/~\)) (/~\/~\/~\/~\/~\/~\/~\) (//// ~ ~ \\\\) (\\\\( (0) (0) )////) (\\\\( __\-/__ )////) (\\\( /-\ )///) (\\\( (""""") )///) (\\\( \^^^/ )///) (\\\( )///) (\/~\/~\/~\/) ** (\/~\/~\/) *####* | | **** /| | | |\ \\ _/ | | | | \_ _________// Thanks! (,,)(,,)_(,,)(,,)--------'
Mise à jour:
Massimo a expliqué que la méthode d'authentification entre Users
- squid
et squid
- LDAP
n'a pas à être la même. nous pouvons utiliser la méthode arbitraire pour obtenir des informations d'authentification des utilisateurs et la méthode arbitraire pour authentifier les données recueillies.
Mais il y a un problème: l'entrée / sortie de tous les types d'authentificateurs n'est pas la même. Par exemple:
- un
Basic
authentificateur doit lire la paire "mot de passe du nom d'utilisateur" sur une ligne et répondreOK
si la passe utilisateur est correcte ouERR
- un
Digest
authentificateur doit lire unusername:realm
et répondre à un codage hexadécimal deHA(A1)
ou unERR
.
Bien qu'il n'y ait pas de relation directe entre la méthode client-squid et la méthode squid-ldap, les données recueillies du client doivent être compatibles avec la méthode utilisée dans la partie squid-ldap. Par conséquent, si nous modifions la méthode d'authentification côté utilisateur, nous devrions peut-être également changer notre authentificateur.
Ainsi, le problème se simplifie pour:
Au premier niveau, je (le singe!) Cherche une bonne méthode d'authentification côté utilisateur. Quelle méthode recommandez-vous qui est sécurisée et prise en charge par la plupart des navigateurs ? je suis confus entre
NTLM
,Kerberos
etDigest
.Où je peux trouver un authentificateur qui prend en charge les informations d'identification de la méthode sélectionnée et s'authentifie via LDAP.