Sowohl Domänenbenutzer als auch lokale Benutzer für die Squid-Authentifizierung verwenden?

Sowohl Domänenbenutzer als auch lokale Benutzer für die Squid-Authentifizierung verwenden?

Ich arbeite an einem Squid-Proxy, der Benutzer gegenüber einer Active Directory-Domäne authentifizieren muss. Dies funktioniert einwandfrei, Samba wurde korrekt eingerichtet und Squid authentifiziert Benutzer über ntlm_auth. Relevante Zeilen in squid.conf:

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 5
auth_param ntlm keep_alive on
acl Authenticated proxy_auth REQUIRED
http_access allow Authenticated
http_access deny all

Jetzt brauche ich eine Möglichkeit, Benutzern Zugriff zu gewähren, die kein Domänenkonto haben. Ich weiß, dass ich in der Domäne ein „Internetbenutzer“-Konto erstellen könnte, aber dies würde den Zugriff auf Domänenressourcen (Dateifreigaben usw.) ermöglichen, wenn auch eingeschränkt. Ich brauche etwas, das nur den Internetzugriff ermöglicht.

Die ideale Lösung wäre die Verwendung eines lokalen Kontos auf dem Proxy-Server, entweder ein Linux-Konto oder ein Squid-Konto. Ich weiß, dass Squid dies unterstützt, aber ich kann es nicht verwendenbeideDomänenauthentifizierung und Squid-/lokale Authentifizierung, wenn die Domänenauthentifizierung fehlgeschlagen ist.

Ist das möglich? Und wie?

Antwort1

Jetzt muss ich Benutzern, die kein Domänenkonto haben, irgendwie Zugriff gewähren. Ist das möglich?

Ja.

Wie?

Sie können einen „externen“ ACL-Helfer verwenden, der es Ihnen ermöglicht, Ihren eigenen Mechanismus zu entwickeln. Weitere Informationen finden Sie imSquid-Wiki-Eintrag „Mehrere Quellen“für weitere Einzelheiten. Dieser Pseudocode wurde direkt von dort übernommen:

auth_param basic program /usr/local/bin/my-auth.pl
external_acl_type myAclType %SRC %LOGIN %{Proxy-Authorization} /usr/local/bin/my-acl.pl
acl MyAcl external myAclType
http_access allow MyAcl

... wobei my-auth.pl ein kleines Perl-Skript ist, das die eigentliche Authentifizierung durchführt und als Ergebnis OKoder zurückgibt.ERR

Antwort2

Erstellen Sie einen eingeschränkten Domänenbenutzer (isolierte Organisationseinheit). Erstellen Sie von Squid aus eine Squid-LDAP-Authentifizierung, die dem Benutzer die Nutzung des Internets ermöglicht.

verwandte Informationen