prinza
Goto Top

Squid und Active Directory

Hallo zusammen,

ich habe da mal eine Frage.
In der Firma haben wir einige Montage Clients. Diese sollen nicht ins Internet kommen. Da generell alle Mitarbeiter über einen Proxy (Squid) in das Internet gehen, habe ich nun einen neuen Squid aufgesetzt (was eh mal wieder von nöten war). Zudem habe ich diesen ins Active Directory integriert. Ich habe eine Gruppe erstellt, in der alle Benutzerkonten reinkommen die via Squid ins Internet dürfen. Das klappt soweit auch einwandfrei. Ist der Benutzer nicht in der Gruppe, bekommt dieser ein Loginformular z.B. beim Auruf des IE's.
Soweit so gut. Das Problem ist, dass dieses Login Formular z.B. auch bei Windows Updates kommt. Des Weiteren wären andere Anwendungen ja auch davon betroffen. Mir ist bei den Montage Clients zwar nicht bekannt, dass auf diesen noch weitere Software installiert ist die Zugriff auf das Internet benötigt. Jedoch sollten die Windows Updates schon eingespielt werden.

Hat vllt. jemand von Euch eine Lösung?

Gibt es nicht die Möglichkeit mit 2 AD-Gruppe zu arbeiten?
Eine Gruppe arbeitet normal mit einer Blacklist und die Benutzeraccounts für die Montage Clients würden in eine Gruppe kommen die mit einer Whitelist arbeitet.

Die Squid Konfiguration sieht wie folgt aus:
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="DOMAIN\\SquidAllowed"
auth_param ntlm children 10 #auth_param ntlm max_challenge_reuses 0
auth_param basic children 5
auth_param basic realm Domain Proxy Server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

  1. Credentials past their TTL are removed from memory
authenticate_ttl 0 seconds

acl lcl src 192.168.1.0/24
acl auth proxy_auth REQUIRED
http_access allow lcl auth
url_rewrite_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf

acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32

Wäre nett wenn Ihr mit weiterhelfen könntet.

Gruß
prinza

Content-ID: 164483

Url: https://administrator.de/forum/squid-und-active-directory-164483.html

Ausgedruckt am: 22.12.2024 um 23:12 Uhr

DerWoWusste
DerWoWusste 13.04.2011 um 19:40:41 Uhr
Goto Top
Hi.

Die Windowsupdates werden also nicht über einen lokalen WSUS gelöst? Wenn dem so wäre könntest Du ja im IE angeben, dass bei lokalen Adressen der Proxy umgangen wird.
prinza
prinza 13.04.2011 um 19:50:47 Uhr
Goto Top
Doch eigentlich schon, deswegen habe ich mich auch gewundert warum er überhaupt über den Proxy gehen möchte. Ich muss das noch einmal genau gegenprüfen.
Das mit den lokalen Adresse ist natürlich eine gute Idee. Werde ich morgen mal testen.
prinza
prinza 14.04.2011 um 08:43:57 Uhr
Goto Top
Das mit den lokalen umgehen klappt einwandfrei. Bringt für unsere Situation noch ein paar weitere Vorteile mit sich.
Hätte man auch selber drauf kommen können.

Gruß & Danke