R: proxy protocollo NTLM di IIS con squid

> -----Messaggio originale-----
> Da: golem golem [mailto:golemlist@xxxxxxxxxxx] 
> Inviato: mercoledì 11 febbraio 2004 16.36
> A: ml@xxxxxxxxxxxxx
> Oggetto: proxy protocollo NTLM di IIS con squid
> 
[...cut...]
> so che l'helper ntlm di squid può autenticare gli utenti 
> (locali) con ntlm ma che io sappia squid non è in grado di 
> proxare questo tipo di 
> autenticazione verso un IIS.

Mi pare di ricordare che NTLM non si possa "proxare", cioe' 
quando tu ti autentichi su un nodo di rete tramite NTLM non
puoi piu' compiere un altro salto poiche' il nodo che ti ha 
autenticato non dispone delle tue credenziali  di rete. Proprio 
questo e' uno dei motivi per cui e' stato introdotto kerberos 
windows 2000, infatti una volta che tu ti eri autenticato su un 
IIS con NTLM il web server non poteva "impersonarti" verso un 
eventuale database di backend, con kerberos invece si puo' 
"proxare" il tuo ticket.
Quello che chiedi quindi potrebbe risultare non fattibile in senso 
letterale, quello che puoi fare e' fare autenticare un ipotetico
utente_1 verso lo squid con ntlm e poi fare in modo che il tuo
utente_1 venga mappato su un altro utente_2 e squid, con le credenziali
di utente_2 (credo debba averle "a bordo") si autentichi verso il 
server IIS remoto.
bebe 



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List