Hallo, Ich bitte euch um Hilfe beim Konfigurieren von Squid. Ich hab schon sämtliche HowTo's Man-Pages etc. durchgeackert aber irgendwie schnall ich es nicht. Wir möchten bei uns in der Firma den MS-Proxy durch Squid ersetzen. (Nur reiner Proxy). Squid läuft zwar schon, aber ohne die vom MS gewohnte NT-Gruppen Berechtigung, da bei uns nur gewisse User-Gruppen surfen dürfen. Ich hab mich mit smb_auth u. ntlm_auth schon herumgespielt, aber leider eben nicht zufriedenstellend. Ich werde vom PDC (Primary Domain Controller) zwar als Domain-User authentifiziert, aber es ist völlig egal, ob der User surfen darf oder nicht. Ich verwende folgendes System: SuSE 9.1 - 2.6er Kernel , Samba 3.0 , Squid 2.5 Bitte um Hilfe Andreas Miziolek
Andreas Miziolek
Hallo,
Ich bitte euch um Hilfe beim Konfigurieren von Squid. Ich hab schon sämtliche HowTo's Man-Pages etc. durchgeackert aber irgendwie schnall ich es nicht.
Wir möchten bei uns in der Firma den MS-Proxy durch Squid ersetzen. (Nur reiner Proxy). Squid läuft zwar schon, aber ohne die vom MS gewohnte NT-Gruppen Berechtigung, da bei uns nur gewisse User-Gruppen surfen dürfen.
Ich hab mich mit smb_auth u. ntlm_auth schon herumgespielt, aber leider eben nicht zufriedenstellend. Ich werde vom PDC (Primary Domain Controller) zwar als Domain-User authentifiziert, aber es ist völlig egal, ob der User surfen darf oder nicht.
Ich gehe man davon aus, daß ihr einen W2K oder W2003 Server zur Authentifizierung einsetzt. Üblicherweise sind die Gruppen dann ja mittels LDAP definiert.Eine Authentifzierung mittels ldap_auth oder ldap_group sollte also möglich sein. Falls das nicht der Fall ist, sollte du die Gruppen in Dateien definieren und entsprechende acl's setzen, die durch basic_auth geprüft werden. Die Konfiguration für ldap_group und acl's könnte folgende Form haben: ,----[ squid.conf ] | TAG: external_acl_type | external_acl_type ldap_group %LOGIN \ | /pfad/auf/squid_ldap_group \ | -B "dc=groups,dc=my,dc=domain" -F \ | "(&(objectclass=groupOfNames)(member=uid=%s))" \ | -h server.my.domain | TAG: acl | acl wochentag time M-F | acl morgens time 9:15-11:45 | acl abends time 16:30-18:30 | acl fruehschicht external ldap_group FruehSchicht | acl spaetschicht external ldap_group SpaetSchicht | http_access allow wochentag morgens fruehschicht | http_access allow wochentag abends spaetschicht `---- -Dieter -- Dieter Klünter | Systemberatung Tel.: +49.40.64861967 Fax : +49.40.64891521 http://www.avci.de
Am Freitag, 30. Juli 2004 10:31 schrieb Dieter Kluenter:
Andreas Miziolek
writes: Hallo,
Ich bitte euch um Hilfe beim Konfigurieren von Squid. Ich hab schon sämtliche HowTo's Man-Pages etc. durchgeackert aber irgendwie schnall ich es nicht.
Wir möchten bei uns in der Firma den MS-Proxy durch Squid ersetzen. (Nur reiner Proxy). Squid läuft zwar schon, aber ohne die vom MS gewohnte NT-Gruppen Berechtigung, da bei uns nur gewisse User-Gruppen surfen dürfen.
Ich hab mich mit smb_auth u. ntlm_auth schon herumgespielt, aber leider eben nicht zufriedenstellend. Ich werde vom PDC (Primary Domain Controller) zwar als Domain-User authentifiziert, aber es ist völlig egal, ob der User surfen darf oder nicht.
Ich gehe man davon aus, daß ihr einen W2K oder W2003 Server zur Authentifizierung einsetzt. Üblicherweise sind die Gruppen dann ja mittels LDAP definiert.Eine Authentifzierung mittels ldap_auth oder ldap_group sollte also möglich sein. Falls das nicht der Fall ist, sollte du die Gruppen in Dateien definieren und entsprechende acl's setzen, die durch basic_auth geprüft werden. Die Konfiguration für ldap_group und acl's könnte folgende Form haben:
,----[ squid.conf ]
| TAG: external_acl_type | external_acl_type ldap_group %LOGIN \ | /pfad/auf/squid_ldap_group \ | -B "dc=groups,dc=my,dc=domain" -F \ | "(&(objectclass=groupOfNames)(member=uid=%s))" \ | -h server.my.domain | TAG: acl | acl wochentag time M-F | acl morgens time 9:15-11:45 | acl abends time 16:30-18:30 | acl fruehschicht external ldap_group FruehSchicht | acl spaetschicht external ldap_group SpaetSchicht | http_access allow wochentag morgens fruehschicht | http_access allow wochentag abends spaetschicht
`----
-Dieter
-- Dieter Klünter | Systemberatung Tel.: +49.40.64861967 Fax : +49.40.64891521 http://www.avci.de
Hi Dieter, Sorry wegen der verspäteten Antwort, war auf Kurzurlaub ;-) Danke für den Tipp mit LDAP, werden wir in ca. 4 - 5 Monaten angehen. Umstellung auf 2003 Server (fürcht..) Bis dahin hab ich eine Lösung mit smb_auth gefunden. Ist zwar nicht die eleganteste, aber es funzt. Nochmals danke Andreas
participants (2)
-
Andreas Miziolek
-
Dieter Kluenter