q16marvin
27.04.2012
view6029
view4
1
Goto Top

Squid nur NTLM erlauben

gelöstFrageSicherheitFirewall
unterdrückung des Benutzername / Password Dialogs

Hallo,


ich habe ein SQUID3 auf ubuntu mit kerberos und winbind dazu gebracht sich mit ntlm gegenüber unserem ad zu authentifizieren.

Nur bestimmte User haben voll Zugriff aufs Internet, der Rest nur auf bestimmte Seiten.

PROBLEM: Wenn ein User der nicht volle Rechte hat auf eine Seite geht auf die er berechtigt ist, diese Seite aber haufen Weise Werbung integriert hat (die natürlich nicht freigegen ist), kommt für jeden nicht freigegebne Werbung einmal das Benutzername / Passwort Dialog. Das bei einigen Seiten bis zu 20mal. Das heisst der User muss 20mal auf "Abbrechen" klicken um den Inhalt der Seite zu lesen!

Wie kann ich das schlauer gestalten?

Ich dachte Lösung wäre, wenn ich die Settings für "auth_param basic" aus der squid.conf raus nehme. Leider passiert darauf hin gar nichts.

Hier meine komplette Config:

http_port 3128
cache_mem 32 MB
maximum_object_size 10000 KB
maximum_object_size_in_memory 32 KB
cache_replacement_policy heap LFUDA
memory_replacement_policy heap GDSF
cache_dir ufs /var/spool/squid3 2000 16 256

forwarded_for off
#via off

auth_param ntlm program /usr/bin/ntlm_auth --require-membership-of=T4Y\\G_GR_INTERNET --helper-protocol=squid-2.5-ntlmssp
#auth_param ntlm children 5
#auth_param basic program /usr/bin/ntlm_auth --require-membership-of=T4Y\\G_GR_INTERNET --helper-protocol=squid-2.5-basic -d 10
#auth_param basic children 0
#auth_param basic realm TELforYOU Proxy

acl AuthorizedUsers proxy_auth REQUIRED

acl interne_domain dstdomain "/etc/squid3/conf/interne_domain.acl"
acl interne_ip dst "/etc/squid3/conf/interne_ip.acl"
acl mandanten_domain dstdomain "/etc/squid3/conf/mandanten_domain.acl"
acl mandanten_ip dst "/etc/squid3/conf/mandanten_ip.acl"


http_access allow mandanten_domain
http_access allow mandanten_ip
http_access allow interne_domain
http_access allow interne_ip
http_access allow all AuthorizedUsers
http_access deny all
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 184206

Url: https://administrator.de/contentid/184206

Ausgedruckt am: 24.11.2024 um 05:11 Uhr

4 Kommentare
Neuester Kommentar
Goto Top
aqui
aqui 27.04.2012 um 18:25:54 Uhr
Goto Top
Das http_access allow AuthorizedUsers all muss ans Ende der Liste !
http://www.mail-archive.com/squid-users@squid-cache.org/msg52170.html
Klassischer Einstellungsfehler wenn du Dr. Google mal nach "squid ntlm advertising popup " befragst...
q16marvin
q16marvin 27.04.2012 um 20:01:28 Uhr
Goto Top
okay probiere ich gleich montag früh aus, aber wenn ich http_access deny all VOR http_access allow all AuthorizedUsers setze, sollte es doch eigentlich gar nicht bis dahin kommen oder?
aqui
aqui 03.05.2012 um 11:48:48 Uhr
Goto Top
Wenns das denn nun war bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
q16marvin
q16marvin 03.05.2012 um 12:01:04 Uhr
Goto Top
Nein das wars nicht, wie ich befürchtet hatte sorgt http_access deny all VOR http_access allow all AuthorizedUsers dafür, das die authorizedusers gar nichts mehr dürfen.

Hier die Lösung: Prüfung auf zwei verschieden Gruppen im AD anhand von "external_acl_type nt_group ttl=5 children=50 %LOGIN /usr/lib/squid3/wbinfo_group.pl"

Hier die komplette Config:

http_port 3128
cache_mem 32 MB
maximum_object_size 10000 KB
maximum_object_size_in_memory 32 KB
cache_replacement_policy heap LFUDA
memory_replacement_policy heap GDSF
cache_dir ufs /var/spool/squid3 2000 16 256

forwarded_for off
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param ntlm children 80
auth_param basic children 50
auth_param basic realm Domain Proxy Server
auth_param basic credentialsttl 12 hours
auth_param basic casesensitive off
authenticate_cache_garbage_interval 10 seconds

external_acl_type nt_group ttl=5 children=50 %LOGIN /usr/lib/squid3/wbinfo_group.pl

acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443 563     # https, snews
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow SSL_ports

http_reply_access allow all
icp_access allow all

acl snmppublic snmp_community public
snmp_port 3401
snmp_access allow snmppublic all

acl INTERNET_SQUID_WHITELIST external nt_group G_GR_Agents
acl mandanten_domain dstdomain "/etc/squid3/conf/mandanten_domain.acl"  
acl interne_domain dstdomain "/etc/squid3/conf/interne_domain.acl"  

http_access allow mandanten_domain INTERNET_SQUID_WHITELIST
http_access allow interne_domain INTERNET_SQUID_WHITELIST

acl INTERNET_SQUID external nt_group G_GR_INTERNET
http_access allow INTERNET_SQUID all

http_access deny all
gelöstFrageSicherheitFirewall
Mehr von q16marvinq16marvinBudget tracking software sucheq16marvin - 9 Kommentareq16marvinServeRAID M5210 defekte Festplatte austauschen, falsche Sektoren Grösseq16marvin - 9 Kommentareq16marvinSquid proxy mit gui open sourceq16marvin - 4 Kommentareq16marvinWindows updates aufräumen datenträgerbereinigung firmenumfeldq16marvin - 2 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 24 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 14 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 KommentareSarekHLLegaler Einsatz vom M365 Family in Business-UmgebungSarekHL - 11 KommentaremaxMicrosoft plant für 2025 mehrere Preiserhöhungenmax - 11 KommentareDarkened1645Bildqualität der Windows Remotedesktop-Sitzung verbessernDarkened1645 - 11 Kommentare