lunedì 30 luglio 2007

Squid e active directory - accesso a un gruppo

Da: http://openskills.info/infobox.php?ID=1444
Squid - Autenticazione utenti su dominio Active directory o NT4
Autore: al - Ultimo Aggiornamento: 2007-04-13 15:27:39 - Data di creazione: 2007-04-13 15:19:34
Tipo Infobox: TIPS - Skill: 4- ADVANCED

E' possibile configurare Squid per autenticare gli utenti che possono usare il proxy usando le credenziali di un dominio Active Directory o di tipo NT4.

L'autenticazione si basa su winbind, il demone fornito con Samba che permette l'autenticazione degli utenti locali di una macchina Linux su un domain controller di un dominio di tipo Active Directory o NT4.

Il servizio winbind deve essere in esecuzione (anche non configurato) e la macchina su cui gira Squid deve aver joinato il dominio.

In /etc/squid/squid.conf devono essere presenti le seguenti configurazioni:

Settaggi relativi al sistema di autenticazione:
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic

Alternativa che negozia automaticamente la password dell'utente loggato sul dominio
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol= squid-2.5-ntlmssp

Se si vuole permettere accesso solo a utenti del gruppo "navigatori" del dominio "DOMINIO" usare invece questa alternativa:
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="DOMINIO+navigatori"
Notare che è necessario avere "winbind separator = +" in smb.conf (il file di configurazione di Samba) se si lascia il separator normale \ non funziona!

Le seguenti righe devono essere invece sempre presenti:
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
auth_param ntlm use_ntlm_negotiate on


E' poi necessario configurare le acl di Squid per forzare la richiesta di autenticazione (cambiare gli ip della local_network secondo le proprie esigenze):
acl password proxy_auth REQUIRED
acl local_network src 192.168.171.0/24
http_access allow local_network password

Nessun commento: