Hozzászólások
Sziasztok!
Szeretnék egy squid 2.5.10-et integrálni egy meglévő Windows 2003 AD-vel. Ameddig eljutottam: a samba (3.0.14a) beléptetve kerberossal, a winbind-os lekérdezések működnek is. Userekre sikerül is acl-eket megadnom, ez jól is működik az ntlm_auth-tal.
Most jönne a következő lépés: azt szeretném, hogy AD-s csoportok alapján tudjak acl-eket létrehozni. Mivel sok a felhsználó, ezért nem akarom a squid.conf-ban kezelni a csoportokat, amennyiben ez elkerülhető.
Csinált már valaki ilyet? Ha igen, ne kíméljetek a megoldással! :)
- A hozzászóláshoz be kell jelentkezni
hali, /usr/lib/squid/ldap_auth
en csinaltam egy kis scriptet ezzel, megadva user, jelszo, basedn, binddn. stb. ezzel ugye autholtam.
sztem jarhato ut az, hogy naponta 1-2 alkalaommal 1-1 OU-bol kiszeded usereket ldapsearchel +filterrel es kulon fajlokba rakod csoporttagsag szerint. Innen gondolom mar vilagos.
- A hozzászóláshoz be kell jelentkezni
Na azért csak óvatosan ezzel a kombinációval.
Mindenki, aki AD-hez authentikál ldap_bind-dal, tehát nem NTLM-et, hanem a Proxy-Auth headert használva, gyakorlatilag szuicid, és a cégétől hamar kihaló állatnak tekinthető.
Aki AD jelszavakat plain text küldözget a hálón, ráadásul egy oly népszerű és könnyen értelmezhető protokollon, mint a HTTP, meg is érdemli a sorsát.
Szóval amit tennék a helyedben: maradj NTLM-mel authentikációval, és LDAP-pal csak szedd le az AD-ből a csoportok tagjait egy-egy file-ba vmi szkriptből, és aztán azokra a file-okra építs ACL-eket.
Ez talán nyújt annyit, amire szükséged van, okos csoportkialakítással legalábbis, és nem írod ki a faliújságra mégse mindenki jelszavát.
Üdv
ch
ui: ja, nemtom mennyi a sok felhasználó, de a fenti módszer 4000 felhasználónál frankón működik, különösebb lassulás nélkül.
- A hozzászóláshoz be kell jelentkezni