
                      Bngszs ISA szerver mgl HOGYAN

rta: Raheel Abdul Hameed (raheel at raheelhameed dot com)

   v1.0, 2003 prilis - Els kiads, az LDP ltal ellenrizve
     _________________________________________________________________

   Ha a Linux kliensed egy Windows-alap ISA szerverhez csatlakozik,
   akkor ez a lers segt a rendszert gy belltani, hogy a linuxos
   gprl bngszni tudjunk. Azrt rtam meg ezt a cikket, mert hasonl
   problmkat tapasztaltam, s egy kis kutats utn talltam nhny
   megoldst arra, hogyan hasznlhatom a webet linuxos kliensemen. Itt
   van ht a lers, amely remlem hasznos informcikkal szolgl.
   Mindenfle visszajelzst szvesen fogadok, klnsen folt (patch)
   formjban. :) 
     _________________________________________________________________

1. Bevezets

   Ez a fejezet tartalmazza a szerzi jogokkal, a szksges
   elfelttelekkel, a dokumentum hasznlatval valamint az j verzik
   elrhetsgvel kapcsolatos informcikat.

1.1 Szerzi jogok

   A dokumentum jogos tulajdonosa Raheel Abdul Hameed. Copyright (c) 2003

   A dokumentum a Free Software Foundation ltal kiadott GNU Free
   Documentation License 1.2-es vagy jabb verzijban foglalt felttelek
   keretein bell msolhat, terjeszthet s/vagy mdosthat; invarins
   fejezet, els bortlapszveg s hts bortlapszveg nincsen.

   A licenc egy msolata megtallhat a [1]GNU Free Documentation License
   cmen.

1.2 Jogi nyilatkozat

   A dokumentumban tallhat informcikat sajt felelssgre
   hasznljuk. A dokumentum tartalmra vonatkozan semmilyen
   felelssget nem vllalok. A dokumentumban lv elkpzelsek, pldk
   s/vagy minden ms tartalmat teljes mrtkben a sajt felelssgnkre
   hasznljuk.

   Minden szerzi jog a tulajdonosok, hacsak arrl konkrtan mskppen
   nem rendelkeznek. Ebben a dokumentumban szerepl kifejezsek
   hasznlata semmi estere sem lehetnek hatssal termk vdjegyre vagy
   szolgltati vdjegyre.

   Bizonyos termkek vagy vdjegyek megnevezse jvhagysknt
   (hozzjrulsknt) nem tekinthetek.

   Ersen ajnlott a rendszer biztonsgi mentse nagyobb teleptsek
   eltt. Ezen kvl ajnlott a rendszeres idkznknti biztonsgi
   ments.

1.3 A dokumentum legjabb vltozata

   A dokumentum legjabb vltozata a
   [2]http://tldp.org/HOWTO/Web-Browsing-Behind-ISA-Server-HOWTO.html
   cmen rhet el.

1.4 Elfelttelek

   Jelen dokumentum felttelezi, hogy tudunk egy ltez fjlt
   szerkeszteni egy ltalunk hasznlt szerkeszt programmal, mivel a
   dokumentum egy konfigurcis fjl szerkesztsrl szl. Ezen kvl
   elnys, de nem szksges az ISA szerver belltsnak ismerete.

1.5 A dokumentum hasznlata

   Jelen dokumentum az albbi esetekben prbl segteni:
     * Rendelkeznk egy proxyknt zemel windowsos gppel, ami egy ISA
       Szervert futtat s rendelkezik internet kapcsolattal.
     * Rendelkeznk egy az ISA szerverhez kapcsold Linux klienssel,
       amelyen bngszni szeretnnk.
     * Elegnk van a Windows alatti bngszsbl.
     * Nem vagyunk normlisak s minden ltez HOGYANt elolvasunk.

1.6 Fordtsok

   Eddig nem kszlt fordts.

   Ha ksztesz, vagy tudomsod van eme dokumentum fordtsrl, gy
   krlek e-mailben jelezd, n pedig frisstem ezt a fejezetet.

1.7 Magyar fordts

   A magyar fordtst [3]Vadon Pter ksztette (2004.06.07). A
   lektorlst [4]Daczi Lszl vgezte el (2004.06.07). Eme dokumentum
   legfrissebb vltozata megtallhat a [5]Magyar Linux Dokumentcis
   Projekt honlapjn.

2. ISA szerver

2.1 Nhny sz az ISA szerverrl

   Az ISA szerver szmos hlzati funkcit lt el, pldul tzfal,
   Web-gyorstr, jogosultsg-alap adminisztrci, dinamikus IP szrs,
   virtulis magnhlzat szolgltats (Virtual Private Network; VPN),
   betrsi ksrlet detektls, hlzati cmfordts (Network Adress
   Translation; NAT) s jelentsek ksztse (reporting). Mg Windows
   kliensek szmra robusztus megolds, Linux felhasznlk szmra maga a
   knszenveds, mivel a legtbb Linux alap bngsz nem igazn
   hasznlhat ISA szerver mgl. Azrt hasznlom a "nem igazn"
   kifejezst, mert ltezik nhny megolds.

2.2 Mirt nem mkdik?

   Windows alap klienst futtatva az ISA szerver mgtt szrevehetjk,
   hogy normlis esetben csak az Internet Explorert hasznlva
   bngszhetnk, ms bngszkkel - pldul Netscape - nem. Ennek az az
   oka, hogy az ISA szerver egy "integrlt hitelests" nev mdszert
   hasznl. Amikor az Internet Explorer kapcsoldik az ISA szerverhez,
   hogy egy weboldalt lekrjen, minden egyes krssel egytt elkld egy
   kdot, ami alapjn a szerver azonost minket, mint ltez
   tartomny-felhasznlkat. [Ennek ellenrzsre lehallgathatunk nhny
   csomagot bngszs kzben, a krs fejlcbl kiderl, amit a
   bngsznk kld az ISA szerver fel.] Ezt a fajta hitelestst ms
   bngszk nem tmogatjk, ezrt a legtbb nem hasznlhat.

   A kvetkez fejezetek bemutatjk, hogyan tegyk kpess a Linux alap
   bngsznket a szrfzsre.

3. Els mdszer: Az alapvet hitelests (Basic Authentication) belltsa

   Mint fentebb megtudtuk, az ISA szerveren belltott integrlt
   hitelests miatt a harmadik fl ltal gyrtott bngszk nem
   mkdnek. Ebben az esetben hasznlhat egy msik hitelestsi
   eljrs, az alapvet hitelests (Basic Authentication). Ezt a
   legtbb bngsz - s ami a legfontosabb - az ISA szerver is
   tmogatja. Amennyiben a krnyezet megkveteli a nagyobb biztonsgot,
   ez a mdszer nem ajnlott, mivel a felhasznlnv s jelsz
   tovbbtskor csak gyengn titkostott.

   Ehhez a mdszerhez elengedhetetlen felttel, hogy jogosultak legynk
   az ISA szerver belltsra. Ha nincs hozzfrsnk a szerver
   belltkonzoljhoz, ugorjunk a kvetkez fejezetben tallhat
   msodik mdszerhez.

3.1 Szerver oldali belltsok

   Csak annyit kell tennnk, hogy elindtjuk az ISA belltst (ISA
   Management), s megtesszk a kvetkez lpseket:
    1. Kattintsunk a jobb-egrgombbal a szerverre, majd kattintsunk a
       "Belltsokra" (Properties).
    2. A "Kimen krsek" (Outgoing Web Requests) fln kattintsunk a
       megvltoztatand belltott kapcsolatra, s kattintsunk a
       "Szerkesztsre" (Edit).
    3. Kattintsunk az "Alapvet hitelestsre" (Basic authentication),
       majd vlasszuk ki azt a tartomnyt, amelyben a hitelestend
       felhasznli fikok vannak.
    4. Most jn a Linux alap bngsz belltsa.

3.2 Kliens oldali belltsok

   Alapveten a Netscape bngszt vesszk pldnak.

    1. Indtsuk el a Netscape Communicator-t.
    2. Kattintsunk a "Szerkeszts" (Edit) men "Tulajdonsgok"
       (Preferences) pontjra.
    3. Nyissuk meg a "Halad" (Advanced) belltst, s kattintsunk a
       "Proxyk"-ra (Proxies); ekkor nhny belltsi lehetsget ltunk
       baloldalt.
    4. Kattintsunk a "Kzi proxy bellts"-ra (Manual proxy
       configuration), majd a "Nzet" (View) gombra.
    5. rjuk be az ISA Szerver IP cmt a HTTP: mezbe s a port szmot,
       amelyen megtallhat (ltalban 8080, belltsfgg).
    6. Kattintsunk az "OK" gombra a vltoztatsok mentshez.
    7. A "Belltsok" (Preferences) prbeszdablakhoz jutunk vissza.
    8. Kattintsunk az "OK" gombra a vltoztatsok rvnyestshez.

   A bngszben nyissunk meg egy teszt url-t, ekkor meg kell adnunk a
   felhasznlnevnket s jelszavunkat. A felhasznlnvhez rjuk be:
   TARTOMNY\FELHASZNL, ahol a TARTOMNY a Windows tartomny neve, a
   FELHASZNL pedig a ltez felhasznlnevnk a tartomnyban. A
   jelszhoz rjuk be a felhasznlnvhez tartoz jelszt. Kattintsunk az
   "OK" gombra. Pldul:
     _________________________________________________________________

Felhasznlnv: CABLENET\Raheel
Jelsz: Az_n_jelszavam

ahol CABLENET a tartomnyom, Raheel a felhasznlnevem
s Az_n_jelszavam az rvnyes jelszavam.
     _________________________________________________________________

   Ekkor a bngsz be tudja tlteni az oldalt. Ms bngsz hasznlata
   esetn ellenrizzk, hogy tmogatja-e az alapvet hitelestst
   (Basic Authentication).

4. Msodik mdszer: NTLM hitelest proxy szerver (NTLM Authorization Proxy
Server)

   Az NTLM hitelest proxy szerver egy proxy szerver-szer szoftver,
   ami csak az NTLM hitelestst tovbbtja a bngsz s az ISA Szerver
   kztt, gy a szerver azt "hiszi", hogy a bngsznk Internet
   Explorer. Ezt gy ri el, hogy hozzadja a krsek fejlchez az NTLM
   hitelestst szolgl karakterlncokat. A programot Dmitry Rozmanov
   rta Python nyelven [szp munka!]. Megtallhat a [6]www.python.org
   webhelyen. A legtbb Linux terjesztsnek rsze egy Python rtelmez
   (interpreter).

4.1 Az NTLMAPS beszerzse

   Az NTLMAPS honlapja a [7]http://ntlmaps.sourceforge.net/ cmen
   tallhat meg. A letltseket a
   [8]http://sourceforge.net/project/showfiles.php?group_id=69259 cmen
   tallhatjuk meg kzvetlenl. A dokumentum rsakor a legfrissebb
   verzi a 0.9.8.

4.2 Az NTLMAPS teleptse

   Ha letltttk az NTLMAPS-t, kicsomagolhatjuk egy neknk tetsz
   knyvtrba:
     _________________________________________________________________


tar xzvf apsxxx.tar.gz
cd apsxxx

ahol "xxx" a verziszm.
     _________________________________________________________________

4.3 Gyors bellts

   Kedvenc programunkkal szerkesszk a server.cfg fjlt. Keressk meg a
   kvetkez sorokat:
     _________________________________________________________________


LISTEN_PORT:5865

# If you want APS to authenticate you at WWW servers using NTLM then just leave
 this
# value blank like PARENT_PROXY: and APS will connect to web servers directly.
# And NOTE that NTLM cannot pass through another proxy server.
PARENT_PROXY:your_parentproxy

PARENT_PROXY_PORT:8080
     _________________________________________________________________

   Alapbelltsban az NTLMAPS a 5865-s portot figyeli. Ezt tetszleges
   port szmra trhatjuk. A "your_parentproxy" helyre rjuk be az ISA
   szerver IP cmt. Az ISA szerveren belltott portot adjuk meg a
   PARENT_PROXY_PORT paramterben.

   Most a kvetkez sorokat keressk:
     _________________________________________________________________


# Windows Domain.
# NOTE: it is not full qualified internet domain, but windows network domain.
NT_DOMAIN:your_domain

# What user's name to use during authorization. It may differ form real current
 username.
USER:username_to_use

# Password. Just leave it blank here and server will request it at the start ti
me.
PASSWORD:your_nt_password
     _________________________________________________________________

   rjuk be a Windows tartomnynevet a "your_domain" helyre, a
   felhasznlnevet a "username_to_use" helyre s a jelszavunkat a
   "your_nt_password" helyre. Szerkeszts utn mentsk a fjlt.

4.4 Az NTLMAPS futtatsa

   Egyszeren futtassuk a main.py fjlt, pldul:
     _________________________________________________________________


./main.py
     _________________________________________________________________

   Ekkor az NTLMAPS szerver fogadja a kapcsolatokat.

4.5 Kliens oldali belltsok

   Alapveten a Netscape bngszt vesszk pldnak.

     * Indtsuk el a Netscape Communicator-t.
     * Kattintsunk a "Szerkeszts" (Edit) men "Tulajdonsgok"
       (Preferences) pontjra.
     * Nyissuk meg a "Halad" (Advanced) belltst, s kattintsunk a
       "Proxyk"-ra (Proxies); ekkor nhny belltsi lehetsget ltunk
       baloldalt.
     * Kattintsunk a "Kzi proxy bellts"-ra (Manual proxy
       configuration), majd a "Nzet" (View) gombra.
     * rjuk be a sajt IP cmnket (127.0.0.1) a HTTP: mezbe s azt a
       port szmot, amelyen megtallhat az NTLMAPS (alapbelltsban
       5865).
     * Kattintsunk az "OK" gombra a vltoztatsok mentshez.
     * A "Belltsok" (Preferences) prbeszdablakhoz jutunk vissza.
     * Kattintsunk az "OK" gombra a vltoztatsok rvnyestshez.

   A bngszben nyissunk meg egy teszt url-t, s ltni fogjuk, hogy a
   bngsz helyesen betlti az oldalt. Ms bngsz hasznlata esetn
   ellenrizzk, hogy tmogatja-e proxy hasznlatt.

5. Kiegszts

5.1 Hivatkozsok

   Microsoft Tudsbzis 295667. cikk

   [9]http://support.microsoft.com/?kbid=295667

   NTLM Authorization Proxy Server honlap
   [10]http://ntlmaps.sourceforge.net/

   Python honlap [11]www.python.org

5.2 Ksznetnyilvnts

     * Kln ksznm Tabatha Persadnak
       (tabatha[kukac]merlinmonroe[pont]com) a nyelvtani, szerkezeti,
       jellsbeli hibk javtst.
     * Ksznm Greg Fergusonnak (gferg[kukac]sgi[pont]com), Joy
       Goodreaunak (joyg[kukac]us[pont]ibm[pont]com) a dokumentum
       kiadsban val segtsgnyjtst.
     * Ksznm Faisal Khatrinak (fslkhatri[kukac]hotmail[pont]com) a
       dokumentum tartalmnak ellenrzst.

References

   1. http://www.gnu.org/copyleft/fdl.html
   2. http://tldp.org/HOWTO/Web-Browsing-Behind-ISA-Server-HOWTO.html
   3. mailto:vape[kukac]maffia[pont]hu
   4. mailto:dacas@freemail.hu_NO_SPAM
   5. http://tldp.fsf.hu/index.html
   6. http://www.python.org/
   7. http://ntlmaps.sourceforge.net/
   8. http://sourceforge.net/project/showfiles.php?group_id=69259
   9. http://support.microsoft.com/?kbid=295667
  10. http://ntlmaps.sourceforge.net/
  11. http://www.python.org/
