1 votes

NickCarlt avatar

Authentification automatique du proxy Squid

Demandé el 24 de Mars, 2018
Quand la question a-t-elle été
4217 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai mis en place un proxy squid sur un serveur Ubuntu et je veux maintenant mettre en place un ciblage des utilisateurs avec mon domaine. J'aimerais pouvoir définir des acl pour les groupes de sécurité dans AD, est-ce possible et comment puis-je le faire ?

Les utilisateurs doivent également s'authentifier avec le proxy car il est grand ouvert pour le moment, j'ai configuré le proxy avec la stratégie de groupe. Je veux que le proxy soit lié à AD pour que les utilisateurs se connectent et obtiennent des acl spécifiques. Tous les tutoriels que j'ai vus sont des messages pop-up demandant le nom d'utilisateur et le mot de passe. J'aimerais que cela se fasse automatiquement, de sorte que lorsque l'utilisateur se connecte, il s'authentifie automatiquement. Comment puis-je y parvenir ? Je pensais que NTLM jouait un rôle dans ce domaine ? Et puis les groupes de sécurité dont l'utilisateur fait partie auront un ensemble de sites web bloqués que squid appliquera.

Merci d'avance

Demandé el 24 de Mars, 2018 par NickCarlt

Réponse

Trop de publicités?

1voto

ETL avatar
ETL Points 6403

Voici un exemple de configuration qui fait ce que vous voulez :

## Active Directory Authentication
auth_param basic program /usr/lib/squid/basic_ldap_auth -R -b "dc=example,dc=com" -D squiduser@example.com -W /etc/squid/conf.d/ldap.pass -f sAMAccountName=%s -h example.com
auth_param basic children 100 startup=5 idle=5
auth_param basic realm Windows Logon
auth_param basic credentialsttl 2 hours

## Group Membership Lookup
external_acl_type ldap_group children-max=1000 children-startup=100 children-idle=50 %LOGIN /usr/lib/squid/ext_ldap_group_acl -d -R -b "dc=example,dc=com" -D squiduser@example.com -W /etc/squid/conf.d/ldap.pass -K -f "(&(objectclass=person)(sAMAccountName=%u)(memberof=CN=%g,OU=Squid_Users,DC=example,DC=com))" -h example.com

# Defines the networks which are allowed to use the proxy
acl allowed-networks src 192.168.1.0/24

# Defines the Active Directory Groups as Squid ACLs (i.e. `InternetGeneralUsers` is a group in AD)
acl users-general external ldap_group InternetGeneralUsers

# Defines the filter ACLs
acl domains-allowed dstdomain "/etc/squid/conf.d/domains/domains-allowed"

# Actual Allow/Deny rules
http_access allow allowed-networks users-general domains-allowed

# And finally deny all other access to this proxy
http_access deny all

Cela va un peu plus loin que le simple Active Directory, mais le concept général est le suivant :

  1. Définir la connexion à Active Directory pour les utilisateurs.
  2. Définir comment consulter les groupes à partir d'AD.
  3. Définir une liste de contrôle d'accès qui inclut les membres d'un groupe AD (dans cet exemple, le groupe AD s'appelle InternetGeneralUsers et l'ACL Squid s'appelle users-general .
  4. Définir une règle d'autorisation qui autorise l'ACL Squid users-general de passer par le mandataire.
Répondu el 24 de Mars, 2018 par ETL (6403 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X