Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
squid benutzer-auth aus Windows AD-Gruppen

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Netzwerk
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
Tomtom022
Gast





BeitragVerfasst am: 21. Feb 2008 0:53   Titel: squid benutzer-auth aus Windows AD-Gruppen

Hi,
ich habe folgendes Problem:

In einer Windows-Dom. sollen bestimmte Gruppen Zugang zum Internet erhalten. Hierzu ist im AD die Gruppe www eingerichtet.

Nun folgende Aufgabenstellung:
Ein Squid soll nun alle Benutzer die der Gruppe www zugeordnet in Internet zulassen.

Squid soll auf Basis von Suse-Linux entstehen.

Wie bekomme ich nun die Gruppe des AD am Squid berechtigt?

Bin für jede Info dankbar.

Gruß
TT
 

Janka



Anmeldungsdatum: 11.02.2006
Beiträge: 3569

BeitragVerfasst am: 21. Feb 2008 2:46   Titel:

Der Proxy muss rausfinden können, wem welche Verbindungen gehören. Dafür gibt es Identd, dieser muss jeweils auf dem Windows-Client installiert werden.

Aber:
1. Transparentes Proxiing geht damit nicht.
2. Läuft kein Identd auf dem Rechner, kann der Benutzer selbst einen starten und sich als jemand anders ausgeben. Das ganze Konzept funktioniert also nur, wenn die Windowsrechner entsprechend gesichert werden. Insbesondere darf keiner der Anwender, die beschränkt werden sollen, Hauptbenutzer-Rechte haben.

Alternativ muss der Benutzer sich zuerst auf einer Proxy-Startseite einbuchen und dort die Verbindung für seine aktuelle IP freischalten. Das funktioniert aber natürlich nicht, wenn mehrere Benutzer sich einen Rechner teilen, also z.B. bei einem Terminalserver. Außerdem widerspricht es der Idee des Single-Sign-On.

Wenn die Anwender immer am selben Rechner sitzen, kann es einfacher sein, nur bestimmten Rechnern einen Zugang zu erlauben. Dafür kann man Squid verwenden, aber auch einfach iptables.

Wirklich "dicht" sind aber alle diese Lösungen nicht.

Janka
_________________
Ich vertonne Spam immer in /dev/dsp statt /dev/null.
Ich mag die Schreie.
 
Benutzer-Profile anzeigen Private Nachricht senden

Damals...
Gast





BeitragVerfasst am: 25. Feb 2008 6:48   Titel:

Habe die Lösung nun nicht mehr im Kopf, aber grundsätzlich geht es auch ohne identd und nur mit LDAP.

Bin mir aber nicht mehr sicher, ob der Squid gepatched werden mußte, ist schon ein paar Jahre her, daß ich das aufgebaut habe. Aber in die Richtung würde ich mal suchen.

War allerdings kein transparentes proxying. Es hat aber gelangt, die die Proxyeinstellungen in dem Browser einzutragen (good ole proxy.pac)
 

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Netzwerk Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy