web-dev-qa-db-ja.com

Squidプロキシ自動認証

それで、Ubuntuサーバーにsquidプロキシをセットアップし、ドメインでユーザーターゲティングをセットアップしたいと思います。AD内のセキュリティグループにACLを設定できるようにしたいのですが、これは可能ですか?どうすればよいですか?

プロキシは現在広く公開されているため、ユーザーもプロキシで認証する必要があります。プロキシにグループポリシーを設定しました。ユーザーがログインして特定のACLを取得できるように、プロキシをADにリンクする必要があります。私が見たすべてのチュートリアルは、ユーザー名とパスワードを尋ねるポップアップメッセージです。これを自動的に実行して、ユーザーがログインすると自動的に認証されるようにします。どうすればこれを達成できますか? NTLMがこれに関与すると思いましたか?そして、ユーザーが参加しているセキュリティグループには、squidが強制する一連のブロックされたWebサイトがあります。

前もって感謝します

1
NickCarlt

これがあなたが望むことをする設定例です:

## Active Directory Authentication
auth_param basic program /usr/lib/squid/basic_ldap_auth -R -b "dc=example,dc=com" -D [email protected] -W /etc/squid/conf.d/ldap.pass -f sAMAccountName=%s -h example.com
auth_param basic children 100 startup=5 idle=5
auth_param basic realm Windows Logon
auth_param basic credentialsttl 2 hours

## Group Membership Lookup
external_acl_type ldap_group children-max=1000 children-startup=100 children-idle=50 %LOGIN /usr/lib/squid/ext_ldap_group_acl -d -R -b "dc=example,dc=com" -D [email protected] -W /etc/squid/conf.d/ldap.pass -K -f "(&(objectclass=person)(sAMAccountName=%u)(memberof=CN=%g,OU=Squid_Users,DC=example,DC=com))" -h example.com

# Defines the networks which are allowed to use the proxy
acl allowed-networks src 192.168.1.0/24

# Defines the Active Directory Groups as Squid ACLs (i.e. `InternetGeneralUsers` is a group in AD)
acl users-general external ldap_group InternetGeneralUsers

# Defines the filter ACLs
acl domains-allowed dstdomain "/etc/squid/conf.d/domains/domains-allowed"

# Actual Allow/Deny rules
http_access allow allowed-networks users-general domains-allowed

# And finally deny all other access to this proxy
http_access deny all

これはActiveDirectoryだけではありませんが、一般的な概念は次のとおりです。

  1. ユーザーのActiveDirectoryへの接続を定義します。
  2. ADからグループを検索する方法を定義します。
  3. ADグループのメンバーを含むACLを定義します(この例では、ADグループはInternetGeneralUsersと呼ばれ、SquidACLはusers-generalと呼ばれます。
  4. Squid ACL users-generalがプロキシを通過できるようにする許可ルールを定義します。
1
ETL