[gull] squid et ntlm pour un lan sans samba
Félix Hauri
felix at f-hauri.ch
Mon Nov 7 08:51:45 CET 2011
On Fri, Nov 04, 2011 at 08:15:58PM +0100, Vicky wrote:
>
> Pour que Squid supporte NTLM, il faut ntlm_auth qui repose sur winbindd.
>
> > - Dois-je installer un serveur samba local pour visiter
> > un site web exterieur?
>
> No, juste winbindd, qui est partie de samba mais installable
> séparemment (paquetage winbind sous Debian & Cie)
Donc oui, mais il faut en plus le configurer de manière à satisfaire
le site que l'on veut visiter, sans heurter les configuration samba
locales...
En fait, j'ai trouvé:
http://wiki.squid-cache.org/NTLMIssues
Où l'on peut lire à propos de ce ``truc'' de Microsoft:
``... Yes, it breaks protocol layering. Yes, it breaks HTTP's
statelessness. And yes, it wastes lots of bandwidth...''
http://www.squid-cache.org/mail-archive/squid-users/200602/0106.html
http://www.squid-cache.org/mail-archive/squid-users/200602/0103.html
Que ce soit franchement merdique, ne m'éclaire pas beaucoup (je le savais;)
Mais là...
J'ai essayé de désactiver la balise header ``via'', de jouer avec les timeouts
et les différent paramêtres liés à la persistance, mais rien n'y fait.
Si j'ai bien compris, la bonne manière de faire est de dédier une machine
``isolée'' du réseau local pour y confiner les credentials des sites
web NTLM que l'on souhaite visiter et de là, on doit pouvoir accéder à
ces sites sans avoir à connaitre le mot de passe et donc les accès sont
à gérer avec les ACL de squid.
Une horreur à mettre en place, mais probablement une utilisation au final
plus souple derrière squid. (je ne parle pas de considération de sécurité.)
> > (Pour enfoncer le clou, je précise que c'est parce que le détenteur du
> > site est ``pointilleux'' sur la sécurité, que le choix à été fait,
> > d'installer le site sous iis :-)
>
> Est-ce qu'on parle bien du même NTLM?
> http://msdn.microsoft.com/en-us/library/cc236715%28v=PROT.10%29.aspx
Merci, je disais cela au départ, juste pour vous faire marrer, mais
tu me donnes là de l'eau pour mon moulin!
--
Félix Hauri - <felix at f-hauri.ch> - http://www.f-hauri.ch
More information about the gull
mailing list