Close Menu
    Login

    Squid3: Authentifizierung über eine Windows 2003 AD Gruppe

    By Keine Kommentare2 Mins Read Squid3

    Damit squid3 den Zugriff auf das Internet über eine AD-Gruppe steuern kann muss Samba 3 wie im Artikel Post-ID: 758 beschrieben eingerichtet sein. In folgendem Beispiel bekommen alle Mitglieder der Gruppe InternetAccessGroup Zugriff auf das Internet.

    Dennoch sollten Sie bevor Sie weiter machen, die Verbidnung zum AD nochmals testen.

    RPC Verbindung prüfen

    wbinfo -t
checking the trust secret via RPC calls succeeded

    Auflisten der AD-User/Gruppen

    wbinfo -u
wbinfo -g

    Testen der Authentifizierung

    /usr/bin/ntlm_auth --username=Administrator
password: ******
NT_STATUS_OK: Success (0x0)

    Wenn die Tests alle das gewünschte Ergebniss geliefert haben, kann squid3 für die Authentifizierung eingerichtet werden. Dazu erstellen wir zuerst einen User sowie eine Gruppe mit dessen Berechtigungen Squid3 später laufen soll. Gleichzeig werden die Berechtigungen auf dei notwendigen Dateien angepasst.

    apt-get install squid3
groupadd squid
useradd -g squid -d /var/spool/squid -s /bin/false squid
chown root:squid /var/run/samba/winbindd_privileged
chmod 750 /var/run/samba/winbindd_privileged
chown -R squid:squid /var/spool/squid3
chmod 770 /var/spool/squid3
chown -R squid:squid /var/log/squid3
chmod 770 /var/log/squid3

    Ansschließend müssen folgende Zeilen in der Squid3-Konfiguration geändert bzw. ergänzt werden.

    /etc/squid3/squid.conf
cache_effective_user   squid
cache_effective_group  squid

    Die folgende Zeilen müssen in der Konfiguration oberhalb der Zeile

    # And finally deny all other access to this proxy
http_access deny all

    eingefügt werden.

    auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="2NIBBLES4U\InternetAccessGroup"
auth_param ntlm children 5
#auth_param ntlm max_challenge_reuses 0
#auth_param ntlm max_challenge_lifetime 2 minutes
    auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="2NIBBLES4U\InternetAccessGroup"
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 5 hours
    acl NTLMUsers proxy_auth REQUIRED
http_access allow all NTLMUsers

    Nach einem anschließenden neustart von squid3 sollte der Internet Zugang funtkionieren.

    /etc/init.d/squid3 restart

    Für Diagnosezwecke kann squid3 auch mit folgenden Paremter gestartet werden

    /usr/sbin/squid3 -N -d 1-d 1

    Links

    http://www.linux-magazin.de/Heft-Abo/Ausgaben/2009/04/Heirate-mich?category=345

    https://blog.cscholz.io/protected_downloads/074-077_squid_04.pdf

    Themenbezogenen weitere Artikel:

    Add A Comment

    Leave A Reply