3
Squid und Active Directory
Hallo zusammen,
ich habe da mal eine Frage.
In der Firma haben wir einige Montage Clients. Diese sollen nicht ins Internet kommen. Da generell alle Mitarbeiter über einen Proxy (Squid) in das Internet gehen, habe ich nun einen neuen Squid aufgesetzt (was eh mal wieder von nöten war). Zudem habe ich diesen ins Active Directory integriert. Ich habe eine Gruppe erstellt, in der alle Benutzerkonten reinkommen die via Squid ins Internet dürfen. Das klappt soweit auch einwandfrei. Ist der Benutzer nicht in der Gruppe, bekommt dieser ein Loginformular z.B. beim Auruf des IE's.
Soweit so gut. Das Problem ist, dass dieses Login Formular z.B. auch bei Windows Updates kommt. Des Weiteren wären andere Anwendungen ja auch davon betroffen. Mir ist bei den Montage Clients zwar nicht bekannt, dass auf diesen noch weitere Software installiert ist die Zugriff auf das Internet benötigt. Jedoch sollten die Windows Updates schon eingespielt werden.
Hat vllt. jemand von Euch eine Lösung?
Gibt es nicht die Möglichkeit mit 2 AD-Gruppe zu arbeiten?
Eine Gruppe arbeitet normal mit einer Blacklist und die Benutzeraccounts für die Montage Clients würden in eine Gruppe kommen die mit einer Whitelist arbeitet.
Die Squid Konfiguration sieht wie folgt aus:
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="DOMAIN\\SquidAllowed"
auth_param ntlm children 10 #auth_param ntlm max_challenge_reuses 0
auth_param basic children 5
auth_param basic realm Domain Proxy Server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
acl lcl src 192.168.1.0/24
acl auth proxy_auth REQUIRED
http_access allow lcl auth
url_rewrite_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
Wäre nett wenn Ihr mit weiterhelfen könntet.
Gruß
prinza
ich habe da mal eine Frage.
In der Firma haben wir einige Montage Clients. Diese sollen nicht ins Internet kommen. Da generell alle Mitarbeiter über einen Proxy (Squid) in das Internet gehen, habe ich nun einen neuen Squid aufgesetzt (was eh mal wieder von nöten war). Zudem habe ich diesen ins Active Directory integriert. Ich habe eine Gruppe erstellt, in der alle Benutzerkonten reinkommen die via Squid ins Internet dürfen. Das klappt soweit auch einwandfrei. Ist der Benutzer nicht in der Gruppe, bekommt dieser ein Loginformular z.B. beim Auruf des IE's.
Soweit so gut. Das Problem ist, dass dieses Login Formular z.B. auch bei Windows Updates kommt. Des Weiteren wären andere Anwendungen ja auch davon betroffen. Mir ist bei den Montage Clients zwar nicht bekannt, dass auf diesen noch weitere Software installiert ist die Zugriff auf das Internet benötigt. Jedoch sollten die Windows Updates schon eingespielt werden.
Hat vllt. jemand von Euch eine Lösung?
Gibt es nicht die Möglichkeit mit 2 AD-Gruppe zu arbeiten?
Eine Gruppe arbeitet normal mit einer Blacklist und die Benutzeraccounts für die Montage Clients würden in eine Gruppe kommen die mit einer Whitelist arbeitet.
Die Squid Konfiguration sieht wie folgt aus:
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="DOMAIN\\SquidAllowed"
auth_param ntlm children 10 #auth_param ntlm max_challenge_reuses 0
auth_param basic children 5
auth_param basic realm Domain Proxy Server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
- Credentials past their TTL are removed from memory
acl lcl src 192.168.1.0/24
acl auth proxy_auth REQUIRED
http_access allow lcl auth
url_rewrite_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
Wäre nett wenn Ihr mit weiterhelfen könntet.
Gruß
prinza
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 164483
Url: https://administrator.de/contentid/164483
Ausgedruckt am: 22.11.2024 um 12:11 Uhr
3 Kommentare
Neuester Kommentar
Hi.
Die Windowsupdates werden also nicht über einen lokalen WSUS gelöst? Wenn dem so wäre könntest Du ja im IE angeben, dass bei lokalen Adressen der Proxy umgangen wird.
Die Windowsupdates werden also nicht über einen lokalen WSUS gelöst? Wenn dem so wäre könntest Du ja im IE angeben, dass bei lokalen Adressen der Proxy umgangen wird.
Doch eigentlich schon, deswegen habe ich mich auch gewundert warum er überhaupt über den Proxy gehen möchte. Ich muss das noch einmal genau gegenprüfen.
Das mit den lokalen Adresse ist natürlich eine gute Idee. Werde ich morgen mal testen.
Das mit den lokalen Adresse ist natürlich eine gute Idee. Werde ich morgen mal testen.
Das mit den lokalen umgehen klappt einwandfrei. Bringt für unsere Situation noch ein paar weitere Vorteile mit sich.
Hätte man auch selber drauf kommen können.
Gruß & Danke
Hätte man auch selber drauf kommen können.
Gruß & Danke
