Böngészés ISA szerver mögül HOGYAN

Írta: Raheel Abdul Hameed (raheel at raheelhameed dot com)

v1.0, 2003 április - Első kiadás, az LDP által ellenőrizve
Ha a Linux kliensed egy Windows-alapú ISA szerverhez csatlakozik, akkor ez a leírás segít a rendszert úgy beállítani, hogy a linuxos gépről böngészni tudjunk. Azért írtam meg ezt a cikket, mert hasonló problémákat tapasztaltam, és egy kis kutatás után találtam néhány megoldást arra, hogyan használhatom a webet linuxos kliensemen. Itt van hát a leírás, amely remélem hasznos információkkal szolgál. Mindenféle visszajelzést szívesen fogadok, különösen folt (patch) formájában. :)

1. Bevezetés

Ez a fejezet tartalmazza a szerzői jogokkal, a szükséges előfeltételekkel, a dokumentum használatával valamint az új verziók elérhetőségével kapcsolatos információkat.

1.1 Szerzői jogok

A dokumentum jogos tulajdonosa Raheel Abdul Hameed. Copyright (c) 2003

A dokumentum a Free Software Foundation által kiadott GNU Free Documentation License 1.2-es vagy újabb verziójában foglalt feltételek keretein belül másolható, terjeszthető és/vagy módosítható; invariáns fejezet, első borítólapszöveg és hátsó borítólapszöveg nincsen.

A licenc egy másolata megtalálható a GNU Free Documentation License címen.

1.2 Jogi nyilatkozat

A dokumentumban található információkat saját felelősségre használjuk. A dokumentum tartalmára vonatkozóan semmilyen felelősséget nem vállalok. A dokumentumban lévő elképzelések, példák és/vagy minden más tartalmat teljes mértékben a saját felelősségünkre használjuk.

Minden szerzői jog a tulajdonosoké, hacsak arról konkrétan másképpen nem rendelkeznek. Ebben a dokumentumban szereplő kifejezések használata semmi estere sem lehetnek hatással termék védjegyre vagy szolgáltatói védjegyre.

Bizonyos termékek vagy védjegyek megnevezése jóváhagyásként (hozzájárulásként) nem tekinthetőek.

Erősen ajánlott a rendszer biztonsági mentése nagyobb telepítések előtt. Ezen kívül ajánlott a rendszeres időközönkénti biztonsági mentés.

1.3 A dokumentum legújabb változata

A dokumentum legújabb változata a http://tldp.org/HOWTO/Web-Browsing-Behind-ISA-Server-HOWTO.html címen érhető el.

1.4 Előfeltételek

Jelen dokumentum feltételezi, hogy tudunk egy létező fájlt szerkeszteni egy általunk használt szerkesztő programmal, mivel a dokumentum egy konfigurációs fájl szerkesztéséről szól. Ezen kívül előnyös, de nem szükséges az ISA szerver beállításának ismerete.

1.5 A dokumentum használata

Jelen dokumentum az alábbi esetekben próbál segíteni:

1.6 Fordítások

Eddig nem készült fordítás.

Ha készítesz, vagy tudomásod van eme dokumentum fordításáról, úgy kérlek e-mailben jelezd, én pedig frissítem ezt a fejezetet.

1.7 Magyar fordítás

A magyar fordítást Vadon Péter készítette (2004.06.07). A lektorálást Daczi László végezte el (2004.06.07). Eme dokumentum legfrissebb változata megtalálható a Magyar Linux Dokumentációs Projekt honlapján.

2. ISA szerver

2.1 Néhány szó az ISA szerverről

Az ISA szerver számos hálózati funkciót lát el, például tűzfal, Web-gyorstár, jogosultság-alapú adminisztráció, dinamikus IP szűrés, virtuális magánhálózat szolgáltatás (Virtual Private Network; VPN), betörési kísérlet detektálás, hálózati címfordítás (Network Adress Translation; NAT) és jelentések készítése (reporting). Míg Windows kliensek számára robusztus megoldás, Linux felhasználók számára maga a kínszenvedés, mivel a legtöbb Linux alapú böngésző nem igazán használható ISA szerver mögül. Azért használom a "nem igazán" kifejezést, mert létezik néhány megoldás.

2.2 Miért nem működik?

Windows alapú klienst futtatva az ISA szerver mögött észrevehetjük, hogy normális esetben csak az Internet Explorert használva böngészhetünk, más böngészőkkel - például Netscape - nem. Ennek az az oka, hogy az ISA szerver egy "integrált hitelesítés" nevű módszert használ. Amikor az Internet Explorer kapcsolódik az ISA szerverhez, hogy egy weboldalt lekérjen, minden egyes kéréssel együtt elküld egy kódot, ami alapján a szerver azonosít minket, mint létező tartomány-felhasználókat. [Ennek ellenőrzésére lehallgathatunk néhány csomagot böngészés közben, a kérés fejlécéből kiderül, amit a böngészőnk küld az ISA szerver felé.] Ezt a fajta hitelesítést más böngészők nem támogatják, ezért a legtöbb nem használható.

A következő fejezetek bemutatják, hogyan tegyük képessé a Linux alapú böngészőnket a szörfözésre.

3. Első módszer: Az alapvető hitelesítés (Basic Authentication) beállítása

Mint fentebb megtudtuk, az ISA szerveren beállított integrált hitelesítés miatt a harmadik fél által gyártott böngészők nem működnek. Ebben az esetben használható egy másik hitelesítési eljárás, az alapvető hitelesítés (Basic Authentication). Ezt a legtöbb böngésző - és ami a legfontosabb - az ISA szerver is támogatja. Amennyiben a környezet megköveteli a nagyobb biztonságot, ez a módszer nem ajánlott, mivel a felhasználónév és jelszó továbbításkor csak gyengén titkosított.

Ehhez a módszerhez elengedhetetlen feltétel, hogy jogosultak legyünk az ISA szerver beállítására. Ha nincs hozzáférésünk a szerver beállítókonzoljához, ugorjunk a következő fejezetben található második módszerhez.

3.1 Szerver oldali beállítások

Csak annyit kell tennünk, hogy elindítjuk az ISA beállítást (ISA Management), és megtesszük a következő lépéseket:

  1. Kattintsunk a jobb-egérgombbal a szerverre, majd kattintsunk a "Beállításokra" (Properties).
  2. A "Kimenő kérések" (Outgoing Web Requests) fülön kattintsunk a megváltoztatandó beállított kapcsolatra, és kattintsunk a "Szerkesztésre" (Edit).
  3. Kattintsunk az "Alapvető hitelesítésre" (Basic authentication), majd válasszuk ki azt a tartományt, amelyben a hitelesítendő felhasználói fiókok vannak.
  4. Most jön a Linux alapú böngésző beállítása.

3.2 Kliens oldali beállítások

Alapvetően a Netscape böngészőt vesszük példának.

  1. Indítsuk el a Netscape Communicator-t.
  2. Kattintsunk a "Szerkesztés" (Edit) menü "Tulajdonságok" (Preferences) pontjára.
  3. Nyissuk meg a "Haladó" (Advanced) beállítást, és kattintsunk a "Proxyk"-ra (Proxies); ekkor néhány beállítási lehetőséget látunk baloldalt.
  4. Kattintsunk a "Kézi proxy beállítás"-ra (Manual proxy configuration), majd a "Nézet" (View) gombra.
  5. írjuk be az ISA Szerver IP címét a HTTP: mezőbe és a port számot, amelyen megtalálható (általában 8080, beállításfüggő).
  6. Kattintsunk az "OK" gombra a változtatások mentéséhez.
  7. A "Beállítások" (Preferences) párbeszédablakhoz jutunk vissza.
  8. Kattintsunk az "OK" gombra a változtatások érvényesítéséhez.

A böngészőben nyissunk meg egy teszt url-t, ekkor meg kell adnunk a felhasználónevünket és jelszavunkat. A felhasználónévhez írjuk be: TARTOMÁNY\FELHASZNÁLÓ, ahol a TARTOMÁNY a Windows tartomány neve, a FELHASZNÁLÓ pedig a létező felhasználónevünk a tartományban. A jelszóhoz írjuk be a felhasználónévhez tartozó jelszót. Kattintsunk az "OK" gombra. Például:


Felhasználónév: CABLENET\Raheel
Jelszó: Az_én_jelszavam

ahol CABLENET a tartományom, Raheel a felhasználónevem
és Az_én_jelszavam az érvényes jelszavam.

Ekkor a böngésző be tudja tölteni az oldalt. Más böngésző használata esetén ellenőrizzük, hogy támogatja-e az alapvető hitelesítést (Basic Authentication).

4. Második módszer: NTLM hitelesítő proxy szerver (NTLM Authorization Proxy Server)

Az NTLM hitelesítő proxy szerver egy proxy szerver-szerű szoftver, ami csak az NTLM hitelesítést továbbítja a böngésző és az ISA Szerver között, így a szerver azt "hiszi", hogy a böngészőnk Internet Explorer. Ezt úgy éri el, hogy hozzáadja a kérések fejlécéhez az NTLM hitelesítést szolgáló karakterláncokat. A programot Dmitry Rozmanov írta Python nyelven [szép munka!]. Megtalálható a www.python.org webhelyen. A legtöbb Linux terjesztésnek része egy Python értelmező (interpreter).

4.1 Az NTLMAPS beszerzése

Az NTLMAPS honlapja a http://ntlmaps.sourceforge.net/ címen található meg. A letöltéseket a http://sourceforge.net/project/showfiles.php?group_id=69259 címen találhatjuk meg közvetlenül. A dokumentum írásakor a legfrissebb verzió a 0.9.8.

4.2 Az NTLMAPS telepítése

Ha letöltöttük az NTLMAPS-t, kicsomagolhatjuk egy nekünk tetsző könyvtárba:


        
tar xzvf apsxxx.tar.gz
cd apsxxx

ahol "xxx" a verziószám.

4.3 Gyors beállítás

Kedvenc programunkkal szerkesszük a server.cfg fájlt. Keressük meg a következő sorokat:


        
LISTEN_PORT:5865

# If you want APS to authenticate you at WWW servers using NTLM then just leave this
# value blank like PARENT_PROXY: and APS will connect to web servers directly.
# And NOTE that NTLM cannot pass through another proxy server.
PARENT_PROXY:your_parentproxy

PARENT_PROXY_PORT:8080

Alapbeállításban az NTLMAPS a 5865-ös portot figyeli. Ezt tetszőleges port számra átírhatjuk. A "your_parentproxy" helyére írjuk be az ISA szerver IP címét. Az ISA szerveren beállított portot adjuk meg a PARENT_PROXY_PORT paraméterben.

Most a következő sorokat keressük:


        
# Windows Domain.
# NOTE: it is not full qualified internet domain, but windows network domain.
NT_DOMAIN:your_domain

# What user's name to use during authorization. It may differ form real current username.
USER:username_to_use

# Password. Just leave it blank here and server will request it at the start time.
PASSWORD:your_nt_password

Írjuk be a Windows tartománynevet a "your_domain" helyére, a felhasználónevet a "username_to_use" helyére és a jelszavunkat a "your_nt_password" helyére. Szerkesztés után mentsük a fájlt.

4.4 Az NTLMAPS futtatása

Egyszerűen futtassuk a main.py fájlt, például:


        
./main.py

Ekkor az NTLMAPS szerver fogadja a kapcsolatokat.

4.5 Kliens oldali beállítások

Alapvetően a Netscape böngészőt vesszük példának.

A böngészőben nyissunk meg egy teszt url-t, és látni fogjuk, hogy a böngésző helyesen betölti az oldalt. Más böngésző használata esetén ellenőrizzük, hogy támogatja-e proxy használatát.

5. Kiegészítés

5.1 Hivatkozások

Microsoft Tudásbázis 295667. cikk

http://support.microsoft.com/?kbid=295667

NTLM Authorization Proxy Server honlap http://ntlmaps.sourceforge.net/

Python honlap www.python.org

5.2 Köszönetnyilvánítás