squid benutzer-auth aus Windows AD-Gruppen

Post Reply
Message
Author
Tomtom022

squid benutzer-auth aus Windows AD-Gruppen

#1 Post by Tomtom022 »

Hi,
ich habe folgendes Problem:

In einer Windows-Dom. sollen bestimmte Gruppen Zugang zum Internet erhalten. Hierzu ist im AD die Gruppe www eingerichtet.

Nun folgende Aufgabenstellung:
Ein Squid soll nun alle Benutzer die der Gruppe www zugeordnet in Internet zulassen.

Squid soll auf Basis von Suse-Linux entstehen.

Wie bekomme ich nun die Gruppe des AD am Squid berechtigt?

Bin für jede Info dankbar.

Gruß
TT

User avatar
Janka
Posts: 3585
Joined: 11. Feb 2006 19:10

#2 Post by Janka »

Der Proxy muss rausfinden können, wem welche Verbindungen gehören. Dafür gibt es Identd, dieser muss jeweils auf dem Windows-Client installiert werden.

Aber:
1. Transparentes Proxiing geht damit nicht.
2. Läuft kein Identd auf dem Rechner, kann der Benutzer selbst einen starten und sich als jemand anders ausgeben. Das ganze Konzept funktioniert also nur, wenn die Windowsrechner entsprechend gesichert werden. Insbesondere darf keiner der Anwender, die beschränkt werden sollen, Hauptbenutzer-Rechte haben.

Alternativ muss der Benutzer sich zuerst auf einer Proxy-Startseite einbuchen und dort die Verbindung für seine aktuelle IP freischalten. Das funktioniert aber natürlich nicht, wenn mehrere Benutzer sich einen Rechner teilen, also z.B. bei einem Terminalserver. Außerdem widerspricht es der Idee des Single-Sign-On.

Wenn die Anwender immer am selben Rechner sitzen, kann es einfacher sein, nur bestimmten Rechnern einen Zugang zu erlauben. Dafür kann man Squid verwenden, aber auch einfach iptables.

Wirklich "dicht" sind aber alle diese Lösungen nicht.

Janka
Ich vertonne Spam immer in /dev/dsp statt /dev/null.
Ich mag die Schreie.

Damals...

#3 Post by Damals... »

Habe die Lösung nun nicht mehr im Kopf, aber grundsätzlich geht es auch ohne identd und nur mit LDAP.

Bin mir aber nicht mehr sicher, ob der Squid gepatched werden mußte, ist schon ein paar Jahre her, daß ich das aufgebaut habe. Aber in die Richtung würde ich mal suchen.

War allerdings kein transparentes proxying. Es hat aber gelangt, die die Proxyeinstellungen in dem Browser einzutragen (good ole proxy.pac)

Post Reply