squid benutzer-auth aus Windows AD-Gruppen

Antworten
Nachricht
Autor
Tomtom022

squid benutzer-auth aus Windows AD-Gruppen

#1 Beitrag von Tomtom022 » 21. Feb 2008 0:53

Hi,
ich habe folgendes Problem:

In einer Windows-Dom. sollen bestimmte Gruppen Zugang zum Internet erhalten. Hierzu ist im AD die Gruppe www eingerichtet.

Nun folgende Aufgabenstellung:
Ein Squid soll nun alle Benutzer die der Gruppe www zugeordnet in Internet zulassen.

Squid soll auf Basis von Suse-Linux entstehen.

Wie bekomme ich nun die Gruppe des AD am Squid berechtigt?

Bin für jede Info dankbar.

Gruß
TT

Benutzeravatar
Janka
Beiträge: 3581
Registriert: 11. Feb 2006 19:10

#2 Beitrag von Janka » 21. Feb 2008 2:46

Der Proxy muss rausfinden können, wem welche Verbindungen gehören. Dafür gibt es Identd, dieser muss jeweils auf dem Windows-Client installiert werden.

Aber:
1. Transparentes Proxiing geht damit nicht.
2. Läuft kein Identd auf dem Rechner, kann der Benutzer selbst einen starten und sich als jemand anders ausgeben. Das ganze Konzept funktioniert also nur, wenn die Windowsrechner entsprechend gesichert werden. Insbesondere darf keiner der Anwender, die beschränkt werden sollen, Hauptbenutzer-Rechte haben.

Alternativ muss der Benutzer sich zuerst auf einer Proxy-Startseite einbuchen und dort die Verbindung für seine aktuelle IP freischalten. Das funktioniert aber natürlich nicht, wenn mehrere Benutzer sich einen Rechner teilen, also z.B. bei einem Terminalserver. Außerdem widerspricht es der Idee des Single-Sign-On.

Wenn die Anwender immer am selben Rechner sitzen, kann es einfacher sein, nur bestimmten Rechnern einen Zugang zu erlauben. Dafür kann man Squid verwenden, aber auch einfach iptables.

Wirklich "dicht" sind aber alle diese Lösungen nicht.

Janka
Ich vertonne Spam immer in /dev/dsp statt /dev/null.
Ich mag die Schreie.

Damals...

#3 Beitrag von Damals... » 25. Feb 2008 6:48

Habe die Lösung nun nicht mehr im Kopf, aber grundsätzlich geht es auch ohne identd und nur mit LDAP.

Bin mir aber nicht mehr sicher, ob der Squid gepatched werden mußte, ist schon ein paar Jahre her, daß ich das aufgebaut habe. Aber in die Richtung würde ich mal suchen.

War allerdings kein transparentes proxying. Es hat aber gelangt, die die Proxyeinstellungen in dem Browser einzutragen (good ole proxy.pac)

Antworten