Squid und Active Directory
Hallo zusammen,
ich habe da mal eine Frage.
In der Firma haben wir einige Montage Clients. Diese sollen nicht ins Internet kommen. Da generell alle Mitarbeiter über einen Proxy (Squid) in das Internet gehen, habe ich nun einen neuen Squid aufgesetzt (was eh mal wieder von nöten war). Zudem habe ich diesen ins Active Directory integriert. Ich habe eine Gruppe erstellt, in der alle Benutzerkonten reinkommen die via Squid ins Internet dürfen. Das klappt soweit auch einwandfrei. Ist der Benutzer nicht in der Gruppe, bekommt dieser ein Loginformular z.B. beim Auruf des IE's.
Soweit so gut. Das Problem ist, dass dieses Login Formular z.B. auch bei Windows Updates kommt. Des Weiteren wären andere Anwendungen ja auch davon betroffen. Mir ist bei den Montage Clients zwar nicht bekannt, dass auf diesen noch weitere Software installiert ist die Zugriff auf das Internet benötigt. Jedoch sollten die Windows Updates schon eingespielt werden.
Hat vllt. jemand von Euch eine Lösung?
Gibt es nicht die Möglichkeit mit 2 AD-Gruppe zu arbeiten?
Eine Gruppe arbeitet normal mit einer Blacklist und die Benutzeraccounts für die Montage Clients würden in eine Gruppe kommen die mit einer Whitelist arbeitet.
Die Squid Konfiguration sieht wie folgt aus:
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="DOMAIN\\SquidAllowed"
auth_param ntlm children 10 #auth_param ntlm max_challenge_reuses 0
auth_param basic children 5
auth_param basic realm Domain Proxy Server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
acl lcl src 192.168.1.0/24
acl auth proxy_auth REQUIRED
http_access allow lcl auth
url_rewrite_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
Wäre nett wenn Ihr mit weiterhelfen könntet.
Gruß
prinza
ich habe da mal eine Frage.
In der Firma haben wir einige Montage Clients. Diese sollen nicht ins Internet kommen. Da generell alle Mitarbeiter über einen Proxy (Squid) in das Internet gehen, habe ich nun einen neuen Squid aufgesetzt (was eh mal wieder von nöten war). Zudem habe ich diesen ins Active Directory integriert. Ich habe eine Gruppe erstellt, in der alle Benutzerkonten reinkommen die via Squid ins Internet dürfen. Das klappt soweit auch einwandfrei. Ist der Benutzer nicht in der Gruppe, bekommt dieser ein Loginformular z.B. beim Auruf des IE's.
Soweit so gut. Das Problem ist, dass dieses Login Formular z.B. auch bei Windows Updates kommt. Des Weiteren wären andere Anwendungen ja auch davon betroffen. Mir ist bei den Montage Clients zwar nicht bekannt, dass auf diesen noch weitere Software installiert ist die Zugriff auf das Internet benötigt. Jedoch sollten die Windows Updates schon eingespielt werden.
Hat vllt. jemand von Euch eine Lösung?
Gibt es nicht die Möglichkeit mit 2 AD-Gruppe zu arbeiten?
Eine Gruppe arbeitet normal mit einer Blacklist und die Benutzeraccounts für die Montage Clients würden in eine Gruppe kommen die mit einer Whitelist arbeitet.
Die Squid Konfiguration sieht wie folgt aus:
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="DOMAIN\\SquidAllowed"
auth_param ntlm children 10 #auth_param ntlm max_challenge_reuses 0
auth_param basic children 5
auth_param basic realm Domain Proxy Server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
- Credentials past their TTL are removed from memory
acl lcl src 192.168.1.0/24
acl auth proxy_auth REQUIRED
http_access allow lcl auth
url_rewrite_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
Wäre nett wenn Ihr mit weiterhelfen könntet.
Gruß
prinza
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 164483
Url: https://administrator.de/forum/squid-und-active-directory-164483.html
Ausgedruckt am: 22.12.2024 um 23:12 Uhr
3 Kommentare
Neuester Kommentar