DomÀnen Benutzer am Squid Proxy authentifizieren

Dieser Artikel ist Teil der Artikelserie Squid Proxy Server unter Debian installieren und konfigurieren.

Im Artikel Squid Proxy Server unter Debian installieren habe ich gezeigt, wie man einen Proxy Server im lokalen Netzwerk betriebt. Dabei wurde der Proxy Server so konfiguriert, dass er fĂŒr alle Clients im Netzwerk zur VerfĂŒgung steht.

Wenn bereits ein Active Directory vorhanden ist, bietet es sich an die Benutzer am Proxy zu authentifizieren. Dadurch kann der Proxy Server ausschließlich von bekannten Benutzern verwendet werden. Dritte erhalten keinen Zugriff auf den Proxy. Der Benutzername wird in dem Squid Logfile festgehalten welches z.B. mit SARG grafisch dargestellt werden kann.

Mithilfe von Samba, welches unter Linux Windows Active Directory Funktionen zur VerfĂŒgung stellt wird der Proxy Server der DomĂ€ne hinzugefĂŒgt. Der große Vorteil ist, dass sich der Benutzer nicht selbst am Proxy Server anmelden muss. Beim Öffnen des Browsers geschieht die Authentifizierung automatisch im Hintergrund. Dieses Verfahren wird als NTLM Authentifizierung bezeichnet. Diese Funktion wird von allen gĂ€ngigen Browsern unterstĂŒtzt. Bei Computern welche nicht in der DomĂ€ne sind, erscheint ein Anmeldefenster.

Hinweis: Die rot markierten Inhalte mĂŒssen an das lokale Netzwerk angepasst werden.

Vorbereitung
Der Squid Proxy Server sollte ĂŒber eine feste IP-Adresse verfĂŒgen. Dies kann alternativ auch ĂŒber eine DHCP Reservierung erfolgen. Wie bei Windows Clients, welche der DomĂ€ne hinzugefĂŒgt werden, mĂŒssen die DNS Server auf einen DomĂ€nencontroller zeigen.

Um den Proxy Server der DomĂ€ne hinzuzufĂŒgen muss zunĂ€chst Samba installiert werden. Dazu den Befehl apt-get install samba winbind ausfĂŒhren.

clip_image001

In der Datei /etc/samba/smb.conf mĂŒssen die Einstellungen fĂŒr das Active Directory angepasst werden. Dazu die vorhandene Datei mit folgenden Einstellungen ersetzen:

workgroup = MYAD
security = ads
realm = MYAD.LOCAL
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind use default domain = yes
winbind enum users = yes
winbind enum groups = yes

Danach ist die Konfiguration von Samba abgeschlossen und der Computer wird mit folgendem Befehl der DomĂ€ne hinzugefĂŒgt:

net ads join -U Administrator

Statt Administrator kann auch ein anderer DomĂ€nen-Benutzer angegeben werden, welcher das Recht besitzt Computer zur DomĂ€ne hinzuzufĂŒgen. Daraufhin kommt eine Aufforderung zur Eingabe des Passworts.

Damit Squid auf Samba zur Authentifizierung zugreifen kann, folgenden Befehl ausfĂŒhren:

gpasswd -a proxy winbindd_priv

chown root:winbindd_priv /var/lib/samba/winbindd_privileged/

Um Squid fĂŒr die Authentifizierung zu konfigurieren die Konfigurationsdatei unter /etc/squid3/squid.conf aufrufen. Dazu folgende Einstellungen wie im Screenshot gezeigt hinzufĂŒgen:

auth_param ntlm program /usr/bin/ntlm_auth –helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param ntlm keep_alive on

auth_param basic program /usr/bin/ntlm_auth –helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours

acl AuthorizedUsers proxy_auth REQUIRED

clip_image002

Der Eintrag http_access allow all AuthorizedUsers bewirkt, dass authentifizierte Benutzer der Zugriff gewĂ€hrt wird. Falls vorhanden, muss der Eintrag http_access allow localnet entfernt bzw. kommentiert werden. Sonst wĂ€hre der Zugriff fĂŒr Clients aus dem Subnetz auch ohne Authentifizierung möglich .

clip_image003

Damit die Änderungen ĂŒbernommen werden Squid mit dem Befehl service squid3 restart neustarten. FĂŒr alle Anfragen an den Proxy Server wird jetzt die Authentifizierung durchgefĂŒhrt.

Dieser Artikel ist Teil der Artikelserie Squid Proxy Server unter Debian installieren und konfigurieren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.