suatu ketika, ada hutan virtual yang indah dan hangat di Amerika Selatan, dan server cumi-cumi tinggal di sana. berikut ini adalah gambar persepsi jaringan:
<the Internet>
|
|
A | B
Users <---------> [squid-Server] <---> [LDAP-Server]
Ketika Users
permintaan akses ke Internet, squid
tanyakan nama dan paspor mereka, otentikasi mereka dengan LDAP
dan jika ldap menyetujuinya, maka dia memberikan mereka.
Semua orang senang sampai beberapa sniffer mencuri paspor di jalur antara pengguna dan squid [jalur A]. Bencana ini terjadi karena cumi menggunakan Basic-Authentication
metode.
Orang-orang hutan berkumpul untuk memecahkan masalah. Beberapa kelinci menawarkan penggunaan NTLM
metode ini. Ular lebih disukai Digest-Authentication
saat Kerberos
direkomendasikan oleh pohon.
Lagi pula, banyak solusi yang ditawarkan oleh orang-orang hutan dan semuanya bingung! Sang Singa memutuskan untuk mengakhiri situasi. Dia meneriakkan aturan untuk solusi:
- Haruskah solusinya aman!
- Solusi akan berfungsi untuk sebagian besar browser dan perangkat lunak (mis. Perangkat lunak unduhan)
- Haruskah solusinya sederhana dan tidak perlu subsistem besar lainnya (seperti server Samba)
- Tidak akan metode tergantung pada domain khusus. (mis. Direktori Aktif)
Kemudian, solusi yang sangat resonable-komprehensif-pintar yang ditawarkan oleh monyet, menjadikannya raja hutan yang baru!
dapatkah Anda menebak apa solusinya?
Tip:
Jalur antara squid
dan LDAP
dilindungi oleh singa, sehingga solusinya tidak harus mengamankannya.
Catatan: maaf jika ceritanya membosankan dan berantakan, tetapi sebagian besar itu nyata! =)
/~\/~\/~\ /\~/~\/~\/~\/~\ ((/~\/~\/~\/~\/~\)) (/~\/~\/~\/~\/~\/~\/~\) (//// ~ ~ \\\\) (\\\\( (0) (0) )////) (\\\\( __\-/__ )////) (\\\( /-\ )///) (\\\( (""""") )///) (\\\( \^^^/ )///) (\\\( )///) (\/~\/~\/~\/) ** (\/~\/~\/) *####* | | **** /| | | |\ \\ _/ | | | | \_ _________// Thanks! (,,)(,,)_(,,)(,,)--------'
Memperbarui:
Massimo menjelaskan bahwa metode otentikasi antara Users
- squid
dan squid
- LDAP
tidak harus sama. kita dapat menggunakan metode arbiter untuk mendapatkan informasi otentikasi dari pengguna dan metode arbiter untuk mengautentikasi data yang dikumpulkan.
Tetapi ada masalah: input / output dari semua jenis autentikator tidak sama. Sebagai contoh:
- sebuah
Basic
authenticator harus membaca "username password" pasangan dalam garis dan membalas sebuahOK
jika pengguna-pass benar atauERR
- sebuah
Digest
authenticator harus membacausername:realm
dan membalas hex-encoded dariHA(A1)
atauERR
.
Meskipun tidak ada hubungan langsung antara metode client-squid dan metode squid-ldap, data yang dikumpulkan dari klien harus kompatibel dengan metode yang digunakan di bagian squid-ldap. Karena itu, jika kita mengubah metode otentikasi di sisi pengguna, kita mungkin juga harus mengubah autentikator.
Jadi masalahnya disederhanakan menjadi:
Di tingkat pertama, saya (monyet!) Sedang mencari metode otentikasi yang baik di sisi pengguna. Metode mana yang Anda rekomendasikan yang aman dan didukung oleh sebagian besar browser ? Saya bingung antara
NTLM
,Kerberos
danDigest
.Di mana saya dapat menemukan autentikator yang mendukung informasi kredensial dari metode yang dipilih dan mengautentikasi melalui LDAP.