Böngészés ISA szerver mögül HOGYAN

Írta: Raheel Abdul Hameed (raheel at raheelhameed dot com)

   v1.0, 2003 április - Elsõ kiadás, az LDP által ellenõrizve
     _________________________________________________________________

   Ha a Linux kliensed egy Windows-alapú ISA szerverhez csatlakozik,
   akkor ez a leírás segít a rendszert úgy beállítani, hogy a linuxos
   géprõl böngészni tudjunk. Azért írtam meg ezt a cikket, mert hasonló
   problémákat tapasztaltam, és egy kis kutatás után találtam néhány
   megoldást arra, hogyan használhatom a webet linuxos kliensemen. Itt
   van hát a leírás, amely remélem hasznos információkkal szolgál.
   Mindenféle visszajelzést szívesen fogadok, különösen folt (patch)
   formájában. :) 
     _________________________________________________________________

1. Bevezetés

   Ez a fejezet tartalmazza a szerzõi jogokkal, a szükséges
   elõfeltételekkel, a dokumentum használatával valamint az új verziók
   elérhetõségével kapcsolatos információkat.

1.1 Szerzõi jogok

   A dokumentum jogos tulajdonosa Raheel Abdul Hameed. Copyright (c) 2003

   A dokumentum a Free Software Foundation által kiadott GNU Free
   Documentation License 1.2-es vagy újabb verziójában foglalt feltételek
   keretein belül másolható, terjeszthetõ és/vagy módosítható; invariáns
   fejezet, elsõ borítólapszöveg és hátsó borítólapszöveg nincsen.

   A licenc egy másolata megtalálható a [1]GNU Free Documentation License
   címen.

1.2 Jogi nyilatkozat

   A dokumentumban található információkat saját felelõsségre
   használjuk. A dokumentum tartalmára vonatkozóan semmilyen
   felelõsséget nem vállalok. A dokumentumban lévõ elképzelések, példák
   és/vagy minden más tartalmat teljes mértékben a saját felelõsségünkre
   használjuk.

   Minden szerzõi jog a tulajdonosoké, hacsak arról konkrétan másképpen
   nem rendelkeznek. Ebben a dokumentumban szereplõ kifejezések
   használata semmi estere sem lehetnek hatással termék védjegyre vagy
   szolgáltatói védjegyre.

   Bizonyos termékek vagy védjegyek megnevezése jóváhagyásként
   (hozzájárulásként) nem tekinthetõek.

   Erõsen ajánlott a rendszer biztonsági mentése nagyobb telepítések
   elõtt. Ezen kívül ajánlott a rendszeres idõközönkénti biztonsági
   mentés.

1.3 A dokumentum legújabb változata

   A dokumentum legújabb változata a
   [2]http://tldp.org/HOWTO/Web-Browsing-Behind-ISA-Server-HOWTO.html
   címen érhetõ el.

1.4 Elõfeltételek

   Jelen dokumentum feltételezi, hogy tudunk egy létezõ fájlt
   szerkeszteni egy általunk használt szerkesztõ programmal, mivel a
   dokumentum egy konfigurációs fájl szerkesztésérõl szól. Ezen kívül
   elõnyös, de nem szükséges az ISA szerver beállításának ismerete.

1.5 A dokumentum használata

   Jelen dokumentum az alábbi esetekben próbál segíteni:
     * Rendelkezünk egy proxyként üzemelõ windowsos géppel, ami egy ISA
       Szervert futtat és rendelkezik internet kapcsolattal.
     * Rendelkezünk egy az ISA szerverhez kapcsolódó Linux klienssel,
       amelyen böngészni szeretnénk.
     * Elegünk van a Windows alatti böngészésbõl.
     * Nem vagyunk normálisak és minden létezõ HOGYANt elolvasunk.

1.6 Fordítások

   Eddig nem készült fordítás.

   Ha készítesz, vagy tudomásod van eme dokumentum fordításáról, úgy
   kérlek e-mailben jelezd, én pedig frissítem ezt a fejezetet.

1.7 Magyar fordítás

   A magyar fordítást [3]Vadon Péter készítette (2004.06.07). A
   lektorálást [4]Daczi László végezte el (2004.06.07). Eme dokumentum
   legfrissebb változata megtalálható a [5]Magyar Linux Dokumentációs
   Projekt honlapján.

2. ISA szerver

2.1 Néhány szó az ISA szerverrõl

   Az ISA szerver számos hálózati funkciót lát el, például tûzfal,
   Web-gyorstár, jogosultság-alapú adminisztráció, dinamikus IP szûrés,
   virtuális magánhálózat szolgáltatás (Virtual Private Network; VPN),
   betörési kísérlet detektálás, hálózati címfordítás (Network Adress
   Translation; NAT) és jelentések készítése (reporting). Míg Windows
   kliensek számára robusztus megoldás, Linux felhasználók számára maga a
   kínszenvedés, mivel a legtöbb Linux alapú böngészõ nem igazán
   használható ISA szerver mögül. Azért használom a "nem igazán"
   kifejezést, mert létezik néhány megoldás.

2.2 Miért nem mûködik?

   Windows alapú klienst futtatva az ISA szerver mögött észrevehetjük,
   hogy normális esetben csak az Internet Explorert használva
   böngészhetünk, más böngészõkkel - például Netscape - nem. Ennek az az
   oka, hogy az ISA szerver egy "integrált hitelesítés" nevû módszert
   használ. Amikor az Internet Explorer kapcsolódik az ISA szerverhez,
   hogy egy weboldalt lekérjen, minden egyes kéréssel együtt elküld egy
   kódot, ami alapján a szerver azonosít minket, mint létezõ
   tartomány-felhasználókat. [Ennek ellenõrzésére lehallgathatunk néhány
   csomagot böngészés közben, a kérés fejlécébõl kiderül, amit a
   böngészõnk küld az ISA szerver felé.] Ezt a fajta hitelesítést más
   böngészõk nem támogatják, ezért a legtöbb nem használható.

   A következõ fejezetek bemutatják, hogyan tegyük képessé a Linux alapú
   böngészõnket a szörfözésre.

3. Elsõ módszer: Az alapvetõ hitelesítés (Basic Authentication) beállítása

   Mint fentebb megtudtuk, az ISA szerveren beállított integrált
   hitelesítés miatt a harmadik fél által gyártott böngészõk nem
   mûködnek. Ebben az esetben használható egy másik hitelesítési
   eljárás, az alapvetõ hitelesítés (Basic Authentication). Ezt a
   legtöbb böngészõ - és ami a legfontosabb - az ISA szerver is
   támogatja. Amennyiben a környezet megköveteli a nagyobb biztonságot,
   ez a módszer nem ajánlott, mivel a felhasználónév és jelszó
   továbbításkor csak gyengén titkosított.

   Ehhez a módszerhez elengedhetetlen feltétel, hogy jogosultak legyünk
   az ISA szerver beállítására. Ha nincs hozzáférésünk a szerver
   beállítókonzoljához, ugorjunk a következõ fejezetben található
   második módszerhez.

3.1 Szerver oldali beállítások

   Csak annyit kell tennünk, hogy elindítjuk az ISA beállítást (ISA
   Management), és megtesszük a következõ lépéseket:
    1. Kattintsunk a jobb-egérgombbal a szerverre, majd kattintsunk a
       "Beállításokra" (Properties).
    2. A "Kimenõ kérések" (Outgoing Web Requests) fülön kattintsunk a
       megváltoztatandó beállított kapcsolatra, és kattintsunk a
       "Szerkesztésre" (Edit).
    3. Kattintsunk az "Alapvetõ hitelesítésre" (Basic authentication),
       majd válasszuk ki azt a tartományt, amelyben a hitelesítendõ
       felhasználói fiókok vannak.
    4. Most jön a Linux alapú böngészõ beállítása.

3.2 Kliens oldali beállítások

   Alapvetõen a Netscape böngészõt vesszük példának.

    1. Indítsuk el a Netscape Communicator-t.
    2. Kattintsunk a "Szerkesztés" (Edit) menü "Tulajdonságok"
       (Preferences) pontjára.
    3. Nyissuk meg a "Haladó" (Advanced) beállítást, és kattintsunk a
       "Proxyk"-ra (Proxies); ekkor néhány beállítási lehetõséget látunk
       baloldalt.
    4. Kattintsunk a "Kézi proxy beállítás"-ra (Manual proxy
       configuration), majd a "Nézet" (View) gombra.
    5. írjuk be az ISA Szerver IP címét a HTTP: mezõbe és a port számot,
       amelyen megtalálható (általában 8080, beállításfüggõ).
    6. Kattintsunk az "OK" gombra a változtatások mentéséhez.
    7. A "Beállítások" (Preferences) párbeszédablakhoz jutunk vissza.
    8. Kattintsunk az "OK" gombra a változtatások érvényesítéséhez.

   A böngészõben nyissunk meg egy teszt url-t, ekkor meg kell adnunk a
   felhasználónevünket és jelszavunkat. A felhasználónévhez írjuk be:
   TARTOMÁNY\FELHASZNÁLÓ, ahol a TARTOMÁNY a Windows tartomány neve, a
   FELHASZNÁLÓ pedig a létezõ felhasználónevünk a tartományban. A
   jelszóhoz írjuk be a felhasználónévhez tartozó jelszót. Kattintsunk az
   "OK" gombra. Például:
     _________________________________________________________________

Felhasználónév: CABLENET\Raheel
Jelszó: Az_én_jelszavam

ahol CABLENET a tartományom, Raheel a felhasználónevem
és Az_én_jelszavam az érvényes jelszavam.
     _________________________________________________________________

   Ekkor a böngészõ be tudja tölteni az oldalt. Más böngészõ használata
   esetén ellenõrizzük, hogy támogatja-e az alapvetõ hitelesítést
   (Basic Authentication).

4. Második módszer: NTLM hitelesítõ proxy szerver (NTLM Authorization Proxy
Server)

   Az NTLM hitelesítõ proxy szerver egy proxy szerver-szerû szoftver,
   ami csak az NTLM hitelesítést továbbítja a böngészõ és az ISA Szerver
   között, így a szerver azt "hiszi", hogy a böngészõnk Internet
   Explorer. Ezt úgy éri el, hogy hozzáadja a kérések fejlécéhez az NTLM
   hitelesítést szolgáló karakterláncokat. A programot Dmitry Rozmanov
   írta Python nyelven [szép munka!]. Megtalálható a [6]www.python.org
   webhelyen. A legtöbb Linux terjesztésnek része egy Python értelmezõ
   (interpreter).

4.1 Az NTLMAPS beszerzése

   Az NTLMAPS honlapja a [7]http://ntlmaps.sourceforge.net/ címen
   található meg. A letöltéseket a
   [8]http://sourceforge.net/project/showfiles.php?group_id=69259 címen
   találhatjuk meg közvetlenül. A dokumentum írásakor a legfrissebb
   verzió a 0.9.8.

4.2 Az NTLMAPS telepítése

   Ha letöltöttük az NTLMAPS-t, kicsomagolhatjuk egy nekünk tetszõ
   könyvtárba:
     _________________________________________________________________


tar xzvf apsxxx.tar.gz
cd apsxxx

ahol "xxx" a verziószám.
     _________________________________________________________________

4.3 Gyors beállítás

   Kedvenc programunkkal szerkesszük a server.cfg fájlt. Keressük meg a
   következõ sorokat:
     _________________________________________________________________


LISTEN_PORT:5865

# If you want APS to authenticate you at WWW servers using NTLM then just leave
 this
# value blank like PARENT_PROXY: and APS will connect to web servers directly.
# And NOTE that NTLM cannot pass through another proxy server.
PARENT_PROXY:your_parentproxy

PARENT_PROXY_PORT:8080
     _________________________________________________________________

   Alapbeállításban az NTLMAPS a 5865-ös portot figyeli. Ezt tetszõleges
   port számra átírhatjuk. A "your_parentproxy" helyére írjuk be az ISA
   szerver IP címét. Az ISA szerveren beállított portot adjuk meg a
   PARENT_PROXY_PORT paraméterben.

   Most a következõ sorokat keressük:
     _________________________________________________________________


# Windows Domain.
# NOTE: it is not full qualified internet domain, but windows network domain.
NT_DOMAIN:your_domain

# What user's name to use during authorization. It may differ form real current
 username.
USER:username_to_use

# Password. Just leave it blank here and server will request it at the start ti
me.
PASSWORD:your_nt_password
     _________________________________________________________________

   Írjuk be a Windows tartománynevet a "your_domain" helyére, a
   felhasználónevet a "username_to_use" helyére és a jelszavunkat a
   "your_nt_password" helyére. Szerkesztés után mentsük a fájlt.

4.4 Az NTLMAPS futtatása

   Egyszerûen futtassuk a main.py fájlt, például:
     _________________________________________________________________


./main.py
     _________________________________________________________________

   Ekkor az NTLMAPS szerver fogadja a kapcsolatokat.

4.5 Kliens oldali beállítások

   Alapvetõen a Netscape böngészõt vesszük példának.

     * Indítsuk el a Netscape Communicator-t.
     * Kattintsunk a "Szerkesztés" (Edit) menü "Tulajdonságok"
       (Preferences) pontjára.
     * Nyissuk meg a "Haladó" (Advanced) beállítást, és kattintsunk a
       "Proxyk"-ra (Proxies); ekkor néhány beállítási lehetõséget látunk
       baloldalt.
     * Kattintsunk a "Kézi proxy beállítás"-ra (Manual proxy
       configuration), majd a "Nézet" (View) gombra.
     * írjuk be a saját IP címünket (127.0.0.1) a HTTP: mezõbe és azt a
       port számot, amelyen megtalálható az NTLMAPS (alapbeállításban
       5865).
     * Kattintsunk az "OK" gombra a változtatások mentéséhez.
     * A "Beállítások" (Preferences) párbeszédablakhoz jutunk vissza.
     * Kattintsunk az "OK" gombra a változtatások érvényesítéséhez.

   A böngészõben nyissunk meg egy teszt url-t, és látni fogjuk, hogy a
   böngészõ helyesen betölti az oldalt. Más böngészõ használata esetén
   ellenõrizzük, hogy támogatja-e proxy használatát.

5. Kiegészítés

5.1 Hivatkozások

   Microsoft Tudásbázis 295667. cikk

   [9]http://support.microsoft.com/?kbid=295667

   NTLM Authorization Proxy Server honlap
   [10]http://ntlmaps.sourceforge.net/

   Python honlap [11]www.python.org

5.2 Köszönetnyilvánítás

     * Külön köszönöm Tabatha Persadnak
       (tabatha[kukac]merlinmonroe[pont]com) a nyelvtani, szerkezeti,
       jelölésbeli hibák javítását.
     * Köszönöm Greg Fergusonnak (gferg[kukac]sgi[pont]com), Joy
       Goodreaunak (joyg[kukac]us[pont]ibm[pont]com) a dokumentum
       kiadásában való segítségnyújtását.
     * Köszönöm Faisal Khatrinak (fslkhatri[kukac]hotmail[pont]com) a
       dokumentum tartalmának ellenõrzését.

References

   1. http://www.gnu.org/copyleft/fdl.html
   2. http://tldp.org/HOWTO/Web-Browsing-Behind-ISA-Server-HOWTO.html
   3. mailto:vape[kukac]maffia[pont]hu
   4. mailto:dacas@freemail.hu_NO_SPAM
   5. http://tldp.fsf.hu/index.html
   6. http://www.python.org/
   7. http://ntlmaps.sourceforge.net/
   8. http://sourceforge.net/project/showfiles.php?group_id=69259
   9. http://support.microsoft.com/?kbid=295667
  10. http://ntlmaps.sourceforge.net/
  11. http://www.python.org/