Damit squid3 den Zugriff auf das Internet über eine AD-Gruppe steuern kann muss Samba 3 wie im Artikel Post-ID: 758 beschrieben eingerichtet sein. In folgendem Beispiel bekommen alle Mitglieder der Gruppe InternetAccessGroup Zugriff auf das Internet.
Dennoch sollten Sie bevor Sie weiter machen, die Verbidnung zum AD nochmals testen.
RPC Verbindung prüfen
wbinfo -t checking the trust secret via RPC calls succeeded
Auflisten der AD-User/Gruppen
wbinfo -u wbinfo -g
Testen der Authentifizierung
/usr/bin/ntlm_auth --username=Administrator
password: ******
NT_STATUS_OK: Success (0x0)
Wenn die Tests alle das gewünschte Ergebniss geliefert haben, kann squid3 für die Authentifizierung eingerichtet werden. Dazu erstellen wir zuerst einen User sowie eine Gruppe mit dessen Berechtigungen Squid3 später laufen soll. Gleichzeig werden die Berechtigungen auf dei notwendigen Dateien angepasst.
apt-get install squid3 groupadd squid useradd -g squid -d /var/spool/squid -s /bin/false squid chown root:squid /var/run/samba/winbindd_privileged chmod 750 /var/run/samba/winbindd_privileged chown -R squid:squid /var/spool/squid3 chmod 770 /var/spool/squid3 chown -R squid:squid /var/log/squid3 chmod 770 /var/log/squid3
Ansschließend müssen folgende Zeilen in der Squid3-Konfiguration geändert bzw. ergänzt werden.
/etc/squid3/squid.conf cache_effective_user squid cache_effective_group squid
Die folgende Zeilen müssen in der Konfiguration oberhalb der Zeile
# And finally deny all other access to this proxy http_access deny all
eingefügt werden.
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="2NIBBLES4U\InternetAccessGroup" auth_param ntlm children 5 #auth_param ntlm max_challenge_reuses 0 #auth_param ntlm max_challenge_lifetime 2 minutesauth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="2NIBBLES4U\InternetAccessGroup" auth_param basic children 5 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 5 hoursacl NTLMUsers proxy_auth REQUIRED http_access allow all NTLMUsers
Nach einem anschließenden neustart von squid3 sollte der Internet Zugang funtkionieren.
/etc/init.d/squid3 restart
Für Diagnosezwecke kann squid3 auch mit folgenden Paremter gestartet werden
/usr/sbin/squid3 -N -d 1-d 1
Links
http://www.linux-magazin.de/Heft-Abo/Ausgaben/2009/04/Heirate-mich?category=345
https://blog.cscholz.io/protected_downloads/074-077_squid_04.pdf