Authentifizierungsproblem

[pooner]

Hi @ all
ich habe eine Frage und hoffe auf eure Hilfe.

Folgendes Ich habe Dansguardian mit Squid3 auf Debian Lenny im Einsatz und habe nun auch die Kerberosauthentifizierung dazugeschaltet.
Soweit funktioniert auch alles wie gewünscht. Leider ist mir jedoch jetzt aufgefallen, dass wenn ich kein authentifiziertes Mitglied der Domäne bin auch keine Nutzerabfrage kommt, wie ich es sonst bei z.B. ntlm o.ä. gewohnt bin. Ist das so überhaupt möglich bei Kerberos, oder muss ich einen zweiten Authentifizierungsmechanismus (z.B. NTLM) quasi als Fallback einbauen und falls ja wie

Hier ist mal der relevante Code:

auth_param negotiate program /usr/lib/squid3/squid_kerb_auth -i
auth_param negotiate children 10
auth_param negotiate keep_alive on
auth_param basic realm Squid proxy-caching web server

## Authentifizierung
acl AD-AUTH proxy_auth REQUIRED

http_access allow AD-AUTH

Danke für Eure Hilfe

 

[spoensche]

Mit Kerberos authentifiziert man sich am AD, also muss man authentifiziert sein, falls nicht muss eine Aufforderung zur Authentifizierung erfolgen.

Siehe: http://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerberos

Wenn du einen Fallback einrichtest umgehst du quasi die Pflicht Mitglied im AD zu sein, was je nach Anforderung und Richtlinienumsetzung wenig Sinn macht.

Welche Aufgabe soll der Squid den genau übernehmen?

 

[pooner]

Danke für die Antwort,

genau so habe ich es auch verstanden. Jedoch bekomme ich einfach keine Aufforderung zur Authentifizierung.

Ziel ist es für einen Teil der Benutzer die nicht mit Rechnern in der Domäne sind eine entsprechende Nutzerabfrage (AD-Account) zu haben um den Zugriff für diese aufs Inet zu ermöglichen. Andere Benutzer an Domänenrechnern sollen ohne Abfrage des Benutzers surfen können (funktioniert). Wieterhin möchte ich die Nutzer im Log sehen.

Im Test wird Dansguardian außen vorgelassen und eine Linux-Kiste verwendet.
Die Squid-Version lautet:

Squid Cache: Version 3.1.3
configure options:  '--build=i486-linux-gnu' '--prefix=/usr' '--includedir=${prefix}/include' '--mandir=${prefix}/share/man' '--infodir=${prefix}/share/info' '--sysconfdir=/etc' '--localstatedir=/var' '--libexecdir=${prefix}/lib/squid3' '--disable-maintainer-mode' '--disable-dependency-tracking' '--srcdir=.' '--datadir=/usr/share/squid3' '--sysconfdir=/etc/squid3' '--mandir=/usr/share/man' '--with-cppunit-basedir=/usr' '--enable-inline' '--enable-async-io=8' '--enable-storeio=ufs,aufs,diskd' '--enable-removal-policies=lru,heap' '--enable-delay-pools' '--enable-cache-digests' '--enable-underscores' '--enable-icap-client' '--enable-follow-x-forwarded-for' '--enable-auth=basic,digest,ntlm,negotiate' '--enable-basic-auth-helpers=LDAP,MSNT,NCSA,PAM,SASL,SMB,YP,DB,POP3,getpwnam,squid_radius_auth,multi-domain-NTLM' '--enable-ntlm-auth-helpers=smb_lm,' '--enable-digest-auth-helpers=ldap,password' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-external-acl-helpers=ip_user,ldap_group,session,unix_group,wbinfo_group' '--enable-arp-acl' '--enable-esi' '--enable-ipv6' '--disable-translation' '--with-logdir=/var/log/squid3' '--with-pidfile=/var/run/squid3.pid' '--with-filedescriptors=65536' '--with-large-files' '--with-default-user=proxy' '--enable-linux-netfilter' 'build_alias=i486-linux-gnu' 'CC=cc' 'CFLAGS=-g -O2 -g -Wall -O2' 'LDFLAGS=' 'CPPFLAGS=' 'CXX=g++' 'CXXFLAGS=-g -O2 -g -Wall -O2' 'FFLAGS=-g -O2' --with-squid=/tmp/buildd/squid3-3.1.3 --enable-ltdl-convenience

Irgendwelche anderen Ideen?

 

[spoensche]

Warum verwendest du nicht das Debian Paket, wenn du Debian verwendest? Was sagen die Logfiles? Hast du deine Konfiguration auch wie im Squid Wiki bzw. deine DC´ s angegeben?