Belőttem egy squid-et az AD használatára, majd a squid.conf-ban beállitottam, hogy csak egy csoport tagjai használhassák a netet eszerint:
http://hup.hu/node/28445/242924
Csakhogy a jelek szerint a squid mindenkit kiszolgál, aki létező user a domain-ben és sikeresen authentikál, nem csak annak az egy csoportnak a tagjait.
Ugyanakkor viszont, ha parancssorból futtatom az ntlm_auth-ot ugyanazokkal a paraméterekkel, mint a fenti linken, akkor csak a csoport tagjait hitelesiti, a nem csoport tagokra ERR üzenetet ad.
A squid.conf-ból miért nem működik ugyanaz a parancs? Vagy félrekonfiguráltam valamit?
Ime a vonatkozó acl-ek a squid.conf-ból:
acl AuthorizedUsers proxy_auth REQUIRED
http_access allow AuthorizedUsers
- 1173 megtekintés
Hozzászólások
Tipp: figyelj a winbind separator értékére.
Ha + a separator, akkor a csoportot is DOMAIN+group formában kell megadni.
- A hozzászóláshoz be kell jelentkezni
Az smb.conf-ban nincs megadva a separator.
Ennek megfelelően eddig ezeket próbáltam végig a squid.conf-ban: "+", "\" és "\\".
Az a különös, hogy mindhárommal azonos működést kaptam; pedig azt gondolná az ember, hogy kettőnél rossz a szintaxis, azaz az authentikációnak meg kellene hiúsulnia. Ehelyett mindhárom esetben minden authentikált domain user-t kienged a squid a netre.
---
Mondjon le!
- A hozzászóláshoz be kell jelentkezni
Az smb.conf-ban már benne van a "winbind separator = +", és igy néz ki most a két auth_param sor a squid.conf-ban:
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp protocol=squid-2.5-ntlmssp --require-memberhip-of='OUR_DOMAIN+internet_user'
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic protocol=squid-2.5-basic --require-membership-of='OUR_DOMAIN+internet_user'
Valami gond mind a két sorral lehet, mert
a) ebben a formában mindenkit kienged aki sikeresen hitelesit, tekintet nélkül arra, hogy tagja-e a csoportnak
b) senkit nem enged ki viszont akkor, ha az ntlmssp-s sort "kikommentezem", vagy csak előre veszem a basic authentikációs sort.
Közben pedig a basic program a parancssorból jól működik; a csoporttag-ra "OK"-t, a nem csoporttagra "ERR"-t ad.
---
Mondjon le!
- A hozzászóláshoz be kell jelentkezni
hülye kérdés, de a konfigban is el van írva a "memberhip-of" az ntlm-ssp-nél vagy csak itt véletlen?
- A hozzászóláshoz be kell jelentkezni
Egyáltalán nem hülye kérdés, mert a konfig fájlban is el volt írva.
Csak egy bökkenő van: ha kijavítom, akkor egyáltalán senkit nem authentikál a squid :-(((
---
Mondjon le!
- A hozzászóláshoz be kell jelentkezni
Na megvan:
1. az smb.conf-ban kellett a winbind_separator = +
2. a squid.conf-ban is kellett a +
3. ugyanott nem volt szabad aposztrofok közé tenni a DOMAIN+group adatot. Zárójeles megjegyzés: mivan ha szóköz van a csoport névben???
4. Nem volt szabad elirni a "membership" szót.
A nehézség csak annyi volt, hogy a fentieknek egyszerre kellett teljesülnie.
Ha tudnád, hányszor átnéztem azt a sort, mégse találtam meg azt a betűhibát :-(((
Köszi a segítséget!
---
Mondjon le!
- A hozzászóláshoz be kell jelentkezni