Síťově transparentní klient jako Google Talk (autoconfig + NTLM + SSPI) - Jabbim.cz

xtonda

2007-10-27, 21:19 #1

Member since Mar 2006 · 18 posts
Group memberships: Členové

Show profile ·

Link to this post

Subject: Síťově transparentní klient jako Google Talk (autoconfig + NTLM + SSPI)

Ahoj,

existuje nějaký IM klient pro Jabber nebo cokoliv jiného, preferovaně ICQ/AIM, který funguje pokud jde o nastavení sítě z hlediska uživatele transparentně?

O co mi de - v korporátním prostředí je typicky jediný přístup ven přes HTTP proxy v podobě MS ISA serveru, který vyžaduje NTLM autentizaci. A Google Talk klient funguje naprosto geniálně, prostě se nainstaluje a jede, umí NTLM (ať už sám o sobě nebo s pomocí nějakého Win API, z hlediska usera je to jedno), sám si zjistí hostname proxy, sám si z uživatelovy session převezme kredenciál k proxy, sám ví že se nemá konektit na standardní port 5222/5223, ale na 443. Prostě nulová konfigurace ze strany uživatele.

Zkoušel jsem oficiální ICQ a AIM klienty a několik multiprotokolových (Pidgin, Miranda, Trillian) a v lepším případě NTLM umí ale musí se všechno nastavit ručně, v horším NTLM vůbec neumí a muselo by se to řešit jinak.

Existuje nějaký klient pro Jabber, případně i ICQ nebo AIM, který by se choval takto chytře?

Motivace je, že potřebuji dostat sestru v novém prostředí online a ideálně i zpět na ICQ, kde má známé a přechod na jinou sít je známý problém zejména u BFU lidí.

Nedávno jsem zjistil, že Jabber umožňuje používat transporty i z jiných serverů, takže Google Talk + nějaký ICQ transport je jedna alternativa, ale chci zjistit, jestli není ještě nějaká jiná cesta.

Docela mě zklamalo, že klienti kolikrát implementují neskutečné kravinky, ale bezproblémová funkčnost v dnešním síťovém prostředí je pro ně problém.

Franta (Guest) 2007-10-27, 21:30 #2

No profile available.

Link to this post

jestli chcete icq, jste tady spatne, jestli jabber, tak je fakt ze takto funguje jedine gtalk

xtonda

2007-10-27, 21:38 #3

Member since Mar 2006 · 18 posts
Group memberships: Členové

Show profile ·

Link to this post

No po ICQ bych se asi měl ptát jinde, ale nedalo mi to to tam nepřipsat, třeba bude někdo náhodou vědět. Zajímá mě i ten Jabber, Google Talk klient není funkčně úplně ideální, ale to že se nemusí nastavovat je nutnost, prostě killer feature, nechápu že to nechápou vývojáři ostatních IM klientů.

Franta (Guest) 2007-10-27, 21:51 #4

No profile available.

Link to this post

tak gtalk se me libi, ma ale dve, z toho jednu velmi podstatnou vadu, a to ze neni pro muj operacni system. Druha vada je ze funguje jen s konkretnim serverem. Jenze udelat samonastavovaciho klienta pro vice serveru je nemozne, navic co by s toho google mel. A toto je taky problemem vyvojaru ostatnich klientu. A navic to ti lide delaji ve volnem case, takze se jim nechce "otravovat" s necim co je jim k nicemu. Ale kdyby se nasel dobrovolnik, ktery by to chtel a naprogramoval to, nikdo by se na nej nezlobil.

a to nemluvim o icq, kde neni zadna specifikace protokolu

Franta (Guest) 2007-10-27, 21:53 #5

No profile available.

Link to this post

Motivace je, že potřebuji dostat sestru v novém prostředí online a ideálně i zpět na ICQ, kde má známé a přechod na jinou sít je známý problém zejména u BFU lidí.

NE, TO ROZHODNE NENI IDEALNE

xtonda

2007-10-27, 22:13 #6

Member since Mar 2006 · 18 posts
Group memberships: Členové

Show profile ·

Link to this post

In reply to post #4

No na ne Windows OS by stejně ta síťová chytrost Gtalku neměla moc smysl. Navíc jako Jabber klient je dost primitivní a ta jeho telefonie je AFAIK proprietární rozšíření. Udělat samo nastavovacího klienta, proč ne, server je typicky součást JID a port musí být 443, ovšem když jsem hledal Jabber server, který by přijímal konexe na 443 přes HTTPS CONNECT skrz proxy, tak sem našel asi dva nebo tři. Problém je, že tohle je feature pro BFU, IT člověk nemá problém rozjet to s pomocí NTLM APS nebo CNTLM, zjistit si proxy server, zadat heslo a nezapomínat si ho měnit.

Jak se to vezme, ideálně pro ni, neideálně pro Jabber evangelisty, pochopitelně. Musela by přesvědčit všechny své kontakty a oni zase své, nebo by musela vzniknout hranice lidí, kteří by provozovali dva klienty, což se nikomu chtít nebude, prostě problém, ale to sem tu nechtěl rozebírat.

majo 2007-10-28, 08:16 #7

User title: ;-)
Member since Aug 2004 · 137 posts
Group memberships: Členové, Moderátoři

Show profile ·

Link to this post

In reply to post #3

Quote by xtonda:
to že se nemusí nastavovat je nutnost, prostě killer feature, nechápu že to nechápou vývojáři ostatních IM klientů.

Pre pochopenie, preco to nechapu vyvojari ostatnych IM, je potreba sa skusit vzit do rozmyslania programatorov open source (free) programov. Ti to robia preto, lebo ich to bavi... a hlavne to vecsinou robia pre seba. A taky programator nie je clovek s priemernymi IT znalostami. Rozmyslaju inak... a preto nez komplikovane zistovat nastavenia pre automaticku konfiguraciu, urobia jednoduchsiu moznost manualneho nastavovania - a naviac si budu mysliet, ze to maju spravene lepsie, pretoze automaticka konfiguracia nemusi byt 100%. A vyvojovy tym je vecsinou zlozeny iba z programatorov (niekedy este aj z grafika, ale casto je to programator-grafik).

Dalsia moznost je, ze to nie je implementovane z toho dovodu, ze jediný přístup ven přes HTTP proxy v podobě MS ISA serveru, který vyžaduje NTLM autentizaci nie je az taky typicky. Mne osobne to "nic nevravi". Ak by som to mal moznost ovplyvnit ja, tak by sa uz davno pouzivala IPv6 bez sprostych NATov ci proxy kvoli security.

Skusali ste aj komercnych jabber klietnov? Myslim, ze tam by mohla byt vecsia pravdepodobnost, ze nieco take budu mat implementovane.

Quote by xtonda:
Jak se to vezme, ideálně pro ni, neideálně pro Jabber evangelisty, pochopitelně. Musela by přesvědčit všechny své kontakty [...]

Pro ni to tiez nemusi byt idealne. Ak by presla na jabbera teraz a presvedcila aspon tie 2 podstatne kontakty, nech tiez prejdu na jabber, mohla by to byt velmi dobra investicia do buducnosti... az sa ICQ rozsype. Naviac su k dispozicii aj multiprotokolovi klienti, napr. Miranda alebo QIP Infinum.

Unix is user friendly. It's just selective about who its friends are.

Sef 2007-10-28, 10:19 #8

Member since Sep 2005 · 40 posts
Group memberships: Členové

Show profile ·

Link to this post

Vzdy je tu moznost poslat patch. Do jabbim klienta by se urcite hodi. http://dev.jabbim.cz/jabbim

spike411 2007-10-29, 17:58 #9

Member since Jan 2006 · 145 posts · Location: Praha
Group memberships: Členové

Show profile ·

Link to this post

"Samonastavovací" klient jde udělat v podstatě pro libovolný server (který má správně nastavené DNS SRV a DNS TXT záznamy) a pro jakýkoli OS. Viz http://www.jabber.cz/wiki/Uživatel:Spike411/A_Client_for_A…. Tzn. reklamujte u svého poskytovatele služeb a u autorů klientů.

majo má sice pravdu, že na ručním nastavení vlastně není nic složitého, ale jen pokud člověk má určité znalosti a informace, které občas není tak jednoduché získat.

Pihhan 2007-11-04, 17:32 #10

User title: Linuxák
Member since Apr 2003 · 262 posts · Location: Předklášteří
Group memberships: Členové

Show profile ·

Link to this post

Samonastavování klienta google talku nemá nic společného se vzdáleným nastavováním serveru. Jediné co google talk dělá, a je hezké že to dělá, je, že se podívá do nastavení prohlížeče uživatele. Prostě zkusí se připojit, a nejde to. Podívá se na proxy server napsaný v IE, zkusí to pomocí tohoto nastavení. Sláva, jede to. Myslím že je tak chytrý, že je schopen si to přečíst i z nastavení firefoxu, takže pro uživatele blbuvzdorné a automaticky fungující. Nejde o žádné DNS ani SRV záznam ani nic podobného.

Proč tohle neumí žádný běžný klient? No, možná proto, že programátoři open source aplikací se zřídka pohybují v korporátních firmách používajících ISA server. Obvykle jsou to lidé se zaměřením na linux, s normální přípojkou k internetu doma, případně ve škole. Pokud pracují, tak často ne v nějakých mega firmách a jako programátoři, kteří stejně ví, že ISA server se dá mnoha způsoby obcházet a tedy není skutečnou zábranou cesty do internetu. To že to dělají ve velkých firmách je asi fakt. Funguje to ale jenom proti neznalým uživatelům, kteří neví, jak nastavení obejít.

Uznávám že automatická detekce proxy se hodit může. Ale pokud to jde nastavit na 3 kliknutí (nastavení,proxy,NTLM přihlašování), tak autoři obvykle mají za to, že to postačuje. Pro uživatele je samozřejmě lepší, když se mu to udělá samo. Zkuste poslat ticket na svůj oblíbený jabber klient, že by jste rád automatickou detekci proxy při nefunkčním spojení. Třeba se toho někdo chytne.

Osobně sice nechápu proč, ale dělají to. Asi aby mohli lépe filtrovat obsah uživatelovy činnosti a omezovat návštěvu porna v pracovní době (proti tomu nic nemám, jenom osobně myslím, na to je transparentní proxy). Zkrátka, programátoři obvykle tohle nepovažují za dost zajímavé a dost problematické na to, aby to uživateli usnadnili. Počítá se s tím, že člověk si to jednou nastaví ručně, a potom je klid.

Kromě toho, JAJC umí nějaké přihlašování NTLM k jabber serveru, i když myslím, že to neslouží pro to co hledáte.

xtonda

2007-11-04, 19:29 #11

Member since Mar 2006 · 18 posts
Group memberships: Členové

Show profile ·

Link to this post

In reply to post #9

Spike411, SRV záznamy určitě jsou užitečné, ale je to až poslední článek řetězu. Můj problém je vůbec se dostat ven v prostředí, kde jedinou cestou ven je ISA HTTP proxy server, ani DNS překlad jmen z Internetu ve vnitřní síti nefunguje. Zase jsem hledal, našel jsem pár klientů s NTLM, ale to je spíš v souvislosti s přihlašováním k Jabber serveru než k proxy.

Vzhledem k tomu, co píšeš tady

http://www.jabber.cz/wiki/U%C5%BEivatel:Spike411/A_Client_…

kde formuluješ v podstatě stejně potřeby. Podle toho tipuji, že si vyhovující klient také nenašel. Můžeš prosím napsat alespoň ty, které nevyhovují, ať vím, co nemám zkoušet? Dík.

xtonda

2009-03-27, 15:56 #12

Member since Mar 2006 · 18 posts
Group memberships: Členové

Show profile ·

Link to this post

Posouvám, nezachytil někdo nějakou novinky v této oblasti? Stále je GTalk jediný Jabber potažmo IM klient vůbec s výše popsanou funkcionalitou?

zenek (Administrator) 2009-03-27, 20:07 #13

Member since Nov 2005 · 503 posts · Location: Bohumín
Group memberships: Administrátoři, Členové

Show profile ·

Link to this post

Do těchle věcí nevidím, ale kluci, co dělají na klientu Jabbim měli ambice, aby to v nějakých zaproxyovaných prostředích fungovalo, ale neměli to moc kde testovat, takže byste jim možná mohl zkusit v tomto ohledu pomoct (pomoct s testováním přinejmenším).

Stop Skype Plague

xtonda

2009-03-30, 13:06 #14

Member since Mar 2006 · 18 posts
Group memberships: Členové

Show profile ·

Link to this post

Jo, s tím testováním bych pomoci mohl, s vývojem asi spíš ne, neb Python mi celkem nic moc neříká.

Pihhan 2009-03-31, 11:36 #15

User title: Linuxák
Member since Apr 2003 · 262 posts · Location: Předklášteří
Group memberships: Členové

Show profile ·

Link to this post

Myslím, že by vývojářům poměrně pomohlo sepsání, co všechno vlastně funguje a nefunguje za protokoly v takovém prostředí. Nejlépe jak je potřeba nastavit prohlížeč, aby fungoval, jestli funguje DNS, jestli se člověk přihlašuje s pomocí domény, nebo jenom jméno+heslo. Pokud možno s jakým open source programem spojení funguje. Zkuste najít nějakou proxy pro HTTP, která umí převést normální proxy s obyčejným přihlašováním na NTLM a zprostředkovat výsledky. Například http://ntlmaps.sourceforge.net/ by něco takového mohlo dělat. Něco jsem našel na http://www.root.cz/diskuse/1102/ ale pravda je, že běžný programátor se k takové zhůvěřilosti nedostane, bez dostatečného popisu těžko uděláte podporu, pokud jste to nikdy neviděl. Zkuste aspoň napsat, zda ten ntlmaps funguje a je schopen fungování. Potom by teoreticky neměl být problém spáchat plugin, který bude dělat něco obdobného.