Я хочу интегрировать прокси-сервер Squid с доменом Active Directory, чтобы добиться следующего:
Два последних пункта - моя главная забота; Я знаю, что Squid может аутентифицировать пользователей по AD, но я не знаю, может ли он управлять аутентифицированными и анонимными пользователями. в то же время, и если он может использовать прозрачную аутентификацию, то есть не требуя от пользователя явного входа на прокси-сервер.
Кроме того, я знаю, что есть два способа интегрировать Squid с AD: WinBind и LDAP. Что лучше для этого сценария?
Мне не нужно, чтобы Squid был прозрачным прокси; уже существует GPO, который настраивает параметры прокси IE для всех пользователей домена.
Дополнительный вопрос: может ли все это работать, когда задействован SquidGuard?
Я использую Squid в качестве непрозрачного прокси для аутентификации (и доступа к базе данных) пользователей к веб-сайтам в процессе производства, и он работает очень хорошо.
Я запускаю его на Win32, поэтому интеграция с Active Directory была довольно безболезненной. Таким образом, я не могу говорить об относительных достоинствах WinBind по сравнению с LDAP.
Функция "обхода", которую вы ищете, если анонимные пользователи имеют доступ к некоторые сайты задокументированы в вики по Squid. Я не пробовал там пример конфигурации на реальном экземпляре Squid. После прочтения первого образца конфигурации я бы сказал, что он должен работать «как рекламируется». Похоже, что уловка (поскольку Squid разбирает списки ACL сверху вниз, выскакивая после первого найденного ACL, удовлетворяющего запросу), нужно поставить ACL анонимного доступа перед любые ACL, зависящие от аутентификации.