LINUX.ORG.RU
ФорумAdmin

Samba PDC и аутентификация пользователей на Squid.


0

0

Нужно настроить аутентификацию пользоателей на Squid, и в интернеты пропускать не всех. Множество сервисов берёт имена пользователей и пароли из LDAP, поэтому первоначально настроил LDAP-аутентификацию на Squid. Однако пользователи роптали, что приходится аутентифицироваться. Стал чесать репу как бы пользователей аутентифицировать пользуясь тем, что они уже аутентифицированы в Samba PDC. На ум приходит NTLM аутентификация, поэтому первый вопрос:

при настроенной NTLM аутентификации на Squid у пользователей аутентифицированных в домене будет спрашивать реквизиты, или будет молча пропускать или не пропускать?

Стал читать всякие заметки об NTLM-аутентификации в Squid. Нормальной документации не нашёл. Страница Squid NTLM authentication последний раз редактировалась в 2003 году, а рассказывает о состоянии проекта в 2000. Документации по опциям ntlm_auth там не нашёл. Пытался сделать по HOWTO, получился вот такой конфиг:

auth_param ntlm  program /usr/lib/squid/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=DOMAIN\\Internet
auth_param ntlm children 5
auth_param ntlm keep_alive on
auth_param basic  program /usr/lib/squid/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of=DOMAIN\\Internet
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 12 hours
auth_param basic casesensitive off
acl all src 0.0.0.0/0.0.0.0
acl ntlm_internet proxy_auth REQUIRED
http_access allow ntlm_internet
http_access deny all

Который не приводит к успеху. Какие есть соображения по конфигу? Где можно почитать документацию об ntlm_auth? Что такое helper-protocol, например. У кого работает NTLM-аутентификация, поделитесь конфигом.

★★★★★

Samba PDC и аутентификация пользователей на Squid.

>при настроенной NTLM аутентификации на Squid у пользователей аутентифицированных в домене будет спрашивать реквизиты, или будет молча пропускать или не пропускать?

Пропускать или не пропускать

>раз редактировалась в 2003 году, а рассказывает о состоянии проекта в 2000


Не берите /usr/lib/squid/ntlm_auth
а берите /usr/bin/ntlm_auth из пакета

dpkg --listfiles winbind | grep ntlm
/usr/bin/ntlm_auth

Статей полно:
http://ru.gentoo-wiki.com/wiki/%D0%9D%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%...

vadv ★★ ()

Берите из пакета.

>Не берите /usr/lib/squid/ntlm_auth
>а берите /usr/bin/ntlm_auth из пакета


Действительно, файл ntlm_auth есть ещё в пакете winbind. Я думал в Ubuntu просто бинарники положили в другое место, тем более, что LDAP-аутентификация заработала с /usr/lib/squid/ldap_auth. Сейчас попробую с winbind'ом.

Camel ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.