Squid mit NTLM AUTH und eine W2k3 Domäne

keksdieb
Goto Top

Squid Proxy 2.6STABLE5 auf einem Debian Etch Server (R8)
Der Proxy läuft soweit und der Samba + Winbind kann mit dem Active Directory reden...

Moin moin in die Runde...

Ich habe eine IPCop Installation, die zur Zeit unseren Proxyserver im Netzwerk spielt...
Der soll jetzt abgelöst werden und durch einen stinknormalen Proxy ersetzt werden. (bei IPCop war esirgendwie nicht möglich eine Authentifizierung gegen die Windows Domäne zu machen)

Nun habe ich mich fleissig ans Installieren gemacht:

Debian-Etch4.0R8-i386
Squid 2.6.Stable5
Winbind
Samba3

Das ganze liegt auf einem ESX3.5 als virtuelle Maschine.

Soweit so gut, Samaba habe ich wie folgt einfach eingerichtet:
smb.conf

krb5.conf

Mit kinit username@DOMAIN.LOCAL bekomme ich ein gültiges Kerberos Ticket.
das Ticket wird mir auch mit klist angezeigt.
Der Proxy wurde auch der Domäne hinzugefügt (net join ads usw.).

Mit wbinfo -g sehe ich alle Gruppen der Domäne und mit wbinfo -u alle User.

wbinfo -t gibt folgendes aus:

Jetzt zum Squid:

squid.conf
´
Wenn jetzt der Benutzer auf dem terminalserver den Proxy einträgt (später bekommt er den Proxy eingetragen :-) face-smile ) und er eine Seite aufruft, dann kommt im access.log vom squid folgende Meldung
Im cache.log vom Squid kommt zur gleichen Zeit:

Nun habe ich mich schon durchs www gegooglet und verschiedene Meinungen zu den Separatoren gefunden, die einen sagen, dass es ein + zeichen sein soll ( und zwar in der Squid.conf bei der Stelle

Allerdings wird doch meines Erachtens der Separator in der smb.conf festgelegt und winbind übernimmt das trennen, oder????

Abschliessende Frage:
Kann jemand über die Konfiguration gucken und mir einen Tipp geben, wo ich Fehlersuche betreiben kann?
Ich bin zu dem Thema langsam echt ratlos...

Gruß aus dem Norden

Keksdieb

Content-Key: 120716

Url: https://administrator.de/contentid/120716

Ausgedruckt am: 23.05.2022 um 01:05 Uhr

Mitglied: Warze69
Warze69 17.07.2009 um 21:38:29 Uhr
Goto Top
Das kannst Du mit dem IP-Cop ganz einfach realisieren. Dazu ist das Addon "Advanced Proxy" notwendig.

http://www.advproxy.net/download.html

Die Integration in eine Windows-Domäne, ist auf dieser Seite ebenfalls gut beschrieben.
Mitglied: keksdieb
keksdieb 20.07.2009 um 09:25:30 Uhr
Goto Top
Moin warze...

Das ist richtig und wurde auch schon versucht, allerdings muss der Benutzer bei jedem Fensteröffnen sein Username und Passort benutzen, ich möchte das lieber gerne mit Single SignOn machen.

Der Internetuser soll anhand seiner Windowsanmeldung das recht zur Internetnutzung bekommen.
Ausserdem habe ich das Ding jetzt händisch zusammen geklöppelt nun will mein Ehrgeiz auch das es funktioniert :-) face-smile

Ausserdem bekommt man so einen relativ guten Einblick über die verwendeten Authentifizierungsformen.
Bei IPcop ist es dann ja nur rumgeklicke im Webinterface. (Dafür ist IPcop aber auch da, einfach zu bedienen)

Gruß Keksdieb
Mitglied: keksdieb
keksdieb 20.07.2009 um 09:55:04 Uhr
Goto Top
GELÖST:

Der letzte Kniff lag am NetBT...
Fündig bin ich hier geworden : squid ldap auth an WIndows 2003 Domain

Hier noch ein herzliches Dankeschön an -STAR- , der in dem oben verlinkten Thread eine wirklich ausführliche und gut verständliche Anleitung gegeben hat.