옛날 옛적에 남아메리카에는 아름다운 따뜻한 가상 정글이 있었고 오징어 서버가 그곳에 살았습니다. 다음은 네트워크의 지각적인 이미지입니다.
<the Internet>
|
|
A | B
Users <---------> [squid-Server] <---> [LDAP-Server]
Users
인터넷에 대한 요청이 있을 때, squid
그들의 이름과 여권을 요청하고, 그들을 인증 LDAP
하고, ldap이 그들을 승인 한 경우, 그것들을 부여했습니다.
일부 스니퍼가 사용자와 오징어 사이의 경로에서 여권을 훔칠 때까지 모두가 행복했습니다 [경로 A]. 이 재해는 오징어가 Basic-Authentication
방법을 사용했기 때문에 발생했습니다 .
정글 사람들은 문제를 해결하기 위해 모였습니다. 일부 토끼 NTLM
는 방법을 사용하여 제안했습니다 . 뱀 은 나무가 권장하는 Digest-Authentication
동안 선호 했습니다 Kerberos
.
결국 정글 사람들이 제공하는 많은 솔루션이 혼란 스러웠습니다. 라이온은 상황을 끝내기로 결정했습니다. 그는 솔루션 규칙을 외쳤다.
- 솔루션이 안전해야합니다!
- 솔루션이 대부분의 브라우저 및 소프트웨어 (예 : 소프트웨어 다운로드)에서 작동해야합니다.
- 솔루션이 단순하고 Samba 서버와 같은 다른 거대한 하위 시스템이 필요하지 않아야합니다.
- 방법이 특수 도메인에 의존하지 않아야합니다. (예 : Active Directory)
그런 다음 원숭이가 제공하는 매우 공감할 수있는 포괄적 인 영리한 솔루션으로 정글의 새로운 왕이되었습니다!
해결책이 무엇인지 추측 할 수 있습니까?
팁 :
사이의 경로 squid
및 LDAP
솔루션을 확보하지 않은, 그래서 사자에 의해 보호됩니다.
참고 : 이야기가 지루하고 지저분하면 죄송하지만 대부분은 실제입니다! =)
/~\/~\/~\ /\~/~\/~\/~\/~\ ((/~\/~\/~\/~\/~\)) (/~\/~\/~\/~\/~\/~\/~\) (//// ~ ~ \\\\) (\\\\( (0) (0) )////) (\\\\( __\-/__ )////) (\\\( /-\ )///) (\\\( (""""") )///) (\\\( \^^^/ )///) (\\\( )///) (\/~\/~\/~\/) ** (\/~\/~\/) *####* | | **** /| | | |\ \\ _/ | | | | \_ _________// Thanks! (,,)(,,)_(,,)(,,)--------'
최신 정보:
Massimo 는 Users
- squid
와 squid
- 사이의 인증 방법 LDAP
이 동일 할 필요는 없다고 설명했습니다 . 임의 방법을 사용하여 사용자로부터 인증 정보를 얻고 임의 방법을 사용하여 수집 된 데이터를 인증 할 수 있습니다.
그러나 문제가 있습니다. 모든 유형의 인증 자의 입력 / 출력이 동일하지 않습니다. 예를 들면 다음과 같습니다.
Basic
인증은 줄에 "사용자 이름 암호"쌍을 읽고 답장을해야OK
사용자 패스가 올 경우, 또는ERR
Digest
인증은을 읽어야username:realm
과의 진수로 인코딩 답장을HA(A1)
하거나ERR
.
client-squid 방법과 squid-ldap 방법간에 직접적인 관계는 없지만, 클라이언트에서 수집 된 데이터는 squid-ldap 부분에서 사용 된 방법과 호환되어야합니다. 따라서 사용자 측에서 인증 방법을 변경하면 인증 자도 변경해야합니다.
따라서 문제는 다음과 같이 단순화됩니다.
첫 번째 수준에서 i (원숭이!)는 사용자 측에서 좋은 인증 방법을 찾고 있습니다. 대부분의 브라우저에서 안전하고 지원되는 방법은 무엇입니까? 내가 사이에 혼동에서 오전
NTLM
,Kerberos
하고Digest
.여기서 선택한 방법의 자격 증명 정보를 지원하고 LDAP를 통해 인증하는 인증자를 찾을 수 있습니다.