Squid + Active Directory auth

Linux-kezdő

Sziasztok,

Gyönyörű feladatot kaptam. Egy Squidet kellene beüzemelnem, ami AD-ből hitelesít. Ha ez megvan, valamiféle web-es admin felülettel kellene az egészet ellátni (lúzerek ki és belépésének engedélyezése, stb.).

A dolgot Sarge-on kellene megoldani.
Ezt találtam: http://cryptoresync.com/2006/05/18/installing-squid-with-active-directo…

ami gentoo, de el tudok vele indulni. Van esetleg valakinek jobb ötlete / howto-ja / bármi tapasztalata ezzel kapcsolatban?

Köszi előre is.

  • 4242 megtekintés

( axsrml | 2006. 08. 15., k – 22:06 )

bocsanat, kicsit off leszek.
Ahol AD van, ott egy ISA Server is elfer...
Szvsz.

( Previ | 2006. 08. 16., sze – 09:09 )

Elég jó a leírás, bár OpenLDAP-ra nincsen szükség a megvalósítshoz. Ami szép benne, hogy lehet AD csoporttagság alapján is szabályokat felvenni.

( airween v | 2006. 08. 16., sze – 09:18 )

hello,

mi msnt_auth-ot használtunk erre a célra, IMHO ha BASIC auth-ot használsz, tök mindegy, milyen a séma.

axsml írta az ISA-t:
azért árban az ISA (nem is) kicsit húzósabb... :)

A leírásban van NTLM, azt viszont tudtommal _csak_ az IE támogatja...

a.

( Nuanda73 | 2006. 08. 16., sze – 11:23 )

Ahol AD van, ott vagy w2k vagy w2k3 van, mindkettőben az oprendszer része (külön kell hozzáadni, default nincs) a Radius kiszolgáló. Azt konfigurálj, a squid meg tud radius auth-ot.

Tehát:
Adott a W2003 domain (AD), ill. egy Squid proxy.
A Squid a fentiekben leírt módom autentikál (a domain userek csont nélkül kijárnak a Squiden keresztül).
Szükség lenne időnként némely felhasználók internethozzáférését tiltani - engedélyezni. (Egy iskoláról van szó, a tanár engedélyezhetné, hogy Pistike internetezzen, ha rendesen viselkedett.)
Valahogy így:
http://www.clhe.de/proxymin
(Ez a megoldás ennél az autentikációnál nem működik).

CSak egy otlet.. Mikor en probalkoztam hasonloval (meg winbind es NT Domain), akkor volt lehetoseg csoport alapjan authentikalni. Ha bele rakod egy csoportba azokat akik netezhetnek akkor a csoporttagsag modositasaval az AD feluleten keresztul tudod szabalyozni ki netezhet es ki nem.

( Luki | 2006. 08. 30., sze – 14:32 )

Nálunk smb_auth modullal van megoldva az AD-s azonosítás. Ehhez a modulhoz fel kell tenni a Windows szerver netlogon megosztásába egy fájlt, amihez egy bizonyos csoportnak van olvasási joga. Ha valaki benne van a csoportban, akkor mehet a jelszó bekérése, ha nem, akkor egyből kivágja. A csoport adminisztrálása már nem e fórum témája, de Má$ik op'rendszer alól könnyen megoldható. ;-)

Igaz, de itt is csoporttagsággal kell varázsolni.
Végül így oldottam meg:

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=ACTIVE_DIRECTORY_GROUP
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of=ACTIVE_DIRECTORY_GROUP

(Az első posztban hivatkozott howto kommentjeiben találtam).

Létrehoztam egy 'internet' AD csoportot, a tanár úr ebbe a csoportba pakolja ill törli a Pistikéket, valós időben.

( zolo | 2006. 12. 01., p – 12:38 )

A helyzet a kovetkezo:

DMZ-ben csomo proxy.
Ezekhez szeretnek egy-ket authentikacios servert a belso halon, amik az ADbol veszik az adatokat.
NTLM auth kene, hogy ne kerje a tartomanyi gepektol az authot.
Hogy kene ezt megoldani? Nem akarom mindegyik proxyt a tartomanyba leptetni es beengedni a halora tobb porton. Foleg nem sambat felrakni ra.

Van valami javaslat? ISAval meglehetne oldani, de az iszonyat penz.

( Lenny | 2009. 12. 16., sze – 16:04 )

Nos nekem a következőre lenne szükségem.
Adott egy proxy, ami képes AD-ból auth-olni. Lenne pár user akinek bizonyos időszakokban adott oldalakra nem szabadna kimenni.
Ezt kellene megoldanom. Ezt hogy?
Hogy tudok pl. csoportot tiltani?
Jelenleg úgy van megoldva, hogy aut-ot kér és akiket tudott azonosítani, azok mehetnek ki. De azokból kellene párat az előbb említett módon tiltani.

Tipp?