squid mit Authentifizierung über Windows ADS

Columbo0815

Columbo0815

Kaffeemann
Teammitglied
Moin,

ich habe hier einen sehr betagten squid-3.2.11 in einer FreeBSD-Jail laufen. Dieser Squid ist so konfiguriert, dass er Useranfragen mittels
squid.conf schrieb:
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --debug-level=10
Zum Vergrößern anklicken....
an einen Windows-DC sendet. Nur User, die dort angelegt sind, können surfen. Geregelt wird das Ganze zusätzlich über squidGuard. Da mir der Squid zu alt ist, hatte ich bereits versucht, ihn einfach zu aktualisieren, was voll in die Hosen ging. Danach habe ich es nicht mehr geschafft den squid wie gewünscht anzubinden. Aus diesem Grund bin ich zu dieser Uraltversion zurück und teste das ganze in einer weiteren Jail. Mein gewünschtes Ziel ist eine Jail, mit einem aktuellen Squid, welches sich für den User "transparent" am Windows-Server authentifiziert. "Transparent" heißt hier also NICHT, dass ich einen transparenten Proxy möchte sondern die Authentifizierung soll für den User "automatisch", "transparent" (im Sinne von unsichtbar) erfolgen.

Ich habe gelesen, dass ntlm_auth ohnehin nicht mehr Wahl der Mittel ist (weil unsicher?) und man stattdessen zu "negotiate/kerberos" wechseln soll. Aber auch hier klappt die Authentifizierung nicht. Dem User wird das Surfen versagt.

Bevor ich hier nun anfange meine Config zu posten und Logfiles durchzuwühlen, würde mich interessieren, ob es hier jemanden gibt, der dieses - in meinen Augen fast alltägliche - Anliegen erfolgreich umgesetzt hat und wie er das angestellt hat.

Grüße
 
Moin,

die erste große Hürde ist genommen. Wann lerne ich endlich komplett zu lesen..:belehren: Das erste Problem war wie folgt zu lösen: "
alert.png
msktutil requires cyrus-sasl-gssapi ldap plugin to authenticate to AD ldap.". Ich hatte cyrus-sasl-gssapi gar nicht installiert.

Ich bastle mal weiter und werde hier einfach mal den Fortschritt posten. Wenn ich Erfolg haben sollte, werde ich hier auch eine ausführliche Erklärung posten.
 
Lieber ins Wiki, als hier ins Forum. Im Wiki findet man Dinge einfach besser wieder. :)
 
Es ist vollbracht! Es hat länger gedauert, da es keine ordentliche Dokumentation für Squid in Verbindung mit kerberos gibt. Allerdings habe ich nun die Gewissheit, dass es sauber läuft und kein Gepfusche ist. Ebenfalls schön finde ich, dass ich ohne mskutil auskomme.

Bevor ich mir jetzt die Wiki-Bedienung aneigne: Besteht überhaupt Interesse an Squid/Kerberos/Windows ADS? (In meinen Augen dürfte das eigentlich sehr interessant sein...)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben