abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 02:55 | Bezpečnostní upozornění

    Výzkumníci ze společnosti ESET objevili 11 zapomenutých UEFI shim zavaděčů, které byly podepsány společností Microsoft, a které umožňují útočníkům obejít ochranu UEFI Secure Boot na většině zařízení. Microsoft je zneplatnil (přidal jejich hash do databáze dbx) v rámci aktualizace Patch Tuesday dne 9. června 2026. Uživatelé Linuxu mohou databází aktualizovat pomocí LVFS. Ověřit zneplatnění zavaděčů lze pomocí skriptu uefi-dbx-audit. Jedná se o CVE-2026-8863 a CVE-2026-10797.

    Ladislav Hagara | Komentářů: 1
    včera 16:55 | Zajímavý software

    pico-usb-wifi je open source firmware pro Raspberry Pi Pico W, který jej promění v USB Wi-Fi adaptér. Po připojení k počítači se objeví jako zařízení USB CDC-NCM.

    Ladislav Hagara | Komentářů: 0
    včera 16:00 | IT novinky

    Americká společnost Google ze skupiny Alphabet bude muset podle nových požadavků Evropské unie umožnit společnosti OpenAI i dalším konkurentům v oblasti umělé inteligence (AI) a internetových vyhledávačů přístup ke svým službám. Ve svém rozhodnutí o tom včera informovala Evropská komise (EK). Opatření má zajistit dodržování pravidel, jejichž cílem je omezit v EU tržní sílu velkých technologických firem. Google s tím nesouhlasí.

    … více »
    Ladislav Hagara | Komentářů: 0
    včera 04:55 | Komunita

    Nové verze webových prohlížečů Chrome a Firefox jsou vydávány každé 4 týdny. Aktuální verze Chrome je 150. Aktuální verze Firefoxu je 152. V březnu bylo oznámeno, že od září přejde Chrome na dvoutýdenní cyklus vydávání verzí. To by znamenalo, že Chrome v číslování verzí Firefox brzy přeskočí. Vývojáři Firefoxu proto také od září přecházejí na dvoutýdenní cyklus vydávání verzí. :-)

    Ladislav Hagara | Komentářů: 4
    včera 00:22 | Zajímavý software

    Microsoft Comic Chat (Wikipedie), tj. grafický IRC klient z devadesátek, který převáděl konverzace na IRC do podoby komiksových panelů, a který zpopularizoval font Comic Sans, je dnešním dnem open source. Zdrojové kódy jsou k dispozici na GitHubu pod licencí MIT.

    Ladislav Hagara | Komentářů: 1
    16.7. 19:55 | Nová verze

    Byla vydána (𝕏) nová verze 26.7 open source firewallové a routovací platformy OPNsense (Wikipedie). Jedná se o fork pfSense postavený na FreeBSD. Kódový název OPNsense 26.7 je Xenial Xenops. Přehled novinek v příspěvku na fóru.

    Ladislav Hagara | Komentářů: 0
    16.7. 14:44 | IT novinky

    Na Seznam nepovolených internetových her (Wikipedie) se k 13. 7. 2026 dostala predikční platforma Polymarket.

    Ladislav Hagara | Komentářů: 5
    16.7. 14:22 | Zajímavý článek

    Nová čísla časopisů od nakladatelství Raspberry Pi zdarma ke čtení: Raspberry Pi Official Magazine 167 (pdf) a Hello World 30 (pdf).

    Ladislav Hagara | Komentářů: 0
    16.7. 00:44 | Nová verze

    Byla vydána nová verze 3.22.0 grafického vývojového prostředí a platformy Gambas (Wikipedie) založené na interpretru programovacího jazyka Basic s rozšířením o objektově orientované programování. Přehled novinek v poznámkách k vydání. Zdrojové kódy jsou k dispozici na GitLabu.

    Ladislav Hagara | Komentářů: 0
    15.7. 20:22 | Komunita

    FreeBSD odstranilo poslední GPL kód ze základního systému. Konkrétně dpv, libdpv, libfigpar a dialog. Instalátor před čtyřmi lety přešel z dialogu na bsddialog.

    Ladislav Hagara | Komentářů: 2
    Které desktopové prostředí na Linuxu používáte?
     (11%)
     (7%)
     (2%)
     (17%)
     (31%)
     (4%)
     (6%)
     (2%)
     (15%)
     (25%)
    Celkem 2156 hlasů
     Komentářů: 30, poslední 3.4. 20:20
    Rozcestník


    Dotaz: squid autentizace NTLM a ldap

    7.1.2011 11:17 TiVek
    squid autentizace NTLM a ldap
    Přečteno: 963×
    Dobrý den,

    v podnikové síti používám ipcop, na kterém mám rozjeto mimo jiné i proxy pro řízení přístupů a filtrování obsahu na internetu. Doposud jsem měl zapnuto pouze řízení přístupů pomocí různých ip adres, ale tento způsob se mi zdá nevyhovující.

    Zkoušel jsem nastavit ověřování na proxy pomocí ldap vůči active directory (uživatel jež byl v určené skupině měl přístup na internet), což bylo naprosto ideální až na jednu maličkost a to, že po každém zapnutí prohlížeče musel zadávat své doménové jméno a heslo, což se neslo s velkou nevolí ve firmě a musel jsem ověřování vypnout.

    Druhá varianta byla ověřování NTLM, opět byla funkční avšak už nemůžu ověřovat podle skupiny v AD, ale podle seznamu na ipcop serveru, což je pro mě neefektivní, jelikož tento seznam nemůžu synchronizovat s AD a tímpádem s ostatními správci.

    Mnou požadované řešení: Na serveru (nemusí být ipcop, ale jakákoli distribuce se squid) by bylo nastaveno ověření NTLM ovšem nekontrolovalo by se vůči seznamu na proxy ale pomocí ldap v AD (prohlížeč pošle jméno přihlášeného uživatele na proxy, ldap na proxy se podívá do AD, zda tento uživatel je ve skupině "inetaccess" a pokud ano povolí spojení, pokud ne zamítne požadavek) - bylo by toto řešení nějakým způsobem uskutečnitelné?

    mnohokrát děkuji za všechny rady

    Odpovědi

    8.1.2011 19:17 Martin
    Rozbalit Rozbalit vše Re: squid autentizace NTLM a ldap
    Mam funkcni Squid+ uzivatele v OpenLDAP a overovani postupne v tomto poradi: Kerberos, NTLM, jmeno/heslo. Pokud uzivatel posle Kerberos ticket, overi jej automaticky, pokud ne, zkusi NTLM, pokud taky ne, vyskoci dialog jmeno/heslo. Prvni dve moznosti funguji jako SSO. cistsi je ovsem Kerberos, ten funguje z Linux desktopu i Windows, NTLM funguje jen z domeny, v nasem pripade Samba. Je vhodne ponechat moznost jmneno/heslo napr. pro ruzna zarizeni (tiskarny, telefony apod.), ktere nepodporuji jinou moznost autentizace. Autorizaci resim pomoci skupin v LDAP (zadny pristup, omezeny, plny). S AD nemam zkusenosti ale z principu by to melo jit rozchodit. Poznamka: pokud mate moznost prejit z AD na standardni LDAP server, vrele toto doporucuji, neni problem vuci LDAP overovat pak temer cokoliv.
    10.1.2011 09:29 TiVek
    Rozbalit Rozbalit vše Re: squid autentizace NTLM a ldap
    To je přesně to co by se mi sem hodilo, ale vzhledem k mým znalostem bych potřeboval pomoct s konfigurací. To postupné ověřování umí squid standartně? LDAP server podle mě nebude potřeba pokud mám funkční delegování v AD, ale s tím bych si snad už poradil sám.
    31.1.2011 20:17 Kirk
    Rozbalit Rozbalit vše Re: squid autentizace NTLM a ldap
    Dobrý den, zajímalo jestli se někomu podařilo ověřování přes ldap vůči AD (uživatel v nějaké skupině -> přístup na internet) podařilo trošku vyladit, tak aby uživatel nemusel po každém zapnutí prohlížeče znovu zadávat své jméno a heslo z AD, nebo je normální stav ? Děkuji za každou pomoc.
    31.1.2011 20:25 timeos | skóre: 32
    Rozbalit Rozbalit vše Re: squid autentizace NTLM a ldap

    To je prave pointa NTLM autentifikacie. Pokial sa pouzije na strane proxy servera prave NTLM autentifikacia, (podporovany) prehliadac sa najprv pokusi overit udajmi prave prihlaseneho usera. Ked sa mu to nepodari, potom vyhodi okno na zadanie novych prihlasovacich udajov.

    Z toho co pisete, pouzivate podla vsetkeho basic autentifikaciu. Na nete je kopec navodov ako ntlm autentifikaciu sfunkcnit - voci AD je to dost casty pripad.

    31.1.2011 20:51 Kirk
    Rozbalit Rozbalit vše Re: squid autentizace NTLM a ldap
    dobrý den, můžete mě trošku nakopnout co mám kromě verze "basic" hledat ? děkuji

    konfigurace v squid.conf:

    auth_param basic program /usr/lib/squid/squid_ldap_auth -P -R -b "dc=ORG" -D "jmenoldapserveru@domena" -h IP_adresa -w password -f "(&(samaccountname=%s)(facsimileTelephoneNumber=111))" auth_param basic children 5 auth_param basic realm ORG-proxy-server-LDAP-AUTH auth_param basic credentialsttl 1 minute

    acl ldap-auth proxy_auth REQUIRED http_access allow ldap-auth
    31.1.2011 21:04 timeos | skóre: 32
    Rozbalit Rozbalit vše Re: squid autentizace NTLM a ldap
    můžete mě trošku nakopnout co mám kromě verze "basic" hledat ? děkuji
    google - squid ntlm ad auth

    basic autentifikacia sa vola preto basic, lebo po vyzve servera o autentifikacou klient (browser) okamzite posle prihlasovacie udaje. ntlm authentifikacia je domyselnejsia v tom, ze je viackrokova a tiez tym, ze heslo nieje posielane cez siet v cistom nesifrovanom tvare (ale ako ntlm response).

    Aby som predchadzajuci link zhrnul (hned prvy odkaz je vyhovujuci), je potrebne na tom stroji kde bezi squid rozbehat sambu, zaradit ju do AD domeny ako AD member server a s pomocou winbindu docielite autentifikovanie proxy userov voci AD.

    11.5.2011 14:03 pilch
    Rozbalit Rozbalit vše Re: squid autentizace NTLM a ldap
    Dobrý den, může mi někdo poradit jak přidám server se sambou do Windows AD, tak abych byl schopen autentizovat uživatele z Samby oproti Windows AD? Jak vypadá konfigurace smb.conf ?

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.