Autenticação automática do proxy Squid

tag-icon tag-icon active-directory group-policy proxy ubuntu-16.04
Autenticação automática do proxy Squid

Então, configurei um proxy squid em um servidor Ubuntu e agora quero configurar a segmentação de usuários com meu domínio. Gostaria de poder definir ACLs para grupos de segurança no AD. Isso é possível e como posso fazer isso?

Os usuários também precisam se autenticar com o proxy, pois ele está totalmente aberto no momento. Configurei o proxy com política de grupo. Quero que o proxy esteja vinculado ao AD para que os usuários façam login e obtenham ACLs específicas. Todos os tutoriais que vi são mensagens pop-up solicitando nome de usuário e senha. Gostaria que isso acontecesse automaticamente para que, quando o usuário fizer login, ele se autentique automaticamente. Como eu conseguiria isso? Achei que o NTLM teria um papel nisso? E então os grupos de segurança dos quais o usuário faz parte terão um conjunto de sites bloqueados que o squid impõe

desde já, obrigado

Responder1

Aqui está um exemplo de configuração que faz o que você deseja:

## Active Directory Authentication
auth_param basic program /usr/lib/squid/basic_ldap_auth -R -b "dc=example,dc=com" -D [email protected] -W /etc/squid/conf.d/ldap.pass -f sAMAccountName=%s -h example.com
auth_param basic children 100 startup=5 idle=5
auth_param basic realm Windows Logon
auth_param basic credentialsttl 2 hours

## Group Membership Lookup
external_acl_type ldap_group children-max=1000 children-startup=100 children-idle=50 %LOGIN /usr/lib/squid/ext_ldap_group_acl -d -R -b "dc=example,dc=com" -D [email protected] -W /etc/squid/conf.d/ldap.pass -K -f "(&(objectclass=person)(sAMAccountName=%u)(memberof=CN=%g,OU=Squid_Users,DC=example,DC=com))" -h example.com

# Defines the networks which are allowed to use the proxy
acl allowed-networks src 192.168.1.0/24

# Defines the Active Directory Groups as Squid ACLs (i.e. `InternetGeneralUsers` is a group in AD)
acl users-general external ldap_group InternetGeneralUsers

# Defines the filter ACLs
acl domains-allowed dstdomain "/etc/squid/conf.d/domains/domains-allowed"

# Actual Allow/Deny rules
http_access allow allowed-networks users-general domains-allowed

# And finally deny all other access to this proxy
http_access deny all

Isso é um pouco mais do que apenas o Active Directory, mas o conceito geral é este:

  1. Defina a conexão com o Active Directory para os usuários.
  2. Defina como pesquisar grupos do AD.
  3. Defina uma ACL que inclua membros de um Grupo AD (neste exemplo, o grupo AD é chamado InternetGeneralUserse a ACL do Squid é chamada users-general.
  4. Defina uma regra de permissão que permita que a ACL do Squid users-generalpasse pelo proxy.

informação relacionada