Autenticación automática del proxy Squid

tag-icon tag-icon active-directory group-policy proxy ubuntu-16.04
Autenticación automática del proxy Squid

Así que configuré un proxy squid en un servidor Ubuntu y ahora quiero configurar la segmentación de usuarios con mi dominio. Me gustaría poder configurar ACL para grupos de seguridad dentro de AD, ¿es esto posible y cómo puedo hacerlo?

Los usuarios también necesitan autenticarse con el proxy, ya que está muy abierto en este momento. He configurado el proxy con una política de grupo. Quiero que el proxy esté vinculado a AD para que los usuarios inicien sesión y obtengan ACL específicas. Todos los tutoriales que he visto son mensajes emergentes que solicitan el nombre de usuario y la contraseña. Me gustaría que esto suceda automáticamente para que cuando el usuario inicie sesión se autentique automáticamente. ¿Cómo lograría esto? Pensé que NTLM jugaría un papel en esto. Y luego, los grupos de seguridad de los que forma parte el usuario tendrán un conjunto de sitios web bloqueados que squid aplica.

gracias de antemano

Respuesta1

Aquí hay una configuración de ejemplo que hace lo que desea:

## Active Directory Authentication
auth_param basic program /usr/lib/squid/basic_ldap_auth -R -b "dc=example,dc=com" -D [email protected] -W /etc/squid/conf.d/ldap.pass -f sAMAccountName=%s -h example.com
auth_param basic children 100 startup=5 idle=5
auth_param basic realm Windows Logon
auth_param basic credentialsttl 2 hours

## Group Membership Lookup
external_acl_type ldap_group children-max=1000 children-startup=100 children-idle=50 %LOGIN /usr/lib/squid/ext_ldap_group_acl -d -R -b "dc=example,dc=com" -D [email protected] -W /etc/squid/conf.d/ldap.pass -K -f "(&(objectclass=person)(sAMAccountName=%u)(memberof=CN=%g,OU=Squid_Users,DC=example,DC=com))" -h example.com

# Defines the networks which are allowed to use the proxy
acl allowed-networks src 192.168.1.0/24

# Defines the Active Directory Groups as Squid ACLs (i.e. `InternetGeneralUsers` is a group in AD)
acl users-general external ldap_group InternetGeneralUsers

# Defines the filter ACLs
acl domains-allowed dstdomain "/etc/squid/conf.d/domains/domains-allowed"

# Actual Allow/Deny rules
http_access allow allowed-networks users-general domains-allowed

# And finally deny all other access to this proxy
http_access deny all

Esto es un poco más que simplemente Active Directory, pero el concepto general es el siguiente:

  1. Defina la conexión a Active Directory para los usuarios.
  2. Defina cómo buscar grupos desde AD.
  3. Defina una ACL que incluya miembros de un grupo AD (en este ejemplo, se llama al grupo AD InternetGeneralUsersy se llama la ACL Squid users-general.
  4. Defina una regla de permiso que permita que la ACL de Squid users-generalpase por el proxy.

información relacionada