• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

[gelöst] Squid im ActiveDirectory

falcke

falcke

Newbie
Hallo,

ich würde gerne einen Proxy-Server (Squid), in eine ActiveDirectory Domäne integriert (Authentifizierung), aufsetzen.

Kann mir vielleicht jemand erklären wie das generell funktionieren kann/soll? Ich hab jetzt schon einige Foren durch und überall machten die Vorschläge eher einen wackeligen Eindruck.
Wenn jemand ein How-To, oder Ähnliches, wo ich ansetzen kann hat, wäre ich auch dankbar.

Grüße

L.
 
C

cbr

Member
Nabend,
grundsätzlich mit SMB. (Aus meiner Erinnerung)..

User ist im AD hinterlegt, -> somit Lesezugriff Zugriff aufs Netlogon Verzeichnis des DC.

Bei der Squid Authentifizierung mit Domänenaccount die Verfügbarkeit per smb einer auth.conf innerhalb von Netlogon prüfen. Bei Erfolg alles o.k. ansonsten Denied.

So haben wir das gemacht. Müsste im Detail noch mal schauen !
 
S

stka

Guru
Da AD ja auf LDAP basiert und die Zugriffe auf LDAP unter AD möglich ist, versuch doch mal das squid Modul squid_ldap_auth. Ob es klappt kann ich dir nicht sagen, mit LDAP klappt das sehr gut. Einen Versuch ist es wert.
 
H

happo1

Newbie
habe auch ein kleines problemchen mit der squid user authentifizierung am active directory .

weiss nicht genau wie ich das am squid löse ;(

habe auf dem rechner einen samba member server (kerberos-verschlüsselung) eingerichtet, der funzt

kann mit wbinfo -g oder wbinfo -u die user / gruppen vom ads anzeigen lassen.

ich würde nun gerne ein gruppe ( z.B: wwwusers) am ads einrichten und dann am squid alle "wwwusers" erlauben

weiss jemand wie der squid da konfiguriert werden muss ???

tHx
 
H

happo1

Newbie
hi all!

hab´s jetzt zu laufen gebracht :D

mit samba3 als memberserver zum ads (windows 2003) welche auch die transparente benutzerauthentifizierung macht.

die "surf-rechte" kann somit jeder windodl in der ads verwaltung vergeben. einfach eine neue gruppe erstellen, z.b: wwwuser

dann einfach den users die dürfen zur wwwuser dazuhängen ....


habe auch dafür ein howto geschrieben ;)

wenn´s jemanden interessiert, bescheid sagen dann könnt ihr das howto gerne haben.
 
S

seaco

Newbie
Hallo Happo1,
würde mich über ein HowTo bzw Tutorial freuen,
stehe vor der selben Herausforderung.

Habe die Authentifizierung an der AD hinbekommen,
Also Samba klappt, nun soll Squid nur überprüfen ob der anfragende
User in einer bestimmten Gruppe ist,

wbinfo_group.pl kann das und funktioniert, d.h. gibt mir OK zurück

Wie hast du das realisiert?
 
H

happo1

Newbie
hi seco !

ok, wenn der samba perfekt als member server läuft, d.h. wbinfo -u zeigt dir die user vom active directory brauchst du folgendes in der squid.conf:



Code: 
auth_param ntlm program /usr/bin/ntlm_auth --require-membership-of="S-1-5-21-1960408961-1547161642-1417001333-2627" --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 7
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
auth_param basic program /usr/bin/ntlm_auth --require-membership-of="S-1-5-21-1960408961-1547161642-1417001333-2627" --helper-protocol=squid-2.5-ntlmssp
auth_param basic children 7
auth_param basic realm SQUID-PROXY
auth_param basic credentialsttl 2 hours
external_acl_type NT %LOGIN /usr/sbin/wbinfo_group.pl
acl inet_users external NT wwwusers
acl dom proxy_auth REQUIRED

Code: 
http_access allow dom inet_users


die require-membership-of ist die ssid der gruppe die du im ads anlegst (bei mir heisst die wwwusers)

die ssid kannst du so rauskriegen:
Code: 
wbinfo -n wwwusers

danach sollte squid automatisch den domain login des client erkennen und anhand der gruppe zugriff gestatten oder verweigern.
 
S

Stefan Staeglich

Advanced Hacker
Ich habe diesen Thread jetzt mal als gelöst markiert und gesperrt, da die Lösung wohl enthalten ist. Falls noch was unklar hier des Problems sein sollte: Kurze PN an mich und ich mache wieder auf.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben