Squid3: Authentifizierung über eine Windows 2003 AD Gruppe

0

Damit squid3 den Zugriff auf das Internet über eine AD-Gruppe steuern kann muss Samba 3 wie im Artikel Post-ID: 758 beschrieben eingerichtet sein. In folgendem Beispiel bekommen alle Mitglieder der Gruppe InternetAccessGroup Zugriff auf das Internet.

Dennoch sollten Sie bevor Sie weiter machen, die Verbidnung zum AD nochmals testen.

RPC Verbindung prüfen

wbinfo -t
checking the trust secret via RPC calls succeeded

Auflisten der AD-User/Gruppen

wbinfo -u
wbinfo -g

Testen der Authentifizierung

/usr/bin/ntlm_auth --username=Administrator
password: ******
NT_STATUS_OK: Success (0x0)

Wenn die Tests alle das gewünschte Ergebniss geliefert haben, kann squid3 für die Authentifizierung eingerichtet werden. Dazu erstellen wir zuerst einen User sowie eine Gruppe mit dessen Berechtigungen Squid3 später laufen soll. Gleichzeig werden die Berechtigungen auf dei notwendigen Dateien angepasst.

apt-get install squid3
groupadd squid
useradd -g squid -d /var/spool/squid -s /bin/false squid
chown root:squid /var/run/samba/winbindd_privileged
chmod 750 /var/run/samba/winbindd_privileged
chown -R squid:squid /var/spool/squid3
chmod 770 /var/spool/squid3
chown -R squid:squid /var/log/squid3
chmod 770 /var/log/squid3

Ansschließend müssen folgende Zeilen in der Squid3-Konfiguration geändert bzw. ergänzt werden.

/etc/squid3/squid.conf
cache_effective_user   squid
cache_effective_group  squid

Die folgende Zeilen müssen in der Konfiguration oberhalb der Zeile

# And finally deny all other access to this proxy
http_access deny all

eingefügt werden.

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="2NIBBLES4U\InternetAccessGroup"
auth_param ntlm children 5
#auth_param ntlm max_challenge_reuses 0
#auth_param ntlm max_challenge_lifetime 2 minutes
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="2NIBBLES4U\InternetAccessGroup"
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 5 hours
acl NTLMUsers proxy_auth REQUIRED
http_access allow all NTLMUsers

Nach einem anschließenden neustart von squid3 sollte der Internet Zugang funtkionieren.

/etc/init.d/squid3 restart

Für Diagnosezwecke kann squid3 auch mit folgenden Paremter gestartet werden

/usr/sbin/squid3 -N -d 1-d 1

Links

http://www.linux-magazin.de/Heft-Abo/Ausgaben/2009/04/Heirate-mich?category=345

https://blog.cscholz.io/protected_downloads/074-077_squid_04.pdf

Teilen.

Über den Autor

Seit der Ausbildung zum Fachinformatiker Systemintegration (2002-2005) bei der DaimlerChrysler AG, beruflich im Bereich der E-Mail Kommunikation (Exchange, Linux) sowie des ActiveDirectory, mit entsprechenden Zertifizierungen (MCSE 2003, MCITP Ent.-Admin 2008, MCSE 2012, LPIC 1-3) tätig. Abgeschlossenes Studium zum Master of Science der IT-Management an der FOM sowie zertifizierter Datenschutzbeauftragter. Aktuell im Projektmanagement tätig.

Antworten