Böngészés ISA szerver mögül HOGYAN Írta: Raheel Abdul Hameed (raheel at raheelhameed dot com) v1.0, 2003 április - Első kiadás, az LDP által ellenőrizve _________________________________________________________________ Ha a Linux kliensed egy Windows-alapú ISA szerverhez csatlakozik, akkor ez a leírás segít a rendszert úgy beállítani, hogy a linuxos gépről böngészni tudjunk. Azért írtam meg ezt a cikket, mert hasonló problémákat tapasztaltam, és egy kis kutatás után találtam néhány megoldást arra, hogyan használhatom a webet linuxos kliensemen. Itt van hát a leírás, amely remélem hasznos információkkal szolgál. Mindenféle visszajelzést szívesen fogadok, különösen folt (patch) formájában. :) _________________________________________________________________ 1. Bevezetés Ez a fejezet tartalmazza a szerzői jogokkal, a szükséges előfeltételekkel, a dokumentum használatával valamint az új verziók elérhetőségével kapcsolatos információkat. 1.1 Szerzői jogok A dokumentum jogos tulajdonosa Raheel Abdul Hameed. Copyright (c) 2003 A dokumentum a Free Software Foundation által kiadott GNU Free Documentation License 1.2-es vagy újabb verziójában foglalt feltételek keretein belül másolható, terjeszthető és/vagy módosítható; invariáns fejezet, első borítólapszöveg és hátsó borítólapszöveg nincsen. A licenc egy másolata megtalálható a [1]GNU Free Documentation License címen. 1.2 Jogi nyilatkozat A dokumentumban található információkat saját felelősségre használjuk. A dokumentum tartalmára vonatkozóan semmilyen felelősséget nem vállalok. A dokumentumban lévő elképzelések, példák és/vagy minden más tartalmat teljes mértékben a saját felelősségünkre használjuk. Minden szerzői jog a tulajdonosoké, hacsak arról konkrétan másképpen nem rendelkeznek. Ebben a dokumentumban szereplő kifejezések használata semmi estere sem lehetnek hatással termék védjegyre vagy szolgáltatói védjegyre. Bizonyos termékek vagy védjegyek megnevezése jóváhagyásként (hozzájárulásként) nem tekinthetőek. Erősen ajánlott a rendszer biztonsági mentése nagyobb telepítések előtt. Ezen kívül ajánlott a rendszeres időközönkénti biztonsági mentés. 1.3 A dokumentum legújabb változata A dokumentum legújabb változata a [2]http://tldp.org/HOWTO/Web-Browsing-Behind-ISA-Server-HOWTO.html címen érhető el. 1.4 Előfeltételek Jelen dokumentum feltételezi, hogy tudunk egy létező fájlt szerkeszteni egy általunk használt szerkesztő programmal, mivel a dokumentum egy konfigurációs fájl szerkesztéséről szól. Ezen kívül előnyös, de nem szükséges az ISA szerver beállításának ismerete. 1.5 A dokumentum használata Jelen dokumentum az alábbi esetekben próbál segíteni: * Rendelkezünk egy proxyként üzemelő windowsos géppel, ami egy ISA Szervert futtat és rendelkezik internet kapcsolattal. * Rendelkezünk egy az ISA szerverhez kapcsolódó Linux klienssel, amelyen böngészni szeretnénk. * Elegünk van a Windows alatti böngészésből. * Nem vagyunk normálisak és minden létező HOGYANt elolvasunk. 1.6 Fordítások Eddig nem készült fordítás. Ha készítesz, vagy tudomásod van eme dokumentum fordításáról, úgy kérlek e-mailben jelezd, én pedig frissítem ezt a fejezetet. 1.7 Magyar fordítás A magyar fordítást [3]Vadon Péter készítette (2004.06.07). A lektorálást [4]Daczi László végezte el (2004.06.07). Eme dokumentum legfrissebb változata megtalálható a [5]Magyar Linux Dokumentációs Projekt honlapján. 2. ISA szerver 2.1 Néhány szó az ISA szerverről Az ISA szerver számos hálózati funkciót lát el, például tűzfal, Web-gyorstár, jogosultság-alapú adminisztráció, dinamikus IP szűrés, virtuális magánhálózat szolgáltatás (Virtual Private Network; VPN), betörési kísérlet detektálás, hálózati címfordítás (Network Adress Translation; NAT) és jelentések készítése (reporting). Míg Windows kliensek számára robusztus megoldás, Linux felhasználók számára maga a kínszenvedés, mivel a legtöbb Linux alapú böngésző nem igazán használható ISA szerver mögül. Azért használom a "nem igazán" kifejezést, mert létezik néhány megoldás. 2.2 Miért nem működik? Windows alapú klienst futtatva az ISA szerver mögött észrevehetjük, hogy normális esetben csak az Internet Explorert használva böngészhetünk, más böngészőkkel - például Netscape - nem. Ennek az az oka, hogy az ISA szerver egy "integrált hitelesítés" nevű módszert használ. Amikor az Internet Explorer kapcsolódik az ISA szerverhez, hogy egy weboldalt lekérjen, minden egyes kéréssel együtt elküld egy kódot, ami alapján a szerver azonosít minket, mint létező tartomány-felhasználókat. [Ennek ellenőrzésére lehallgathatunk néhány csomagot böngészés közben, a kérés fejlécéből kiderül, amit a böngészőnk küld az ISA szerver felé.] Ezt a fajta hitelesítést más böngészők nem támogatják, ezért a legtöbb nem használható. A következő fejezetek bemutatják, hogyan tegyük képessé a Linux alapú böngészőnket a szörfözésre. 3. Első módszer: Az alapvető hitelesítés (Basic Authentication) beállítása Mint fentebb megtudtuk, az ISA szerveren beállított integrált hitelesítés miatt a harmadik fél által gyártott böngészők nem működnek. Ebben az esetben használható egy másik hitelesítési eljárás, az alapvető hitelesítés (Basic Authentication). Ezt a legtöbb böngésző - és ami a legfontosabb - az ISA szerver is támogatja. Amennyiben a környezet megköveteli a nagyobb biztonságot, ez a módszer nem ajánlott, mivel a felhasználónév és jelszó továbbításkor csak gyengén titkosított. Ehhez a módszerhez elengedhetetlen feltétel, hogy jogosultak legyünk az ISA szerver beállítására. Ha nincs hozzáférésünk a szerver beállítókonzoljához, ugorjunk a következő fejezetben található második módszerhez. 3.1 Szerver oldali beállítások Csak annyit kell tennünk, hogy elindítjuk az ISA beállítást (ISA Management), és megtesszük a következő lépéseket: 1. Kattintsunk a jobb-egérgombbal a szerverre, majd kattintsunk a "Beállításokra" (Properties). 2. A "Kimenő kérések" (Outgoing Web Requests) fülön kattintsunk a megváltoztatandó beállított kapcsolatra, és kattintsunk a "Szerkesztésre" (Edit). 3. Kattintsunk az "Alapvető hitelesítésre" (Basic authentication), majd válasszuk ki azt a tartományt, amelyben a hitelesítendő felhasználói fiókok vannak. 4. Most jön a Linux alapú böngésző beállítása. 3.2 Kliens oldali beállítások Alapvetően a Netscape böngészőt vesszük példának. 1. Indítsuk el a Netscape Communicator-t. 2. Kattintsunk a "Szerkesztés" (Edit) menü "Tulajdonságok" (Preferences) pontjára. 3. Nyissuk meg a "Haladó" (Advanced) beállítást, és kattintsunk a "Proxyk"-ra (Proxies); ekkor néhány beállítási lehetőséget látunk baloldalt. 4. Kattintsunk a "Kézi proxy beállítás"-ra (Manual proxy configuration), majd a "Nézet" (View) gombra. 5. írjuk be az ISA Szerver IP címét a HTTP: mezőbe és a port számot, amelyen megtalálható (általában 8080, beállításfüggő). 6. Kattintsunk az "OK" gombra a változtatások mentéséhez. 7. A "Beállítások" (Preferences) párbeszédablakhoz jutunk vissza. 8. Kattintsunk az "OK" gombra a változtatások érvényesítéséhez. A böngészőben nyissunk meg egy teszt url-t, ekkor meg kell adnunk a felhasználónevünket és jelszavunkat. A felhasználónévhez írjuk be: TARTOMÁNY\FELHASZNÁLÓ, ahol a TARTOMÁNY a Windows tartomány neve, a FELHASZNÁLÓ pedig a létező felhasználónevünk a tartományban. A jelszóhoz írjuk be a felhasználónévhez tartozó jelszót. Kattintsunk az "OK" gombra. Például: _________________________________________________________________ Felhasználónév: CABLENET\Raheel Jelszó: Az_én_jelszavam ahol CABLENET a tartományom, Raheel a felhasználónevem és Az_én_jelszavam az érvényes jelszavam. _________________________________________________________________ Ekkor a böngésző be tudja tölteni az oldalt. Más böngésző használata esetén ellenőrizzük, hogy támogatja-e az alapvető hitelesítést (Basic Authentication). 4. Második módszer: NTLM hitelesítő proxy szerver (NTLM Authorization Proxy Server) Az NTLM hitelesítő proxy szerver egy proxy szerver-szerű szoftver, ami csak az NTLM hitelesítést továbbítja a böngésző és az ISA Szerver között, így a szerver azt "hiszi", hogy a böngészőnk Internet Explorer. Ezt úgy éri el, hogy hozzáadja a kérések fejlécéhez az NTLM hitelesítést szolgáló karakterláncokat. A programot Dmitry Rozmanov írta Python nyelven [szép munka!]. Megtalálható a [6]www.python.org webhelyen. A legtöbb Linux terjesztésnek része egy Python értelmező (interpreter). 4.1 Az NTLMAPS beszerzése Az NTLMAPS honlapja a [7]http://ntlmaps.sourceforge.net/ címen található meg. A letöltéseket a [8]http://sourceforge.net/project/showfiles.php?group_id=69259 címen találhatjuk meg közvetlenül. A dokumentum írásakor a legfrissebb verzió a 0.9.8. 4.2 Az NTLMAPS telepítése Ha letöltöttük az NTLMAPS-t, kicsomagolhatjuk egy nekünk tetsző könyvtárba: _________________________________________________________________ tar xzvf apsxxx.tar.gz cd apsxxx ahol "xxx" a verziószám. _________________________________________________________________ 4.3 Gyors beállítás Kedvenc programunkkal szerkesszük a server.cfg fájlt. Keressük meg a következő sorokat: _________________________________________________________________ LISTEN_PORT:5865 # If you want APS to authenticate you at WWW servers using NTLM then just leave this # value blank like PARENT_PROXY: and APS will connect to web servers directly. # And NOTE that NTLM cannot pass through another proxy server. PARENT_PROXY:your_parentproxy PARENT_PROXY_PORT:8080 _________________________________________________________________ Alapbeállításban az NTLMAPS a 5865-ös portot figyeli. Ezt tetszőleges port számra átírhatjuk. A "your_parentproxy" helyére írjuk be az ISA szerver IP címét. Az ISA szerveren beállított portot adjuk meg a PARENT_PROXY_PORT paraméterben. Most a következő sorokat keressük: _________________________________________________________________ # Windows Domain. # NOTE: it is not full qualified internet domain, but windows network domain. NT_DOMAIN:your_domain # What user's name to use during authorization. It may differ form real current username. USER:username_to_use # Password. Just leave it blank here and server will request it at the start ti me. PASSWORD:your_nt_password _________________________________________________________________ Írjuk be a Windows tartománynevet a "your_domain" helyére, a felhasználónevet a "username_to_use" helyére és a jelszavunkat a "your_nt_password" helyére. Szerkesztés után mentsük a fájlt. 4.4 Az NTLMAPS futtatása Egyszerűen futtassuk a main.py fájlt, például: _________________________________________________________________ ./main.py _________________________________________________________________ Ekkor az NTLMAPS szerver fogadja a kapcsolatokat. 4.5 Kliens oldali beállítások Alapvetően a Netscape böngészőt vesszük példának. * Indítsuk el a Netscape Communicator-t. * Kattintsunk a "Szerkesztés" (Edit) menü "Tulajdonságok" (Preferences) pontjára. * Nyissuk meg a "Haladó" (Advanced) beállítást, és kattintsunk a "Proxyk"-ra (Proxies); ekkor néhány beállítási lehetőséget látunk baloldalt. * Kattintsunk a "Kézi proxy beállítás"-ra (Manual proxy configuration), majd a "Nézet" (View) gombra. * írjuk be a saját IP címünket (127.0.0.1) a HTTP: mezőbe és azt a port számot, amelyen megtalálható az NTLMAPS (alapbeállításban 5865). * Kattintsunk az "OK" gombra a változtatások mentéséhez. * A "Beállítások" (Preferences) párbeszédablakhoz jutunk vissza. * Kattintsunk az "OK" gombra a változtatások érvényesítéséhez. A böngészőben nyissunk meg egy teszt url-t, és látni fogjuk, hogy a böngésző helyesen betölti az oldalt. Más böngésző használata esetén ellenőrizzük, hogy támogatja-e proxy használatát. 5. Kiegészítés 5.1 Hivatkozások Microsoft Tudásbázis 295667. cikk [9]http://support.microsoft.com/?kbid=295667 NTLM Authorization Proxy Server honlap [10]http://ntlmaps.sourceforge.net/ Python honlap [11]www.python.org 5.2 Köszönetnyilvánítás * Külön köszönöm Tabatha Persadnak (tabatha[kukac]merlinmonroe[pont]com) a nyelvtani, szerkezeti, jelölésbeli hibák javítását. * Köszönöm Greg Fergusonnak (gferg[kukac]sgi[pont]com), Joy Goodreaunak (joyg[kukac]us[pont]ibm[pont]com) a dokumentum kiadásában való segítségnyújtását. * Köszönöm Faisal Khatrinak (fslkhatri[kukac]hotmail[pont]com) a dokumentum tartalmának ellenőrzését. References 1. http://www.gnu.org/copyleft/fdl.html 2. http://tldp.org/HOWTO/Web-Browsing-Behind-ISA-Server-HOWTO.html 3. mailto:vape[kukac]maffia[pont]hu 4. mailto:dacas@freemail.hu_NO_SPAM 5. http://tldp.fsf.hu/index.html 6. http://www.python.org/ 7. http://ntlmaps.sourceforge.net/ 8. http://sourceforge.net/project/showfiles.php?group_id=69259 9. http://support.microsoft.com/?kbid=295667 10. http://ntlmaps.sourceforge.net/ 11. http://www.python.org/