Назад | Перейти на главную страницу

Автоматическая аутентификация прокси-сервера Squid

Итак, я установил прокси-сервер Squid на сервере Ubuntu и теперь хочу настроить таргетинг на пользователей с моим доменом. Я хотел бы иметь возможность устанавливать acl для групп безопасности в AD, возможно ли это и как я могу это сделать?

Пользователям также необходимо пройти аутентификацию с помощью прокси-сервера, поскольку на данный момент он широко открыт, я установил прокси с групповой политикой. Я хочу, чтобы прокси был связан с AD, чтобы пользователи входили в систему и получали определенные ACL. Все учебные пособия, которые я видел, представляют собой всплывающие сообщения с запросом имени пользователя и пароля. Я бы хотел, чтобы это происходило автоматически, чтобы при входе пользователя в систему они автоматически аутентифицировались. Как мне этого добиться? Я думал, NTLM сыграет в этом свою роль? И тогда группы безопасности, частью которых является пользователь, будут иметь набор заблокированных веб-сайтов, которые Squid применяет.

заранее спасибо

Вот пример конфигурации, которая делает то, что вы хотите:

## Active Directory Authentication
auth_param basic program /usr/lib/squid/basic_ldap_auth -R -b "dc=example,dc=com" -D squiduser@example.com -W /etc/squid/conf.d/ldap.pass -f sAMAccountName=%s -h example.com
auth_param basic children 100 startup=5 idle=5
auth_param basic realm Windows Logon
auth_param basic credentialsttl 2 hours

## Group Membership Lookup
external_acl_type ldap_group children-max=1000 children-startup=100 children-idle=50 %LOGIN /usr/lib/squid/ext_ldap_group_acl -d -R -b "dc=example,dc=com" -D squiduser@example.com -W /etc/squid/conf.d/ldap.pass -K -f "(&(objectclass=person)(sAMAccountName=%u)(memberof=CN=%g,OU=Squid_Users,DC=example,DC=com))" -h example.com

# Defines the networks which are allowed to use the proxy
acl allowed-networks src 192.168.1.0/24

# Defines the Active Directory Groups as Squid ACLs (i.e. `InternetGeneralUsers` is a group in AD)
acl users-general external ldap_group InternetGeneralUsers

# Defines the filter ACLs
acl domains-allowed dstdomain "/etc/squid/conf.d/domains/domains-allowed"

# Actual Allow/Deny rules
http_access allow allowed-networks users-general domains-allowed

# And finally deny all other access to this proxy
http_access deny all

Это немного больше, чем просто Active Directory, но общая концепция такова:

  1. Определите подключение к Active Directory для пользователей.
  2. Определите, как искать группы в AD.
  3. Определите ACL, который включает членов группы AD (в этом примере группа AD называется InternetGeneralUsers и ACL Squid называется users-general.
  4. Определите разрешающее правило, которое разрешает Squid ACL users-general пройти через прокси.