Zum Inhalt springen
View in the app

A better way to browse. Learn more.
Fachinformatiker.de

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

Squid in einer Windows Domäne

Gast Ronox
Gast Ronox
in Linux

Empfohlene Antworten

Veröffentlicht

Hallo,

ich habe eine Windows Domäne wo ich einen Ubuntu Server mit Squid eingebaut habe, soweit funktioniert alles...aber ich möchte folgendes gerne erreichen das nämlich eine Gruppe A durch eine whiteliste A zugang bekommt und eine Gruppe B durch eine whiteliste B usw. In der Domänenverwaltung arbeite ich mit wetdog der den Proxy in Firefox einträgt. Im Internet Explorer klappt auch alles soweit, aber halt alles bisher nur mit einer Whitelist.

Wenn ich mich unklar ausgedrückt habe einfach nachfragen, danke :) Ich freue mich natürlich über Antworten!

MFG Ronox

naja es gibt ca. 300 Benutzer, und da wollte ich nicht jeden einzeln anfassen...

Die Idee die ich noch hätte wäre unterschiedliche Ports zu benutzen die man dann per Policy zuweisen könnte. Oder ich verstehe dich grade Falsch?

Ich habe mir das schon angeschaut wie ich Squid konfigurieren kann aber muss ehrlich zugeben das ich dort keine möglichkeit sehe, mehrere Whitelists zu benutzen, also unterschiedliche.

Gruppen sind in der Domäne ca. 14 Stück.

Die User müssen sich ja nicht noch mal anmelden und das soll auch so bleiben, es sollen die Berechtigungen vom Domänen Account ausgehen.

Hi,

wenn Ihr eine Domäne habt, habt ihr sicher auch AD. AD beantwortet doch LDAP anfragen oder? Zumindest kann man es dazu bringen soweit ich weis. Dann gibt es für Squid ein LDAP modul dann braucht du nur das entsprechend im squid einzubauen und zu confen. Und die User-/Gruppen Verwaltung bleibt in deiner AD (Single Sign On, das will man doch haben ;)). Dann kannst du je nach Gruppe (oder User oder IP' etc., was squid halt so hergibt) ACL's definieren.

cu

ok danke...wenn das sooo einfach geht werde ich mir das anschauen sobald ich den server nochmal als vm habe...kannst du mir ein Syntax beispiel geben? also würde ich jetzt richtig liegen mit:

"acl FISI /etc/squid/whitefisi.list"

und die Gruppe in der AD heißt FISI? oder ist das doch komplizierter? =)

Hi,

Syntax Beispiel (wird bei dir anders aussehen, da ich hier eine nicht aktuelle squid version habe:( ):


auth_param basic program /usr/local/sbin/squid_ldap_auth -Z -D "cn=admin,o=acme" -w "$Passwort" -b "o=acme" -f "(&(objectclass=Person)(uid=%s)(|(groupMembership=cn=SURFER,ou=test,o=acme)))" $LDAP_SERVER_IP

Mit den ACL's musst du dich selber auseinandersetzten, da habe ich keine Syntax Beispiel

cu

auth_param basic program /usr/lib/squid/ldap_auth -v3 -R -b "dc=domain,dc=lan" -D "cn=Administrator,cn=Users,dc=domain,dc=lan" -w "$Password" -f "(sAMAccountName=%s)" -h dc1.domain.lan

das funktioniert soweit =)

jetzt will ich mit

external_acl_type halt die Gruppe rausfiltern mit folgendem String:

external_acl_type ITSE_Azubis InetGroup %LOGIN /usr/lib/squid/squid_ldap_group -R -b "dc=domain,dc=lan" -D "cn=Administrator,cn=Users,dc=domain,dc=lan" -w "$Password" -f "(&(objectclass=person) (sAMAccountName=%v) (memberof=cn=%a,ou=ITSE_Azubis,dc=dc1,dc=domain,dc=lan))" -h dc1.domain.lan

wenn ich dann Squid starte kommt folgendes:

/etc/init.d/squid start

Starting Squid HTTP proxy: squidFATAL: Bungled squid.conf line 76: external_acl_type ITSE_Azubis InetGroup %LOGIN /usr/lib/squid/squid_ldap_group -R -b "dc=domain,dc=lan" -D "cn=Administrator,cn=Users,dc=domain,dc=lan" -w "$Password" -f "(&(objectclass=person) (sAMAccountName=%v) (memberof=cn=%a,ou=ITSE_Azubis,dc=dc1,dc=domain,dc=lan))" -h dc1.domain.lan

Squid Cache (Version 2.6.STABLE5): Terminated abnormally.

failed!

Weiß jemand was falsch ist? ich sitzt jetzt schon einen Tag an der Zeile und mir brennt der Schädel.

MFG

Sorry wegen Doppelpost aber das obige Problem habe ich gelöst bekommen jetzt habe ich das Problem das ich einer Bestimmten Gruppe eine Whitelist aufdrängen.

So sieht das jetzt aus:

external_acl_type proxygruppe %LOGIN /usr/lib/squid/squid_ldap_group -b CN=Proxygruppe,OU=ounit,DC=domain,DC=lan -f (memberUid=%u) -h dc1.domain.lan -p 3268 -D CN=Administrator,CN=users,DC=domain,DC=lan -w "$Password"

acl ldapgroup_proxygruppe external proxygruppe proxygruppe

acl ldapgroup_proxygruppe_rest dstdomain "/etc/squid/white.list"

http_access allow ldapgroup_proxygruppe ldapgroup_proxygruppe_rest

der User kann durch diese Konfiguration leider auf allen Seiten surfen, weiter unten steht aber

http_access deny all

Weiß vielleicht jemand wo der fehler liegt? :(

Erstelle ein Konto oder melde dich an, um einen Kommentar zu schreiben.

Zur Themenliste gehen

Configure browser push notifications
Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.